18 dicembre 2023
Quest'anno, il volume degli attacchi all'identità generati dall'intelligenza artificiale si è intensificato a tal punto da diventare un argomento di riflessione per i consumatori, le organizzazioni e persino i leader mondiali. La biometria rappresenta una forza trasformativa nel ridisegnare il modo in cui gli individui interagiscono con i sistemi digitali e le organizzazioni salvaguardano le informazioni sensibili. Con l'avvicinarsi del 2024, il panorama dell'identità digitale è pronto a compiere progressi significativi, con innovazioni destinate a ridefinire la verifica, a elevare gli standard di sicurezza e a migliorare l'esperienza degli utenti.
Scoprite con noi l'imminente futuro della biometria, dove la fusione di scienza e sicurezza promette un cambiamento paradigmatico nelle modalità di autenticazione, identificazione e protezione all'interno del regno digitale.
1. La biometria diventerà la pietra miliare dell'infrastruttura di sicurezza del mercato dei servizi finanziari statunitense
Nell'ultimo anno, molte organizzazioni di servizi finanziari hanno ampliato l'accesso digitale remoto per soddisfare la domanda degli utenti. Tuttavia, ciò ha ampliato la superficie di attacco digitale e creato opportunità per i truffatori. Il settore dei servizi finanziari statunitense è stato più lento nell'adottare le tecnologie di identità digitale rispetto ad altre regioni, il che potrebbe essere attribuito alle sfide che deve affrontare in materia di regolamentazione dell'interoperabilità e dello scambio di dati.. Tuttavia, con si prevede che le frodi sulle identità sintetiche genereranno perdite per almeno 23 miliardi di dollari entro il 2030.la pressione sta aumentando da tutti i punti di vista. I consumatori si aspettano di aprire conti e accedere a servizi da remoto con velocità e facilità, mentre i truffatori minano la sicurezza attraverso i canali online e sottraggono denaro. Nel frattempo, si profila la grave minaccia della non conformità alle norme Know Your Customer (KYC) e Anti Money Laundering (AML). Le sanzioni previste sono multe salate e potenzialmente anche procedimenti penali. Inoltre, aumenta il rischio di aggirare le sanzioni e di finanziare gli Stati avversari. In risposta, molte istituzioni finanziarie sono state spinte ad agire. Ciò ha comportato la sostituzione di processi di onboarding macchinosi e la sostituzione di metodi di autenticazione obsoleti come password e passcode con tecnologie avanzate per l'onboarding e l'autenticazione in remoto dei clienti dell'online banking esistenti.
Una delle prime è la tecnologia di verifica biometrica facciale, che offre una convenienza e un'accessibilità senza pari per i clienti e allo stesso tempo sfide di sicurezza senza pari per gli avversari. Un numero sempre maggiore di istituti finanziari si renderà conto di come la verifica biometrica possa rimodellare e ridefinire l'impatto positivo che la tecnologia può avere nel bilanciare la sicurezza con l'esperienza del cliente e farà il passaggio.
2. Il numero di Paesi in via di sviluppo che realizzeranno programmi di identità digitale basati sull'identità decentralizzata aumenterà rapidamente.
Si stima che 850 milioni di persone in tutto il mondo siano prive di un documento di identità legale.Senza identità, le persone faticano ad aprire un conto in banca, a trovare lavoro e ad accedere all'assistenza sanitaria, il che le rende finanziariamente escluse. I programmi di identità digitale migliorano l'accesso ai servizi e alle opportunità digitali. Consentono alle persone di affermare la propria identità, di accedere alle piattaforme online e di partecipare alle iniziative del governo digitale. Sostenuti dagli investimenti della Banca Mondiale, i programmi di identità digitale possono aiutare le economie meno avanzate a prevenire i furti di identità e le frodi, oltre a fornire un modo alternativo per dimostrare la propria identità e accedere a servizi essenziali come sussidi, assistenza sanitaria e istruzione. Basati su un'identità identità decentralizzata, questi programmi consentiranno agli utenti di archiviare e scambiare digitalmente documenti d'identità, come la patente di guida, e credenziali, come i diplomi, e di autenticarsi senza un'autorità centrale. Un'identità decentralizzata dà all'utente il controllo, consentendogli di gestire la propria identità con un approccio distribuito. Offriranno la comodità che gli utenti finali ora richiedono e apriranno percorsi essenziali per l'accesso ai servizi finanziari e di welfare da parte di individui precedentemente svantaggiati o emarginati.
3. Saranno vietate le videochiamate a distanza per verificare l'identità.
Laverifica tramite videochiamata prevede una videochiamata one-to-one tra l'utente e un operatore specializzato. All'utente viene chiesto di tenere in mano un documento d'identità e l'operatore lo confronta con il suo volto. Tuttavia, è stato dimostrato che la verifica delle videochiamate fornisce poche garanzie che l'utente finale sia una persona "in carne e ossa" e non un'immagine artificiale generata dall'IA e sovrapposta in modo convincente al volto dell'attore minaccioso.
Ad esempio, inel 2022, i ricercatori del Chaos Computer Club sono riusciti a eludere la tecnologia di verifica delle videochiamate utilizzando l'IA generativa e un documento d'identità contraffatto. Il caso ha mostrato come questa tecnologia, e gli operatori umani su cui si basa, siano altamente suscettibili agli attacchi con immagini sintetiche. L'Ufficio federale tedesco per la sicurezza informatica ha messo in guardia dalla verifica delle videochiamate per la sua vulnerabilità a questi attacchi.
Se i programmi di identità digitale non sono in grado di difendersi dalla minaccia dei deepfakes al momento dell'onboarding e dell'autenticazione, verranno sfruttati per scopi criminali, come le frodi nei pagamenti, il riciclaggio di denaro e il finanziamento del terrorismo. Per questo motivo, vedremo le autorità di regolamentazione dei servizi finanziari vietare i metodi di verifica tramite videochiamata, con la direttiva di scegliere metodi più affidabili basati su ibridi che combinano la corrispondenza automatizzata dell'intelligenza artificiale e il rilevamento della veridicità con la supervisione umana del processo di apprendimento automatico.
4. Le organizzazioni introdurranno l'autenticazione reciproca tra i dipendenti per le comunicazioni ad alto rischio e l'onboarding remoto dei nuovi dipendenti.
Poiché le organizzazioni si affidano sempre più ai mezzi digitali per le comunicazioni riservate, la necessità di adottare solide misure di cybersecurity è fondamentale per mitigare i rischi. L'introduzione dell'autenticazione reciproca per le comunicazioni e le transazioni ad alto rischio è una misura di sicurezza fondamentale che aggiunge un ulteriore livello di protezione contro gli accessi non autorizzati e le potenziali minacce. Inoltre, in alcuni settori la conformità normativa impone l'implementazione di solide misure di sicurezza. L'autenticazione reciproca aiuta le organizzazioni a soddisfare questi requisiti di conformità, dimostrando l'impegno a garantire canali di comunicazione sicuri e a proteggere le informazioni sensibili.
5. Le violazioni dei dati aziendali triplicheranno a causa di attacchi di successo generati dall'IA
Per alcuni anni, le organizzazioni e i privati si sono affidati all'individuazione delle e-mail di phishing attraverso gli errori ortografici e grammaticali. Quel tempo è passato. La qualità della Chat GPT è tale che gli attori delle minacce possono ora utilizzarla per generare attacchi di phishing di alta qualità in comunicazioni molto convincenti e prive di indizi sospetti. Di conseguenza, nel 2024 si assisterà a un forte aumento della qualità e del volume degli attacchi di phishing generati dall'intelligenza artificiale. La formazione sulla sicurezza diventerà uno strumento ridondante e le organizzazioni saranno costrette a cercare metodi alternativi e più affidabili per autenticare in modo affidabile gli utenti interni ed esterni delle loro piattaforme.
6. I kit di sintesi vocale e video di Crime-as-a-Service supereranno la barriera dei 100 dollari.
IlCrime-as-a-Service e la disponibilità di strumenti online accelerano l'evoluzione del panorama delle minacce, consentendo ai criminali di lanciare attacchi avanzati più rapidamente e su scala più ampia. Se gli attacchi hanno successo, si intensificano rapidamente in volume e frequenza, amplificando il rischio di gravi danni.
I malintenzionati utilizzano sofisticate tecnologie di intelligenza artificiale generativa per creare e lanciare attacchi volti a sfruttare i sistemi di sicurezza delle organizzazioni e a frodare i privati. iProov ha riscontrato indicazioni simili di criminali poco qualificati che hanno acquisito la capacità di creare e lanciare attacchi avanzati con immagini sintetiche. Nel nostro più recente rapporto di intelligence sulle minacce biometricheabbiamo assistito all'emergere e alla rapida crescita di nuovi video face swap. Lo scambio di volti è una forma di immagini sintetiche in cui l'attore della minaccia modifica più di un volto per creare un nuovo video 3D falso.
Il costo delle risorse necessarie per lanciare gli attacchi si sta riducendo e ci aspettiamo che i kit Crime-as-a-Service scendano sotto i 100 dollari.
7. Il potenziale dell'IA per diffondere la disinformazione politica vedrà l'autenticazione della paternità delle immagini e dei contenuti scritti come uno strumento legalmente richiesto.
In vista delle elezioni, si assisterà a una pletora di video deepfake generati dall'intelligenza artificiale e utilizzati per persuadere gli elettori. Per contrastare questo fenomeno, le aziende tecnologiche si adopereranno per offrire alle persone la possibilità di verificare l'autenticità delle immagini che caricano. Ad esempio, soluzioni che permettano di filigranare le immagini e di firmarle quando vengono create o modificate.
È probabile che nel 2024 si assista a molti tentativi in questo campo, vista la diffusione dell'uso dei deepfake. Sarà un prerequisito che qualsiasi contenuto che utilizzi immagini debba offrire un modo per assicurarne la genuinità e, in caso contrario, le immagini saranno svalutate.
8. Una Zoom Call generata dall'AI porterà alla prima frode da un miliardo di dollari ai danni di un CEO
Le frodi agli amministratori delegati prendono di mira almeno 400 aziende al giorno e rappresenta una minaccia significativa per le organizzazioni di tutto il mondo. In questo tipo di crimine, gli aggressori si fingono alti dirigenti dell'azienda e tentano di ingannare i dipendenti per indurli a trasferire fondi, divulgare informazioni sensibili o avviare altre attività fraudolente. Spesso si tratta di attacchi sofisticati di social engineering che ne rendono difficile l'individuazione. Gli strumenti di IA generativa sono ora ampiamente utilizzati dai truffatori per creare deepfakes per imitare una persona. I malintenzionati possono ora creare audio e immagini generati dall'intelligenza artificiale convincenti e distribuirli su piattaforme come Zoom, Microsoft Teams e Slack. Senza strumenti sofisticati di monitoraggio e rilevamento, è quasi impossibile individuare questo tipo di immagini sintetiche. Per questo motivo, ci aspettiamo di vedere una chiamata Zoom generata dall'AI portare alla prima frode miliardaria ai danni di un CEO nel 2024.