Deepfaki: Najnowsza broń ataków na biznes
Wyobraź sobie scenariusz: do twojego CFO dzwoni osoba, której głos brzmi dokładnie jak CEO firmy. Mówi, że trzeba natychmiast przesłać 25 milionów dolarów na konto inwestycji. CEO wydaje się zestresowany i wyjaśnia, dlaczego to pilne. Okazuje się, że wszystko było fałszywe – deepfake wideo i syntetyczny głos. Niestety, ten scenariusz nie jest już fikcją.
W 2024 roku brytyjska firma inżynierska Arup utraciła 25 milionów dolarów w oszustwie zorganizowanym za pomocą deepfake’ów, które stanowią najdramatyczniejszy przykład tej nowej klasy zagrożeń dla bezpieczeństwa korporacyjnego. Pracownik z zespołu finansowego został przekonany, że rozmawia z kilkoma członkami zarządu, a wszystko to było wideo deepfake podczas wideokonferencji.
Statystyki są alarmujące. Według raportu World Economic Forum, oszustwa związane z deepfake’ami wzrosły o 1740% w Ameryce Północnej między 2022 a 2023 rokiem. W pierwszym kwartale 2025 roku same straty finansowe związane z deepfake’ami przekroczyły 200 milionów dolarów.
Co wyróżnia deepfaki korporacyjne od tych politycznych? To niezwykle spersonalizowane, kontekstowo idealne ataki – „chirurgiczne uderzenia”, wymierzone w zaufanie w sieciach biznesowych.
Jak deepfaki stały się dostępne dla każdego
Jeszcze pięć lat temu stworzenie wiarygodnego deepfake’a wymagało zaawansowanego oprogramowania i kilku godzin pracy. Dziś koszt to zaledwie 15 dolarów, a czas – 3 minuty.
Oszuści mogą teraz tworzyć przekonujące deepfaki CEO w kilka minut, korzystając z publicznie dostępnych narzędzi AI. Entrepreneur wskazuje, że minimalne warunki do stworzenia deepfake’a to: kilka sekund nagrania wideo ofiary, jej głos z publicznych materiałów (konferencje, wywiady) oraz dostęp do darmowych narzędzi AI.
Największym źródłem materiału dla oszustów są publiczne nagrania: konferencje prasowe, wywiady dla mediów, materiały z LinkedIn czy YouTube. Każdy 10-sekundowy fragment może wystarczyć do trenowania modelu AI.
Raport KPMG dotyczący zagrożeń deepfake’ami wskazuje, że firmy bardziej widoczne medialnie (duże korporacje, branże o szerokim zasięgu) są preferowanymi celami. Osoby na stanowiskach finansowych, HR czy decyzyjnych są szczególnie narażone.
Dlaczego deepfaki stanowią szczególne zagrożenie dla PR i reputacji
Tradycyjne kryzysy komunikacyjne wymagają czasu na rozprzestrzenianie się: rozesłanie komunikatu, oczekiwanie na pytania, przygotowanie odpowiedzi. W przypadku deepfake’ów sytuacja wygląda inaczej – zanim PR zdąży powiedzieć „to jest fałszywe”, media, pracownicy i inwestorzy już wielokrotnie udostępnili fałszywe wideo.
Zagrożenie dla korporacyjnej reputacji dzieli się na kilka kategorii:
1. Oszustwa finansowe – jak w przypadku Arup – oszuści używają deepfake’ów, by przekonać pracowników finansowych do przelewu dużych sum.
2. Szantaż i szpiegostwo – deepfaki mogą służyć do szantażu menedżerów lub kradzieży informacji handlowych.
3. Zagrożenie zaufania inwestorów – jeśli deepfake CEO prezentujący oszukańcze transakcje podważa zaufanie rynków do rzeczywistych liderów, wartość akcji może gwałtownie spaść.
4. Wewnętrzne zamieszanie – deepfaki mogą podważyć zaufanie w organizacji, jeśli pracownicy nie są pewni, czy komunikacja od kierownictwa jest autentyczna.
The D&O Diary podkreśla, że zarządy firm muszą teraz dodać deepfaki do listy potencjalnych kryzysów – tak samo jak cyberataki czy wycieki danych.
Strategie komunikacji kryzysowej w erze deepfake’ów
Dla agencji PR i zespołów komunikacji korporacyjnej deepfaki wprowadzają zupełnie nową kategorię kryzysów. Oto, co powinny robić firmy:
Proaktywna edukacja pracowników
Cała organizacja musi być szkolona, jak rozpoznawać deepfaki. Znaki ostrzegawcze to: dziwne oświetlenie, nienaturalne gesty, brak naturalnego mrugania, nienaturalne ruchy ust. Najlepszą linią obrony jest jednak nigdy nie działać wyłącznie na podstawie wideo – zawsze weryfikować informacje przez ustalone kanały komunikacji.
Protokoły weryfikacji transakcji finansowych
Każdy przelew powyżej określonego progu musi przechodzić wielokanałową weryfikację – połączenie telefoniczne z ustalonego numeru, e-mail z oficjalnego adresu oraz potwierdzenie co najmniej dwóch osób.
Przygotowana komunikacja kryzysowa
Zespoły PR powinny mieć gotowe szablony komunikacji na wypadek, gdyby deepfaki dotyczyły ich liderów. Kluczowe elementy to szybkie potwierdzenie autentyczności liderów, wyjaśnienie sytuacji oraz informacja dla mediów, jak zweryfikować prawdziwe oświadczenia.
Inwestycje w technologię weryfikacji
Niektóre firmy już inwestują w systemy wykrywania deepfake’ów, które potrafią automatycznie identyfikować manipulacje w materiałach wideo. SEC regularnie testuje takie rozwiązania.
Wyzwania dla zespołów PR
Sytuacja deepfake’ów tworzy paradoks dla PR. Z jednej strony komunikacja korporacyjna musi być bardziej przejrzysta i dostępna – by dotrzeć do interesariuszy. Z drugiej strony większa widoczność to „podatek bezpieczeństwa” – więcej publicznie dostępnego materiału dla oszustów.
Paradoks dotyczy także autentyczności: jeśli CEO musi weryfikować każde oświadczenie, by potwierdzić, że to naprawdę on, komunikacja staje się wolniejsza i mniej spontaniczna. Jeśli nie weryfikuje – ryzykuje oszustwo.
Artykuł The D&O Diary wskazuje, że sama niepewność może zaszkodzić reputacji – „Nasz CEO musiał potwierdzać każde oświadczenie” brzmi niemal tak źle, jak prawdziwy deepfake.
Przyszłość: Co czeka nas dalej
Eksperci z zakresu PR i bezpieczeństwa przewidują, że deepfaki staną się jeszcze bardziej wyrafinowane. W 2026 roku zobaczymy prawdopodobnie deepfaki niemal niemożliwe do odróżnienia od oryginału, nawet dla specjalistów.
Jednocześnie technologie wykrywania deepfake’ów będą się rozwijać. Standardy branżowe, podobnie jak te promowane przez World Economic Forum, staną się wymogiem dla firm publicznych.
Dla agencji PR i zespołów komunikacji deepfaki to nowa rzeczywistość. Firmy, które zignorują to zagrożenie, będą miały trudniej – nie tylko pod względem bezpieczeństwa finansowego, lecz także reputacji. W erze, gdy deepfaki można stworzyć w kilka minut, zaufanie i weryfikacja stają się najcenniejszymi zasobami komunikacyjnymi.
Scenariusz, w którym oszust podszywający się pod CEO zarządza firmą przez tygodnie, zanim ktoś się zorientuje? Niestety, już się zdarzył. Pytanie nie brzmi „czy to może się zdarzyć?”, ale „kiedy się zdarzy, czy będziesz przygotowany?”