Come i truffatori usano i deepfake per aggirare la verifica dell’identità dei clienti

I truffatori usano cloni digitali generati dall’intelligenza artificiale per aggirare le procedure Know Your Customer (KYC) e aprire conti per il riciclo di denaro sporco.

Mentre l’umanità cerca ancora di capire come recuperare le centinaia di miliardi di dollari investiti nell’IA generativa, i criminali informatici hanno già iniziato ad adottare la tecnologia. Ad esempio, hanno scoperto che l’intelligenza artificiale può essere usata per creare money mule virtuali, cioè conti fittizi usati per trasferire denaro rubato. I deepfake consentono ai criminali di aggirare con successo le procedure di verifica dell’identità del cliente (Know Your Customer, KYC) usate dagli istituti finanziari, eliminando la necessità di ricorrere a complici in carne e ossa. Vediamo come funziona in dettaglio.

Cos’è la procedura KYC?

La procedura KYC è una pratica di verifica dell’identità dei clienti usata nel settore finanziario per combattere varie attività finanziarie illegali, tra cui frode, riciclaggio di denaro, evasione fiscale, finanziamento del terrorismo e altro ancora.

Più specificamente, le procedure KYC sono sistemi di verifica dell’identità biometrica in servizi completamente remoti, ovvero quando un cliente si registra online senza alcun contatto di persona con i dipendenti dell’istituto finanziario.

In genere, questa procedura richiede al cliente di caricare le foto dei propri documenti e di scattare un selfie, spesso tenendo in mano una copia dei documenti. Recentemente è diventata popolare anche un’ulteriore misura di sicurezza: al cliente viene chiesto di accendere la fotocamera dello smartphone e di inquadrarsi girando la testa in diverse direzioni, secondo le istruzioni.

Questo metodo viene talvolta usato anche per verificare le transazioni, ma in genere è pensato per proteggere da false autenticazioni che usano foto statiche rubate. Il problema è che i criminali hanno già capito come aggirare questa protezione: usando i deepfake.

Strumenti di intelligenza artificiale per le frodi

Non molto tempo fa, gli esperti di Sensity, una startup di rilevamento dei deepfake, hanno pubblicato un rapporto annuale che descrive alcune delle pratiche più comuni che coinvolgono contenuti generati dall’intelligenza artificiale.

Questo rapporto evidenzia il numero totale di strumenti per la creazione di contenuti IA in tutto il mondo. Sono stati contati 10.206 strumenti per la generazione di immagini, 2298 strumenti per la sostituzione dei volti nei video e la creazione di avatar digitali e 1018 strumenti per la generazione o la clonazione di voci.

Il rapporto evidenzia anche il numero di utilità specializzate e progettate specificamente per aggirare le procedure KYC: sono stati contati fino a 47 strumenti di questo tipo. Questi strumenti consentono ai cybercriminali di creare cloni digitali che superano con successo la verifica dell’identità del cliente. Di conseguenza, i truffatori possono aprire conti in remoto presso istituti finanziari: banche, scambi di criptovalute, sistemi di pagamento e altro ancora.

Dove vengono usati i deepfake per bypassare KYC

I deepfake vengono usati per aggirare le procedure KYC in tutto il mondo (le regioni in cui si verificano più frequentemente questi attacchi sono evidenziate in rosso sulla mappa). Fonte

Questi conti vengono successivamente usati per varie attività criminali, principalmente frodi finanziarie dirette, nonché per il riciclaggio di profitti da operazioni illegali.

Negozio di cloni digitali

Recentemente, 404 Media ha riferito di un sito Web clandestino che vende foto e riprese video di persone per aggirare le procedure KYC. Secondo i giornalisti, i commercianti di duplicati digitali hanno intere raccolte di tali contenuti. Trovano volontari in paesi svantaggiati e pagano loro importi relativamente bassi (parliamo di circa € 5-20) per le riprese.

Il contenuto risultante viene quindi venduto a chiunque sia interessato. Le collezioni sono piuttosto estese e includono persone di diverse età, generi ed etnie. I servizi del sito sono abbastanza economici: ad esempio, i giornalisti hanno acquistato un pacchetto per soli $ 30 (pari a € 27). I pacchetti includono foto e video in abiti diversi, nonché immagini con una carta di credito e un foglio di carta bianchi in mano, che verranno poi digitalmente sostituiti con un documento d’identità o qualche altro documento.

Raccolta di foto e riprese video per aggirare le procedure KYC

Un negozio online per truffatori che vende foto e contenuti video per aggirare le procedure KYC. Fonte

Il servizio è decisamente orientato al cliente. Il sito Web ha recensioni di acquirenti riconoscenti e presenta anche un badge speciale per le foto e i video acquistati il minor numero di volte. Questi cloni “freschi” hanno maggiori probabilità di superare con successo i controlli dei sistemi antifrode.

Oltre alle identità digitali già pronte, gli amministratori del sito offrono set di contenuti esclusivi creati su richiesta e, si presume, a un prezzo più elevato.

Documenti falsi generati dall’intelligenza artificiale

Altri giornalisti della testata hanno inoltre scoperto un sito Web specializzato nella vendita di foto realistiche di documenti falsi create usando l’intelligenza artificiale.

Foto falsa della patente

Una falsa foto di una patente di guida, presumibilmente rilasciata in California. Fonte

Secondo un esperto di una società che si occupa di tali frodi, alcuni servizi di questo tipo vendono pacchetti pronti all’uso che includono sia documenti falsi che foto e video di falsi proprietari.

Siffatti strumenti di intelligenza artificiale e raccolte di contenuti rendono molto più semplice il lavoro dei truffatori. Solo pochi anni fa i money mule, cioè persone reali che movimentavano direttamente denaro sporco e aprivano conti per il trasferimento o il prelievo di contanti, erano l’anello debole nelle operazioni criminali.

Ora, tale manovalanza “fisica” sta rapidamente diventando obsoleta. I criminali non hanno più bisogno di interagire con individui inaffidabili e vulnerabili alle forze dell’ordine. Oggi è sufficiente creare un certo numero di cloni digitali e prendere di mira i servizi finanziari che consentono di aprire conti ed eseguire transazioni in modalità completamente remota.

Cosa ci aspetta in futuro?

In futuro, la facilità di aggirare le attuali procedure KYC porterà probabilmente a due conseguenze. Da un lato, le organizzazioni finanziarie introdurranno nuovi meccanismi per la verifica di foto e video forniti da clienti remoti in base al rilevamento di segnali di falsificazione a opera dell’intelligenza artificiale.

Dall’altro, le autorità di regolamentazione probabilmente inaspriranno i requisiti per le operazioni finanziarie completamente remote. È quindi possibile che la semplicità e la convenienza dei servizi finanziari online, a cui siamo già abituati, siano minacciate dall’intelligenza artificiale.

Purtroppo il problema non finisce qui. Come notato dagli esperti, l’ampia disponibilità di strumenti di intelligenza artificiale per la generazione di contenuti fotografici, video e audio mina alla base la fiducia nelle interazioni digitali tra le persone. Maggiore è la qualità delle creazioni IA, più difficile diventa credere a ciò che vediamo sui nostri smartphone e computer.

Consigli