La intel·ligència artificial ha transformat completament els fraus digitals. Els antics correus electrònics mal redactats o els missatges amb errors evidents han deixat pas a tècniques molt més sofisticades: avui és possible replicar la veu d’un familiar, generar vídeos falsos de directius bancaris o crear pàgines web pràcticament idèntiques a les originals. Aquesta evolució ha convertit el phishing amb IA en una de les principals amenaces dins dels ciberdelictes actuals.
Aquest tipus d’estafes no es consideren simples enganys online. A l’ordenament jurídic espanyol poden constituir delictes informàtics amb conseqüències penals importants: penes de presó, sancions econòmiques elevades i antecedents penals. Paral·lelament, les víctimes disposen de vies legals per denunciar els fets, reclamar els imports sostrets i exigir responsabilitats als implicats.
La IA aplicada al phishing: per què representa un risc tan elevat?
El phishing amb intel·ligència artificial manté la mateixa finalitat que el phishing tradicional: obtenir credencials, claus bancàries, codis de verificació o induir la víctima a efectuar transferències fraudulentes. La diferència principal és el nivell de realisme i personalització.
La IA permet generar:
- correus electrònics sense errors lingüístics,
- missatges adaptats al perfil concret de la víctima,
- converses automatitzades molt convincents,
- imitacions de veu mitjançant deepfake,
- i webs clonades pràcticament impossibles de distingir.
Aquesta sofisticació incrementa notablement l’eficàcia de l’estafa i dificulta tant la detecció humana com la dels sistemes de seguretat tradicionals.
Modalitats més habituals de phishing amb IA
Correus bancaris hiperrealistes
Els ciberdelinqüents creen comunicacions que imiten exactament la imatge corporativa d’entitats bancàries o plataformes de pagament. La víctima és dirigida a una web falsa on introdueix les seves credencials pensant que es troba davant del portal legítim.
Deepfake de veu i vishing
Mitjançant IA es pot clonar la veu d’un familiar, d’un superior jeràrquic o d’un responsable financer. La víctima rep una trucada aparentment legítima on se li demana una transferència urgent o la facilitació de codis de seguretat.
Smishing i missatgeria instantània
WhatsApp, Telegram o SMS s’han convertit en canals especialment sensibles. Els atacants utilitzen bots conversacionals capaços de mantenir diàlegs en temps real amb un llenguatge totalment natural.
Phishing corporatiu i frau del CEO
En l’àmbit empresarial, la IA permet reproduir l’estil de redacció de directius i generar instruccions de pagament o ordres comptables aparentment autèntiques. Aquest tipus de frau pot provocar pèrdues econòmiques molt elevades dins les organitzacions.
Encaix legal al Codi Penal espanyol
Encara que no existeixi un delicte específic anomenat “phishing amb IA”, aquestes conductes encaixen perfectament dins de diferents figures delictives ja previstes al Codi Penal.
Les principals tipologies penals aplicables són:
- estafa informàtica (articles 248 i següents),
- accés il·lícit a sistemes i descobriment de secrets,
- suplantació d’identitat,
- falsedat documental,
- blanqueig de capitals,
- i pertinença a organització criminal.
La utilització d’eines d’intel·ligència artificial no crea un delicte nou, però sí que pot ser considerada pels tribunals com un indici de professionalització, planificació i especial sofisticació del frau.
Penes aplicables
Les sancions poden variar segons la gravetat dels fets, el perjudici econòmic causat i l’existència d’agreujants. Entre les penes més habituals trobem:
| Conducta | Pena orientativa |
| Estafa informàtica | de 6 mesos a 6 anys de presó |
| Accés il·lícit a dades o sistemes | d’1 a 4 anys de presó |
| Descobriment i revelació de secrets | fins a 5 anys |
| Suplantació d’identitat | fins a 3 anys |
| Blanqueig de capitals | fins a 6 anys i multa |
| Organització criminal | fins a 8 anys segons el rol |
Els jutges acostumen a imposar penes més severes quan existeixen:
- múltiples víctimes,
- elevats imports defraudats,
- estructures organitzades,
- actuació reiterada,
- o ús intensiu de tecnologia avançada.
Les “mules bancàries”: un risc penal molt seriós
Un dels fenòmens més freqüents associats al phishing amb IA és el de les anomenades “mules”.
Es tracta de persones que faciliten el seu compte bancari per rebre diners i reenviar-los posteriorment a tercers a canvi d’una comissió. Moltes vegades creuen participar en una oferta laboral aparentment legítima.
Tanmateix, des del punt de vista penal, poden ser considerades:
- cooperadores necessàries del delicte,
- còmplices de l’estafa,
- o responsables de blanqueig de capitals.
Les conseqüències poden incloure:
- penes de presó,
- reclamacions civils per la totalitat dels imports,
- bloqueig de comptes bancaris,
- i antecedents penals.
Responsabilitat penal dels menors
La facilitat d’accés a eines d’IA ha provocat també la participació de menors en aquest tipus de conductes. Tot i que als menors no se’ls aplica el mateix règim sancionador que als adults, la Llei de Responsabilitat Penal del Menor permet adoptar mesures com:
- internament,
- llibertat vigilada,
- treballs en benefici de la comunitat,
- i obligació de reparar els danys causats.
Què fer si ets víctima d’un phishing amb IA?
La rapidesa d’actuació és fonamental.
- Preservar proves
És important conservar:
- correus electrònics,
- captures de pantalla,
- números de telèfon,
- moviments bancaris,
- i qualsevol altra evidència relacionada.
- Contactar immediatament amb el banc
- bloquejar targetes i comptes,
- intentar retrocedir transferències,
- i revisar moviments sospitosos.
- Presentar denúncia
La denúncia es pot formalitzar davant:
- els Mossos d’esquadra, Policia Nacional, Guàrdia Civil, etc
- o unitats especialitzades en delictes telemàtics.
- Comptar amb assessorament especialitzat
Els delictes informàtics requereixen coneixements tècnics i jurídics molt específics. L’assessorament d’un advocat penalista especialitzat en ciberdelinqüència pot resultar determinant tant per recuperar els diners com per defensar adequadament els drets de la víctima.
Estratègies de defensa si s’està investigat
No totes les persones investigades tenen el mateix nivell de participació ni totes les proves són vàlides jurídicament. Entre les línies de defensa més habituals hi ha:
- absència d’intenció defraudadora,
- desconeixement de l’origen il·lícit dels diners,
- vulneracions en l’obtenció de proves digitals,
- errors en la traçabilitat tècnica,
- o existència d’atenuants.
En aquest tipus de procediments, la prova pericial informàtica és especialment rellevant.
Fiscalitat, tecnologia i ciberdelinqüència: un nou escenari jurídic
La irrupció de la intel·ligència artificial ha modificat profundament la naturalesa dels fraus digitals. El phishing amb IA combina sofisticació tecnològica, internacionalització i una elevada capacitat de manipulació psicològica.
Per aquest motiu, tant les empreses com els particulars necessiten cada vegada més:
- protocols de prevenció,
- sistemes de seguretat avançats,
- formació especialitzada,
- i assessorament jurídic adaptat als nous riscos digitals.
El missatge és clar: la ciberdelinqüència impulsada per IA ja no és una amenaça futura, sinó una realitat plenament consolidada.