L'adozione della biometria è esplosa in Brasile negli ultimi anni: l'82% dei brasiliani utilizza già una qualche forma di tecnologia biometrica per l'autenticazione, spinta dalla praticità e dalla ricerca di una maggiore sicurezza nei servizi digitali. Che si tratti di accedere alle banche tramite riconoscimento facciale o di utilizzare le impronte digitali per autorizzare i pagamenti, la biometria è diventata il "nuovo CPF" (codice fiscale brasiliano) in termini di identificazione personale, rendendo i processi più rapidi e intuitivi.
Tuttavia, una crescente ondata di frodi ha messo in luce i limiti di questa soluzione: solo a gennaio 2025, in Brasile sono stati registrati 1,24 milioni di tentativi di frode, con un aumento del 41,6% rispetto all'anno precedente, pari a un tentativo di truffa ogni 2,2 secondi. Gran parte di questi attacchi prende di mira specificamente i sistemi di autenticazione digitale. I dati di Serasa Experian mostrano che nel 2024 i tentativi di frode contro banche e carte di credito sono cresciuti del 10,4% rispetto al 2023, rappresentando il 53,4% di tutte le frodi registrate quell'anno.
Se queste frodi non fossero state prevenute, avrebbero potuto causare una perdita stimata di 51,6 miliardi di R$. Questo aumento riflette un panorama in continua evoluzione: i truffatori stanno evolvendo le loro tattiche a una velocità mai vista prima. Secondo un sondaggio di Serasa, metà dei brasiliani (50,7%) è stata vittima di frodi digitali nel 2024, con un aumento di 9 punti percentuali rispetto all'anno precedente, e il 54,2% di queste vittime ha subito perdite finanziarie dirette.
Un'altra analisi indica un aumento del 45% dei crimini digitali nel Paese entro il 2024, con metà delle vittime effettivamente raggirate. Alla luce di questi numeri, la comunità della sicurezza si chiede: se la biometria prometteva di proteggere utenti e istituzioni, perché i truffatori sembrano sempre essere un passo avanti?
Le truffe aggirano il riconoscimento facciale e delle impronte digitali.
Parte della risposta risiede nella creatività con cui le gang digitali aggirano i meccanismi biometrici. Negli ultimi mesi sono emersi casi emblematici. A Santa Catarina, un gruppo fraudolento ha truffato almeno 50 persone ottenendo clandestinamente dati biometrici facciali dai clienti: un impiegato delle telecomunicazioni ha simulato vendite di linee telefoniche per catturare selfie e documenti dai clienti, utilizzando poi questi dati per aprire conti bancari e ottenere prestiti a nome delle vittime.
Nel Minas Gerais, i criminali si sono spinti oltre: si sono finti addetti alle consegne postali per raccogliere impronte digitali e foto dei residenti, con l'esplicito scopo di aggirare la sicurezza bancaria. In altre parole, i truffatori non solo attaccano la tecnologia in sé, ma sfruttano anche l'ingegneria sociale, inducendo le persone a fornire i propri dati biometrici senza rendersene conto. Gli esperti avvertono che anche i sistemi considerati robusti possono essere ingannati.
Il problema è che la diffusione della biometria ha creato un falso senso di sicurezza: gli utenti danno per scontato che, poiché si tratta di un'autenticazione biometrica, sia infallibile.
Negli istituti con misure di sicurezza meno rigorose, i truffatori riescono a ottenere risultati utilizzando metodi relativamente semplici, come foto o calchi per imitare caratteristiche fisiche. La cosiddetta "truffa del dito di silicone", ad esempio, è diventata ben nota: i criminali applicano pellicole trasparenti ai lettori di impronte digitali degli sportelli bancomat per rubare l'impronta digitale del cliente e poi creano un dito di silicone finto con quell'impronta, effettuando prelievi e trasferimenti non autorizzati. Le banche affermano di impiegare già contromisure: sensori in grado di rilevare calore, pulsazioni e altre caratteristiche di un dito vivo, rendendo inutilizzabili i calchi artificiali.
Tuttavia, casi isolati di questa truffa dimostrano che nessuna barriera biometrica è completamente immune dai tentativi di aggirarla. Un altro fattore preoccupante è l'uso di trucchi di ingegneria sociale per ottenere selfie o scansioni facciali dai clienti stessi. La Federazione Brasiliana delle Banche (Febraban) ha lanciato l'allarme su un nuovo tipo di frode in cui i truffatori richiedono "selfie di conferma" alle vittime con falsi pretesti. Ad esempio, fingendosi dipendenti di una banca o dell'INSS (Istituto Brasiliano della Previdenza Sociale), chiedono una foto del viso "per aggiornare la registrazione" o erogare un sussidio inesistente: in realtà, usano questo selfie per impersonare il cliente nei sistemi di verifica facciale.
Una semplice svista, come scattare una foto su richiesta di un presunto fattorino o di un operatore sanitario, può fornire ai criminali la "chiave" biometrica per accedere agli account di altre persone.
Deepfake e intelligenza artificiale: la nuova frontiera delle truffe
Sebbene ingannare le persone sia già una strategia ampiamente utilizzata, criminali più sofisticati stanno ora ingannando anche le macchine. È qui che entrano in gioco le minacce del deepfake – manipolazione avanzata di voce e immagini tramite intelligenza artificiale – e di altre tecniche di falsificazione digitale, tecniche che hanno visto un balzo in avanti in termini di sofisticazione dal 2023 al 2025.
Lo scorso maggio, ad esempio, la Polizia Federale ha lanciato l'operazione "Face Off" dopo aver individuato un sistema che ha truffato circa 3.000 account sul portale Gov.br utilizzando falsi dati biometrici facciali. Il gruppo criminale ha utilizzato tecniche altamente sofisticate per impersonare utenti legittimi sulla gov.br , che centralizza l'accesso a migliaia di servizi pubblici digitali.
Gli investigatori hanno scoperto che i truffatori hanno utilizzato una combinazione di video manipolati, immagini alterate dall'intelligenza artificiale e persino maschere 3D iperrealistiche per ingannare il meccanismo di riconoscimento facciale. In altre parole, hanno simulato i tratti del viso di terze parti, comprese persone decedute, per assumere identità e accedere ai benefici finanziari collegati a tali conti. Con movimenti artificiali perfettamente sincronizzati di sbattere le palpebre, sorridere o girare la testa, sono persino riusciti a eludere la funzionalità di rilevamento della presenza in diretta, sviluppata proprio per rilevare la presenza di una persona reale davanti alla telecamera.
Il risultato è stato l'accesso non autorizzato a fondi che dovrebbero essere riscattati solo dai legittimi beneficiari, nonché l'approvazione illecita di prestiti per buste paga sull'app Meu INSS utilizzando queste false identità. Questo caso ha dimostrato con forza che sì, è possibile bypassare la biometria facciale – anche in sistemi di grandi dimensioni e teoricamente sicuri – quando si hanno a disposizione gli strumenti giusti.
Nel settore privato, la situazione non è diversa. Nell'ottobre 2024, la Polizia Civile del Distretto Federale ha condotto l'Operazione "DeGenerative AI", smantellando una banda specializzata nell'hacking di conti bancari digitali tramite app di intelligenza artificiale. I criminali hanno effettuato oltre 550 tentativi di hackerare i conti bancari dei clienti, utilizzando dati personali trapelati e tecniche di deepfake per riprodurre le immagini dei titolari dei conti e convalidare così le procedure di apertura di nuovi conti a nome delle vittime e attivare i dispositivi mobili come se appartenessero a loro.
Si stima che il gruppo sia riuscito a spostare circa 110 milioni di R$ attraverso conti intestati a persone fisiche e giuridiche, riciclando denaro da varie fonti, prima che la maggior parte delle frodi venisse bloccata da controlli interni alla banca.
Oltre la biometria
Per il settore bancario brasiliano, l'escalation di queste truffe high-tech è un campanello d'allarme. Le banche hanno investito molto nell'ultimo decennio per indirizzare i clienti verso canali digitali sicuri, adottando la biometria facciale e delle impronte digitali come barriera contro le frodi.
Tuttavia, la recente ondata di truffe suggerisce che affidarsi esclusivamente alla biometria potrebbe non essere sufficiente. I truffatori sfruttano l'errore umano e le falle tecnologiche per impersonare i consumatori, e questo richiede che la sicurezza sia progettata con più livelli e fattori di autenticazione, non più basandosi su un singolo fattore "magico".
In questo scenario complesso, gli esperti concordano su una raccomandazione: adottare l'autenticazione a più fattori e approcci di sicurezza multilivello. Ciò significa combinare diverse tecnologie e metodi di verifica in modo che, se un fattore fallisce o viene compromesso, gli altri prevengano le frodi. La biometria stessa rimane un elemento importante: dopotutto, se ben implementata con verifica della vitalità e crittografia, ostacola notevolmente gli attacchi opportunistici.
Tuttavia, deve funzionare insieme ad altri controlli: password monouso o PIN inviati al telefono cellulare, analisi del comportamento dell'utente (la cosiddetta biometria comportamentale, che identifica gli schemi di digitazione, l'utilizzo del dispositivo e può far suonare un allarme quando nota che un cliente "si comporta in modo diverso dal normale") e monitoraggio intelligente delle transazioni.
Gli strumenti di intelligenza artificiale vengono utilizzati anche per aiutare le banche, identificando sottili segnali di deepfake nei video o nelle voci, ad esempio analizzando le frequenze audio per rilevare voci sintetiche o cercando distorsioni visive nei selfie.
In definitiva, il messaggio per i dirigenti bancari e i professionisti della sicurezza informatica è chiaro: non esiste una soluzione miracolosa. La biometria ha portato un livello di sicurezza superiore rispetto alle password tradizionali, tanto che le truffe si sono concentrate principalmente sull'inganno delle persone, piuttosto che sulla violazione degli algoritmi.
Tuttavia, i truffatori sfruttano ogni possibile scappatoia, umana o tecnologica, per eludere i sistemi biometrici. La risposta adeguata prevede tecnologie all'avanguardia costantemente aggiornate e un monitoraggio proattivo. Solo chi saprà evolvere le proprie difese alla stessa velocità con cui emergono nuove truffe sarà in grado di proteggere appieno i propri clienti nell'era dell'intelligenza artificiale dannosa.
Di Sylvio Sobreira Vieira, CEO e responsabile della consulenza presso SVX Consultoria.
