الاحتيال المدفوع بالذكاء الاصطناعي يجعل “الإثبات” أكثر أهمية من “الوثائق”

لسنوات، كان اعتماد العملاء عن بُعد يعتمد على فرضية بسيطة: تزوير وثائق الهوية والأدلة البيومترية أمر صعب ومكلف. إذا قدم المستخدم بطاقة هوية صادرة عن الحكومة وسيلفي حي مطابق، كانت المنصات تفترض أن الشخص على الجانب الآخر من الشاشة حقيقي. لا تكسر التزييفات العميقة قواعد معرفة عميلك — بل تكسر ذلك الافتراض الأساسي. الحقيقة غير المريحة هي أن معرفة عميلك لم تضعف — بل أصبحت الأدلة أقل موثوقية.

لقد غير صعود الذكاء الاصطناعي التوليدي بشكل جذري اقتصاديات التزوير الرقمي. لم يعد إنشاء وثائق مزيفة عالية الواقعية أو فيديو اصطناعي يتطلب مختبرًا حكوميًا؛ بل يقلل من الجهد المطلوب لإنتاج وسائط اصطناعية مقنعة ويحسن قدرة المجرمين على توسيع عمليات الخداع (2). هذا يعني أن الاحتيال المدفوع بالذكاء الاصطناعي يتحول من تهديد نظري إلى مشكلة احتيال تشغيلية قابلة للتوسع. نحن ندخل عصرًا تصبح فيه الوثائق الثابتة والأدلة المرئية أقل موثوقية بطبيعتها للمؤسسات المالية.

بالنسبة للمؤسسات المالية، المسألة ليست نظرية. أنظمة التحقق من الهوية المبنية على التحقق من الوثائق وفحوصات السيلفي صممت لعالم كانت فيه عمليات التزوير مكلفة. أدوات الذكاء الاصطناعي التوليدي ونماذج التعلم الآلي قلبت تلك المنحنى التكاليفي. النتيجة هي زيادة حالات الاحتيال على الهوية، وسرقة الهوية، وضغط أكبر على فرق مكافحة الاحتيال والكشف عنه — لأن الافتراض “الوثيقة = الدليل” لم يعد صحيحًا.

هذا لا يعني أن التحقق من الهوية أصبح قديمًا. لكنه يعني أن الاعتماد فقط على التحقق من الوثائق لمنع سرقة الهوية استراتيجية خاسرة.

في الممارسة العملية، تحدث أكبر الإخفاقات عند فتح الحساب، حيث لا تزال أنظمة التحقق من الهوية تتعامل مع وثائق الهوية على أنها الحقيقة المطلقة. عندما تبدو الوثائق التي أنشأها الذكاء الاصطناعي والمزورة لا يمكن تمييزها عن الوثائق الأصلية، يمكن لنفس سير العمل أن يمكّن من سرقة الهوية والاحتيال على الهوية الاصطناعية. لهذا السبب، يتحول الكشف عن الاحتيال الحديث نحو التحقق المتقاطع من نقاط بيانات متعددة بدلاً من الاعتماد على ملف واحد فقط.

عندما يمكن للمخادعين توليد آثار مثالية للبكسل عند الطلب، يجب أن يتحول الدفاع من جمع الملفات إلى الاعتماد على إثباتات مشفرة آمنة.

الافتراض الذي يتكسر أولاً: “الوثائق دليل”

تاريخيًا، كان امتلاك وثيقة هوية دليلًا قويًا على الهوية. الآن، تتحدى الوثائق المزيفة التي أنشأها الذكاء الاصطناعي والتزوير الرقمي ذلك الأساس.

التهديد ليس فقط في التزوير نفسه، بل في الظاهرة المعروفة باسم “عائد الكذاب”. عندما يصبح إنتاج التزويرات المقنعة أسهل، تصبح الوثائق الأصلية أسهل في الطعن، ويتدهور الثقة في جميع وسائل الإعلام المرئية (1).

يُعد الاستخدام الإجرامي للتزييف العميق والاحتيال المولد بالذكاء الاصطناعي الآن جزءًا معترفًا به من أدوات الاحتيال عبر الإنترنت (2). إن الآثار التي كنا نستخدمها لإثبات الثقة أصبحت الآن الوسائط الأساسية لاستغلالها.

حيث يختل تزييف الوثائق وفحوصات السيلفي بواسطة الذكاء الاصطناعي

لفهم التحول، يحتاج فرق مكافحة الاحتيال إلى النظر بدقة في كيفية وأين يفشل نظام الاعتماد القديم.

الوثائق المزيفة على نطاق واسع (مشكلة “الجدار الورقي”)

سرقة الهوية عند فتح الحساب: لماذا لا تزال بطاقات الهوية المزيفة تعمل

هنا تتكسر أنظمة التحقق من الهوية التي تركز على الوثائق: فهي تفترض أن وثيقة مقنعة تعني وجود شخص حقيقي. كان التزوير لاستخدام الوثائق لفتح الحسابات هو أحد طرق الهجوم المعروفة (11). لكن الجهد المطلوب لإنتاج تزويرات مقنعة قد انخفض. بدلاً من عصابة إجرامية تصنع جوازات سفر مادية بدقة، يسمح الذكاء الاصطناعي التوليدي للمهاجمين بالإنتاج على نطاق واسع والتكرار بسرعة.

في الممارسة العملية، الأمر لا يقتصر على “وثائق مزيفة”. بل يتعلق ببطاقات هوية مزورة ووثائق مزورة تبدو لا تميز عن الوثائق الأصلية في مراجعة تعتمد على لقطات شاشة. لهذا السبب، أصبحت التزويرات الرقمية الآن خطرًا تشغيليًا متزايدًا على أنظمة التحقق من الهوية المبنية على الوثائق.

وهذا يخلق “جدارًا ورقيًا” من الهويات الاصطناعية المصممة لاستنزاف سير عمل فتح الحسابات. مع تحسن أدوات المجرمين، تواجه العمليات التي تعتمد على الوثائق ضغطًا أكبر — ولهذا تحتاج المؤسسات إلى ضوابط متعددة وحوكمة أقوى، وليس فقط فحوصات صور أفضل (2)(3).

اكتشاف الحيّة، والتحقق البيومتري، وهجمات التقديم

لمواجهة تزوير الوثائق، اعتمدت الصناعة بشكل كبير على التحقق البيومتري واكتشاف الحيّة. كانت المنطق سليماً: طلب من المستخدم أن يرمش، يدير رأسه، أو يتحدث لإثبات أنه إنسان حي.

ومع ذلك، فإن هجمات التقديم — حيث يستخدم المهاجم قناعًا، أو إعادة تشغيل شاشة، أو تزييف عميق لخداع الكاميرا — تعتبر تهديدًا معروفًا وقابلًا للاختبار (5). توجد دفاعات ضد هذه الهجمات، لكنها يجب أن تُقيّم باستمرار. تتطلب توقعات حوكمة اعتماد العملاء عن بُعد أن تفهم المؤسسات حدود أدوات الحيّة (3)، معاملة الفحوصات البيومترية ووثائق الهوية كإشارات مخاطرة ضمن عملية مراقبة مسيطرة — مع توثيق الأداء وحدود التصعيد (3)(7).

عندما يصبح المدقق الحلقة الأضعف (سير العمل + الحوكمة)

الخطر الحقيقي في الاحتيال المدفوع بالذكاء الاصطناعي ليس فقط في التزييفات العميقة؛ بل في الثقة المفرطة في قطعة واحدة ضمن سير عمل الامتثال المعقد.

إذا اعتمدت منصة بالكامل على فحص مرئي للوثيقة، فإن المدقق يصبح الحلقة الأضعف. الرد ليس هو التخلي عن هذه الفحوصات، بل الاعتراف بأن التحقق يجب أن يصبح متعدد الطبقات وقابلًا للمراجعة. تؤكد الإرشادات التنظيمية أن اعتماد العملاء عن بُعد يتطلب حوكمة قوية، ومراقبة، وإجراءات تعتمد على المخاطر (3). إن الإفراط في التصحيح باستخدام ضوابط غير دقيقة يزيد من الإيجابيات الكاذبة، مما يضر بالمستخدمين الشرعيين والعملاء الحقيقيين — وهم الفئة التي يُفترض أن تخدمها برامج الاعتماد.

الرد: تحويل أنظمة التحقق من الهوية من الوثائق إلى الإثباتات

للتكيف، يجب أن تتطور بنية الثقة. علينا أن نبتعد عن اعتبار الوثيقة الثابتة المصدر النهائي للحقيقة، ونبدأ بالاعتماد على الإثباتات التشفيرية.

الإثباتات تتعلق بنتائج التحقق، وليس بحفظ الملفات

في سياق العمليات، الإثبات هو نتيجة تحقق يمكن تدقيقها رياضيًا. غالبًا ما يتضمن الانتقال إلى أنظمة تعتمد على الإثباتات بدون معرفة (Zero-Knowledge Proofs).

بعبارة بسيطة، يتيح إثبات بدون معرفة طرف واحد إثبات صحة بيان دون الكشف عن البيانات الأساسية (12). يحصل المدقق على نتيجة قابلة للتحقق رياضيًا، وليس ملفًا لتخزينه. مع مرور الوقت، يقلل ذلك من كمية البيانات الشخصية التي تحتاج إلى نسخها واحتفاظها داخل المؤسسة (8).

تعريفات سريعة

• تزييف عميق: وسائط اصطناعية يتم فيها تعديل أو توليد صورة أو صوت شخص رقميًا، وغالبًا ما يُستخدم لتقويض الثقة في الأدلة السمعية والبصرية (1).

• هجوم تقديم: تزييف مادي أو رقمي (مثل قناع أو إعادة تشغيل فيديو) يُعرض على جهاز استشعار بيومتري لخداع النظام (5).

• الحيّة / اكتشاف هجمات التقديم (PAD): ضوابط آلية تهدف إلى تحديد ما إذا كانت المصدر البيومتري حقيقيًا وحيًا أم تزييفًا اصطناعيًا (5).

• إثبات مقابل وثيقة: الوثيقة هي أثر مرئي؛ الإثبات هو نتيجة قابلة للتحقق تشهد على صحة سمة معينة.

• الاعتماد القابل للتحقق: اعتماد مقاوم للتلاعب يحمل مطالبات موقعة من جهة موثوقة، ويستخدم بنية المصدّر-الحامل-المدقق (9).

• وثائق الهوية: بيانات هوية صادرة عن الحكومة تُستخدم في التحقق من الوثائق (جواز السفر، رخصة القيادة، الهوية الوطنية).

• التزوير الرقمي: وثائق هوية مولدة أو معدلة بواسطة الذكاء الاصطناعي مصممة لاجتياز الفحوصات الآلية.

• كشف الاحتيال بالذكاء الاصطناعي: اكتشاف الشذوذ باستخدام التعلم الآلي الذي يقيم المخاطر استنادًا إلى نقاط بيانات متعددة، وليس ملفًا واحدًا.

الحوكمة وقابلية التدقيق: ما يهم المنظمين فعلاً

لا يمحو الانتقال إلى تكنولوجيا جديدة الالتزامات التنظيمية. تقلق الهيئات التنظيمية أقل بشأن حداثة الذكاء الاصطناعي التوليدي، وتركز أكثر على كيفية إدارة المؤسسات المالية للمخاطر الناتجة. الفشل في التكيف قد يؤدي إلى غرامات تنظيمية وفشل في الامتثال.

كما يُدخل الذكاء الاصطناعي مخاطر حوكمة لا علاقة لها بالتزييف العميق. العديد من أنظمة القرار تتصرف كـ"صندوق أسود"، مما يصعب شرح سبب الموافقة أو الرفض. لهذا السبب، تعتبر الذكاء الاصطناعي القابل للتفسير (XAI)، والتدقيقات المنتظمة، والضوابط الموثقة للتحيز، والعدالة، والشفافية مهمة — خاصة عندما يمكن لقرارات الهوية أن تثير مخاطر مكافحة غسل الأموال، أو مسارات تصعيد، أو حجب الخدمة. الهدف ليس “جعل الذكاء الاصطناعي يقرر” — بل جعله قابلًا للتفسير، وقابلًا للمراجعة، ومسؤولًا.

يراقب المنظمون ثلاثة أمور رئيسية في برنامج الاعتماد عن بُعد:

الحوكمة والإشراف على حلول الاعتماد

يجب أن تمتلك الشركات سياسات واضحة حول كيفية اختبار، ونشر، ومراقبة فعالية حلول الاعتماد ضد التهديدات الناشئة (3).

الضوابط والمراقبة القائمة على المخاطر

تتوقع الهيئات التنظيمية نماذج تأكيد هوية ديناميكية تعدل الاحتكاك استنادًا إلى مخاطر المعاملة أو ملف المستخدم (4)(7).

توقعات أدلة التدقيق

يجب أن تمتلك المؤسسات القدرة على إثبات كيفية اتخاذ قرار الهوية، وما الإشارات التي تم تقييمها، ومتى، دون الحاجة إلى تخزين البيانات البيومترية الأصلية إلى الأبد. يتيح مسار التدقيق هذا أيضًا للفرق اختبار التحيز وإثبات أن الضوابط تعمل مع مرور الوقت.

التحقق متعدد الطبقات من الهوية: جعل الاحتيال أكثر تكلفة من الامتثال

إذا كانت الأدلة المرئية تتدهور في الموثوقية، فإن الحل هو تنوع الإشارات. الهدف من نظام التحقق من الهوية الحديث هو تكديس الضوابط بشكل عميق بحيث يتجاوز تكلفة التزييف عليها العائد المحتمل.

الطبقة 1: فحوصات الوثيقة + البيومترية (لكن تُعامل كمدخلات، وليس الحقيقة)

لا تزال أنظمة التحقق من الوثائق والتحقق البيومتري ضرورية. ومع ذلك، يجب أن تُعامل كمدخلات لنموذج مخاطر اكتشاف الاحتيال بالذكاء الاصطناعي الأوسع، بدلاً من أن تكون الحكم النهائي على الحقيقة. يجب على المنصات تقييم أدواتها ضد هجمات التقديم وتقنيات خداع الحيّة (5)(7).

الطبقة 2: بصمة الجهاز، البيانات السياقية، ونقاط البيانات المتعددة

غالبًا ما تكشف البيانات السياقية عما يحاول التزييف إخفاءه. يمكن أن تدعم إشارات مثل أنماط عناوين IP، معرفات الأجهزة، الموقع الجغرافي، وسياق الجلسة القرارات القائمة على المخاطر عندما تكون الآثار المرئية غير موثوقة (6). إذا كانت صورة سيلفي عالية الواقعية تأتي من بنية احتيال معروفة، فإن جودة الصورة البصرية تصبح غير مهمة.

الطبقة 3: البيومترية السلوكية والكشف عن الأنماط

إلى جانب بيانات الجهاز الثابتة، يستخدم القطاع بشكل متزايد البيومترية السلوكية وتحليل السلوك لتقييم كيفية تفاعل المستخدم مع المنصة. يمكن أن تكشف أنماط التطبيق غير الطبيعية أو إيقاعات الكتابة عن روبوتات آلية أو عمليات احتيال مدربة. هنا يمكن للتحليلات السلوكية أن تلتقط الأتمتة التي تبدو “حقيقية” على الكاميرا لكنها تتصرف كأنها نظام نصي. تضيف أنماط الاحتيال هذه طبقة ديناميكية من اكتشاف الأنماط والشذوذ يصعب على الذكاء الاصطناعي التوليدي محاكاتها بدقة على نطاق واسع.

الطبقة 4: المراقبة المستمرة (بعد الاعتماد)

الاعتماد ليس حدثًا لمرة واحدة. نظرًا لتطور قدرات التهديد بسرعة، تقلل المراقبة المستمرة من الاعتماد على الفحص الأولي لمرة واحدة. الهوية الرقمية ديناميكية، والتقييم المستمر يضمن بقاء ملف المخاطر دقيقًا بعد فترة طويلة من فتح الحساب (4). يرتبط هذا أيضًا بمراقبة المعاملات: يجب أن تغذي إشارات الاعتماد وسلوك ما بعد الاعتماد نفس محرك المخاطر بحيث يتم اكتشاف أنماط الاحتيال مبكرًا وبشكل مستمر.

لماذا تقلل الإثباتات من التعرض (ولماذا يهم ذلك في ظل الاحتيال المدفوع بالذكاء الاصطناعي)

يمكن أن تؤدي بيانات الهوية المسروقة إلى عمليات انتحال أكثر إقناعًا وإساءة استخدام لفتح الحسابات. كلما قللت من البيانات الحساسة التي تجمعها وتحتفظ بها، قلت الفرص لاستخدامها بشكل غير مشروع — وأسهل أن تكون مسؤولًا عندما يسأل المدققون عن من وصل إلى ماذا، ولماذا (8)(11). لذلك، يجب على المنصات إعادة التفكير في كيفية تخزين البيانات الحساسة.

تخزين عدد أقل من ملفات المعلومات الشخصية يقلل من التعرض للخصوصية ويخفف عبء السيطرة (8). إذا اعتمد المدقق على إثبات موقّع تشفيرياً بدلاً من قاعدة بيانات لصور جواز السفر JPEG، فإنهم يقللون بشكل كبير من نطاق الضرر عند حدوث خروقات البيانات.

علاوة على ذلك، فإن الابتعاد عن مراكز البيانات المركزية التي تحتوي على بيانات حساسة يجعل المؤسسة هدفًا أقل جاذبية للهاكرز. على الرغم من أن أنظمة الهوية اللامركزية ليست علاجًا شاملًا، إلا أن تجنب مخاطر التركيز الكبير هو ضرورة هيكلية في عالم تتجه فيه البيانات المسروقة مباشرة نحو تعزيز موجة الهجمات بالذكاء الاصطناعي التوليدي القادمة (10).

الخلاصة

يغير الذكاء الاصطناعي بشكل جذري ساحة معركة الهوية الرقمية من جمع الآثار المرئية إلى المطالبة بضمانات تشفيرية. مع جعل الذكاء الاصطناعي التوليدي تزوير الوثائق والتزييف العميق للبيومتريات أسهل في الإنتاج على نطاق واسع، يتضح قيمة محفظة الهوية الرقمية التي تحمل اعتمادًا قابلاً لإعادة الاستخدام وموثوقًا.

في الممارسة العملية، يتطلب البقاء على قيد الحياة في هذا التحول مزيجًا من إثباتات بدون معرفة، وحوكمة صارمة، وإشارات سياقية متعددة الطبقات.

الهدف ليس إضافة عوائق مستحيلة لمسار المستخدم. الهدف هو الحفاظ على موثوقية التحقق من الهوية في بيئة لم تعد الرؤية فيها تثق. في الاحتيال المدفوع بالذكاء الاصطناعي، يتحول الثقة من ما يمكنك رؤيته إلى ما يمكنك التحقق منه.

ملاحظات ختامية

(1) https://www.californialawreview.org/print/deep-fakes-a-looming-challenge-for-privacy-democracy-and-national-security

(2) https://www.europol.europa.eu/cms/sites/default/files/documents/Internet%20Organised%20Crime%20Threat%20Assessment%20IOCTA%202024.pdf

(3) https://www.eba.europa.eu/sites/default/files/document_library/Publications/Guidelines/2022/EBA-GL-2022-15%20GL%20on%20remote%20customer%20onboarding/1043884/Guidelines%20on%20the%20use%20of%20Remote%20Customer%20Onboarding%20Solutions.pdf

(4) https://www.fatf-gafi.org/content/dam/fatf-gafi/guidance/Guidance-on-Digital-Identity-report.pdf

(5) https://www.iso.org/standard/67381.html

(6) https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63B-4.pdf

(7) https://tsapps.nist.gov/publication/get_pdf.cfm?pub_id=959881

(8) https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-122.pdf

(9) https://www.w3.org/TR/vc-data-model-2.0/

(10) https://www.enisa.europa.eu/sites/default/files/publications/ENISA%20Report%20-%20Digital%20Identity%20-%20Leveraging%20the%20SSI%20Concept%20to%20Build%20Trust.pdf

(11) https://www.ukfinance.org.uk/system/files/2025-05/UK%20Finance%20Annual%20Fraud%20report%202025.pdf

(12) https://csrc.nist.gov/glossary/term/zero_knowledge_proof