KYC, o "Conosci il tuo cliente", è un processo inteso ad aiutare gli istituti finanziari, le startup fintech e le banche a verificare l'identità dei loro clienti. Non è raro che l’autenticazione KYC coinvolga “immagini identificative” o selfie verificati utilizzati per confermare che una persona è chi dice di essere. Wise, Revolut e le piattaforme di criptovaluta Gemini e LiteBit sono tra quelle che si affidano alle immagini ID per una maggiore sicurezza.
Ma l’intelligenza artificiale generativa potrebbe mettere in dubbio questi controlli.
Post virali su come superare un test KYC. Non ci sono prove che gli strumenti di intelligenza artificiale generazione per ingannare un vero sistema KYC, ancora. Ma è motivo di allarme la facilità con cui si ottengono immagini di identificazione relativamente convincenti e profondamente falsificate.
Imbrogliare KYC
In una tipica autenticazione con immagine ID KYC, un cliente carica una fotografia di se stesso con in mano un documento di identificazione (un passaporto o una patente di guida, ad esempio) che solo lui può possedere. Una persona, o un algoritmo, incrocia l'immagine con documenti e selfie archiviati per (si spera) contrastare i tentativi di spoofing.
L'autenticazione dell'ID immagine non è mai stata infallibile. I truffatori hanno fatto venta di documenti d’identità falsi e selfie per anni. Ma l’intelligenza artificiale genera una serie di nuove possibilità.
tutorial in linea mostrare come Stable Diffusion, un generatore di immagini gratuito e open source, può essere utilizzato per creare rappresentazioni sintetiche di una persona su qualsiasi sfondo desiderato (ad esempio, un soggiorno). Con un po’ di tentativi ed errori, un utente malintenzionato può modificare i rendering per mostrare che l’obiettivo sembra avere un documento di identificazione. A quel punto, l'aggressore può utilizzare un qualsiasi editor di immagini per inserire nelle mani del contraffatto un documento vero o falso.
L’intelligenza artificiale accelererà rapidamente l’uso diffuso della crittografia a chiave privata e dell’identificazione decentralizzata. Dai un'occhiata a questo "post di verifica" di Reddit e all'identificazione effettuata con Stable Diffusion. Quando non potremo più fidarci dei nostri occhi per determinare se il contenuto è autentico, ci rivolgeremo alla crittografia applicata. pic.twitter.com/6IjybWRhRa – Justin Leroux (@0xMidnight) 5 gennaio 2024
Ora, per ottenere i migliori risultati con Stable Diffusion è necessario installare strumenti ed estensioni aggiuntivi e ottenere circa una dozzina di immagini del target. Un utente Reddit con il nome utente _harsh_, che ha pubblicato un flusso di lavoro per creare selfie con documenti d'identità falsi, ha affermato che ci vogliono 1-2 giorni per creare un'immagine convincente.
Ma la barriera all’ingresso è sicuramente più bassa rispetto al passato. Creazione di immagini identificative con illuminazione, ombre e ambienti realistici Richiede una conoscenza piuttosto avanzata del software di fotoritocco. Ora, non è necessariamente così.
Inserire immagini KYC contraffatte in un'app è ancora più semplice che crearle. Le app Android in esecuzione su un emulatore desktop come Bluestacks possono essere indotte con l'inganno ad accettare immagini contraffatte invece del feed di una telecamera in tempo reale, mentre le app sul Web possono essere ostacolate da un software che consente agli utenti di trasformare qualsiasi immagine o sorgente video in una webcam virtuale.
crescente minaccia
Alcune app e piattaforme implementano controlli di “attività” come sicurezza aggiuntiva per verificare l'identità. In genere coinvolgono un utente che registra un breve video in cui gira la testa, sbatte le palpebre o dimostra in altro modo di essere effettivamente una persona reale.
Ma i controlli sulla vita possono anche essere aggirati utilizzando l’IA generica.
NOTIZIE: la nostra ultima ricerca è ora disponibile! Abbiamo scoperto che 10 dei più popolari fornitori di KYC biometrici sono altamente vulnerabili agli attacchi deepfake in tempo reale. E lo stesso vale per la tua banca, assicurazione o operatore sanitario. Rapporto completo su https://t.co/vryGJ7na0ihttps://t.co/VVaSZrCZRn — Sensibilità (@sensityai) Maggio 18 2022
All'inizio dell'anno scorso, Jimmy Su, responsabile della sicurezza presso l'exchange di criptovalute Binance, ha detto a Cointelegraph che gli attuali strumenti deepfake sono sufficienti per superare i controlli di attività, anche quelli che richiedono agli utenti di eseguire azioni come girare la testa in tempo reale.
La conclusione è che il KYC, già imprevedibile, potrebbe presto diventare inutile come misura di sicurezza. Su, da parte sua, non crede che le immagini e i video deepfake abbiano raggiunto il punto in cui possano ingannare i critici umani. Ma potrebbe essere solo questione di tempo prima che la situazione cambi.
