L'area APAC accelera la regolamentazione dell'identità digitale e dell'intelligenza artificiale a fronte dell'ondata di deepfake

Concentriamoci su una delle economie digitali in più rapida crescita al mondo: l'Asia-Pacifico .

Negli ultimi 18 mesi, almeno sei importanti quadri normativi in materia di identità digitale e IA sono entrati in vigore nei paesi dell'APAC, mentre altri sono ancora in fase di elaborazione. Insieme, cambiano una sola cosa: il modo in cui le organizzazioni sono autorizzate a verificare l'identità.

Capire quali sono i fattori alla base di questi cambiamenti – e cosa comportano – è il primo passo per anticiparli.

Le frodi basate sui deepfake stanno determinando una risposta normativa nell'area APAC

Queste norme rappresentano una risposta diretta al forte aumento dei casi di frode d'identità basati sull'intelligenza artificiale.

A sondaggio Gartner del 2025 ha rilevato che il 62% delle organizzazioni ha subito un attacco deepfake nell'anno precedente. Il 37% delle organizzazioni ha riscontrato deepfake durante le videochiamate. Quindi non si tratta di un rischio teorico. Non è una prova di concetto in laboratorio. Si tratta di attacchi reali, contro organizzazioni reali, con in gioco denaro reale.

Casi reali:

• In Corea del Sud, le perdite causate dal voice phishing hanno superato i 1.000 miliardi di won (~718 milioni di dollari) solo nei primi dieci mesi del 2025 – un record assoluto – e il presidente della KFCPA, Wook Kang, ha avvertito che l'intelligenza artificiale generativa e le tecnologie deepfake stanno alimentando questo aumento.
• Una videochiamata deepfake ha truffato la società di ingegneria Arup di 25 milioni di dollari.
• Il ha registrato un aumento del 720% degli attacchi in tutto il Sud-Est asiatico nel terzo trimestre del 2025, insieme a un aumento del 1.151% degli attacchi di tipo "injection" su iOS nella seconda metà del 2025, una piattaforma un tempo considerata a prova di hacker.

Si tratta dell'industrializzazione delle frodi d'identità. Le reti criminali stanno utilizzando su larga scala strumenti di deepfake di largo consumo, e le autorità di regolamentazione dell'area APAC se ne sono accorte.

In sintesi: l'espansione delle infrastrutture biometriche e l'inasprimento delle normative in tutta l'area APAC richiedono una verifica dell'identità ad alta affidabilità. Le organizzazioni che scelgono soluzioni in grado di difendersi solo dagli attacchi di presentazione di base rischiano di non essere conformi alle normative man mano che i sistemi evolvono per contrastare gli attacchi di tipo "injection" e l'uso di supporti sintetici.

Le normative in materia di biometria e IA nell'area APAC stanno accelerando: esempi

Questi quadri normativi abbracciano tre ambiti normativi distinti – la governance dell'IA, la protezione dei dati e l'identità digitale – ma convergono su un unico requisito: le organizzazioni che verificano l'identità utilizzando l'IA biometrica devono ora soddisfare standard più elevati in materia di garanzia, privacy e responsabilità in tutti e tre questi ambiti.

Legislazione specifica in materia di IA:

• Il Vietnam legge completa sull'IA è entrata in vigore il 1° marzo 2026, la prima normativa autonoma sull'IA nel Sud-Est asiatico. Essa impone la supervisione umana dei sistemi di IA, richiede l'etichettatura dei contenuti generati dall'IA come i deepfake e si applica alle entità straniere che trattano dati personali vietnamiti. Se la vostra tecnologia biometrica elabora dati personali vietnamiti, anche tramite l'integrazione di un partner, avete già degli obblighi normativi da valutare. Sebbene la legge sia stata promulgata, le linee guida per l'attuazione sono ancora in fase di definizione, il che rende ancora più importante definire fin da ora l'ambito di applicazione.
• La Legge fondamentale sull'IA è entrata in vigore nel gennaio 2026, con una supervisione basata sul rischio per i sistemi di IA nei settori della finanza, della sanità e dei servizi pubblici.
  

Protezione dei dati e consenso:

• L'India sta introducendo la sua Legge sulla protezione dei dati personali digitali in tre fasi, introducendo nuovi requisiti di consenso e classificazioni dei responsabili del trattamento dei dati che ridefiniscono le modalità di raccolta e trattamento dei dati biometrici.
• Indonesia e Malesia stanno entrambe promuovendo l'attuazione di leggi aggiornate sulla protezione dei dati , con gli emendamenti al emendamenti al PDPA che introducono l'obbligo di segnalazione delle violazioni, i requisiti per i responsabili della protezione dei dati e – aspetto fondamentale per i fornitori di servizi biometrici – la riclassificazione dei dati biometrici come dati personali sensibili che richiedono il consenso esplicito.
• La Thailandia ha agito in modo rapido e deciso in merito all'intersezione tra IA e privacy: nel febbraio 2026, il Comitato per la protezione dei dati personali ha pubblicato una bozza di Linee guida sulla protezione dei dati personali nello sviluppo e nell'uso dell'IA, che richiede valutazioni d'impatto per l'IA ad alto rischio e obblighi di sicurezza. Una bozza separata di legge sull'IA, che rispecchia l'architettura basata sul rischio della legge UE sull'IA, dovrebbe procedere verso l'entrata in vigore nel 2026.

Strutture di identificazione digitale:

• L'Australia sta rafforzando la verifica dell'identità su due fronti: la sua legge sull'identità digitale (Digital ID Act) istituisce un quadro di fiducia federato con livelli di accreditamento per i fornitori di servizi di identità. Anche la legge sulla privacy (Privacy Act) è in fase di riforma, con l'estensione della definizione di dati personali per includere esplicitamente i dati biometrici e tecnici.

I mercati più consolidati stanno dimostrando quanto possa variare l'approccio delle autorità di regolamentazione allo stesso problema. Singapore continua a gestire uno dei sistemi nazionali di identità digitale più avanzati al mondo attraverso Singpass, che integra la verifica facciale come metodo di autenticazione fondamentale e come tecnica IDV consolidata per oltre 2.700 servizi del settore pubblico e privato. La legge giapponese del 2025 sulla promozione dell'IA adotta un approccio più leggero: l'innovazione al primo posto e, in particolare, l'assenza di sanzioni pecuniarie – in contrasto con gli approcci prescrittivi che stanno emergendo altrove nella regione.

Questo slancio va oltre le principali economie: la Cambogia ha elaborato una legge completa sulla protezione dei dati, il Laos ha avviato rilasciare carte d'identità digitali a livello nazionale, mentre il Myanmar ha adottato MOSIP per un progetto pilota di identificazione digitale.

Parallelamente a questa spinta normativa, l'adozione della biometria nella regione sta accelerando. L'analista di settore Alan Goode ha osservato che i mercati dell'APAC si stanno orientando verso la biometria facciale come principale credenziale di accesso negli ambienti fisici, con un modello senza token che sostituisce completamente le tessere. Egli prevede che il riconoscimento facciale diventerà la modalità dominante nel controllo degli accessi fisici biometrico entro i prossimi due o tre anni.

Paesi diversi, livelli di maturità diversi. Ma il filo conduttore è inequivocabile: le autorità di regolamentazione dell’area APAC esigono che le organizzazioni dimostrino di essere in grado di verificare l’identità con un elevato livello di affidabilità, di gestire i dati biometrici in modo responsabile e di spiegare in che modo la loro intelligenza artificiale prende le decisioni.

Le nuove leggi in materia di biometria nell'area APAC inaspriscono i requisiti di conformità

Per le organizzazioni che si affidano a semplici controlli di presenza o a sistemi di verifica dell'identità ormai obsoleti, la conseguenza è chiara: i nuovi standard dell'APAC non si limitano a chiedere se si verifica l'identità, ma come lo si fa.

• Difesa contro gli attacchi deepfake e di iniezione. La legge vietnamita richiede che i contenuti generati dall'IA siano identificabili. Il quadro normativo della Corea del Sud richiede valutazioni dei rischi per l'IA ad alto impatto. Non è possibile soddisfare questi obblighi con una soluzione che difende solo dalle foto stampate mostrate davanti a una fotocamera. È necessario un sistema di rilevamento che copra gli attacchi di presentazione, gli attacchi di iniezione digitale e i media sintetici che ora sono facilmente accessibili a chiunque disponga di un laptop.
• Privacy garantita dall'architettura, non dalle politiche. Il DPDP indiano e la legge sulla protezione dei dati personali del Vietnam impongono requisiti rigorosi in materia di consenso e trattamento. Le organizzazioni necessitano di soluzioni che convertano i dati facciali in modelli biometrici, con i dati personali e quelli biometrici strutturalmente separati , in modo che nessuna singola entità possa associare un volto a un nome. Si tratta di una scelta progettuale, non di un documento normativo.
• Monitoraggio continuo delle minacce, non certificazione puntuale. Le autorità di regolamentazione vogliono sempre più spesso vedere che i sistemi di IA siano gestiti attivamente. Un test di liveness certificato dodici mesi fa e che da allora non si è evoluto può rappresentare una passività piuttosto che una risorsa. Ciò che conta è se la vostra soluzione si sta adattando agli attacchi in corso in questo momento – che è esattamente ciò che fa un Security Operations Center .
• Allineamento agli standard globali emergenti. La FIDO Alliance terrà la sua prima conferenza Authenticate APAC a Singapore nel giugno 2026. NIST SP 800-63-4, Verifica facciale FIDOe CEN/TS 18099 stanno diventando i punti di riferimento per le autorità di regolamentazione dell'APAC. Se il vostro fornitore di soluzioni biometriche non è in grado di dimostrare di possedere certificazioni indipendenti e accreditate relative a questi standard, c'è un problema.

Nota: molti framework dell'area APAC potrebbero limitarsi a fare riferimento a standard come l'ISO 30107-3, senza richiedere esplicitamente rilevamento degli attacchi di iniezione digitale (DIA). I DIA sono la forma più pericolosa di attacco, ma gli standard stanno ancora cercando di stare al passo. Lo standard NIST SP 800-63-4 richiede una resistenza dimostrata agli attacchi di tipo injection, mentre lo standard CEN/TS 18099 fornisce la metodologia di test indipendente. È probabile che le autorità di regolamentazione dell'APAC seguano queste orme man mano che le normative discusse si sviluppano ed evolvono.

Quali saranno i prossimi passi? Come prepararsi alla conformità in materia di identità digitale nell'area APAC

Queste normative riguardano tutte le organizzazioni che effettuano verifiche di identità nella regione APAC, sia che si tratti di acquisire nuovi clienti, autenticare i dipendenti o consentire transazioni transfrontaliere. Ecco da dove iniziare:

Valuta il tuo ambito normativo: Se trattate dati personali in Vietnam, India, Indonesia o in altri mercati dell'area APAC – anche tramite integrazioni di terze parti – individuate quali quadri normativi si applicano alle vostre operazioni e quale livello di garanzia dell'identità è richiesto.

Verificate la vostra infrastruttura di verifica dell'identità: La tua soluzione attuale protegge dagli attacchi di tipo injection e dai deepfake, o solo dallo spoofing di base? Il divario tra le due cose è il terreno fertile per gli aggressori e il punto in cui risiede l'esposizione normativa.

Date la priorità all'architettura della privacy piuttosto che alle mere apparenze: cercate soluzioni che prevedano la separazione strutturale dei dati, la pseudonimizzazione e l'elaborazione basata sul cloud, in modo da impedire a qualsiasi singola parte di reidentificare un individuo. Se il vostro fornitore non è in grado di spiegare la propria architettura in questi termini, continuate a cercare.

Richiedete certificazioni indipendenti: Chiedete al vostro fornitore di soluzioni biometriche in base a quali standard è certificato – NIST, FIDO, ISO, CEN – e da quale laboratorio accreditato. Le dichiarazioni autoattestate non costituiscono una prova.

• Scopri come le soluzioni biometriche di iProov, conformi alle normative APAC, aiutano le organizzazioni a soddisfare i più elevati standard di verifica dell'identità→ Prenota una demo
• Per una panoramica completa sull'evoluzione di questi attacchi → Rapporto 2026 di iProov sulle minacce informatiche.

iProov offre soluzioni di verifica biometrica del volto ad alta affidabilità per le organizzazioni, tra cui GovTech Singapore, il Dipartimento della Sicurezza Interna degli Stati Uniti e il Ministero dell'Interno del Regno Unito. iProov ha superato il milione di verifiche biometriche giornaliere nel 2025 ed è il primo fornitore di soluzioni biometriche certificato in modo indipendente per la conformità allo standard NIST 800-63-4.