Les banques veulent des identifiants cryptographiques pour stopper l'explosion de fraude par IA

Trois groupes majeurs de l'industrie financière exigent une action fédérale contre la fraude alimentée par l'IA après que les incidents de deepfake ciblant les institutions financières aient grimpé de 700% en 2023. L'American Bankers Association, la Better Identity Coalition et le Financial Services Sector Coordinating Council ont publié un document conjoint décrivant dix catégories d'attaques qui frappent maintenant les banques, des appels deepfake en temps réel aux campagnes de phishing générées par IA. Deloitte projette que les pertes de fraude activées par l'IA pourraient atteindre 40 milliards $ d'ici 2027, comparé à 12,3 milliards $ en 2023.

La vraie histoire ici, c'est pas les chiffres de fraude—c'est que les LLMs ont rendu les attaques de phishing 95% moins chères tout en maintenant les mêmes taux de succès que les campagnes manuelles. Quand 60% des gens tombent victimes de phishing automatisé par IA, on regarde un changement fondamental dans l'économie du cybercrime. L'authentification traditionnelle comme les codes SMS et les notifications push étaient déjà vulnérables au phishing; l'IA a juste rendu l'exploitation de ces faiblesses rentable à grande échelle.

La solution des groupes se centre sur l'authentification cryptographique—spécifiquement les permis de conduire mobiles utilisant la cryptographie asymétrique à clé publique. Leur raisonnement est solide : on peut pas faire un deepfake de la possession d'une clé privée. Ils poussent aussi pour étendre le système Electronic Consent-Based verification de la Social Security Administration au-delà de ses limitations actuelles axées sur le crédit vers des cas d'usage de validation d'identité plus larges.

Pour les développeurs qui construisent des systèmes d'authentification, c'est un signal d'alarme. Si vous vous fiez encore aux SMS ou même aux notifications push pour la vérification d'identité, vous construisez sur du sable mouvant. La fenêtre pour implémenter la vérification d'identité cryptographique se ferme pas—elle est déjà fermée. La question, c'est si les décideurs politiques bougeront assez vite pour standardiser ces systèmes avant que les pertes de fraude empirent.