Frode d'identità sintetica: il problema delle vittime invisibili e come risolverlo

Pensate ai miliardi di utenti che ogni giorno si registrano online per usufruire di nuovi servizi digitali: si abbonano a una piattaforma di streaming, stipulano un'assicurazione, consultano le cartelle cliniche, aprono un conto bancario. Le organizzazioni attribuiscono enorme importanza all'acquisizione del maggior numero possibile di clienti nel minor tempo possibile. Più clienti, più entrate. Nel settore pubblico, l'adozione di massa dei servizi digitali è fondamentale per l'efficienza dei costi.

Ma cosa succede se si registra un utente che non è una persona reale?

Non si tratta di qualcuno che finge di essere te: quello è il classico furto d’identità. Qui è diverso. Si tratta di qualcuno che non esiste affatto. Una persona inventata, creata con frammenti di dati rubati, progettata per sembrare abbastanza reale da superare i tuoi controlli, costruirsi una storia creditizia e poi sparire con i tuoi soldi.

Si tratta di frode basata su identità sintetiche.Si stima che questa pratica costi alle aziendetra i 20 e i 40 miliardi di dollari all'anno a livello globale. Gli istituti di credito statunitensi dovranno far fronte a un rischio di esposizione pari a 3,3 miliardi di dollari derivante da identità sintetiche collegate a nuovi conti fino al 2024. Inoltre, il 44% delle organizzazioni la considera attualmente il tipo di frode più monitorato.

Ciò che lo rende particolarmente pericoloso non è solo la portata del fenomeno. È il fatto che non ci sia nessuna vittima che possa denunciarlo.

Che cos'è la frode d'identità sintetica?

La frode d'identità sintetica consiste nel creare una nuova identità fittizia utilizzando un mix di informazioni reali, rubate e inventate, per poi impiegare tale identità per aprire conti, accedere a servizi o commettere reati finanziari.

A differenza del furto d'identità tradizionale, in cui un criminale ruba l'identità di una persona reale e si spaccia per lei, la frode sintetica crea una «persona» che non è mai esistita. Questa distinzione è di fondamentale importanza ai fini dell'individuazione, come spiegheremo di seguito.

In genere si presenta in una delle tre forme seguenti:

Identità fittizia: creata interamente sulla base di dati inventati. Non vengono utilizzate informazioni personali reali.

Manipolazione dell'identità: dati reali relativi all'identità leggermente alterati – una cifra modificata nel numero di previdenza sociale, una data di nascita modificata – per creare una nuova identità in grado di superare i controlli di validità.

Creazione di identità (frode "Frankenstein"): elementi di dati reali provenienti da più fonti combinati per formare una nuova identità. Un numero di previdenza sociale autentico abbinato a un nome falso e a un indirizzo rubato. Si tratta della forma più comune e più pericolosa, poiché ogni singolo dato, preso singolarmente, appare legittimo.

Il problema delle vittime invisibili: perché le frodi sintetiche sfuggono ai metodi di rilevamento tradizionali

Ecco l'aspetto fondamentale che distingue la frode d'identità sintetica da ogni altro tipo di frode: non c'è una persona reale che controlli l'attività fraudolenta.

Nei casi tradizionali di furto d'identità o di appropriazione indebita di account, c'è una vittima reale. Questa si accorge di transazioni che non riconosce, chiama la propria banca, presenta una denuncia e la frode viene segnalata. Il processo di individuazione parte proprio dalla vittima.

Nella frode d'identità sintetica, nessuno chiama. Nessuno denuncia. L'identità è stata inventata, quindi non c'è una persona reale che controlli gli estratti conto o monitori il credito. La frode procede in silenzio – spesso per mesi o anni – finché il criminale non decide che è ora di incassare.

Ciò comporta una serie di problemi per le organizzazioni:

• I sistemi di rilevamento delle frodi che si basano sulle anomalie comportamentali non si attivano perché l'identità sintetica costituisce il punto di riferimento. Non esiste una "normalità" da cui discostarsi.
• Le verifiche delle agenzie di credito non lo rilevano perché ogni singolo dato – un numero di previdenza sociale reale, un nome inventato, un indirizzo plausibile – può sembrare legittimo se considerato singolarmente.
• La verifica basata sulle informazioni fallisce perché qualsiasi dato digitabile può essere rubato o inventato. Ecco perché la verifica dell'identità deve andare oltre il semplice confronto dei dati.
• Il recupero è praticamente impossibile perché, quando si verifica il default, la “persona” che ha contratto il debito non esiste più. Le perdite vengono cancellate come crediti inesigibili.

Ecco perché la frode d'identità sintetica è strutturalmente più difficile da contrastare rispetto a qualsiasi altro tipo di frode. L'assenza di una vittima non è un effetto collaterale: è proprio la caratteristica che permette all'intero sistema di funzionare.

Chi ne paga le conseguenze: le vittime nascoste delle frodi relative ai prodotti sintetici

Anche se non ci sono vittime "visibili", ci sono persone reali che subiscono un danno. I frammenti di dati legittimi utilizzati per creare identità sintetiche devono pur provenire da qualche parte – e tendono a provenire proprio dalle fasce più vulnerabili della popolazione:

• Bambini: il numero di previdenza sociale di un bambino non presenta alcuna traccia di storia creditizia e non verrà verificato dal titolare per anni, a volte addirittura per decenni. È la base ideale per un'identità sintetica.
• Persone decedute: i dati relativi alle persone decedute vengono sfruttati perché non danno luogo ad alcuna reazione da parte del vero titolare.
• Persone anziane: spesso hanno una storia creditizia scarsa o inattiva e potrebbero non monitorare attivamente il proprio credito.
• Immigrati e persone che non hanno familiarità con il sistema creditizio: la scarsità di informazioni nei loro fascicoli e la scarsa conoscenza dei sistemi locali li rendono bersagli ideali per il furto del numero di previdenza sociale.

Quando un ragazzo compie 18 anni e richiede la sua prima carta di credito, potrebbe scoprire che il suo numero di previdenza sociale è stato utilizzato per anni per costruire il punteggio di credito di qualcun altro. Il danno è reale, anche se l’identità era fittizia.

Il ciclo di vita di un attacco basato su identità sintetica

Comprendere come si evolve nel tempo la frode sintetica permette di individuare i punti in cui è possibile intervenire con misure di difesa – e dove attualmente la maggior parte delle organizzazioni presenta dei punti deboli.

Fase 1: Creazione dell'identità

Il truffatore crea un'identità sintetica combinando un identificativo legittimo (in genere un numero di previdenza sociale reale ottenuto da violazioni dei dati o dal dark web) con dati personali inventati. Il rapporto iProov Threat Intelligence Report 2025 documenta come le reti di "Crime-as-a-Service" vendano ormai kit di strumenti per la creazione di identità che automatizzano questo processo su larga scala. Alcuni truffatori si spingono oltre, creando retroscena per le identità sintetiche – profili sui social media, storie professionali, persino piccoli siti web – per aggiungere credibilità.

Dove dovrebbe avvenire la protezione: al momento della registrazione, prima ancora che l'identità entri nel sistema. È qui che la verifica biometrica del volto con rilevamento della presenza effettiva risulta determinante: un'identità falsa non ha una persona reale alle spalle, quindi nessuno può fornire la corrispondenza biometrica.

Fase 2: Costruzione del credito

L'identità fittizia viene inserita nei sistemi finanziari e "coltivata" con pazienza. Vengono aperti piccoli conti, vengono effettuati pagamenti regolari e i limiti di credito aumentano. Nel corso di mesi o anni, l'identità si costruisce un profilo creditizio dall'aspetto legittimo. Alcuni truffatori si aggiungono come utenti autorizzati su conti reali per accelerare il processo.

Dove è necessario intervenire: monitoraggio costante dei modelli comportamentali associati alle identità sintetiche – nuovi conti con un accumulo di credito insolitamente rapido, aggiunta di utenti autorizzati senza alcuna relazione apparente, richiedenti con scarsi dati creditizi e una storia creditizia sospettosamente pulita.

Fase 3: L'eliminazione

Una volta raggiunti limiti di credito sufficientemente elevati, il truffatore esaurisce ogni conto, accende tutti i prestiti disponibili e scompare. L'identità sintetica svanisce nel nulla. Non c'è alcuna persona reale da rintracciare. Le identità sintetiche sono state coinvolte nel 21% dei casi di frode interna rilevati nel 2025, e gli schemi di "bust-out" rimangono uno dei metodi più comuni per incassare i fondi tramite questi profili fittizi.

Dove dovrebbe intervenire la difesa: non dovrebbe essere necessario. Se una verifica accurata dell'identità individua l'identità falsa già in fase di registrazione, questa fase non si verifica mai. Ogni dollaro speso per individuare i casi di frode è un dollaro che avrebbe dovuto essere investito nella verifica al momento della registrazione.

Perché i dati biometrici di base non sono sufficienti

Non tutti i sistemi biometrici offrono la stessa protezione contro le frodi basate su identità sintetiche. Un sistema di riconoscimento facciale di base, che si limita a confrontare un selfie con la foto presente su un documento, può essere aggirato se il truffatore fornisce un’immagine deepfake corrispondente oppure ricorre a una persona reale (un “corrieri di identità”) per completare la verifica prima di cedere l’account.

Ecco perché il tipo di verifica biometrica è importante. Per difendersi dalle frodi basate su identità sintetiche durante la fase di onboarding occorre soddisfare contemporaneamente tre requisiti:

1. Verifica della corrispondenza tra la persona e il documento d'identità – confronto facciale standard.
2. Conferma che sia fisicamente presente una persona reale e in carne e ossa – non una foto, una maschera, un deepfake o un video inserito.
3. Conferma che la verifica è in corso in questo momento – non si tratta della riproduzione di una sessione precedente né di un feed preregistrato.

Il primo controllo da solo non è sufficiente. Sono tutti e tre insieme a rendere la verifica della presenza effettiva la soluzione strutturale alla frode basata su identità sintetiche, poiché anche l’identità sintetica più convincente crolla quando è necessaria la presenza fisica di una persona reale per attivarla.

Come iProov combatte le frodi basate su identità sintetiche

La tecnologia Dynamic Liveness di iProov verifica tutte e tre le condizioni in un'unica interazione passiva. Ecco cosa significa in pratica nella lotta contro le frodi sintetiche:

• Flashmark sventa i tentativi di sostituzione tramite deepfake. La tecnologia Flashmark brevettata da iProov illumina il volto dell’utente con una sequenza cromatica unica e imprevedibile durante ogni sessione. Il riflesso viene analizzato per confermare la presenza effettiva in tempo reale. Ogni sessione genera dati biometrici unici che scadono immediatamente: non possono essere riprodotti, intercettati o sintetizzati. Ciò significa che un truffatore non può utilizzare un deepfake, un video preregistrato o un volto generato dall'intelligenza artificiale per attivare un'identità sintetica. iProov è il primo e unico fornitore certificato secondo lo standard NIST SP 800-63-4 e il primo a raggiungere il livello "High" della norma CEN/TS 18099 per il rilevamento degli attacchi di tipo "injection". Durante oltre 40 giorni di test accreditati, non è stato registrato alcun attacco riuscito.
• iSOC individua ciò che i sistemi statici non riescono a rilevare. L'iProov Security Operations Center (iSOC) monitora in tempo reale i modelli di attacco su tutti i clienti, le aree geografiche e le piattaforme. Quando emergono nuove tecniche per l'attivazione di identità sintetiche – nuovi strumenti di deepfake, nuovi metodi di iniezione, nuovi modelli di reclutamento di "muli" – iSOC le rileva e distribuisce aggiornamenti difensivi a livello globale, senza attendere la prossima versione del software.
• L'architettura cloud mantiene nascosta la difesa. Tutte le verifiche avvengono nel cloud, non sul dispositivo. Ciò significa che il processo di verifica non può essere sottoposto a reverse engineering analizzando il dispositivo e garantisce la visibilità in tempo reale su cui si basa iSOC.
• La verifica passiva non penalizza gli utenti reali. Il processo non richiede di girare la testa, annuire o seguire istruzioni vocali. iProov è conforme alle linee guida WCAG 2.2 AA e alla Sezione 508, con algoritmi testati per garantire prestazioni eque indipendentemente dall'età, dal sesso e dal colore della pelle. I tassi di completamento superano solitamente il 98%. Una solida prevenzione delle frodi durante la fase di registrazione non deve necessariamente costarti clienti autentici.
• Oltre l'onboarding dei consumatori: le identità sintetiche nel mondo del lavoro

Le identità false non prendono di mira solo banche e società di carte di credito. Agenti provenienti da paesi soggetti a sanzioni dell’OFAC si sono infiltrati in oltre 300 aziende utilizzando identità false e filtri deepfake per superare i processi di assunzione a distanza. Un dipendente fittizio ottiene così accesso a sistemi, dati e fondi, e l’organizzazione potrebbe non rendersi mai conto che la persona che ha assunto non esiste.

La suite iProov Workforce Solution estende la verifica della presenza umana effettiva a tutte le fasi del ciclo di vita dell'identità dei dipendenti – assunzioni da remoto, accesso a dispositivi condivisi, autenticazione a più livelli e recupero dell'account – colmando così quella stessa lacuna nell'onboarding che le identità sintetiche sfruttano nei servizi rivolti ai consumatori.

Il rapporto iProov Threat Intelligence 2025 illustra gli strumenti e le tecniche alla base delle frodi basate su identità sintetiche oggi. Scarica qui il rapporto completo.

Per scoprire come iProov blocca le identità false già in fase di registrazione, prenota una demo.

---

Domande frequenti sulla frode d'identità sintetica

Perché è così difficile individuare le frodi relative all'identità sintetica?

Poiché non esiste una vittima reale che possa segnalarlo. L'identità è stata inventata, quindi nessuno controlla l'account per individuare attività sospette. Ogni singolo dato (un numero di previdenza sociale reale, un nome falso) può sembrare legittimo se considerato isolatamente. I truffatori spesso coltivano identità sintetiche per mesi o anni, accumulando credito prima di mettere in atto una truffa di tipo «bust-out». Il rilevamento tradizionale delle frodi si basa sulle segnalazioni delle anomalie da parte delle vittime; la frode sintetica elimina completamente la vittima.

Chi è maggiormente a rischio che i propri dati vengano utilizzati in casi di frode tramite identità sintetica?

I bambini, le persone decedute, gli anziani e gli immigrati sono vittime di questi abusi in misura sproporzionata, poiché i loro numeri di previdenza sociale sono spesso associati a dossier creditizi scarsi o inattivi. Il numero di previdenza sociale di un bambino può essere sfruttato per anni prima che questi raggiunga l'età necessaria per rendersi conto del danno subito.

In che modo la verifica biometrica previene le frodi basate su identità sintetiche?

La verifica biometrica del volto con rilevamento della presenza effettiva richiede che una persona reale e in vita sia fisicamente presente durante la procedura di registrazione. Un'identità sintetica non ha una persona reale alle spalle, quindi nessuno può fornire la corrispondenza biometrica. Soluzioni avanzate come la tecnologia Dynamic Liveness di iProov contrastano anche i deepfake e gli attacchi di tipo "injection" che tentano di impersonare una persona fittizia utilizzando immagini generate dall'intelligenza artificiale.

Qual è la differenza tra la frode d'identità sintetica e il furto d'identità?

Il furto d'identità consiste nel sottrarre l'identità completa di una persona reale. La frode d'identità sintetica consiste invece nel creare una nuova identità mescolando dati reali e dati inventati. La differenza fondamentale è che nel furto d'identità c'è una vittima che può denunciare il fatto; nella frode sintetica spesso non c'è, ed è per questo che può passare inosservata per molto più tempo.

Qual è la differenza tra la frode d'identità sintetica e la frode relativa all'apertura di nuovi conti?

La frode relativa all'apertura di nuovi conti costituisce la categoria più ampia: comprende tutti i casi in cui un truffatore apre un conto sotto false pretese, sia utilizzando un'identità reale rubata sia ricorrendo a un'identità sintetica inventata. La frode basata sull'identità sintetica è una forma specifica e sempre più diffusa di frode relativa all'apertura di nuovi conti, che si contraddistingue per il fatto che l'identità stessa è stata inventata anziché rubata. Entrambe sfruttano le vulnerabilità del processo di registrazione, motivo per cui la verifica al momento della creazione del conto è fondamentale.

In che modo l'IA generativa sta aggravando il fenomeno delle frodi basate su identità sintetiche?

Gli strumenti di IA generativa hanno notevolmente abbassato la soglia di accesso alla creazione di identità sintetiche convincenti. I truffatori sono ora in grado di produrre su larga scala selfie deepfake realistici, documenti di identità generati dall'IA e persino impronte digitali inventate. I mercati "Crime-as-a-Service" vendono queste funzionalità sotto forma di kit di strumenti già pronti. Ciò significa che le identità sintetiche sono più convincenti e numerose che mai, rendendo la verifica della presenza effettiva in fase di registrazione una misura di difesa essenziale piuttosto che facoltativa.