Deepfake nelle aziende: le minacce più comuni e come prevenirle

Gli attacchi fondati su ingegneria sociale e tecniche di intelligenza artificiale a danno di organizzazioni economiche sono sofisticati e da non sottovalutare, come emerge tra l’altro anche dal rapporto CLUSIT 2020.

Proviamo di seguito a esaminare i profili di sicurezza rilevanti nel settore e delle possibili contromisure, con un’attenzione particolare per gli attacchi di tipo spearphishing, CEO fraud e vishing basati su tecnologia deepfake.

Deepfake, conoscerlo per non cadere nella trappola: rischi e potenzialità

Le minacce deepfake in ambito corporate

Come raccomanda il rapporto CLUSIT del 2020 (^[1]), una recente tendenza da tenere monitorata per la cybersecurity in ambito corporate è l’uso di file audio, fotografici e/o video sintetizzati con tecnologie di autoencoding (^[2]) o di Generative Adversarial Networks (^[3]) nel campo dell’IA.

Attualmente, le architetture denominate StyleGAN (^[4]) e StyleGAN 2 (^[5]) consentono di generare contenuti visivi estremamente accurati. I file fotografici così sintetizzati possono sia consistere in una sovrapposizione di volti su corpi differenti (“face swap”), sia in immagini originali (“image-generation”). Per quanto riguarda i file di tipo audio, con tale tecnologia possono essere realizzati nuovi contenuti ( “speech synthesis”), come vocali che imitano la voce altrui (voice mimicking).

Calato nell’attuale contesto del cybercrime finanziario, che oramai assume una struttura organizzata e una dimensione transnazionale, la minaccia deepfake ha destato l’allarme di autorità garanti, organismi sovranazionali ed agenzie europee per la sicurezza informatica, proprio per le annesse potenzialità di attacco.

In un recente studio (^[6]), l’Europol ha evidenziato come il deepfake ben si presti a perfezionare reati di frode e di estorsione; aggirare sistemi di identificazione bancari; falsificare documenti di identificazione; falsificare l’identità digitale; perfezionare reati di furto di identità e/o di cosiddetta impersonificazione (“impersonation”); perpetrare attacchi reputazionali. In senso analogo, l’autorità garante per la protezione dei dati personali italiana ha emanato una scheda informativa, sottolineando i principali rischi derivanti dall’utilizzo di questa tecnologia, specialmente in un contesto di cybercrime per la commissione di attacchi informatici di tipo phishing, spoofing e ransomware, nonché di utilizzo della stessa per ingannare i sistemi di sicurezza basati sul trattamento di dati biometrici (come il riconoscimento facciale e/o vocale), invitando alla massima attenzione (^[7]).

Attenti alle impronte digitali sullo smartphone: come vengono copiate e i rischi

Le prospettive di un mercato in crescita e sempre più accessibile

In prospettiva, gli attacchi fondati sulla combinazione di tecniche di ingegneria sociale e di Intelligenza Artificiale come il deepfake saranno destinati a crescere in modo sostenuto, soprattutto in ambito corporate. La stima è dovuta a diversi fattori:

• il ricorso a software opensource per la sintesi dei file deepfake;
• la presenza di marketplace online ove acquistarli o commissionarli;
• lo sviluppo di applicativi per smartphone con cui si possono semplicemente creare (^[8]).

Si può dunque parlare di un processo di commodification dei deepfake, se non, addirittura, di deepfake-as-a-service, essendosi creato un mercato illecito annesso (^[9]). Perciò è ragionevole essere cauti innanzi al fenomeno in questione: quanto più tale tecnologia diviene nota al grande pubblico e capace di sintetizzare contenuti convincenti, tanto più i cybercriminali non necessiteranno di elevate conoscenze e competenze da un punto di vista tecnico e, dunque, i deepfake diventeranno degli efficaci strumenti di attacco per le organizzazioni economiche target.

La consapevolezza della vulnerabilità della natura umana alle tecniche di ingegneria fondamentale è essenziale per comprendere nella sua interezza e complessità la pericolosità degli attacchi fondati sul ricorso al deepfake (^[10]), che non soltanto mina la capacità di distinguere ciò che è falso da ciò che è vero, bensì di fidarsi di ciò che è effettivamente reale, verificandosi quel paradosso del cosiddetto liar’s dividend (^[11]).

Il deepfake e i possibili cyber attacchi

L’utilizzo della tecnologia deepfake può consentire agli attacchi di spear phishing e di whaling di raggiungere livelli di realismo e di sofisticatezza senza precedenti. Questo è dovuto alle specifiche tecniche delle Generative Adversarial Networks (GANs), che consentono di generare dei file fotografici contenenti ritratti estremamente realistici di volti umani, dopo un processo di apprendimento di tipo avversariale.

Intelligenza artificiale: a chi spetta definire l’etica? La risposta dei ricercatori

Tali contenuti possono essere generati con

• software opensource o software comunque disponibili in repositories sul web;
• applicativi installabili su dispositivo mobile;
• tramite appositi siti web e/o commissionati nei marketplace.

Solo un osservatore particolarmente attento e consapevole può essere in grado di riconoscere fotografie deepfake, prestando attenzione agli eventuali artefatti presenti nel file, come si può verificare praticamente consultando i siti web registrati con il dominio “thispersondoesnotexist” (^[12]) e “whichfaceisreal” (^[13]). Inoltre, non è scontato poter ricorrere a tecniche di forensics, dato che il caricamento dei file fotografici su piattaforme di social media comporta una notevole compressione e, quindi, deterioramento delle relative qualità. Come noto, si sono registrati degli episodi di spear phishing e di whaling tentati a mezzo social network. In un caso noto, gli attaccanti avevano creato due falsi profili, rispettivamente uno su Twitter ed un altro su Linkedin, riferibili alla presunta “Maisy Kinsley”, giornalista presso il quotidiano Bloomberg, utilizzando come immagine del profilo una fotografia generata con le GANs. Gli attaccanti, successivamente, hanno utilizzato tali falsi profili per entrare in contatto con 195 venditori allo scoperto della nota società Tesla (^[14]), tentando di collegarsi con i professionisti all’interno di Linkedin. Lo scopo dell’attacco era l’acquisizione di informazioni riservate come di trade secret della società vittima, in un vero e proprio coordinato tentato spionaggio industriale. I profili falsi sono stati segnalati dagli utenti e, tempestivamente, rimossi dalle piattaforme: la testata giornalistica Bloomberg ha confermato di non aver mai collaborato con una giornalista di nome Maisy Kinsley, la cui identità è stata svelata come fittizia, un mero eppur pericoloso deepfake. Questa vicenda dimostra come l’impiego della tecnologia deepfake possa notevolmente supportare il perfezionamento di attacchi di spear phishing e di whaling¸ eventualmente anche di attacchi di tipo BEC (Business Email Compromise), rendendo le richieste degli attaccanti estremamente più convincenti, realistiche ed autorevoli agli occhi dei target inconsapevoli.

Esempi di Ceo fraud

Anche gli attacchi di tipo CEO fraud possono raggiungere una svolta significativa con il ricorso alla tecnologia deepfake, che può consentire agli attaccanti di rendere il contenuto veicolato, come un’email, ma soprattutto un messaggio a mezzo social network ed una telefonata convincenti e realistici. È particolarmente significativo un caso riportato di CEO fraud e di vishing, portato a termine grazie alle GANs, avvenuto nel marzo 2019 ai danni di una società di energia con sede nel Regno Unito (^[15]). Gli attaccanti sono riusciti a ricreare, con tecniche di voice-mimicking, la voce di un amministratore delegato, riproducendone non soltanto il timbro, bensì l’accento straniero mentre interagiva in inglese con la vittima, l’amministratore della società inglese. Quest’ultima, convinta dalla verosimiglianza del contenuto audio, ha permesso ai propri dipendenti di autorizzare con urgenza un ingente bonifico bancario verso un conto corrente ungherese ammontante circa 200.000 sterline (approssimativamente 250.000 euro) (^[16]). Successivamente l’attacco, è stato reso noto che Euler Hermes, la società d’assicurazioni francese della società target, ha coperto la perdita nei termini previsti dalla polizza fortunatamente stipulata. Tuttavia, si segnala come non si siano più avuti aggiornamenti né sull’identificazione dei responsabili dell’attacco, come la somma fraudolentemente acquisita non sia stata ad oggi recuperata.

Evidentemente, il ricorso alle GANs ha, dunque, consentito anche agli attacchi informatici di tipo vishing, innalzandone il livello di realismo, di credibilità e, quindi, di pericolosità. Nel caso sopramenzionato, la vittima, un amministratore delegato di una società energetica del Regno Unito, è stata convinta, con una voce sintetizzata che riproduceva accuratamente il timbro e l’accento di quella di un altro manager, a compiere un ingente atto di disposizione patrimoniale, nel corso di una conversazione telefonica, proprio grazie ad un audio deepfake (^[17]). Indubbiamente, questo è il caso che ha riscosso maggior attenzione, anche mediatica, sulla potenzialità di tale tecnologia per la commissione di attacchi di tipo vishing. Tale attacco, tuttavia, non è l’unico del suo genere in ambito corporate: in un altro episodio, altrettanto inquadrabile come CEO fraud, l’attaccante ha travisato la propria identità, fingendosi un amministratore delegato di un’importante società finanziaria, per poi telefonare al dipendente della società target richiedendo la disposizione di un bonifico bancario ammontante a 10 milioni di dollari a favore di un fittizio fornitore con urgenza. In questo caso, oltre alle tecniche di voice-mimicking consentite dall’uso della tecnologia deepfake¸ l’attaccante ha sfruttato l’ingegneria sociale, poiché il dipendente, sentendosi pressato dal presunto suo superiore, ha tempestivamente soddisfatto la richiesta (^[18]).

A causa della diffusione delle tecniche di autenticazione mediante riconoscimento facciale, fondato sul trattamento di dati biometrici degli utenti, si possono ipotizzare dei rilevanti scenari di rischio dall’uso potenziale del deepfake per aggirare tali sistemi, anche in ambito corporate.

Non è peregrino, inoltre, considerare in tale sede anche il riconoscimento facciale per l’ingresso fisico nei locali della società tramite sistemi di riconoscimento di badge identificativi. Difatti, una potenzialità della tecnologia deepfake per attacchi informatici problematici da una prospettiva di cybersecurity che, tuttavia, ha ricevuto scarsa attenzione mediatica, specialmente nel contesto corporate, è data da cosiddetti attacchi di tipo morphing o di face-morphing, in grado di aggirare proprio i sistemi di riconoscimento facciale.

L’uso delle architetture GANs consente, ad esempio, ad un documento identificativo di poter essere contemporaneamente riconducibile a più soggetti, tramite un processo che “fonde” le relative immagini fotografiche in una sola, che conserva delle somiglianze alle persone ivi ritratte. Inoltre, preme sottolineare come tale tecnologia GANs sia in grado di ingannare non soltanto un osservatore umano, bensì appunto sistemi di intelligenza artificiale retrostanti i sistemi di riconoscimento facciale biometrico (^[19]). Si stima come sia esaminatori umani appositamente addestrati a riconoscere contenuti di tipo morphing, sia sistemi tecnologici utilizzati solitamente per identificarli siano inclini a un elevato tasso di errore (^[20]). È stato, quindi, evidenziato il rischio di problematiche di sicurezza in contesti come

• autorità emittenti documenti di identità,
• controlli di sicurezza alle frontiere,
• procedure di verifica dell’identità personale (^[21]).

Anche in ambito corporate sarà doveroso prestare attenzione a queste peculiari applicazioni della tecnologia deepfake per aggirare sistemi di autenticazione, accedere abusivamente ai sistemi informativi ed, eventualmente, carpire con successo informazioni sensibili della società target.

Come evidenziato dall’Europol e dall’Autorità garante per la protezione dei dati personali, la tecnologia deepfake potrà facilitare condotte di furto di identità e di impersonificazione, che possono costituire un rischio importante sotto un profilo di cybersecurity per una società, perché preliminari a eventuali attacchi fondati su tecniche di ingegneria sociale o, persino, per compiere atti di manipolazione del mercato (^[22]). Ad esempio, un contenuto deepfake ritraente un soggetto ricoprente un ruolo apicale all’interno dell’organizzazione economica e/o svolgente funzioni critiche potrebbe facilitare l’acquisizione di trade secrets, segreti commerciali e/o industriali, come anche di dati particolari, traendo in inganno i dipendenti per condividere tali informazioni con gli attaccanti. Naturalmente, questo tipo di attacco di ingegneria sociale potrebbe poi influenzare il valore finanziario ed azionario della società target. Ancora, basti pensare alla sintesi di un video, tramite architetture GANs, che ritragga un amministratore delegato di una società diffondere false informazioni sull’andamento della stessa, così da influenzare l’andamento del mercato e/o danneggiare la società stessa.

Deepfake e possibili contromisure in ambito corporate

Dato lo stato dell’arte attuale dell’evoluzione della tecnologia deepfake, è logico considerare come le organizzazioni economiche intraprenderebbero un’iniziativa opportuna a dotarsi delle adeguate e specifiche contromisure per fronteggiare tale minaccia.

Risulta sicuramente imprescindibile che in ambito societario parte del budget venga destinato alla formazione interna del personale a livello trasversale, coinvolgendo i vertici dell’amministrazione, i soci, come i dipendenti ed i collaboratori, specialmente se non sono già sensibili ai temi della sicurezza informatica per mansioni svolte e/o estranei ai reparti di I.T.

La diffusione di policy interne di sicurezza costituisce un altro elemento essenziale nel quadro delle contro-misure: tali documenti non soltanto dovrebbero essere conservati ed aggiornati costantemente ma, soprattutto, consultati ed implementati praticamente, mediante l’adozione di comportamenti virtuosi e di buone pratiche di cybersecurity, specificamente mirate a prevenire attacchi di tipo deepfake.

A titolo esemplificativo, la policy mirata sullo spear phishing potrebbe prevedere l’obbligo per l’utente di non rispondere nonché di segnalare tempestivamente al CED messaggi di posta elettronica non previsti, oppure contenenti richieste caratterizzate da inusuale urgenza, pressione, richieste di particolare confidenzialità, contraddittorie a procedure interne, promesse di guadagno, di ricompensa, di promozioni, con allegati file di tipo deepfake (^[23]). La medesima policy potrebbe altresì suggerire all’utente di passare con il cursore del mouse sopra il nome visualizzato come indirizzo email del mittente per rivelare quello realmente utilizzato, controllare eventuali errori di battitura che modificano la dicitura delle parole (come outloook.com anziché outlook.com), controllare la presenza di link nascosti (^[24]).

Per quanto concerne la prevenzione del vishing, potrebbero essere organizzate innanzitutto delle specifiche sessioni di formazione e di sensibilizzazione interna alla società, anche mediante il confronto con casi concretamente avvenuti, facendo affidamento ad esperti e/o società di consulenza, che potrebbero altresì organizzare delle successive attività di verifica a campione. Inoltre, potrebbero essere diffuse internamente delle policy contenenti linee guida di comportamento perché gli utenti sviluppino abitudini virtuose, come

• non sentirsi obbligati a rispondere ad una telefonata, specialmente se non si riconosce il numero identificativo (del resto, le telefonate importanti sono tendenzialmente concordate in anticipo, come ad eventuali chiamate urgenti seguono dei messaggi lasciati in segreteria/messaggistica);
• non ritenere affidabile e credibile una telefonata in arrivo soltanto perché sembri provenire da un utente registrato in rubrica, in quanto gli attaccanti potrebbero ricorrere a delle tecniche di spoofing. In ambito corporate, potrebbe essere inoltre utile prevedere internamente l’installazione nei dispositivi mobili di applicativi di blocco delle telefonate in arrivo di spam come la sottoscrizione di appositi servizi a pagamento per prevenirle.

Per prevenire, soprattutto in ambito social, attacchi basati su ingegneria sociale esterna, le organizzazioni economiche potrebbero opportunamente investire in attività di formazione delle minacce deepfake in tale contesto, raccomandando la massima prudenza (^[25]). In particolare, il personale dovrebbe essere adeguatamente sensibilizzato a sviluppare una serie di comportamenti ed accorgimenti di cautela, come controllare preventivamente l’identità e l’affidabilità dei soggetti che tentano di creare un collegamento con il proprio account di social media ed assumere una linea comportamentale di massima diffidenza nei confronti di richieste di soggetti non verificati. Un’ulteriore misura concretamente implementabile all’interno dell’organizzazione economica è l’introduzione dell’obbligo di autenticazione a due fattori tramite app authenticator per regolare l’accesso agli account di social media della stessa, soprattutto per prevenire azioni di ingegneria sociale e di manipolazione del mercato. In tal senso, la policy potrebbe anche prevedere specifici obblighi e compiti dei social media manager degli account societari, come la vigilanza del corretto funzionamento degli stessi, l’obbligo di segnalazione ai referenti privacy interni ed agli amministratori delle pagine social di anomalie riscontrate ed anche solo di potenziale compromissione della sicurezza degli tali account.

Conclusioni

In ultima analisi, i rischi di un attacco deepfake in ambito corporate sono molteplici e possono andare ad impattare significativamente sulla sicurezza della società, sulla reputazione online della stessa e, quindi, sul valore del marchio. Per prevenire questi rischi, un accorgimento essenziale sarà la stipulazione di specifiche polizze assicurative contro il cyber risk derivante dall’abuso della tecnologia deepfake, con contestuale verifica da parte della società dell’effettiva copertura indennitaria. Sarà poi fondamentale destinare parte del bilancio ad una trasversale attività di formazione del personale, con un programma mirato, che sottolinei le peculiarità di questi attacchi informatici emergenti. È indubbio che le iniziative di sensibilizzazione dei lavoratori costituiranno il cuore di una strategia a lungo termine per mettere in sicurezza i dati e le informazioni sensibili societarie, per limitare la minaccia del deepfake in ambito corporate.

Bibliografia

1. Cfr. F. Bertoni (2020). “L’impatto dei deepfake sulla sicurezza delle organizzazioni economiche”. Rapporto CLUSIT 2020 sulla sicurezza ICT in Italia, pp. 155-171. ↑
2. Per un approfondimento tecnico sulla tecnologia autoencoder, cfr. T. T. Nguyen, C. M. Nguyen, D. T. Nguyen, S. Nahavandi, (2020). “Deep Learning for Deepfakes Creation and Detection: A Survey”, in Computer Vision and Pattern Recognition. Disponibile all’URL: <https://arxiv.org/pdf/1909.11573.pdf>. ↑
3. Trattasi di una classe di deep learning teorizzata in I. Goodfellow, J. Pouget-Abadie, M. Mirza, B. Xu, D. Warde-Farley, S. Ozair, A. Courville, & Y. Bengio (2014). “Generative Adversarial Nets”. Advances in Neural Information Processing Systems, 2672–2680. ↑
4. T. Karras, S. Laine, & T. Aila (2019). “A style-based generator architecture for generative adversarial networks”. Proceedings of the IEEE Conference on Computer Vision and Pattern Recognition, 4401–4410. ↑
5. T. Karras, S. Laine, M. Aittala, A. Hellsten, J. Lehtinen, & T. Aila (2020). “Analyzing and improving the image quality of StyleGAN”. Proceedings of the IEEE Conference on Computer Vision and Pattern Recognition, 8110–8119. ↑
6. Cfr. United Nations Interregional Crime and Justice Research Institute, Europol’s European Cybercrime Centre, Malicious Uses and Abuses of Artificial Intelligence, Trend Micro research, 19 novembre 2020), p. 52, disponibile al link https://www.europol.europa.eu/publications-documents/malicious-uses-and-abuses-of-artificial-intelligence (sito web online e consultato il 2 aprile 2021). ↑
7. Cfr. il documento “Deepfake: dal Garante una scheda informativa sui rischi dell’uso malevolo di questa nuova tecnologia”, Doc. Web. 9512278, 28 dicembre 2020, disponibile al link https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9512278 (sito web online e consultato il 2 aprile 2021). ↑
8. Tra gli applicativi più noti, vi sono FakeApp, FaceApp e Zao. Cfr. A. Robertson, 2018. The Verge. “I’m using AI to face-Swap Elon Musk and Jeff Bezos, and I’m really bad at it”, disponibile al link https://www.theverge.com/2018/2/11/16992986/fakeapp-deepfakes-ai-face-swapping (sito web online e consultato il 2 aprile 2021). Cfr. A. Carman, 2019. The Verge. “FaceApp is back and so are privacy concerns”, disponibile al link https://www.theverge.com/2019/7/17/20697771/faceapp-privacy-concerns-ios-android-old-age-filter-russia (sito web online e consultato il 2 aprile 2021). Cfr. Agence france-presse, 2019. The Guardian. The Guardian. “Chinese deepfake app Zao sparks privacy row after going viral”, disponibile al link https://www.theguardian.com/technology/2019/sep/02/chinese-face-swap-app-zaotriggers-privacy-fears-viral (sito web online e consultato il 2 aprile 2021). ↑
9. La diffusione di strumenti e servizi per realizzare contenuti di tipo deepfake illegali o, comunque, pregiudizievoli per gli interessati potrebbe a tutti gli effetti rappresentare un mercato sotterraneo redditizio. Attualmente, numerosi servizi per la creazione di tali contenuti sono offerti in differenti marketplace e forum online a prezzi contenuti, come analizzato in M. Rosario Fuentes. (2020). Trend Micro. Shifts in Underground Markets: Past, Present, and Future, disponibile all’indirizzo https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/trading-in-the-dark (sito web online e consultato il 6 aprile 2021). Si stima, inoltre, che sarà in crescita anche il mercato relativo all’offerta di strumenti e di servizi online di noleggio. ↑
10. Per un inquadramento tassonomico degli attacchi informatici fondati su deepfake, cfr. S. Bonavita, A. Cortina, E. Stringhi, “Conosci il tuo nemico: un primo approccio tassonomico ai principali attacchi informatici nel settore del cybercrime bancario e finanziario”, in Ciberspazio e Diritto, vol. 21, n. 66 (3-2020), pp. 457-501. ↑
11. Per una definizione del c.d. liar’s dividend, cfr. Chesney, Citron, Farid (2020). “All’s Clear for Deepfakes: Think Again”, Lawfare: Hard National Security Choices, disponibile all’indirizzo <https://www.lawfareblog.com/alls-clear-deepfakes-think-again> (sito web online e consultato il 7 aprile 2021). ↑
12. Sito web disponibile all’URL <https://thispersondoesnotexist.com/> (online e consultato il 7 aprile 2021). ↑
13. Sito web disponibile all’URL <https://www.whichfaceisreal.com/> (online e consultato il 7 aprile 2021). ↑
14. Per approfondire la vicenda di tale tentato attacco con il deepfake, cfr. F. Bertoni (2020). “L’impatto dei deepfake sulla sicurezza delle organizzazioni economiche”. Rapporto CLUSIT 2020 sulla sicurezza ICT in Italia, pp. 155-171; H. Ajder, G. Patrini, F. Cavalli, L. Cullen (2019). The State of Deepfakes: Landscape, Threats, and Impact. ↑
15. J. Damiani (2019). Forbes. “A Voice Deepfake Was Used To Scam A CEO Out Of $243,000.” Disponibile all’URL: <https://www.forbes.com/sites/jessedamiani/2019/09/03/a-voice-deepfake-was-used-to-scam-a-ceo-out-of-243000/#5b10b1802241> (sito web online e consultato il 7 aprile 2021). ↑
16. Appare utile sottolineare come ↑
17. H. Ajder, G. Patrini, F. Cavalli, & L. Cullen (2019). The State of Deepfakes: Landscape, Threats, and Impact. Cfr. altresì G. Ziccardi, P. Perri. Dizionario Legal Tech: Informatica Giuridica, Protezione dei Dati, Investigazioni Digitali, Criminalità Informatica, Cybersecurity e Digital Transformation Law, Milano, Giuffré Francis Levebvre, 2020, p. 334. ↑
18. Cfr. F. Bertoni (2020). “L’impatto dei deepfake sulla sicurezza delle organizzazioni economiche”. Rapporto CLUSIT 2020 sulla sicurezza ICT in Italia, pp. 155-171. ↑
19. N. Damer (2018). “MorGAN: Recognition Vulnerability and Attack Detectability of Face Morphing Attacks Created by Generative Adversarial Network.” DOI: 10.1109/BTAS.2018.8698563. ↑
20. University of Lincoln. (Aug. 1, 2019). ScienceDaily. “Two fraudsters, one passport: Computers more accurate than humans at detecting fraudulent identity photos.” Disponibile all’URL <www.sciencedaily.com/releases/2019/08/190801104038.htm>; N. Damer (2019). Fraunhofer IGD. “Face morphing: a new threat?” Disponibile all’URL: <https://www.igd.fraunhofer.de/en/press/annual-reports/2018/face-morphing-a-new-threat>; D. J. Robertson et al. (2018). Springer Nature. “Detecting morphed passport photos: a training and individual differences approach.” Disponibile all’URL: <https://cognitiveresearchjournal.springeropen.com/articles/10.1186/s41235-018-0113-8>; R. S.S. Kramer et al. (2019). Springer Nature. “Face morphing attacks: Investigating detection with humans and computers.” Disponibile all’URL: <https://link.springer.com/article/10.1186/s41235-019-0181-4?error=cookies_not_supported&code=bffbdaef-92aa-47c2-b4c1-37a7a51dd341>. ↑
21. D. J. Robertson, et al. (2018). Springer Nature. “Detecting morphed passport photos: a training and individual differences approach.” Disponibile all’URL: <https://cognitiveresearchjournal.springeropen.com/articles/10.1186/s41235-018-0113-8>.M. Ferrara, A. Franco, D. Maltoni. (2014). ResearchGate. “The magic passport.” Disponibile all’URL: <https://www.researchgate.net/publication/283473746_The_magic_passport>. ↑
22. Cfr. F. Bertoni (2020). “L’impatto dei deepfake sulla sicurezza delle organizzazioni economiche”. Rapporto CLUSIT 2020 sulla sicurezza ICT in Italia, pp. 155-171. ↑
23. Per approfondire ulteriormente questo aspetto, cfr. Europol European Cybercrime Centre, op. cit., p. 14. ↑
24. Sul punto, cfr. Europol European Cybercrime Centre, op. cit., p. 21. ↑
25. Per una prospettiva pioneristica sulla social media security, cfr. S. Bonavita, M. Reggiani, C. Bernardi, “Social Media Security: una introduzione teorica ed un possibile approccio”, in Ciberspazio & Diritto, Mucchi, 2014. ↑