Perfils falsos a les xarxes socials. Fotografies generades per IA. Videos amb uniformes de la Guardia Civil, to institucional, missatges d'advertencia que semblen oficials. Darrere, estafadors que demanen dades personals a ciutadans que confien en el que veuen.
Aixo no es ciencia ficcio. Va passar a Espanya, esta documentat, i la propia Guardia Civil ha hagut d'alertar la poblacio sobre com verificar l'autenticitat dels perfils abans d'interactuar-hi.
El detall mes inquietant no es que hagi passat. Es el que va dir la font: els deepfakes actuals son "practicament imperceptibles per a l'ull no entrenat". Fa dos anys hi havia errors visibles. Avui ja no.
Si una institucio de l'Estat pot ser suplantada de forma convincent, la teva empresa esta exposada al mateix risc. I la majoria no ho sap fins que ho te a sobre.
La Guardia Civil suplantada per deepfake
El mecanisme es precis. Els atacants creen perfils a les xarxes socials amb fotografies generades per intel·ligencia artificial: uniformes correctes, contextos institucionals, rostres que no pertanyen a cap persona real pero que resulten completament convincents. Els perfils repliquen el to formal i l'estructura de comunicacio de comptes oficials verificats.
Un cop creats, els perfils ofereixen "consells de seguretat", publiquen alertes sobre amenaces i envien missatges directes sol·licitant informacio personal amb pretextos d'investigacions ficticides. L'objectiu es sempre el mateix: dades, diners, acces.
El que ha canviat es l'escala de produccio i la qualitat del resultat. Un atacant pot crear un perfil convincent en hores. No necessita experts en imatge ni equips de produccio. Nomes necessita les eines d'IA que estan disponibles per a qualsevol persona.
25M USD
Import transferit pel director financer d'una empresa de Hong Kong despres d'una videotrucada deepfake amb el "CEO" i diversos directius de l'empresa. El cas, documentat el 2024, es el primer gran cas public de CEO fraud amb deepfake en temps real.
El mateix atac, contra la teva empresa
El deepfake de la Guardia Civil es un cas de frau al ciutada. Pero la tecnologia es identica a la que s'utilitza contra empreses, i l'objectiu es molt mes lucratiu.
CEO fraud amb deepfake de veu. Un empleat rep una trucada telefonica del CEO demanant una transferencia urgent i confidencial. La veu es identica. El to es correcte. El context es creible. La trucada dura 90 segons. Els diners surten del compte abans que ningu pugui verificar res.
Videotrucades deepfake en temps real. El cas de Hong Kong el 2024 va canviar la percepcio del risc: el director financer d'una empresa multinacional va assistir a una videotrucada amb diverses persones, inclosos el "CEO" i altres directius. Tots eren deepfakes generats en temps real. Resultat: 25 milions de dolars transferits.
Phishing amb IA generativa. Els emails de phishing solien tenir errors gramaticals, traduccions automatiques evidents, contextos generics. Ja no. Els models de llenguatge actuals generen emails perfectament personalitzats que passen tots els filtres d'spam. No hi ha cap senyal d'alarma visible.
El patro es sempre el mateix
Urgencia mes autoritat mes canal de confianca. La IA no va inventar el frau. El que ha canviat es que ara qualsevol atacant pot replicar perfectament els tres elements sense necessitar coneixements tecnics especialitzats ni grans recursos.
Per que el teu equip no ho veura venir
Si els ciutadans no poden distingir un perfil deepfake de la Guardia Civil d'un de real, no hi ha cap rao per assumir que els empleats d'una empresa detectaran un email de phishing generat per IA o una trucada de veu clonada del CEO.
El problema no es la intel·ligencia de les persones. Es la manca d'entrenament especific. Un equip que no sap com funciona la IA generativa, que no coneix els senyals d'alerta de contingut sintetic i que no te protocols de verificacio davant sol·licituds urgents es un equip vulnerable per definicio.
Vision Compliance va publicar l'abril de 2026 que el 83% de les organitzacions no te un inventari formal dels sistemes d'IA que utilitza o despliega. Si una empresa no sap quina IA te a dins, es molt poc probable que sapi reconèixer la IA que ve de fora.
Els senyals que el teu equip hauria de reconèixer
Sol·licituds urgents que eviten els canals habituals. Canvis de dades bancaries per email sense confirmacio telefonica. Videotrucades on la persona parpelleja rarament o l'audio va lleugerament desfasat. Cap d'aquests senyals requereix programari especialitzat: requereix formacio.
Que exigeix el EU AI Act
L'Article 4 del EU AI Act exigeix que tota persona que treballi amb sistemes d'IA tingui un nivell suficient d'alfabetitzacio en intel·ligencia artificial. I aquest nivell inclou, necessariament, la capacitat de reconèixer contingut generat per IA.
L'obligacio porta en vigor des del febrer de 2025. El termini de compliment efectiu amb sancions actives es l'agost de 2026. Queden quatre mesos.
Les sancions per incompliment de l'Article 4 arriben fins a 7,5 milions d'euros o l'1% de la facturacio global anual. Pero la sancio regulatoria es l'escenari menor. L'escenari major es el director financer que transfereix 25 milions perque ningu li va ensenyar a verificar una videotrucada.
7,5M EUR
Sancio maxima per incompliment de l'Article 4 del EU AI Act (alfabetitzacio en IA). O l'1% de la facturacio global anual, el que sigui major. Termini: agost 2026.
La formacio com a primera linia de defensa
La formacio en IA segura no es nomes un requisit de compliment normatiu. Es la primera linia de defensa contra els atacs que utilitzen la IA com a vector.
Un equip format sap com funciona la IA generativa, coneix les seves limitacions i senyals d'alerta, te protocols per verificar sol·licituds inusuals i enten per que la urgencia i l'autoritat son els dos factors que els atacants exploten primer. No necessita programari especialitzat per detectar el 80% dels intents. Nomes necessita saber que buscar.
El mateix coneixement que compleix amb l'Article 4 del EU AI Act es el que protegeix la teva empresa d'un CEO fraud per deepfake. No son dues coses diferents. Son la mateixa cosa vista des de dos angles.
Les empreses espanyoles amb credit FUNDAE poden cobrir el 100% del cost de la formacio. L'unic cost real es el temps de la plantilla, que es mesura en hores, no en dies.
Formacio EU AI Act · Article 4
Forma el teu equip abans que arribi el deepfake
El nostre curs d'Aplicacio Segura de la IA a l'Empresa cobreix el reconeixement de contingut generat per IA, els vectors d'atac actuals i les obligacions de l'Article 4. Bonificable al 100% amb credit FUNDAE. Certificats per participant inclosos.
Veure Programa de Formacio →El teu equip necessita formacio en IA segura
L'EU AI Act exigeix alfabetitzacio IA per a tota la plantilla des d'agost 2026. Els nostres cursos cobreixen compliance, agents IA i governanca. FUNDAE pot subvencionar el 100% del cost.
