#cybersecurity  #deepfake 

Live Deepfake e i problemi legati alla verifica dell'identità digitale

Il pericolo del rilascio di identità digitali ed il furto di identità

#cybersecurity  #deepfake 

Live Deepfake e i problemi legati alla verifica dell'identità digitale

Il pericolo del rilascio di identità digitali ed il furto di identità

Home > Blog

Il deepfake è una tecnica dell’elaborazione dell’immagine umana basata sull'intelligenza artificiale, usata per creare falsi video e immagini, partendo da un contenuto reale tramite una tecnica di apprendimento automatico. Negli ultimi anni il fenomeno ha interessato, spesso a scopo satirico, personaggi pubblici dello spettacolo e della politica, dei quali i social network hanno diffuso foto e video del volto elaborati con contenuti e contesto totalmente differenti da quelli originali.

Recentemente, però, è stato dimostrato che, attraverso strumenti amatoriali, è possibile applicare tecniche di deepfake anche a streaming video in diretta. Nel mese di aprile 2020, infatti, un programmatore di nome Ali Aliev è riuscito a produrre un sistema attraverso il quale, grazie ad alcuni software opensource ed una precisa scheda video molto diffusa sul mercato, è possibile manipolare il video di una webcam in tempo reale, simulando di essere un soggetto diverso da quello originale.

Attraverso un software di virtual cam si può far credere a qualsiasi software che richieda l’uso di una sorgente video live (videoconferenza, videoidentificazione a distanza, ecc.) di essere collegati alla webcam dell’utente, mentre il video acquisito proviene da una sofisticata elaborazione software.

A causa delle recenti falle di sicurezza in uno dei software più diffusi di videoconferenza chiamato Zoom è, inoltre, possibile accedere in maniera intrusiva a meeting in corso, simulando di essere un altro individuo.

Tutto ciò apre scenari molto preoccupanti in termini di cyber security, non solo perché non vi è più certezza di interloquire da remoto con la persona che si crede, ma soprattutto perché si potrebbero invalidare gravemente procedure attualmente ritenute valide e sicure per la video identificazione dei soggetti.

Il CAD (Codice dell'amministrazione digitale,) introdotto negli ultimi anni, ha favorito i processi di digitalizzazione e dematerializzazione dei documenti della Pubblica Amministrazione e introdotto nuovi metodi di identificazione del cittadino in fase di accesso a questi servizi. Per l’esame e verifica dell’identità di un soggetto che richiede una identità digitale sono ammesse anche tecniche remote di video identificazione.

Alcuni esempi:

  1. Attivazione di identità digitale SPID (Sistema Pubblico di Identità Digitale) sviluppato dall’ AgiD (Agenzia per l'Italia Digitale), che prevede fra le varie modalità di emissione anche quella attraverso la webcam messa a disposizione dai vari identity provider autorizzati. Attualmente gli IP che utilizzano anche questa tecnica di verifica dell’identità sono: Aruba, Infocert, Intesa, Lepida, SielteId, SpidItalia, TIMid.
  2. Attivazione di identità digitale CNS (Carta Nazione dei Servizi) e firma digitale, meglio definita come firma elettronica qualificata (FEQ), rilasciata da uno dei prestatori di servizi fiduciari attivi in Italia. La verifica dell’identità del soggetto richiedente può avvenire anche con video identificazione online attraverso una webcam.
  3. Attivazione di SIM, utenze telefoniche e traffico dati direttamente online, attraverso la verifica dell’identità del soggetto mediante web cam. Alcuni gestori di telefonia mobile come Iliad, Kena Mobile e WindTre lo consentono.
  4. Attivazione di conto corrente bancario attraverso la verifica dell’identità del soggetto mediante web cam e sms/firma digitale. Praticamente tutti i gruppi bancari più grandi lo prevedono e lo incentivano.

E’ vero che durante la fase di esame e verifica online delle identità devono essere esibiti documenti come carta di identità e codice fiscale, ma falsificarne uno con la stampante di casa sarebbe molto semplice e difficilmente esaminabile attraverso una webcam.

Va evidenziato come il possesso di identità digitale certificherebbe azioni e contenuti fraudolenti secondo i principi di integrità dei dati, prova della fonte e non ripudio. Solo alcuni esempi delle conseguenze e degli illeciti potenzialmente derivanti:

  • Accesso illecito ai contenuti e ai dati personali presenti nei portali della Pubblica Amministrazione dedicati al cittadino;
  • Modifica illecita dei dati o invio di istanze per conto di altri soggetti;
  • Firma illecita, irripudiabile, di documenti ed atti ufficiali per conto di altri soggetti;
  • Illeciti legati ad attività di cyber crime commessi sfruttando utenze registrate ad altri soggetti;
  • Attività illecite e di terrorismo attraverso l’uso di conti correnti bancari riconducibili a soggetti estranei.

Il problema è amplificato dal fatto che in questo peridio di emergenza e distanziamento sociale è necessario attivare alcuni di questi servizi e il modo preferenziale per farlo, se non l’unico, è proprio quello online.

Tutto questo apre scenari preoccupanti e una serie di rischi anche in termini di violazione di diritti e libertà dell’ individuo. Come mitigare questa minaccia? Come tutelarsi? Come garantire il rispetto dell’identità digitale? In un prossimo articolo risponderemo a queste e altre domande.

Sicurezza Informatica Infoteam – Luca Di Nicola

Sicurezza Informatica Infoteam – Cecilia D’Amico