Prestiti, attenzione ai deepfake

C’è la Banca d’Italia che periodicamente pubblica dei quaderni di analisi dedicati di volta in volta a particolari fenomeni o temi di economia e finanzia. E ce n’è uno, uscito recentemente, che si occupa dei cosiddetti “deepfake”. Sapete cosa sono? Ne avete mai sentito parlare? Si tratta di vere e proprie contraffazioni del mondo digitale: “rappresentazioni multimediali di eventi falsificate o artefatte attraverso tecniche di intelligenza artificiale”.

Il lavoro descrive le varie applicazioni della tecnologia atte a generare “deepfake”, con un’attenzione particolare alla minaccia che esse possono rappresentare per il settore finanziario. E per i consumatori, naturalmente.

Questo ci offre lo spunto per fare un sempre utile riepilogo sui pericoli da cui ci si deve sempre guardare le spalle chi si rivolge alla rete per cercare servizi e prodotti di credito come, per esempio, i prestiti personali o finalizzati.

Cosa sono, esattamente, i deepfake?

I progressi tecnologici dell’Intelligenza Artificiale, spiega Sabina Marchetti nel testo “Affrontare i deepfake”, migliorano la generazione di contenuti farlocchi ma realistici, rendendo difficile distinguere la finzione dalla verità.

A differenza dei cheapfake – una foto fuori contesto, un ritocchino con Photoshop oppure un audio tagliato e rimontato, tutte cose che comunque fanno i loro danni – i deepfake sono frutto di una serie di strumenti basati sull’Intelligenza Artificiale che consentono ai malintenzionati di diffondere disinformazione digitale difficilmente distinguibile dalla realtà.

Quelli che prendono di mira i singoli consumatori si collocano sul piano del danno individuale (narrowcast). Poi ci sono gli attacchi che puntano a minare la fiducia nelle istituzioni, politiche e finanziarie: e qui siamo invece sul piano del danno collettivo (broadcast). In questo post, ci concentreremo sulle trappole tese ai danni dei consumatori.

Con i deepfake il gioco si fa più duro

Per quanto riguarda lo sfruttamento dei consumatori, i deepfake possono diventare strumento di marketing manipolativo, orientando i bisogni percepiti dei consumatori verso specifici prodotti o servizi. Poi ci sono i deepfake che vengono messi in campo per realizzare attacchi informatici veri e propri.

Il piano d’attacco lo conosciamo praticamente a memoria e ne abbiamo parlato in lungo e in largo nel corso degli anni. Diciamo però che con l’IA il mezzo per realizzarlo si fa più evoluto. In ogni caso, con il supporto del quaderno della Banca d’Italia, riepiloghiamo qui di seguito le trappole in cui ognuno di noi potrebbe incappare.

• Spear-phishing: comunicazioni elettroniche falsamente presentate come provenienti da un certo mittente (spoofing), che prendono di mira specifici individui, organizzazioni o aziende con lo scopo di sottrarre loro informazioni sensibili o diffondere malware. I deepfake aumentano il tasso di successo degli attacchi di spear-phishing dal 60-70% al 100%. Praticamente, siamo al raddoppio.
• Furto d’identità: è il furto di informazioni personali e/o di credenziali allo scopo di assumere l’identità della vittima.
• Ricatto/Cyber-estorsione: richiesta di pagamento su minaccia di diffusione di materiale diffamatorio. Nel caso dei deepfake, si tratta tipicamente di un feed video compromettente.

Effetto pandemia sull’aumento delle trappole in rete

La pandemia di Covid-19, accelerando il passaggio dai canali bancari e di pagamento tradizionali a quelli elettronici, ha amplificato la minaccia rappresentata dalla tecnologia deepfake. E la riduzione delle interazioni faccia-a-faccia imposta dai regimi di quarantena ha portato a galla tutte le vulnerabilità del sistema finanziario rispetto alle frodi basate sul furto d’identità, che oggi possono andare dalla clonazione della voce ai filmati completamente falsi.

Le cosiddette “ghost frauds”, le frodi-fantasma, sono poi fra le più segnalate: in pratica, in questo caso il deepfake permette di assumere l’identità di persone decedute e di accedere a servizi e benefici a loro nome, dall’affidabilità creditizia alla pensione e via dicendo.

Identità nuove e sintetiche: la frode si spinge più in là

Nell’ambito “ristretto” (narrowcast), il quaderno segnala infine le “new-account and synthetic identity frauds”. Nuove identità e identità sintetiche. Cioè? Queste frodi sfruttano dati rubati o falsificati per richiedere carte di credito o prestiti e per rafforzare e migliorare l’affidabilità creditizia di ulteriori falsi clienti.

Insomma, il gioco si fa ancora più duro. E bisogna adattare le nostre armi di difesa. Ma ci torneremo.