Interviste
Faryam Asif, Chief Technology Officer presso Shufti – Serie di Interviste

Faryam Asif, Chief Technology Officer presso Shufti è un dirigente tecnologico specializzato nella verifica dell’identità basata su AI, nella prevenzione delle frodi e nell’onboarding digitale sicuro. Da quando è entrato in Shufti come sviluppatore software nel 2018, ha ricoperto diversi ruoli di leadership prima di diventare Chief Technology Officer nel 2025, supervisionando la strategia tecnologica dell’azienda e lo sviluppo della sua piattaforma globale di verifica dell’identità. È anche Chief Development Officer presso Programmers Force, portando una vasta esperienza in ingegneria del software, sviluppo di prodotto e leadership tecnologica.
Shufti è una piattaforma globale di verifica dell’identità e conformità che offre soluzioni di KYC, KYB, AML e prevenzione delle frodi basate su AI per istituzioni finanziarie, fintech, piattaforme di criptovalute, marketplace e altre industrie regolamentate. Operante in più di 240 paesi e territori, l’azienda combina verifica biometrica, autenticazione dei documenti, rilevamento della vitalità e analisi del rischio guidata dall’AI per aiutare le organizzazioni a semplificare l’onboarding dei clienti, soddisfare i requisiti normativi e difendersi dalle frodi digitali sempre più sofisticate.
Hai iniziato a lavorare per Shufti nel 2018 come sviluppatore software e da allora hai contribuito a costruire e scalare l’infrastruttura di verifica dell’identità dell’azienda in una piattaforma globale. Come è evoluta la natura delle frodi d’identità in questo periodo e quali cambiamenti ti hanno sorpreso di più dal punto di vista della leadership tecnologica?
Quando sono entrato in Shufti nel 2018 come sviluppatore software, la maggior parte dei tentativi di frode era ancora relativamente manuale. Ci trovavamo a gestire documenti modificati, attacchi di presentazione e tecniche di spoofing piuttosto basilari. Negli ultimi sette anni, ho osservato l’evoluzione delle frodi da qualcosa che richiedeva notevoli sforzi e competenze a qualcosa che può essere generato su richiesta usando l’AI.
Ciò che mi ha sorpreso di più non è solo quanto le frodi siano diventate sofisticate, ma quanto siano diventate accessibili. L’AI generativa ha effettivamente democratizzato le frodi. Capacità che una volta richiedevano competenze specialistiche sono ora disponibili tramite strumenti di consumo. Come evidenziamo nel nostro Deepfake Fraud Index, le frodi si comportano sempre più come il software: una volta automatizzate, possono scalare rapidamente.
Due sviluppi spiccano. Il primo sono gli attacchi di iniezione, in cui gli aggressori aggirano completamente la fotocamera e inseriscono contenuti sintetici direttamente nel flusso di verifica. Il secondo è l’ascesa delle identità sintetiche, in cui persone generate dall’AI vengono create su larga scala per abusare dei sistemi di onboarding, ottenere servizi finanziari o facilitare il riciclaggio di denaro. La linea tra contenuto genuino e sintetico è diventata notevolmente più difficile da tracciare, e questo cambiamento ha trasformato radicalmente il modo in cui la verifica dell’identità deve essere affrontata.
Il Deepfake Fraud Index di Shufti prevede che i deepfake di documenti potrebbero aumentare di quasi il 3.900% nel 2026, rendendoli la categoria di frode basata su AI a più rapida crescita. Quali fattori stanno guidando questa crescita esplosiva e perché i frodatori stanno sempre più prendendo di mira i documenti anziché i volti o i flussi video?
Il nostro Deepfake Fraud Index prevede che i deepfake di documenti aumenteranno di quasi il 3.900% nel 2026, rendendoli la categoria di frode basata su AI a più rapida crescita. La crescita è guidata da due forze: il rapido avanzamento dell’AI generativa e la crescente accessibilità di strumenti che consentono a quasi chiunque di creare documenti falsi convincenti.
Ciò che una volta richiedeva competenze specialistiche di editing può ora essere realizzato tramite strumenti basati su AI capaci di generare passaporti, patenti di guida, bollette, estratti conto bancari e altri documenti di onboarding realistici. Allo stesso tempo, molti sistemi di verifica legacy si basano ancora fortemente su OCR e sul confronto di template. Possono leggere il testo e convalidare il layout, ma spesso faticano a determinare se il documento stesso è autentico.
I frodatori prendono di mira i documenti perché rappresentano il percorso di minor resistenza. Superare un moderno sistema di vitalità richiede di aggirare più livelli di rilevamento, mentre molti flussi di lavoro basati su documenti rimangono dipendenti da tecniche di validazione relativamente semplici. Inoltre, un documento manipolato può spesso essere riutilizzato in più istituzioni e processi di onboarding, offrendo un ritorno sull’investimento molto più elevato per gli aggressori.
La crescita che osserviamo è in ultima analisi una riflessione dell’economia delle frodi. Gli aggressori puntano costantemente al controllo più debole in un processo di verifica e, per molte organizzazioni, i documenti rimangono quel punto più vulnerabile.
Il rapporto identifica le identità sintetiche come la più grande categoria di frode guidata da AI, rappresentando più del 40% dell’attività fraudolenta AI. Perché le identità sintetiche sono diventate un vettore di attacco così efficace e cosa le rende particolarmente pericolose per le istituzioni finanziarie e le piattaforme crypto?
Le identità sintetiche sono diventate efficaci perché sfruttano una debolezza fondamentale in molti sistemi di verifica: appaiono legittime quando i singoli dati vengono valutati isolatamente.
Storicamente, le identità sintetiche combinavano spesso informazioni reali e fabricate. Quello che stiamo vedendo sempre più è identità generate dall’AI basate su volti e persone sintetiche che non sono mai esistite. Il nostro Deepfake Fraud Index ha scoperto che le identità sintetiche rappresentano il 42,3% dell’attività fraudolenta guidata da AI, rendendole la più grande categoria di frode d’identità basata su AI oggi.
Per le istituzioni finanziarie, i fintech e le piattaforme crypto, il rischio è significativo perché un onboarding riuscito fornisce spesso un accesso immediato al valore finanziario. Una volta che un’identità sintetica entra nell’ecosistema, può essere usata per aprire conti, accedere al credito, richiedere incentivi, spostare fondi o facilitare attività di riciclaggio di denaro.
Ciò che rende le identità sintetiche particolarmente pericolose è la loro persistenza. Le frodi tradizionali vengono spesso rilevate rapidamente perché coinvolgono una vittima reale. Le identità sintetiche possono rimanere attive per mesi o addirittura anni prima di essere scoperte. Quando vengono rilevate, le perdite finanziarie possono già essere consistenti e spesso non esiste una persona reale dietro l’account da perseguire.
Le piattaforme di scambio di criptovalute, le piattaforme di asset digitali e le aziende fintech spesso si affidano molto all’onboarding remoto. Quali settori ritieni siano attualmente i più esposti alla frode d’identità basata su AI e dove le organizzazioni sottovalutano ancora la minaccia?
I settori più esposti sono quelli che combinano onboarding completamente remoto con accesso immediato al valore finanziario. Ciò include scambi di criptovalute, piattaforme di asset digitali, banche digitali, fintech, prestatori online, fornitori di acquisto-ora-paga-dopo e operatori iGaming.
Il fattore comune è che superare con successo l’onboarding fornisce accesso a denaro, credito, portafogli, infrastrutture di pagamento o asset trasferibili. Questo crea un forte incentivo per gli aggressori.
Dove le organizzazioni continuano a sottovalutare la minaccia è nella loro dipendenza da assunzioni di verifica legacy. Molte operano ancora con la convinzione che se un documento corrisponde a un modello noto, debba essere genuino. Tale assunzione è sempre più pericolosa in un’epoca in cui l’AI può generare documenti altamente convincenti su larga scala.
Oltre ai settori tradizionali ad alto rischio, credo anche che i marketplace, le piattaforme dell’economia dei lavori occasionali e i fornitori di finanza integrata sottovalutino la loro esposizione. Man mano che gli strumenti di frode diventano più accessibili, qualsiasi piattaforma che si affida all’instaurazione di fiducia remota diventa un potenziale bersaglio.
Molte aziende continuano a fare affidamento sulla verifica basata su selfie come misura di sicurezza primaria. Il tuo rapporto sostiene che un singolo controllo selfie non è più sufficiente. Quali vulnerabilità esistono nei flussi di lavoro tradizionali di onboarding e come dovrebbe apparire la verifica dell’identità moderna nel 2026?
Un singolo selfie non è più sufficiente perché l’AI può generare volti umani realistici su richiesta. Se l’onboarding si basa principalmente su un controllo selfie, le organizzazioni potrebbero avere una visibilità limitata su se stanno interagendo con una persona reale, un falso o un’identità completamente sintetica.
I flussi di lavoro tradizionali di onboarding rimangono vulnerabili a attacchi di presentazione, replay video, deepfake, scambi di volti, attacchi di iniezione e identità sintetiche che combinano volti generati dall’AI con documenti manipolati. Gli aggressori non cercano più di ingannare un solo controllo; progettano attacchi specifici per sfruttare le debolezze lungo l’intero processo di onboarding.
La verifica dell’identità moderna deve essere a più livelli. Invece di fare affidamento su un unico segnale, le organizzazioni dovrebbero combinare tecnologie anti-spoofing certificate come la rilevazione di vitalità iBeta Level 3, il confronto facciale, la verifica dei documenti, il rilevamento di attacchi di iniezione, l’intelligenza dei dispositivi, l’analisi comportamentale e la verifica di database autorevoli, dove disponibili.
L’obiettivo non è semplicemente determinare se qualcuno sembra reale. L’obiettivo è stabilire se l’identità stessa è genuina, affidabile e costantemente collegata a un individuo reale attraverso molteplici segnali indipendenti.
La tecnologia deepfake sta avanzando rapidamente insieme ai modelli di AI generativa. I sistemi di rilevamento delle frodi stanno tenendo il passo o stiamo entrando in un periodo in cui gli aggressori hanno un vantaggio temporaneo rispetto ai difensori?
Si tratta davvero di una corsa agli armamenti, e sarei cauto nei confronti di chi afferma che la battaglia sia già stata vinta.
Gli aggressori beneficiano sicuramente del ritmo rapido dell’innovazione AI e della crescente disponibilità di strumenti generativi. Le organizzazioni che si affidano a tecnologie di verifica legacy sono già in svantaggio. In tali contesti, gli aggressori hanno spesso il sopravvento.
Allo stesso tempo, i sistemi di rilevamento moderni stanno evolvendo rapidamente. In tutto il settore, approcci forensi avanzati stanno diventando sempre più efficaci nell’identificare contenuti generati dall’AI analizzando artefatti di generazione, segnali di integrità della cattura, pattern di compressione, incoerenze biometriche e provenienza crittografica.
La realtà è che nessuna delle due parti ha un vantaggio permanente. Il successo dipende dall’adattabilità. La prevenzione delle frodi non può più fare affidamento su controlli statici; richiede modelli di rilevamento in continua evoluzione capaci di rispondere alle nuove tecniche di attacco man mano che emergono.
Il rapporto evidenzia tre principali metodi di attacco: attacchi di presentazione, attacchi di iniezione e creazione di identità sintetiche. Quale di questi vettori di attacco ti preoccupa di più e perché?
Se dovessi scegliere uno, sarebbe la creazione di identità sintetiche.
Gli attacchi di presentazione e gli attacchi di iniezione sono minacce serie, ma le identità sintetiche creano un problema più profondo e persistente perché attaccano il livello stesso dell’identità. L’obiettivo non è semplicemente aggirare una sessione di verifica; è stabilire un’identità fraudolenta capace di operare all’interno dell’ecosistema finanziario per un periodo prolungato.
Una volta che un’identità sintetica è stata inserita con successo, può essere usata per ottenere credito, creare conti mule, spostare fondi illeciti, sfruttare incentivi e facilitare crimini finanziari più ampi. In molti casi, queste identità rimangono non rilevate per lunghi periodi perché non c’è una vittima reale che segnala la frode.
Ciò che mi preoccupa di più è la scalabilità. In combinazione con l’AI generativa e i sistemi di onboarding automatizzati, le identità sintetiche possono essere create e distribuite in grandi quantità, creando rischi sistemici per le istituzioni finanziarie, i fintech e le piattaforme crypto.
Man mano che gli asset digitali diventano più mainstream e la vigilanza normativa aumenta a livello globale, come vedi la frode d’identità basata su AI influenzare i requisiti di conformità Know Your Customer (KYC) e Anti-Money Laundering (AML)?
La frode basata su AI sta accelerando il passaggio dalla verifica una tantum alla valutazione continua della fiducia.
Storicamente, il KYC era spesso considerato un esercizio di onboarding. Questo approccio diventa meno efficace quando identità sintetiche, deepfake e documenti generati dall’AI possono superare i controlli di verifica iniziali. Le organizzazioni hanno sempre più bisogno di monitorare la fiducia lungo l’intero ciclo di vita del cliente.
In pratica, ciò significa un’enfasi maggiore sull’analisi comportamentale, il monitoraggio delle transazioni, l’intelligenza dei dispositivi, il controllo continuo di sanzioni e PEP, e la correlazione del rischio tra conti. I programmi di conformità dovranno valutare continuamente se un account rimane affidabile dopo l’onboarding.
Credo anche che i regolatori richiederanno sempre più alle organizzazioni di dimostrare non solo che un’identità è stata verificata, ma come è stata verificata. L’auditabilità dei controlli d’identità, inclusa la prova che i rischi di frode generati dall’AI siano stati attivamente considerati e mitigati, diventerà una parte sempre più importante dei quadri di conformità KYC e AML.
I regolatori di tutto il mondo stanno iniziando a affrontare i rischi associati ai contenuti generati dall’AI e alla frode d’identità digitale. Quali cambiamenti normativi prevedi avranno il maggiore impatto su istituzioni finanziarie, fintech e aziende crypto nei prossimi anni?
I regolatori stanno iniziando a superare il trattamento della frode generata dall’AI come un problema generale di cybersicurezza e la stanno affrontando direttamente. Un esempio importante è l’EU AI Act, che introduce obblighi di trasparenza riguardo ai contenuti generati e manipolati dall’AI. Mi aspetto che in tutto il mondo emergano quadri simili man mano che i regolatori riconoscono che i deepfake e le identità sintetiche creano rischi che vanno oltre la gestione tradizionale delle frodi.
Prevedo anche requisiti più stringenti riguardo alla sicurezza biometrica, al rilevamento di attacchi di presentazione e ai controlli anti-spoofing. Standard come iBeta e i quadri di valutazione correlati a NIST avranno probabilmente un ruolo più importante nel dimostrare la conformità e l’efficacia della gestione del rischio.
Allo stesso tempo, normative sulla privacy come GDPR e CCPA continueranno a spingere l’industria verso la minimizzazione dei dati e modelli di verifica dell’identità che preservano la privacy. Questo potrebbe accelerare l’adozione di wallet di identità digitale, credenziali riutilizzabili e modelli di verifica basati su attributi che consentono alle organizzazioni di verificare affermazioni specifiche senza raccogliere dati personali non necessari.
Il risultato sarà un ambiente normativo più maturo in cui sicurezza, privacy e fiducia dovranno essere affrontati simultaneamente.
Guardando avanti di tre-cinque anni, credi che l’industria della verifica dell’identità vincerà alla fine la corsa agli armamenti contro le frodi basate su AI generativa, o la fiducia digitale richiederà un modello completamente nuovo oltre i tradizionali controlli d’identità?
Non credo che l’industria sconfiggerà le frodi basate su AI generativa usando solo la verifica tradizionale basata su documenti. La tecnologia continuerà a migliorare e gli aggressori continueranno ad adattarsi. Affidarsi esclusivamente a controlli documentali e alla verifica selfie è improbabile che rimanga sufficiente.
Ciò in cui credo è che la fiducia digitale stia evolvendo verso un modello più ampio e resiliente. Il KYC tradizionale rimarrà importante, ma sarà sempre più supportato da identità digitali affidabili, biometria, intelligenza dei dispositivi, analisi comportamentale, credenziali crittografiche e monitoraggio continuo del rischio.
Stiamo già vedendo elementi di questo futuro attraverso programmi governativi di identità digitale, credenziali riutilizzabili e ecosistemi di identità digitale affidabili. Invece di verificare ripetutamente lo stesso individuo usando documenti cartacei, le organizzazioni si affideranno sempre più a reti di identità affidabili che offrono una garanzia più forte con meno attrito.
Il futuro della fiducia digitale sarà costruito su più livelli di garanzia che lavorano insieme. L’AI generativa non sta eliminando la fiducia digitale; sta costringendo l’industria a costruire una versione più forte e resiliente di essa. Le organizzazioni che avranno successo saranno quelle che valutano continuamente la fiducia lungo l’intero ciclo di vita del cliente, invece di affidarsi a un singolo evento di verifica.
Grazie per la fantastica intervista, i lettori che desiderano saperne di più dovrebbero visitare Shufti.












