24 aprile 2026

Tutto è iniziato con un annuncio di affitto.

Ad Amsterdam, qualcuno ha pubblicato un annuncio per un appartamento su Marktplaats, una delle piattaforme di annunci più popolari dei Paesi Bassi. I potenziali inquilini hanno risposto inviando i soliti documenti: una copia del passaporto e una busta paga, a dimostrazione della loro capacità di pagare l'affitto. Il problema è che l'appartamento non esisteva, e i loro documenti d'identità stavano per essere utilizzati a fini illeciti.

Un uomo di 34 anni ha utilizzato quei documenti d'identità rubati – insieme ad altri raccolti dai social media – per aprire 46 conti bancari fraudolenti presso ABN AMRO, una delle più grandi banche dei Paesi Bassi. Ha fatto tutto questo utilizzando esclusivamente la procedura di registrazione mobile della banca, che richiedeva ai richiedenti di caricare un documento d’identità con foto e di scattare un selfie per la verifica facciale.

Il trucco era semplice. Ha usato tecnologia deepfake per creare immagini simili alle foto dei passaporti presenti sui documenti rubati. Il sistema automatizzato ha confrontato le due immagini, ha trovato una corrispondenza e ha approvato l'account.

Non una volta, ma ben quarantasei volte.

Come è stato smascherato il complotto dei deepfake

Il piano è andato avanti per mesi prima che un singolo errore lo smascherasse. In una delle richieste era stata utilizzata la carta d’identità con foto di una donna, ma il selfie mostrava il volto di un uomo. Il deepfake aveva sovrapposto i tratti del viso della donna – gli occhi e la bocca – a quelli dell’uomo, ma il risultato non era abbastanza convincente. Il team di ABN AMRO ha segnalato l’anomalia, ha indagato e ha scoperto l’entità reale della frode.

Quando la polizia di frontiera ha successivamente fermato il sospettato a un posto di blocco, le prove erano schiaccianti. Gli agenti lo hanno sorpreso mentre cancellava Telegram dal suo telefono. Nella sua auto sono state rinvenute buste contenenti carte di debito e codici PIN relativi a diversi conti ABN AMRO, decine di documenti d’identità falsi e log di chat con ChatGPT in cui aveva chiesto come aggirare la sicurezza della banca. Le riprese delle telecamere a circuito chiuso lo hanno ripreso mentre depositava ingenti somme di denaro contante sui conti fraudolenti – transazioni che, secondo i pubblici ministeri, erano collegate al riciclaggio di denaro.

I pubblici ministeri hanno chiesto una pena detentiva di 30 mesi e un risarcimento di 6.240 euro a favore di ABN AMRO. Nel marzo 2026, il Tribunale distrettuale di Amsterdam ha ordinato ulteriori indagini anziché emettere una sentenza.L'imputato rimane in custodia cautelare, mentre una nuova udienza è prevista entro tre mesi.

Perché i controlli KYC hanno dato esito negativo?

Questo caso riflette una tendenza più ampia: gli strumenti di IA tradizionali, sempre più accessibili, stanno sistematicamente aggirando soluzioni di verifica dell'identità .

Una volta che un'identità fraudolenta è entrata nel perimetro del Know Your Customer (KYC) , può essere utilizzata per il money muleing, il riciclaggio, il finanziamento del terrorismo o l'elusione delle sanzioni e altro ancora. L'impatto finanziario non si limita alle perdite dirette; le ripercussioni normative spesso le superano di gran lunga:

ABN AMRO ha individuato 46 conti. La domanda è: quanti altri non sono stati individuati?

Il procedura di registrazione seguiva uno schema comune nel settore bancario europeo: caricare un documento d’identità con foto, scattare un selfie e lasciare che il sistema confrontasse le due immagini. Ciò presuppone che, se il volto nel selfie corrisponde a quello del documento, la persona sia chi dice di essere. Tale presupposto crolla nel momento in cui un truffatore è in grado di generare un volto sintetico che unisce il proprio aspetto alla foto d’identità di qualcun altro.

E diventa sempre più facile di mese in mese. L'IA generativa ha abbattuto le barriere all'ingresso per attacchi con identità sintetiche: ciò che un tempo richiedeva competenze specialistiche e hardware di fascia alta ora può essere eseguito con strumenti economici e disponibili in commercio. Il Rapporto 2026 sulle minacce ha documentato un aumento del 1.151% su base annua degli attacchi di tipo "iOS injection" nella seconda metà del 2025. iOS è stato a lungo considerato la piattaforma mobile più sicura; tale presupposto non è più valido. Per le banche che gestiscono l'onboarding mobile-first su qualsiasi sistema operativo, l'implicazione è la stessa: se il sistema di verifica non è in grado di rilevare un video manipolato al momento dell'acquisizione, lo approverà.

Il caso di ABN AMRO ne illustra il motivo. Il sistema ha verificato che un volto corrispondesse a un documento, ma non ha verificato se il volto fosse autentico.

Il tassello mancante: un sistema di rilevamento della presenza che funziona

Il punto debole fondamentale nel processo di onboarding di ABN AMRO era l'assenza di un sistema avanzato rilevamento della vitalità. Senza di essa, il sistema non aveva modo di distinguere un volto umano autentico da un'immagine manipolata digitalmente.

I sistemi affidabili non si limitano a confrontare i volti. Verificano se al momento dell'acquisizione sia presente una persona reale. Una sfida passiva, casuale e una tantum al momento dell'autenticazione e modelli di deep learning che apprendono progressivamente dai vettori di attacco in continua evoluzione. Se eseguita correttamente, questa procedura conferma tre cose contemporaneamente: che l'utente è la persona giusta, una persona reale e che l'autenticazione avviene in tempo reale.

Questo approccio individua i tre principali vettori di attacco:

  • Attacchi di tipo "presentazione" consistono nel mostrare una foto, un video o una maschera davanti a una telecamera.
  • Attacchi tramite iniezione digitale immettono un deepfake direttamente nella pipeline di verifica, aggirando completamente la fotocamera. Questo è il tipo di attacco più urgente e scalabile.
  • Attacchi di replay ripropongono dati biometrici precedentemente acquisiti, come la registrazione di una sessione di verifica legittima, per impersonare un utente reale.

La cronaca del caso ABN AMRO non specifica l’esatto metodo tecnico utilizzato. Ma che i selfie manipolati siano stati caricati o inseriti, il risultato è lo stesso: un controllo di riconoscimento facciale non è in grado di distinguere un volto sintetico da uno reale. È proprio questo che il rilevamento di vitalità è progettato per impedire.

Oggi esistono standard di riferimento indipendenti che gli acquirenti dovrebbero aspettarsi che i fornitori rispettino, tra cui:

Se la procedura di registrazione di ABN AMRO avesse previsto una verifica di questo tipo, i selfie manipolati dal truffatore sarebbero stati segnalati non perché il volto non corrispondesse al documento d’identità, ma perché il volto stesso non era reale o non era effettivamente presente.

Questo è non un caso isolato di frode deepfake

Il caso ABN AMRO è l'ultimo di una serie sempre più lunga di episodi di frodi finanziarie perpetrate tramite deepfake.

Nell'aprile 2025, la polizia di Hong Kong ha arrestato otto persone appartenenti a un'organizzazione criminale specializzata in frodi basate su deepfake che aveva utilizzato 21 carte d'identità rubate a Hong Kong per presentare 44 richieste di apertura di conti bancari, circa 30 delle quali andarono a buon fine. Il gruppo ha sovrapposto i propri volti alle foto dei documenti rubati per aggirare il riconoscimento facciale, la stessa tecnica utilizzata contro ABN AMRO, e i conti erano collegati a attività di riciclaggio e abuso di credito.

Ciò rappresenta un cambiamento strutturale nel modo in cui funziona la frode sui nuovi conti : uno in cui gli strumenti sono economici, le competenze richieste sono minime e i sistemi di verifica su cui fanno affidamento la maggior parte delle banche non sono stati progettati per far fronte a questa minaccia.

Cosa dovrebbero imparare gli istituti finanziari

  1. L'ingegneria sociale e i media sintetici operano in sinergia. Il truffatore non si è limitato a utilizzare i deepfake. Ha utilizzato un annuncio di affitto falso per ottenere documenti di identità autentici da persone reali. I sistemi di verifica devono tenere conto del fatto che i documenti presentati potrebbero essere autentici, anche quando la persona che li presenta non lo è.
  2. La verifica statica non è sufficiente. Un controllo dell'identità tramite selfie che utilizza oggi le stesse regole di quando è stato lanciato è una soglia da superare, non una barriera all'ingresso. Gli istituti finanziari hanno bisogno di una verifica che si evolva di fronte alle nuove tecniche di attacco, comprese le minacce basate sull'intelligenza artificiale che stanno crescendo più rapidamente.

La questione si è spostata da se le frodi KYC basate sui deepfake avranno un impatto sul vostro istituto, a quandoe se riuscirete a individuarle prima che vengano aperti su larga scala 46 – o altre migliaia – di conti.

Il processo di registrazione di ABN AMRO è comune nel settore bancario. Lo stesso vale, sempre più spesso, per la vulnerabilità che ha messo in luce. Scopri come la tecnologia Dynamic Liveness di iProov rileva gli attacchi di iniezione, i deepfake e gli attacchi di replay che il tradizionale confronto tra selfie e documento d’identità non è in grado di individuare. Prenotate la vostra demo dal vivo.

Collage di volti frammentati, con occhi e bocche di persone diverse incollati insieme, che illustra la frode d'identità tramite deepfake utilizzata per aggirare i controlli KYC delle banche.
Indice dei contenuti

Continua a leggere

Non è stato trovato nulla