1° aprile 2025
Immaginate di ricevere un giorno un estratto conto che indica un debito di diverse migliaia di dollari su una carta di credito. La lettera è indirizzata a voi, ma è la prima volta che ne sentite parlare: non avete mai avuto una carta di credito con questa società.
Chiami per segnalare l'errore, solo per scoprire di essere stato vittima di una frode relativa all'apertura di un nuovo conto. Qualcuno, spacciandosi per te, ha richiesto una nuova carta di credito e ha utilizzato il fido per accumulare addebiti fraudolenti a tuo nome. Ora devi affrontare lo stress, una potenziale perdita economica e un punteggio di credito compromesso che ti rende più difficile ottenere i prestiti, le carte di credito o il mutuo di cui hai effettivamente bisogno.
Questo è sempre stato un problema. Tuttavia, la portata e la sofisticatezza delle frodi relative alle nuove aperture di conto sono cambiate radicalmente. Nel 2024, le perdite segnalate hanno raggiunto i 6,2 miliardi di dollari, più che raddoppiando nell’ultimo decennio. Anche i metodi sono cambiati: mentre un tempo i truffatori facevano affidamento su corrispondenza rubata e documenti falsificati, ora utilizzano identità sintetiche create con l’intelligenza artificiale generativa, immagini deepfake in grado di superare i controlli di verifica di base e attacchi di tipo “injection” che aggirano completamente le fotocamere dei dispositivi.
Le organizzazioni che non verificano la reale identità di ogni nuovo candidato stanno inconsapevolmente aprendo le porte ai truffatori. Se la procedura di inserimento può essere completata solo sulla base dei dati, un malintenzionato può accedervi.
Che cos’è la frode relativa ai nuovi conti?
La frode relativa all'apertura di nuovi conti – nota anche come frode nell'apertura di conti o frode nell'attivazione di conti – si verifica quando un truffatore apre un conto utilizzando dati identificativi falsi o alterati per commettere reati, sottrarre denaro, riciclare fondi o accedere a servizi ai quali non avrebbe diritto se utilizzasse la propria identità.
Esistono due metodi principali:
Frode tramite furto d’identità: l’utilizzo delle informazioni di una persona reale – solitamente ottenute tramite violazioni dei dati o acquistate sul dark web – per aprire conti a suo nome. Per molti di noi, online si possono già trovare molte informazioni personali: data di nascita, indirizzo, numero di telefono e altri dati che possono essere messi insieme per impersonarci. Ci vogliono in media 151 giorni per individuare una frode su un nuovo conto una volta che è andata a buon fine, e nel frattempo il danno si aggrava.
Frode d'identità sintetica: combinazione di dati reali (come un numero di previdenza sociale valido) con informazioni inventate per creare una persona completamente fittizia. Si tratta di una delle forme più sofisticate di frode – e anche di una delle che registra la crescita più rapida. La frode d'identità sintetica rappresenta oggi circa il 30% di tutti i casi di frode d'identità, con un aumento del 311% delle frodi relative a documenti d'identità sintetici tra il primo trimestre del 2024 e il primo trimestre del 2025.
Perché le frodi relative ai nuovi conti stanno aumentando
Tre fattori stanno contribuendo ad aggravare il problema:
L'intelligenza artificiale generativa ha industrializzato le frodi d'identità
I deepfake e i documenti generati dall'intelligenza artificiale hanno trasformato quello che un tempo era un reato commesso manualmente e su piccola scala in un'operazione su larga scala. Il rapporto iProov Threat Intelligence Report 2025 ha rilevato che gli attacchi basati sullo scambio di volti sono aumentati del 300% rispetto all'anno precedente, mentre gli attacchi tramite fotocamera virtuale integrata – in cui i truffatori inseriscono immagini sintetiche direttamente nel processo di verifica – sono aumentati del 2.665%.
Non si tratta di rischi teorici. Una sola videochiamata deepfake è costata ad Arup 25 milioni di dollari. Agenti provenienti da paesi soggetti a sanzioni dell’OFAC si sono infiltrati in oltre 300 aziende utilizzando filtri deepfake per superare i colloqui video a distanza.
Il "Crime-as-a-Service" ha abbassato le barriere
Gli strumenti di attacco sofisticati non sono più appannaggio esclusivo degli hacker esperti. Le reti "Crime-as-a-Service" vendono kit di strumenti per frodi già pronti a operatori con scarse competenze. Il rapporto iProov Threat Intelligence ha individuato oltre 115.000 potenziali combinazioni di attacco utilizzando solo tre strumenti comuni.
I controlli tradizionali di inserimento non riescono a stare al passo
Molte organizzazioni hanno cercato di contrastare le frodi semplicemente richiedendo maggiori informazioni durante la fase di registrazione: più domande, più documenti, più verifiche basate sulle conoscenze. Tuttavia, qualsiasi informazione che possa essere digitata può essere rubata. L'autenticazione basata sulle conoscenze è intrinsecamente vulnerabile, poiché i dati su cui si basa sono già stati compromessi su larga scala.
Solo la verifica biometrica – che conferma la presenza effettiva della persona dietro lo schermo – può colmare la lacuna che i controlli basati sui dati lasciano aperta.
I costi per le organizzazioni e i consumatori
Per i consumatori: oltre al danno economico, le vittime devono fare i conti con un punteggio di credito compromesso e impiegano in media 10 ore per risolvere ogni singolo caso di frode. Un punteggio di credito basso, dovuto a prestiti non rimborsati contratti a proprio nome, può impedire di accedere ai servizi di cui si ha realmente bisogno.
Per le organizzazioni: le perdite vanno ben oltre il conto esaurito che un falso cliente si limita ad abbandonare. Ogni cliente fraudolento che accogli consuma risorse di elaborazione KYC, assistenza clienti e monitoraggio della conformità che dovrebbero essere destinate ai clienti autentici. Nei settori regolamentati, una verifica inadeguata al momento dell'onboarding può causare violazioni della conformità KYC, multe e danni alla reputazione. Inoltre, un conto fraudolento aperto con successo diventa un trampolino di lancio per ulteriori reati a valle: riciclaggio di denaro, frodi con pagamenti push autorizzati o preparazione per catene di frodi più complesse.
È significativo che attualmente solo un terzo degli istituti finanziari riesca a individuare la maggior parte delle frodi già in fase di registrazione. La maggioranza le individua solo in una fase successiva del flusso transazionale, quando ormai il danno è già stato fatto.
In che modo la verifica biometrica previene le frodi relative alla creazione di nuovi conti
La verifica biometrica del volto risolve il punto debole fondamentale delle procedure tradizionali di registrazione: conferma che il richiedente sia chi dice di essere, che si tratti di una persona reale e che sia effettivamente presente al momento della verifica.
Un utente scansiona un documento di identità riconosciuto (passaporto o patente di guida), quindi si sottopone a una breve scansione facciale. Il sistema confronta il volto in tempo reale con la foto presente sul documento e verifica la presenza fisica dell'utente, il tutto in pochi secondi.
Questo sistema blocca le frodi relative alla creazione di nuovi account alla fonte. Se un malintenzionato è in possesso del tuo documento d'identità, la foto non corrisponderà al suo volto reale: solo tu puoi fornire la corrispondenza biometrica. Un'identità sintetica non ha una persona reale alle spalle. Inoltre, un sistema avanzato di rilevamento della vitalità identifica e blocca i deepfake, lo scambio di volti e i contenuti multimediali modificati digitalmente.
Ma non tutti i sistemi di verifica biometrica sono uguali. Data la sofisticatezza degli attacchi moderni, la semplice verifica della vitalità – ovvero il semplice controllo che un volto sia “reale” e non una foto – non è più sufficiente di per sé.
Perché l'approccio di iProov individua ciò che altri trascurano
La tecnologia Dynamic Liveness di iProov è stata appositamente sviluppata per contrastare le minacce che caratterizzano oggi le frodi relative alla creazione di nuovi account. Essa combina quattro funzionalità che, insieme, creano una difesa che nessuna singola caratteristica è in grado di eguagliare:
Rilevamento certificato della presenza dell'utente e degli attacchi di tipo "injection". La tecnologia brevettata Flashmark di iProov illumina il volto dell'utente con una sequenza di colori unica e imprevedibile durante ogni sessione. Il riflesso di questa luce sul volto dell'utente viene analizzato per confermare la presenza effettiva in tempo reale. Ogni sessione genera dati biometrici unici che non possono essere riprodotti, intercettati o preregistrati. iProov è il primo e unico fornitore certificato in modo indipendente secondo lo standard NIST SP 800-63-4, nonché il primo ad aver ottenuto il livello "High" della norma CEN/TS 18099 per il rilevamento degli attacchi di tipo "injection": durante oltre 40 giorni di test accreditati, non è stato individuato alcun metodo di attacco efficace.
Gestione proattiva delle minacce. L'iProov Security Operations Center (iSOC) monitora in tempo reale i modelli di attacco su tutti i clienti, le aree geografiche e le piattaforme. Quando emergono nuovi metodi di attacco, gli aggiornamenti difensivi vengono implementati a livello globale senza interruzioni. Le difese di iProov si evolvono continuamente: un aspetto fondamentale quando le tecniche di frode cambiano più rapidamente di quanto gli aggiornamenti software annuali riescano a stare al passo.
Verifica basata su cloud. Tutte le operazioni di verifica avvengono nel cloud, non sul dispositivo. Ciò separa il processo di verifica dalle vulnerabilità a livello di dispositivo e consente il monitoraggio in tempo reale su cui si basa iSOC.
Un'esperienza utente intuitiva. L'intero processo è passivo: non sono richiesti movimenti della testa, cenni, battiti di ciglia o istruzioni vocali. iProov è conforme alle linee guida WCAG 2.2 AA e alla Sezione 508, con algoritmi testati per garantire prestazioni ottimali indipendentemente dall'età, dal sesso e dal colore della pelle. Le organizzazioni possono applicare rigorose misure di prevenzione delle frodi durante la fase di registrazione senza allontanare i clienti autentici a causa di procedure troppo complesse. I tassi di successo di iProov superano solitamente il 98%.
Oltre l'onboarding dei clienti: l'identità della forza lavoro
Le frodi relative alla creazione di nuovi account non si limitano ai servizi rivolti ai consumatori. Le stesse tecniche – deepfake, identità sintetiche, credenziali rubate – vengono ora utilizzate per infiltrarsi nelle organizzazioni proprio attraverso il processo di assunzione.
La suite iProov Workforce Solution estende la verifica della presenza umana effettiva all'intero ciclo di vita dell'identità dei dipendenti: assunzioni e inserimento in remoto, accesso a dispositivi condivisi, autenticazione a più livelli per le operazioni con privilegi e recupero dell'account. Colma così il divario strutturale presente nei sistemi di gestione delle identità aziendali, progettati per verificare credenziali e dispositivi, ma non le persone che li utilizzano.
Il rapporto iProov Threat Intelligence 2025 illustra le tecniche di attacco alla base delle frodi relative alla creazione di nuovi account. Scarica qui il rapporto completo.
Per scoprire come iProov può proteggere il tuo processo di onboarding dalle frodi relative alla creazione di nuovi account, prenota una demo.
Domande frequenti sulle frodi relative ai nuovi account
In che modo l'intelligenza artificiale aggrava il fenomeno delle frodi relative alla creazione di nuovi conti?
L'intelligenza artificiale generativa consente ai truffatori di creare deepfake convincenti, documenti d'identità sintetici e sostituzioni di volti su scala industriale. Questi strumenti sono in grado di eludere i controlli di identità di base che si basano sulle foto dei documenti o su semplici sistemi di rilevamento della vitalità. Le reti "Crime-as-a-Service" rendono questi strumenti basati sull'intelligenza artificiale accessibili anche a operatori poco esperti, aumentando drasticamente il volume e la sofisticazione degli attacchi.
In che modo le organizzazioni possono ridurre il rischio di frodi relative alla creazione di nuovi conti?
La difesa più efficace è la verifica biometrica del volto con rilevamento della presenza effettiva al momento della registrazione. Questo sistema conferma la presenza di una persona reale, confronta il suo volto con quello riportato su un documento di identità attendibile e neutralizza i deepfake e gli attacchi di tipo "injection". Le organizzazioni dovrebbero cercare soluzioni certificate in modo indipendente secondo standard quali NIST SP 800-63-4 e CEN/TS 18099, dotate di una gestione attiva delle minacce in grado di adattarsi all'evoluzione dei metodi di attacco.
Qual è la differenza tra la frode relativa alla creazione di un nuovo account e l'appropriazione indebita di un account?
La frode relativa alla creazione di nuovi account consiste nell'aprire un nuovo account utilizzando dati di identità rubati o sintetici. La frode tramite appropriazione di account consiste invece nell'ottenere un accesso non autorizzato a un account esistente e legittimo. Entrambe rappresentano minacce in crescita, ma richiedono strategie difensive diverse: la frode relativa alla creazione di nuovi account va contrastata al momento della registrazione tramite la verifica dell'identità, mentre l'appropriazione di account va contrastata attraverso un'autenticazione continua.
