Mentre assistiamo alla corsa delle aziende nella progettazione di IA generative sempre più all’avanguardia, anche i cybercriminali hanno trovato il modo di trarne profitto. Tra i nuovi strumenti a loro disposizione, l’intelligenza artificiale permette di creare “money mule” virtuali: conti bancari fittizi utilizzati per trasferire fondi rubati senza lasciare tracce. Inoltre, i deepfake sono diventati un potente alleato per aggirare le procedure di verifica dell’identità (KYC, Know Your Customer) imposte dalle banche, eliminando così la necessità di complici umani.
In questo articolo, esploreremo insieme come questi strumenti vengono sfruttati nel mondo del crimine digitale e le sfide che pongono alla sicurezza globale.
Le Procedure KYC
Se hai aperto un conto online o ti sei registrato a un servizio finanziario, avrai sicuramente incontrato la procedura KYC. Questa pratica, diffusa nel settore finanziario, è progettata per verificare l’identità dei clienti e contrastare attività illecite, come frodi, riciclaggio di denaro, evasione fiscale e finanziamento del terrorismo.
In particolare, il KYC si applica soprattutto nei contesti di verifica biometrica per servizi completamente online, ovvero in situazioni in cui il cliente si registra da remoto, senza alcun contatto diretto con i dipendenti dell’istituto finanziario. Generalmente, questo processo richiede al cliente di caricare una foto dei propri documenti e scattare un selfie, spesso tenendo i documenti in mano.
Negli ultimi anni, si è diffusa una misura di sicurezza aggiuntiva: il cliente deve attivare la fotocamera dello smartphone e muovere la testa in varie direzioni, seguendo le istruzioni del sistema. Questa tecnica mira a proteggere contro tentativi di autenticazione con foto statiche che potrebbero essere state sottratte.
Ma i criminali digitali non sono rimasti a guardare. Utilizzando i deepfake, hanno già trovato il modo di aggirare anche queste misure avanzate di protezione.
Strumenti IA per le frodi
Recentemente, gli esperti di Sensity, una startup specializzata nel rilevamento di deepfake, hanno pubblicato un rapporto annuale che illustra i metodi più comuni con cui i cybercriminali sfruttano l’IA in modo illecito. Il rapporto offre una panoramica completa sul numero di strumenti di generazione di contenuti IA oggi disponibili. Gli esperti hanno identificato ben 10.206 strumenti per la creazione di immagini, 2.298 per la sostituzione di volti nei video e la creazione di avatar digitali, e 1.018 per generare o clonare voci.
Un dato particolarmente preoccupante riguarda il numero di strumenti creati appositamente per aggirare le procedure KYC: ne sono stati individuati 47. Questi strumenti permettono ai cybercriminali di generare cloni digitali in grado di superare con successo le verifiche d’identità richieste per l’apertura di conti finanziari. Di conseguenza, i truffatori possono aprire conti a distanza presso banche, exchange di criptovalute, piattaforme di pagamento e altri istituti.
Il rapporto evidenzia anche l’ampia diffusione geografica di queste pratiche. Le regioni in cui gli attacchi KYC tramite deepfake sono più frequenti sono indicate in rosso sulla mappa:
Fonte: Sensity
Questi conti vengono poi sfruttati in vari modi, principalmente per frodi finanziarie e per riciclare i proventi di attività illecite. Le capacità avanzate dei deepfake permettono ai criminali di manipolare i sistemi di sicurezza, aprendo nuove opportunità per il crimine digitale su scala globale.
Il Mercato Nero di Cloni Digitali
Un’altra indagine di 404 Media ha scoperto un sito clandestino che vende set completi di foto e video per aggirare le verifiche KYC. Il funzionamento è semplice ma inquietante: i malintenzionati reclutano persone da paesi svantaggiati, offrendo loro pochi dollari in cambio di immagini e video. Questi contenuti vengono poi organizzati in identità digitali “chiavi in mano”, pronte per essere vendute a chiunque sia interessato. Il costo? Soli 30 dollari per un set completo di foto e video, inclusi documenti falsi.
Le collezioni vendute sul sito sono estremamente ampie e variegate, includendo identità di diverse età, generi ed etnie, per coprire il maggior numero possibile di esigenze dei clienti. I giornalisti di 404 Media, per esempio, sono riusciti ad acquistare un set per soli 30 dollari. Ogni set contiene foto e video con abbigliamento diverso e include anche immagini della persona con una carta bianca o un foglio di carta in mano, pronti per essere sostituiti digitalmente con documenti d’identità.
Fonte: 404 Media
Il sito offre persino opzioni “premium” per soddisfare i clienti più esigenti. Per garantire un maggior successo nei controlli antifrode, è possibile acquistare “cloni freschi” — identità vendute meno frequentemente e quindi meno riconoscibili. E, per chi cerca una maggiore personalizzazione, il sito consente di richiedere cloni unici, creati su misura.
L’IA nella Generazione di Documenti Falsi
La truffa non si ferma qui. Un altro sito, scoperto dagli stessi ricercatori, vende documenti falsi incredibilmente realistici, creati interamente dall’IA. Immagina di poter acquistare una patente di guida o un passaporto falso, completo di foto e video di un “proprietario” che non è mai esistito. Con strumenti del genere, aprire conti bancari o eseguire operazioni finanziarie illecite diventa alla portata di chiunque.
Fonte: 404 Media
L’uso dell’IA ha rivoluzionato il modus operandi dei truffatori, rendendo più semplice e sicuro il lavoro criminale. Solo pochi anni fa, infatti, i “money mule” — individui che fisicamente gestivano denaro sporco aprendo conti, effettuando trasferimenti e prelievi — erano l’anello debole delle operazioni illecite. Oggi, però, questi “muli fisici” stanno rapidamente diventando obsoleti. I criminali non devono più fare affidamento su persone vulnerabili o inaffidabili, suscettibili all’intervento delle forze dell’ordine.
Grazie ai cloni digitali, i truffatori possono raggiungere gli stessi obiettivi senza interazioni rischiose. Basta generare una serie di identità digitali per aprire conti e condurre transazioni su piattaforme che consentono di operare completamente da remoto. Il risultato è un sistema criminale più efficiente e difficile da contrastare.
Cosa ci riserva il futuro?
Con il crescente utilizzo dell’IA per aggirare il KYC, si profilano due strade all’orizzonte. Da un lato, le istituzioni finanziarie saranno chiamate a migliorare i sistemi di verifica, adottando tecnologie in grado di rilevare i segni delle falsificazioni create dall’IA. Dall’altro, i regolatori potrebbero inasprire le normative per le operazioni finanziarie online, limitando l’accesso ai servizi da remoto. Tuttavia, queste misure potrebbero compromettere la comodità e l’accessibilità a cui siamo ormai abituati.
Ma la questione non si limita alla sicurezza finanziaria. La disponibilità di strumenti IA capaci di generare foto, video e persino voci apre una riflessione più profonda: come possiamo continuare a fidarci di ciò che vediamo e sentiamo? Più le creazioni digitali diventano realistiche, più difficile diventa distinguere tra verità e manipolazione.
Siamo pronti a vivere in un mondo dove la realtà digitale può essere distorta con tale facilità? È una domanda complessa e ineludibile, alla quale dovremo rispondere presto.
8BitSecurity 