È stata rivelata l’identità dell’azienda presa di mira in una truffa di video deepfake che ha portato alla perdita di 25 milioni di dollari. Sebbene la notizia della frode sia stata diffusa a febbraio, il Financial Times ha ora confermato che l’ attacco era rivolto al collettivo di ingegneria britannico Arup, un gruppo di 18.500 progettisti e consulenti che si concentra sullo sviluppo sostenibile.
Il noto incidente, che ha avuto luogo presso gli uffici del gruppo a Hong Kong, ha comportato un messaggio da parte di un falso CFO, seguito da una videoconferenza che ha utilizzato avatar deepfake clonati digitalmente del CFO e di altri dirigenti per istruire un dipendente ad effettuare 15 diversi trasferimenti a cinque conti bancari di Hong Kong, per un totale di 200 milioni di dollari di Hong Kong. Le indagini della polizia sull’attacco sono in corso, ma non sono stati effettuati arresti. Il presidente di Arup per l’Asia orientale, Andy Lee, si è dimesso settimane dopo l’accaduto.
Rob Greig, responsabile globale delle informazioni di Arup, ha dichiarato a Dezeen che Arup è “soggetta ad attacchi regolari, tra cui frodi sulle fatture, truffe di phishing, spoofing della voce di WhatsApp e deepfake”, e lancia l’allarme sulla “crescente sofisticazione e l’evoluzione delle tecniche dei malintenzionati”.
I tassi di deepfake e di frode d’identità aumentano nella regione APAC
Non è solo. WIO News riferisce che anche la Securities and Futures Commission (SFC) di Hong Kong sta mettendo in guardia da una truffa video deepfake in cui un avatar di Elon Musk generato dall’AI promuove una piattaforma illegittima di trading di criptovalute chiamata Quantum AI. Da quando l’autorità di regolamentazione ha informato la polizia di Hong Kong, alcuni siti web e pagine di social media legati alla truffa sono stati eliminati. Ma alcuni sono ancora attivi.
Il volume relativamente elevato di transazioni digitali rende l’Asia-Pacifico un territorio maturo per i truffatori. Le frodi legate al deepfake nell’APAC sono aumentate del 1.530 percento lo scorso anno. La piattaforma di verifica dell’identità Sumsub riporta nel suo Identity Fraud Report 2023 che Vietnam e Giappone registrano il maggior numero di attacchi deepfake. Ma Hong Kong è uno dei primi cinque mercati asiatici per le frodi di identità, con un tasso del 3,3 percento nel 2023. L’SFC ha emesso 29 avvertimenti su piattaforme di trading di asset virtuali sospetti solo quest’anno, 18 dei quali sono legati alle criptovalute.
“L’Indonesia, Hong Kong e la Cambogia hanno più che raddoppiato le percentuali di frode d’identità tra il 2021 e il 2023, indicando una crescente preoccupazione”, si legge nel rapporto di Sumsub.
L’AI sta causando una “crisi acuta di identità e sicurezza digitale”: Marcotte
Anche Michael Marcotte, CEO di artius.ID, è al timone per mettere in guardia sui rischi derivanti dall’AI generativa e dai deepfakes. Marcotte ha evidenziato il particolare pericolo che la tecnologia deepfake rappresenta per le elezioni libere ed eque. “I governi, per mancanza di capacità o di volontà, non sono riusciti a difendere sufficientemente la democrazia dai deepfakes”, afferma. Ora, in un’intervista a Crowdfund Insider, avverte che il settore bancario sta affrontando “un’acuta crisi di identificazione e sicurezza digitale” provocata da strumenti come ChatGPT, Midjourney e altri strumenti di AI generativa facilmente accessibili. Le banche, dice Marcotte – cofondatore del National Cybersecurity Center (NCC) – non sono pronte.
“I procedimenti bancari KYC si basano ancora sulla verifica della carta d’identità, del viso e dell’indirizzo”, afferma Marcotte. “Queste procedure sembrano neolitiche rispetto ai deepfakes e alle frodi di identificazione basate sull’AI. Queste presunte barriere di sicurezza, che in molte banche si basano ancora su software di un’epoca in cui l’unica AI era Skynet, sono rese completamente obsolete di fronte agli hacker che possono generare documenti e deepfake per superare la verifica facciale e dell’identità”.
I numeri lo confermano. La frode di identità sintetica è oggi la categoria di crimine finanziario in più rapida crescita negli Stati Uniti, con perdite per 6 miliardi di dollari. Gli attacchi di presentazione o liveness sono in aumento del 40% nel 2024. “I dirigenti di banca devono svegliarsi e rendersi conto di quanto il terreno si sia spostato sotto i loro piedi”, afferma Marcotte. “Le procedure KYC sembrano già delle reliquie. Se i consumatori e le aziende perdono la fiducia in queste istituzioni, allora intere economie sono a rischio”.
Invitando a un “cambiamento radicale”, Marcottre osserva che “un’opzione disponibile per le banche è quella di rinunciare al controllo dei dati KYC e di utilizzare fornitori di archiviazione decentralizzati. Se la custodia dei dati rimane nelle mani dell’individuo, le banche non si espongono a controversie o a frodi nei confronti dei loro clienti”.
Le aziende di identità digitale e biometria hanno le risposte che i clienti desiderano
Lo Studio sull’Identità Online 2024 di Jumio prende in considerazione la percezione che i clienti hanno di tutto questo – che non è ottima. Lo studio del fornitore di verifica dell’identità biometrica mostra che il 72% dei consumatori si preoccupa quotidianamente di essere ingannato da un deepfake e vuole che i governi e le autorità di regolamentazione facciano di più per proteggerli.
Mentre le banche e altre istituzioni finanziarie potrebbero ancora tergiversare sulla cybersecurity, le aziende di biometria e di verifica dell’identità digitale stanno rispondendo. Zoloz, che ha uffici in Cina, Singapore e Stati Uniti, ha recentemente rilasciato un aggiornamento del suo software di rilevamento biometrico deepfake, che presenta difese aggiornate contro le tattiche di infiltrazione in continua evoluzione, compresi gli attacchi di AI face swapping ai sistemi di riconoscimento facciale. Altri si stanno muovendo nella stessa direzione, anche se la domanda di rilevamento AI deepfake ha portato a un afflusso di operatori discutibili nel mercato. Trovare un fornitore di autenticazione biometrica di terze parti di cui ci si possa fidare con i dati sensibili dell’identità è fondamentale per navigare in un futuro sempre più fraudolento.
