1° aprile 2025
Immagina di ricevere un giorno un estratto conto che indica un debito di diverse migliaia di dollari sulla tua carta di credito. La lettera è indirizzata a te, ma è la prima volta che ne senti parlare: non hai mai nemmeno avuto una carta di credito con quella società. Qualcuno, spacciandosi per te, ha richiesto una nuova carta di credito, accumulando addebiti fraudolenti a tuo nome. Ora ti ritrovi a dover affrontare lo stress, una potenziale perdita finanziaria e un punteggio di credito compromesso che rende più difficile ottenere i prestiti, le carte di credito o il mutuo di cui hai effettivamente bisogno.
Questo è sempre stato un problema. Ma nel 2024, le perdite segnalate dovute alle frodi sui nuovi conti hanno raggiunto i 6,2 miliardi di dollari, più che raddoppiando nell'ultimo decennio. Anche i metodi sono cambiati: mentre un tempo i truffatori facevano affidamento su corrispondenza rubata e documenti falsificati, ora utilizzano identità sintetiche create con l'intelligenza artificiale generativa, immagini deepfake in grado di superare i controlli di verifica di base e attacchi di tipo "injection" che aggirano completamente le fotocamere dei dispositivi.
Che cos’è la frode relativa ai nuovi conti?
La frode relativa all'apertura di un nuovo conto – nota anche come frode nell'apertura di un conto o frode nell'attivazione di un conto – si verifica quando un truffatore apre un conto utilizzando dati identificativi falsi o alterati per commettere un reato, sottrarre denaro, riciclare fondi o accedere a servizi a cui non avrebbe diritto con la propria identità.
Funziona così: un criminale si procura o falsifica dati identificativi, li utilizza per superare i controlli di registrazione e poi sfrutta l'account prima che qualcuno si accorga che qualcosa non va. Una volta che la frode su un nuovo account va a buon fine, ci vogliono in media 151 giorni per individuarla – e nel frattempo il danno continua ad aumentare.
Le organizzazioni che non verificano la presenza effettiva di una persona reale per ogni nuovo candidato stanno inconsapevolmente aprendo le porte ai truffatori. Se la procedura di inserimento può essere completata utilizzando solo i dati, un truffatore dotato degli strumenti giusti può accedervi.
Esistono due metodi principali:
Frode tramite furto d'identità
L'utilizzo dei dati personali di una persona reale – solitamente ottenuti tramite violazioni dei dati o acquistati sul dark web – per aprire conti a suo nome. Per molti di noi, online sono già disponibili numerose informazioni personali: data di nascita, indirizzo, numero di telefono e altri dati che possono essere messi insieme per impersonarci.
Frode dell'identità sintetica
La combinazione di dati reali (come un numero di previdenza sociale valido) con informazioni inventate per creare una persona completamente fittizia. Si tratta di una delle forme più sofisticate di frode – e una di quelle in più rapida crescita. La frode basata sull’identità sintetica rappresenta oggi circa il 30% di tutti i casi di frode d’identità, con un aumento del 311% delle frodi relative ai documenti d’identità sintetici tra il primo trimestre del 2024 e il primo trimestre del 2025.
Perché le frodi relative ai nuovi conti stanno aumentando
Tre fattori stanno contribuendo ad aggravare il problema:
L'intelligenza artificiale generativa ha industrializzato le frodi d'identità
I deepfake e i documenti generati dall'intelligenza artificiale hanno trasformato quello che un tempo era un reato commesso manualmente e su piccola scala in un'operazione su larga scala. Il rapporto iProov Threat Intelligence Report 2025 ha rilevato che gli attacchi basati sullo scambio di volti sono aumentati del 300% rispetto all'anno precedente, mentre gli attacchi tramite fotocamera virtuale integrata – in cui i truffatori inseriscono immagini sintetiche direttamente nel processo di verifica – sono aumentati del 2.665%.
Non si tratta di rischi teorici. Una sola videochiamata deepfake è costata ad Arup 25 milioni di dollari. Agenti provenienti da paesi soggetti a sanzioni dell’OFAC si sono infiltrati in oltre 300 aziende utilizzando filtri deepfake per superare i colloqui video a distanza.
Il "Crime-as-a-Service" ha reso le frodi alla portata di chiunque
Gli strumenti di attacco sofisticati non sono più appannaggio esclusivo degli hacker esperti. Le reti "Crime-as-a-Service" vendono kit di strumenti per frodi già pronti a operatori con scarse competenze. Il rapporto iProov Threat Intelligence ha individuato oltre 115.000 potenziali combinazioni di attacco utilizzando solo tre strumenti comuni.
I controlli tradizionali di onboarding non sono in grado di individuare gli attacchi moderni
Molte organizzazioni hanno cercato di contrastare le frodi semplicemente richiedendo maggiori informazioni durante la fase di registrazione: più domande, più documenti, più verifiche basate sulle conoscenze. Tuttavia, qualsiasi informazione che possa essere digitata può essere rubata. L'autenticazione basata sulle conoscenze è intrinsecamente vulnerabile, poiché i dati su cui si basa sono già stati compromessi su larga scala.
Solo la verifica biometrica – che conferma la presenza effettiva della persona dietro lo schermo – può colmare la lacuna che i controlli basati sui dati lasciano aperta.
I costi per le organizzazioni e i consumatori
Per i consumatori: oltre al danno economico, le vittime devono fare i conti con un punteggio di credito compromesso e impiegano in media 10 ore per risolvere ogni singolo caso di frode. Un punteggio di credito basso, dovuto a prestiti non rimborsati contratti a proprio nome, può impedire di accedere ai servizi di cui si ha realmente bisogno.
Per le organizzazioni: le perdite vanno ben oltre il conto esaurito che un falso cliente si limita ad abbandonare. Ogni cliente fraudolento che accogli consuma risorse di elaborazione KYC, assistenza clienti e monitoraggio della conformità che dovrebbero essere destinate ai clienti autentici. Nei settori regolamentati, una verifica inadeguata al momento dell'onboarding può causare violazioni della conformità KYC, multe e danni alla reputazione. Inoltre, un conto fraudolento aperto con successo diventa un trampolino di lancio per ulteriori reati a valle: riciclaggio di denaro, frodi con pagamenti push autorizzati o preparazione per catene di frodi più complesse.
È significativo che attualmente solo un terzo degli istituti finanziari riesca a individuare la maggior parte delle frodi già in fase di registrazione. La maggioranza le individua solo in una fase successiva del flusso transazionale, quando ormai il danno è già stato fatto.
In che modo la verifica biometrica previene le frodi relative alla creazione di nuovi conti
La verifica biometrica del volto risolve il punto debole fondamentale delle procedure tradizionali di registrazione: conferma che il richiedente sia chi dice di essere, che si tratti di una persona reale e che sia effettivamente presente al momento della verifica.
Un utente scansiona un documento di identità riconosciuto (passaporto o patente di guida), quindi si sottopone a una breve scansione facciale. Il sistema confronta il volto in tempo reale con la foto presente sul documento e verifica la presenza fisica dell'utente, il tutto in pochi secondi.
Questo sistema blocca le frodi relative alla creazione di nuovi account alla fonte. Se un malintenzionato è in possesso del tuo documento d'identità, la foto non corrisponderà al suo volto reale: solo tu puoi fornire la corrispondenza biometrica. Un'identità sintetica non ha una persona reale alle spalle. Inoltre, un sistema avanzato di rilevamento della vitalità identifica e blocca i deepfake, lo scambio di volti e i contenuti multimediali modificati digitalmente.
Ma non tutti i sistemi di verifica biometrica sono uguali. Data la sofisticatezza degli attacchi moderni, la semplice verifica della vitalità – ovvero il semplice controllo che un volto sia “reale” e non una foto – non è più sufficiente di per sé.
Perché l'approccio di iProov individua ciò che altri trascurano
La tecnologia Dynamic Liveness di iProov è stata appositamente sviluppata per contrastare le minacce che caratterizzano oggi le frodi relative alla creazione di nuovi account. Essa combina quattro funzionalità che, insieme, creano una difesa che nessuna singola caratteristica è in grado di eguagliare:
Rilevamento certificato della vitalità e degli attacchi di tipo «injection»
La tecnologia brevettata Flashmark di iProov illumina il volto dell'utente con una sequenza di colori unica e imprevedibile durante ogni sessione. Il riflesso di questa luce sul volto dell'utente viene analizzato per confermare la presenza effettiva in tempo reale. Ogni sessione genera dati biometrici unici che non possono essere riprodotti, intercettati o preregistrati. iProov è il primo e unico fornitore certificato in modo indipendente secondo lo standard NIST SP 800-63-4, nonché il primo a raggiungere il livello "High" della norma CEN/TS 18099 per il rilevamento degli attacchi di tipo "injection": durante oltre 40 giorni di test accreditati, non è stato individuato alcun metodo di attacco efficace.
Gestione attiva delle minacce tramite iSOC
Il Centro operativo di sicurezza (iSOC) di iProov monitora in tempo reale i modelli di attacco su tutti i clienti, le aree geografiche e le piattaforme. Quando emergono nuovi metodi di attacco, gli aggiornamenti difensivi vengono implementati a livello globale senza interruzioni. Le difese di iProov si evolvono continuamente: un aspetto fondamentale quando le tecniche di frode cambiano più rapidamente di quanto gli aggiornamenti software annuali riescano a stare al passo.
Verifica basata su cloud
Tutte le verifiche avvengono nel cloud, non sul dispositivo. Ciò separa il processo di verifica dalle vulnerabilità a livello di dispositivo e consente il monitoraggio in tempo reale su cui si basa iSOC.
Un'esperienza utente intuitiva e accessibile
L'intero processo è passivo: non sono richiesti movimenti della testa, cenni con il capo, battiti di ciglia o istruzioni verbali. iProov è conforme alle linee guida WCAG 2.2 AA e alla Sezione 508, con algoritmi testati per garantire prestazioni ottimali indipendentemente dall'età, dal sesso e dal colore della pelle. Le organizzazioni possono applicare rigorose misure di prevenzione delle frodi durante la fase di registrazione senza allontanare i clienti autentici a causa di procedure troppo complesse. I tassi di successo di iProov superano solitamente il 98%.
Oltre l'onboarding dei clienti: l'identità della forza lavoro
Le frodi relative alla creazione di nuovi account non si limitano ai servizi rivolti ai consumatori. Le stesse tecniche – deepfake, identità sintetiche, credenziali rubate – vengono ora utilizzate per infiltrarsi nelle organizzazioni proprio attraverso il processo di assunzione.
La suite iProov Workforce Solution estende la verifica della presenza umana effettiva all'intero ciclo di vita dell'identità dei dipendenti: assunzioni e inserimento in remoto, accesso a dispositivi condivisi, autenticazione a più livelli per le operazioni con privilegi e recupero dell'account. Colma così il divario strutturale presente nei sistemi di gestione delle identità aziendali, progettati per verificare credenziali e dispositivi, ma non le persone che li utilizzano.
Il rapporto iProov Threat Intelligence 2025 illustra le tecniche di attacco alla base delle frodi relative alla creazione di nuovi account. Scarica qui il rapporto completo.
Per scoprire come iProov può proteggere il tuo processo di onboarding dalle frodi relative alla creazione di nuovi account, prenota una demo.
Domande frequenti sulle frodi relative ai nuovi account
In che modo l'intelligenza artificiale aggrava il fenomeno delle frodi relative alla creazione di nuovi account?
L'intelligenza artificiale generativa consente ai truffatori di creare deepfake convincenti, documenti d'identità sintetici e sostituzioni di volti su scala industriale. Questi strumenti sono in grado di eludere i controlli di identità di base che si basano sulle foto dei documenti o su semplici sistemi di rilevamento della vitalità. Le reti "Crime-as-a-Service" rendono questi strumenti basati sull'intelligenza artificiale accessibili anche a operatori poco qualificati, aumentando drasticamente il volume e la sofisticazione degli attacchi.
Come possono le organizzazioni prevenire le frodi relative alla creazione di nuovi account?
La difesa più efficace è la verifica biometrica del volto con rilevamento della presenza effettiva al momento della registrazione. Questo sistema conferma la presenza di una persona reale, confronta il suo volto con quello riportato su un documento di identità attendibile e neutralizza i deepfake e gli attacchi di tipo "injection". Le organizzazioni dovrebbero cercare soluzioni certificate in modo indipendente secondo standard quali NIST SP 800-63-4 e CEN/TS 18099, dotate di una gestione attiva delle minacce in grado di adattarsi all'evoluzione dei metodi di attacco.
Qual è la differenza tra la frode sui nuovi conti e l'appropriazione indebita di un conto?
La frode relativa alla creazione di nuovi account consiste nell'aprire un nuovo account utilizzando dati di identità rubati o sintetici. La frode tramite appropriazione di account consiste invece nell'ottenere un accesso non autorizzato a un account esistente e legittimo. Entrambe rappresentano minacce in crescita, ma richiedono strategie difensive diverse: la frode relativa alla creazione di nuovi account va contrastata al momento della registrazione tramite la verifica dell'identità, mentre l'appropriazione di account va contrastata attraverso un'autenticazione continua.
