Deepfake KYC bypass: come l’AI clona l’identità dei clienti

I controlli biometrici passivi basati su selfie e riconoscimento facciale sono obsoleti: per soli 5 dollari gli attaccanti possono acquistare deepfake in grado di aggirare i sistemi KYC tradizionali, imponendo alle PMI una transizione urgente verso difese crittografiche hardware-level.

L’onboarding digitale delle aziende è sotto attacco a causa dell’automazione dei deepfake e delle tecniche di camera injection. Con l’esplosione delle identità sintetiche e dei documenti contraffatti tramite intelligenza artificiale generativa, la fiducia visiva non è più un parametro di sicurezza affidabile. Le imprese devono ripensare radicalmente i propri protocolli di verifica per evitare frodi d’identità su larga scala.


L’industrializzazione della frode d’identità

La veridicità di un volto digitale è ormai un concetto superato. I truffatori non si limitano più a ritagliare foto cartacee o a usare maschere di silicone davanti alla webcam; oggi gestiscono vere e proprie centrali di falsificazione automatizzata. Secondo le proiezioni di Shufti Pro, le frodi d’identità tramite deepfake registreranno un incremento del +495% nel 2026 rispetto al 2025. Questo balzo in avanti è trainato da attacchi combinati e dall’uso massiccio di identità sintetiche, create mescolando dati reali rubati e dettagli generati dall’AI.

Ancora più allarmante è l’esplosione dei cosiddetti document deepfakes: la falsificazione di passaporti, carte d’identità e patenti generata interamente tramite intelligenza artificiale generativa crescerà di circa 40 volte (+3.892%) per il 2026. Non parliamo di tentativi amatoriali, ma di documenti con ologrammi, texture di sicurezza e micro-rilievi perfettamente riprodotti a schermo.

Come evidenziato da Garrett Gafke di Mitek, l’economia sotterranea delle frodi ha cambiato marcia, industrializzandosi su larga scala. Le ripercussioni finanziarie sono devastanti: negli Stati Uniti le perdite previste per il 2026 nel solo comparto del credito non garantito toccheranno i 3,1 miliardi di dollari. Chiunque gestisca l’onboarding di una PMI deve capire che il vecchio controllo visivo del documento non è più una barriera, ma un cancello aperto.


La morte della biometria visiva e il bypass da 5 dollari

Fino a ieri, il test di liveness — chiedere all’utente di girare la testa, sorridere o sbattere le palpebre davanti alla fotocamera dello smartphone — era considerato lo standard di sicurezza invalicabile. Oggi quel sistema è clinicamente morto. Con soli 5 dollari sul mercato nero, un malintenzionato può acquistare un’immagine o una sequenza deepfake pronta all’uso, programmata per superare i controlli biometrici KYC tradizionali.

I dati di Entrust confermano la gravità dello scenario: nel 2026 ben 1 su 5 (il 20%) di tutti i tentativi di frode biometrica a livello globale sarà attribuito all’uso diretto di deepfake.

Il report “Unmasking Cybercrime” del World Economic Forum evidenzia come i software commerciali di face-swapping e le tecniche di camera injection superino senza difficoltà le difese biometriche tradizionali. Con la camera injection, l’attaccante non mostra un video davanti allo schermo; intercetta direttamente il flusso della fotocamera a livello di sistema operativo o browser, iniettando un flusso video sintetico pre-registrato direttamente nei server di verifica. Il sistema KYC crede di analizzare un volto reale ripreso in diretta, mentre sta semplicemente elaborando un file multimediale contraffatto.


Le soluzioni tecnologiche sul mercato

Di fronte a questa minaccia, le aziende devono scegliere strumenti di difesa specifici e smettere di affidarsi a palliativi. Non lasciatevi ingannare dal marketing generico. Le classiche reti private virtuali (come NordVPN e Surfshark, fuse sotto la stessa società madre Nord Security da febbraio 2022, o Proton VPN) sono ottime per proteggere la navigazione quotidiana e vantano importanti certificazioni di sicurezza, ma non offrono alcuna protezione specifica contro il bypass del KYC biometrico o gli attacchi di camera injection.

Per proteggere l’onboarding servono soluzioni verticali che analizzino l’integrità del flusso hardware. Ecco tre opzioni specializzate attualmente disponibili sul mercato:

Fornitore Soluzione Tecnica Modello di Pricing Focus Principale
deepidv Modulo proprietario deepeye Su richiesta / Enterprise Rilevamento avanzato di camera injection e flussi video virtuali
Scam AI Modello proprietario Eva-v1-Fast Primi 200 controlli gratuiti, poi $0,05 per immagine Analisi rapida dell’integrità e dei metadati dell’immagine
KYCAID Liveness & Face Match Tariffe fisse da €0,25 per controllo Verifica biometrica combinata e controllo antiraggiro

Questi sistemi cercano anomalie nel segnale video a livello di driver del dispositivo, bloccando i flussi video virtuali prima che possano ingannare i server di validazione d’identità.


L’illusione dei rilevatori visivi e il divario delle PMI

Molti vendor sul mercato promettono di risolvere il problema analizzando i singoli pixel dell’immagine alla ricerca di artefatti dell’AI. È una strada senza uscita. Questo fenomeno, noto come Liar’s Dividend, si scontra con una dura realtà tecnologica: secondo il report di DeepStrike, l’accuratezza dei rilevatori visivi di deepfake si dimezza negli scenari reali rispetto ai test controllati di laboratorio. Non appena l’immagine viene compressa, ridimensionata o caricata con una scarsa illuminazione di sfondo, i filtri visivi falliscono.

Dall’altro lato, le soluzioni strutturali definitive, come le Verifiable Credentials decentralizzate e i protocolli di identità sovrana promossi da Indicio, offrono un’architettura crittografica eccellente basata su hardware protetto. Tuttavia, rimangono del tutto inapplicabili nel breve termine per le PMI. La mancanza di standard globali condivisi, la complessità di adozione da parte degli utenti finali e gli elevatissimi costi di integrazione tecnica rendono questa transizione impraticabile per chi deve difendere il proprio business oggi, senza disporre dei budget di una multinazionale.


In sintesi

Le PMI devono abbandonare i sistemi di KYC basati sulla semplice liveness detection visiva, facilmente aggirabile da attacchi di camera injection. È necessario implementare soluzioni che verifichino l’integrità del segnale hardware all’origine e adottare un approccio zero-trust per l’onboarding digitale.

Articoli simili

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *