Recentemente, i criminali informatici hanno utilizzato dei video “deepfake” dei dirigenti di una multinazionale per convincere i dipendenti dell’azienda con sede a Hong Kong a trasferire 25,6 milioni di dollari. Sulla base di una videoconferenza con diversi deepfake, i dipendenti hanno creduto che il direttore finanziario con sede nel Regno Unito avesse richiesto il trasferimento dei fondi. La polizia avrebbe arrestato sei persone in relazione alla truffa. L’uso della tecnologia AI è pericoloso e manipolativo. Senza linee guida e strutture adeguate, un numero sempre maggiore di organizzazioni rischia di cadere vittima di truffe legate all’intelligenza artificiale come i deepfakes.
Deepfakes 101 e la loro crescente minaccia
I deepfakes sono forme di media alterati digitalmente – tra cui foto, video e clip audio – che sembrano raffigurare una persona reale. Vengono creati addestrando un sistema di intelligenza artificiale su filmati reali che ritraggono una persona e poi utilizzando tale sistema per generare nuovi media realistici (ma non autentici). L’uso dei deepfake sta diventando sempre più comune. Il caso di Hong Kong è l’ultimo di una serie di incidenti deepfake di alto profilo avvenuti nelle ultime settimane. Immagini false ed esplicite di Taylor Swift sono circolate sui social media, il partito politico di un candidato alle elezioni incarcerato in Pakistan ha usato un video deepfake di lui per tenere un discorso e un “clone vocale” deepfake del Presidente Biden ha chiamato gli elettori delle primarie per dire loro di non votare.
Anche i casi meno eclatanti di utilizzo di deepfake da parte dei criminali informatici sono aumentati sia in termini di scala che di sofisticazione. Nel settore bancario, i criminali informatici stanno cercando di superare l’autenticazione vocale utilizzando cloni vocali di persone per impersonare gli utenti e accedere ai loro fondi. Le banche hanno risposto migliorando le loro capacità di identificare l’uso di deepfake e aumentando i requisiti di autenticazione.
I criminali informatici hanno preso di mira anche le persone con attacchi di “spear phishing” che utilizzano i deepfake. Un approccio comune è quello di ingannare i familiari e gli amici di una persona utilizzando un clone vocale per impersonare qualcuno in una telefonata e chiedere il trasferimento di fondi su un conto di terzi. L’anno scorso, un sondaggio condotto da McAfee ha rilevato che il 70% degli intervistati non era sicuro di poter distinguere le persone dai loro cloni vocali e che quasi la metà degli intervistati avrebbe risposto alle richieste di fondi se il familiare o l’amico che effettuava la chiamata avesse dichiarato di essere stato derubato o di aver avuto un incidente stradale.
I criminali informatici hanno anche chiamato persone fingendo di essere autorità fiscali, banche, fornitori di servizi sanitari e assicurazioni nel tentativo di ottenere dati finanziari e personali.
A febbraio, la Federal Communications Commission ha stabilito che le telefonate che utilizzano voci umane generate dall’intelligenza artificiale sono illegali, a meno che non siano effettuate con il previo consenso esplicito dell’interlocutore. La Federal Trade Commission ha inoltre finalizzato una norma che vieta l’impersonificazione di organizzazioni governative e aziende da parte dell’IA e ha proposto una norma simile che vieta l’impersonificazione di individui da parte dell’IA. Questo si aggiunge a un elenco crescente di misure legali e normative messe in atto in tutto il mondo per combattere i deepfakes.
Rimani protetto contro i deepfakes
Per proteggere i dipendenti e la reputazione del marchio dai deepfakes, i leader dovrebbero seguire i seguenti passi:
- Educare i dipendenti in modo continuativo, sia sulle truffe abilitate dall’intelligenza artificiale sia, più in generale, sulle nuove funzionalità dell’intelligenza artificiale e sui loro rischi.
- Aggiornare la guida al phishing per includere le minacce deepfake. Molte aziende hanno già informato i dipendenti sulle email di phishing e invitano alla cautela quando ricevono richieste sospette tramite email non richieste. Queste indicazioni sul phishing dovrebbero includere le truffe deepfake dell’intelligenza artificiale e ricordare che possono utilizzare non solo testi ed e-mail, ma anche video, immagini e audio.
- Aumentare o calibrare in modo appropriato l’autenticazione di dipendenti, partner commerciali e clienti. Ad esempio, utilizzando più di una modalità di autenticazione a seconda della sensibilità e del rischio di una decisione o di una transazione.
- Considera l’impatto dei deepfake sui beni aziendali, come loghi, personaggi pubblicitari e campagne pubblicitarie. Tali beni aziendali possono essere facilmente replicati utilizzando i deepfake e diffondersi rapidamente attraverso i social media e altri canali internet. Considera come la tua azienda mitigherà questi rischi e istruirà gli stakeholder.
- Aspettati un numero sempre maggiore di deepfakes, visto il ritmo di miglioramento dell’IA generativa, il numero di importanti processi elettorali in corso nel 2024 e la facilità con cui i deepfakes possono diffondersi tra le persone e oltre i confini.
Sebbene i deepfakes siano un problema di cybersecurity, le aziende dovrebbero considerarli anche come fenomeni complessi ed emergenti con ripercussioni più ampie. Un approccio proattivo e ponderato nell’affrontare i deepfakes può aiutare a educare le parti interessate e a garantire che le misure per combatterli siano responsabili, proporzionate e appropriate.
Consulente di comunicazione, social media, SEO ed e-commerce. Grafico, web designer, impaginatore, copertinista e addentrato quanto basta in tutto ciò che riguarda l’Internet. Appassionato di narrativa, arti visive e cinema di menare. Nerd. Gamer.
Vivo e lavoro come freelancer in provincia di Taranto.