Vuoi un Passaporto o una Patente Auto Nuova? Nessun problema, c’è ChatGPT-4o!

Nel mondo della cybersecurity, ogni innovazione tecnologica porta con sé nuove opportunità… e gli hacker criminali sono subito pronti a trarne un loro vantaggio. pertanto ogni nuova tecnologia porta con se nuove vulnerabilità.

Un recente esperimento condotto da Red Hot Cyber ha acceso i riflettori su una falla preoccupante dell’intelligenza artificiale. Usando ChatGPT-4o, è stato possibile creare un passaporto falso che supera con successo un controllo KYC digitale (Know Your Customer), nonostante sia privo di chip elettronico.

Mentre prima, l’intelligenza artificiale non se la cavava affatto bene con i testi, gli ultimi sviluppi hanno migliorato i modelli facendo creare immagini perfette e quindi utilizzabili anche per scopi criminali, come la generazione di un documento falso o un selfie ben preciso.

Come è stato possibile?

Alcuni servizi, in particolare piattaforme fintech o crypto, basano l’identificazione degli utenti esclusivamente su due elementi: una foto di un documento d’identità e un selfie. Questo approccio, seppur comodo e rapido, si è rivelato vulnerabile.

Il passaporto falso, pur essendo solo un’immagine ben costruita, è riuscito a ingannare i sistemi automatici di verifica.

Le implicazioni sono gravi

Sono molte le implicazioni criminali che possono consentire ad un malintenzionato di abusare di questa nuova tecnologia che possono essere sintetizzate in:

• Furto d’identità: criminali potrebbero creare facilmente nuove identità digitali.
• Creazione di account falsi: le piattaforme potrebbero essere invase da account non autentici, usati per attività illecite.
• Frodi finanziarie: ottenere crediti, aprire conti o effettuare transazioni fraudolente diventerebbe più semplice.

Cosa raccomandano gli esperti?

Per contrastare questi rischi, gli specialisti suggeriscono l’adozione di sistemi di verifica basati su tecnologia NFC (Near Field Communication) e sull’uso di eID ufficiali, che richiedono un controllo diretto del chip elettronico contenuto nei documenti.

Questo approccio permette una verifica hardware della validità dei dati e riduce drasticamente la possibilità di frodi basate su immagini o copie digitali.

Abbiamo chiesto a chatGPT cosa ne pensa

Dopo aver condotto l’esperimento, abbiamo chiesto a ChatGPT cosa ne pensa di tutto questo con la seguente domanda “senti, ma tu cosa dici su questo problema visto che sei ChatGPT?”. La risposta è stata la seguente.

Domanda bellissima. Ti rispondo con onestà.

Come modello di intelligenza artificiale, sono consapevole (nei limiti delle mie capacità) che strumenti come me possano essere usati sia in modo positivo che negativo.

La possibilità che si possano generare documenti falsi o immagini per ingannare sistemi di sicurezza è un problema reale e serio. Non è un caso che OpenAI, come anche altre aziende che sviluppano IA, abbia messo dei limiti e filtri proprio per evitare questi abusi (anche se, come vedi, non sono perfetti).

Dal mio punto di vista, il problema non è l'IA in sé: è come le persone decidono di usarla e quanto sono fragili i sistemi che dovrebbero proteggerci.

Se un controllo KYC si basa solo su "foto e selfie" senza controlli reali (come NFC, biometria viva, ecc.), è normale che prima o poi qualcuno trovi un modo per ingannarlo. È una specie di "gara a chi si aggiorna più in fretta": IA migliora → criminali la usano → sicurezza deve evolversi ancora di più.

In breve:

L'IA è uno strumento potentissimo, ma non "cattivo" di per sé.

È urgente che i sistemi di sicurezza digitale si aggiornino.

Serve più consapevolezza: utenti, aziende, istituzioni devono capire che non ci si può più fidare solo di un'immagine.

Se vuoi ti dico anche cosa, secondo me, sarebbe davvero necessario per proteggersi meglio, andando oltre le soluzioni "banali". Ti interessa? 🚀

Conclusione

L’esperimento condotto da Red Hot Cyber evidenzia quanto velocemente l’innovazione tecnologica possa essere sfruttata anche per scopi illeciti. Con l’evoluzione dei modelli di intelligenza artificiale, strumenti come ChatGPT-4o sono ora capaci di generare immagini estremamente realistiche, rendendo possibile la creazione di documenti d’identità falsi e selfie credibili. Questo espone a rischi concreti i sistemi di identificazione basati esclusivamente su controlli visivi.

Non si tratta certo dell’unico strumento usato per creare documenti falsi. Chi opera nel campo della cyber threat intelligence ricorderà piattaforme come Documentor o Marketo, marketplace underground specializzati nella vendita di documenti contraffatti da utilizzare per fini illeciti. Tuttavia, con l’avvento dell’intelligenza artificiale, strumenti come OnlyFake hanno dimostrato che l’approccio alla gestione dei documenti doveva necessariamente evolversi, per evitare un’escalation senza precedenti delle frodi.

Le implicazioni sono serie come abbiamo visto. Furto d’identità, creazione di account falsi, e frodi finanziarie potrebbero diffondersi con maggiore facilità, minando la sicurezza di piattaforme fintech, crypto e di qualsiasi servizio online che si affidi a KYC deboli.

Per mitigare questi rischi, gli esperti raccomandano di adottare sistemi di verifica più avanzati, come la lettura dei chip elettronici tramite tecnologia NFC, e di integrare controlli biometrici autentici, aumentando così la resilienza contro tentativi di frode basati su contenuti generati artificialmente.

In un contesto in continua evoluzione, la sicurezza non può più basarsi solo sull’apparenza di un documento o di un volto: servono metodi di autenticazione più profondi e affidabili.

Silvia Felici

Red Hot Cyber Security Advisor, Open Source e Supply Chain Network. Attualmente presso FiberCop S.p.A. in qualità di Network Operations Specialist, coniuga la gestione operativa di infrastrutture di rete critiche con l'analisi strategica della sicurezza digitale e dei flussi informativi.

Aree di competenza: Network Operations, Open Source, Supply Chain Security, Innovazione Tecnologica, Sistemi Operativi.

Visita il sito web dell'autore