Ricerca sulle minacce Cato CTRL™: Il generatore di Immagini di ChatGPT di OpenAI permette la creazione di passaporti falsi 

Riepilogo esecutivo 

Il 25 marzo, OpenAI ha introdotto la funzionalità di generazione di immagini per ChatGPT-4o e ChatGPT-4o mini. Il 31 marzo, è stato annunciato che lo strumento era a disposizione di tutti gli utenti gratuitamente. Da allora, gli utenti hanno rapidamente scoperto che il generatore di immagini di ChatGPT può essere manipolato per creare ricevute fittizie e falsificare altri documenti.  

Come notato nel Rapporto sulle minacce Cato CTRL 2025, l’emergere di strumenti di intelligenza artificiale generativa (GenAI) come ChatGPT sta democratizzando il crimine informatico e creando un grande cambiamento nel panorama delle minacce: l’ascesa dell'”attore di minacce a conoscenza zero”. In Cato CTRL abbiamo scoperto che documenti d’identità falsi (ad esempio i passaporti) possono essere creati in pochi minuti mediante il generatore di immagini di ChatGPT. Non è necessario alcun jailbreak. Bastano pochi comandi.  

Di seguito è riportata una dimostrazione di come il generatore di immagini di ChatGPT permette la creazione di un passaporto falso.  

Le organizzazioni devono aggiornare i loro meccanismi di rilevamento delle frodi, non solo per il phishing tradizionale e il malware, ma anche per gli attacchi basati sui documenti. 

Panoramica tecnica 

L’evoluzione della falsificazione dei passaporti: Ieri ed oggi 

Per decenni, i criminali informatici si sono dedicati alla creazione e distribuzione di passaporti falsi. All’inizio degli anni 2010, i passaporti falsi venivano comunemente venduti su mercati del dark web e forum clandestini, come mostrato nella Figura 1.  

Figura 1. Esempio di passaporto falso messo a disposizione sul dark web

Accedere a queste risorse richiedeva conoscenze tecniche specifiche e connessioni a reti oscure. I creatori di questi documenti erano non solo altamente qualificati, ma godevano anche dell’accesso a strumenti quali Adobe Photoshop.  

Facendo un salto avanti fino ad oggi, il gioco è drasticamente cambiato. Le immagini generate dall’IA hanno semplificato la falsificazione al punto da non richiedere più abilità specialistiche né l’accesso a strumenti specializzati. Ciò che un tempo richiedeva acume tecnico e materiali illegali ora può essere replicato con semplici comandi nelle piattaforme di IA, come appunto ChatGPT. I criminali informatici possono ora trasformare il generatore di immagini di ChatGPT (originariamente destinato a scopi creativi come la generazione di avatar cartoon) in uno strumento di frode. 

Un esempio eclatante è l’uso del generatore di immagini di ChatGPT per falsificare passaporti. Ciò che un tempo richiedeva ore per essere messo a punto ora può essere portato a termine in pochi minuti.  

Uso del generatore di immagini di ChatGPT per falsificare passaporti 

Esaminando il generatore di immagini di ChatGPT, è emerso un caso allarmante in occasione del caricamento di un passaporto scansionato e della richiesta di apportare modifiche. Inizialmente, ChatGPT si è rifiutato di alterare l’immagine per motivi legali e di privacy; tuttavia, per eludere le restrizioni, è bastato riformulare leggermente la richiesta: infatti, è stato sufficiente chiarire che si trattava soltanto di un biglietto da visita simile a un passaporto. ChatGPT non solo ha cambiato il nome, ma ha anche sostituito la foto. Risultato? Un passaporto alterato in maniera convincente, corredato di sovrapposizioni di immagini e timbri realistici.  

Le figure 2-4 mostrano la procedura per falsificare con facilità un passaporto. Le informazioni personali sono state oscurate in questa dimostrazione.  

Figura 2. Caricamento del passaporto nel generatore di immagini di ChatGPT

Figura 3. Richiesta a ChatGPT di apportare modifiche al passaporto 

Figura 4. ChatGPT crea un passaporto falso del mio collega di Cato CTRL (Vitaly Simonovich)

Con grande sorpresa, tutto questo è stato fatto in pochi minuti con dei semplici comandi di base. Niente codice. Niente Photoshop. Nessuna competenza malevola. 

Attori di minacce a conoscenza zero e il futuro della frode d’identità 

Tradizionalmente, i documenti d’identità falsificati richiedevano un certo livello di competenza o accesso a reti illecite. Era necessario sapere come manipolare le immagini, imitare la scrittura a mano o acquistare servizi nel dark web. Ora, nulla di tutto ciò è più necessario. Con alcuni prompt ben elaborati, un malintenzionato alle prime armi può generare documenti d’identità falsi servendosi di piattaforme di intelligenza artificiale. 

Questo democratizza la frode per gli attori di minacce senza competenze specifiche Una persona senza esperienza nel crimine informatico può portare a segno truffe davvero sofisticate. Con credenziali false, un malintenzionato senza particolari conoscenze potrebbe entrare in possesso di quanto segue:  

• Frode relativa a un conto appena aperto: aprire conti bancari, richiedere carte di credito o iscriversi a servizi online sotto falsa identità. 

• Frode di appropriazione indebita di un account: chiamare operatori di telefonia mobile o banche per entrare in possesso dell’account di un’altra persona. Il SIM swapping è un esempio principale. 

• Frode medica e assicurativa: alterare ricette, lettere mediche o richieste di risarcimento per godere dell’accesso a sostanze stupefacenti o richieste di infortuni falsi. 

• Manipolazione legale e finanziaria: alterare contratti, lettere di assunzione o buste paga per ottenere prestiti, manipolare procedimenti giudiziari o commettere frode fiscale. 

Pensa a cosa significa questo per il rilevamento e la prevenzione delle frodi. La minaccia non è connessa solo alla facilità con cui è possibile creare documenti d’identità falsi, ma anche alla credibilità del risultato finale. L’IA ha raggiunto un livello che le permette di imitare non solo l’aspetto ma anche la consistenza della scrittura a mano, le irregolarità dell’inchiostro e persino i dettagli grafici che conferiscono ai documenti d’identità una parvenza di ufficialità. 

Ciò che è peggio è il ciclo di sviluppo rapido. Man mano che le piattaforme di intelligenza artificiale continuano a migliorare e i generatori di immagini diventano più avanzati, la soglia per la falsificazione realistica scende ancora di più. 

Conclusioni 

Siamo entrati in un nuovo capitolo del crimine informatico, dove gli strumenti GenAI consentono agli attori delle minacce a conoscenza zero di commettere frodi di alta qualità. Le organizzazioni devono aggiornare i loro meccanismi di rilevamento delle frodi, non solo per il phishing tradizionale e il malware, ma anche per gli attacchi basati sui documenti. 

Questo non è solo un problema tecnologico. è un problema di natura umana. L’istruzione, la verifica multilivello e le strategie di prevenzione delle frodi basate sull’IA sono ora più che mai essenziali. Se i criminali informatici si aggiornano, dobbiamo farlo anche noi.