הונאות פיננסיות בעידן הבינה המלאכותית - הפנים הגנובות של הכסף
הונאות פיננסיות בעידן הבינה המלאכותית - הפנים הגנובות של הכסף
.png)
בקצרה
הדיפ-פייק כבר אינו איום עתידי אלא כלי הונאה פעיל ומתוחכם, שמאתגר את המערכת הפיננסית בקצב מהיר בהרבה מזה של הרגולציה. בעוד הפיקוח על הבנקים בישראל מפרסם סקירה מקיפה וחשובה, היא מתבססת על נתוני 2024 ומתמודדת עם מציאות שכבר השתנתה משמעותית. טכנולוגיות AI גנרטיבי מאפשרות כיום יצירת קול, וידאו ומסמכים מזויפים ברמת אמינות גבוהה, שהופכת את ההונאות למותאמות אישית וקשות לזיהוי. מקרי בוחן בעולם ממחישים את עוצמת האיום, החל מהונאות של מיליוני דולרים ועד פתיחת חשבונות בנק באמצעות זהויות מזויפות. בישראל, הפערים הרגולטוריים בולטים במיוחד בהיעדר סטנדרטים מחייבים לבדיקות זהות ביומטריות, מחסור בנתונים עדכניים והיעדר גוף מתכלל לאומי לטיפול בתופעה. בעולם כבר מיושמים מודלים מתקדמים יותר של שיתוף מידע, אחריות פלטפורמות ורגולציה מותאמת AI. המסר המרכזי ברור: כדי להתמודד עם איומי הדיפ-פייק, נדרש מעבר מהיערכות תגובתית למדיניות פרואקטיבית, טכנולוגית ומתואמת יותר.
דיפ-פייק הפך מאיום עתידני לאמצעי הונאה תפעולי. פרסומי הפיקוח על הבנקים מציגים תמונת מצב לשנת 2024 אך הטכנולוגיה כבר רחוקה שנים קדימה. הפערים בין הנהלים, הרגולציה ויכולת ההתחזות של מכונות עדיין פתוחים.
הפיקוח שמדווח על עבר בעולם שכבר עבר הלאה
ב-7 במאי 2026 פרסם הפיקוח על הבנקים תיבה מתוך סקירת מערכת הבנקאות לשנת 2024, ובה ניתוח מעמיק של תופעת ההונאות הפיננסיות בישראל. מדובר במסמך ראוי לשבח: הוא מפרט פרקטיקות מיטביות גלובליות, מציע מסגרת רגולטורית סדורה ומתווה דרך לשיתוף פעולה בין-משרדי. עם זאת, יש בו גם ניואנס חשוב: מדובר בסקירה המתייחסת לשנת 2024, אך מפורסמת באמצע שנת 2026.
הסקירה מציינת כי המערכת הבנקאית צופה כי "בשנת 2025 יגבר השימוש בכלי AI לצורכי התחזות, כגון deepfake קולי וחזותי". התחזית כשלעצמה סבירה, אך היא מתייחסת לעתיד שכבר הפך לעבר. בזמן שהפיקוח כותב בשנת 2026 על תחזיות ל-2025, אמצעי דיפ-פייק כבר מייצרים הפסדים של מאות מיליוני שקלים לרבעון.
לדוגמה מתוך מסמך של FBI האמריקאי שפורסם אפריל 2026 בשם IC3 Annul Internet Crime Report עולה שבשנת 2025, פשעי סייבר גרמו להפסדים של כמעט 21 מיליארד דולר במשק האמריקאי, כאשר תלונות הקשורות ל – AI היו בין הקטגוריות היקרות ביותר. לצורך עריכת הדוח, ה FBI בחן יותר מ-22,000 תלונות בעלות רכיב AI אשר גרמו לפסדים של למעלה מ-893 מיליון דולר, הכוללות הונאות השקעה מבוססות AI, שכפול קולי ודיפ פייק. ה-FBI מדגיש שנתון זה ככל הנראה משקף רק חלק מזערי מתוך התופעה האמיתית, כיוון שקורבנות רבים אינם יכולים לדעת אם AI שימש בהונאה נגדם.
לצערנו, גופי מחקר וממשל בישראל כמעט שאינם מפרסמים נתונים מקבילים על היקף התופעה במשק הישראלי. הנתון המרכזי הזמין לציבור מגיע ממערך הסייבר הלאומי (דוח 2024), שלפיו על סמך כ-17 אלף דיווחים חלה עלייה של 24% בכמות אירועי הסייבר לעומת שנים קודמות, וכי 41% מהאירועים קשורים לפישינג, תופעה שמקבלת משנה תוקף בעולמות הדיפ-פייק.
AI גנרטיבי מאפשר לנוכלים לייצר טקסט, תמונות, קול ווידאו ריאליסטיים ברמה שהפכה את ה"חוש הביקורתי" של הקורבן לכמעט חסר תועלת. כאשר מצרפים לכך מידע אישי שהגיע מדליפות נתונים, ההונאה הופכת מותאמת אישית ומשכנעת במיוחד.
ארסנל הדיפ-פייק הפיננסי
שכפול קולי — התחזות לקרובי משפחה או נציגי בנק — מספיק 3-5 שניות של קול מקורי
וידאו-פייק בזמן אמת — ועידות וידאו עם 'בכירים' מזויפים לחלוטין (מקרה Arup)
מסמכי זיהוי מזויפים — שינוי תמונות על תעודות זהות שעוברות בדיקות חיות דיגיטליות
Phishing מותאם-אישית — הודעות שנוצרו על בסיס מידע שנגנב — ניסוח אנושי מושלם
מקרי בוחן - הונאות דיפ-פייק בעולם הפיננסי
חברת Arup: ועידת וידאו מזויפת שעלתה 25 מיליון דולר
בתחילת 2024 הפסידה חברת ההנדסה הבריטית Arup כ-200 מיליון HKD (~25 מיליון USD) לאחר שנוכלים ארגנו שיחת וידאו שבה הופיעו "בכירי החברה", כולם דמויות מבוססות דיפ-פייק ושכנעו עובד במשרד הונג קונג להעביר כספים לחשבונות פליליים. ההונאה התגלתה רק לאחר העברת הכסף.
הונג קונג: פתיחת חשבונות בנק בדיפ-פייק
בשנת 2025 פיצחה משטרת הונג קונג טבעת פשע שבה שינו נוכלים תמונות על תעודות זהות אבודות באמצעות AI ופתחו חשבונות בנק שעמדו בבדיקות הזיהוי הדיגיטלי. החשבונות שימשו להלוואות, הונאות כרטיסי אשראי, והלבנת הון.
שאלת מיליון הדולר: כמה קשה לפתוח חשבון מזויף בישראל?
הוראת ניהול בנקאי תקין 367 ("בנקאות בתקשורת") מחייבת את הבנקים לנטר פעילות חריגה בזמן אמת. אך השאלה המעניינת יותר היא: כמה דרישות ה-KYC הנוכחיות מחוסנות בפני דיפ-פייק?
מרבית הבנקים בישראל מאפשרים פתיחת חשבון דיגיטלי הכוללת צילום תעודת זהות והגשת סלפי ווידאו קצר לבדיקת חיות (liveness check). כלים גנרטיביים עדכניים מסוגלים לייצר סלפי וידאו ריאליסטי, לשנות תמונת תעודה, ולהפיק תוכן העובר בקלות את בדיקות החיות הסטנדרטיות.
הנב"ת 367 מחייב ניטור שוטף, אך לא מפרט סטנדרטים טכנולוגיים מחייבים לבדיקות חיות ביומטרית. כל עוד הבנק הטמיע "מנגנון אוטומטי לזיהוי פעילות חריגה", הוא יכול לטעון שעמד בדרישות הרגולטור, גם אם אינו מתמודד עם יכולות הדיפ-פייק של שנת 2026.
הנוכלים בהונג קונג לא פרצו למערכת, הם פשוט עמדו בדרישות שלה. זה הפער שהרגולציה הנוכחית עדיין לא סגרה.
האקו סיסטם של ההונאה: לא רק הבנקים
דוח משנת 2026 של ארגון Data & Society האמריקאי (ארגון מחקר אמריקאי ללא מטרות רווח העוסק במחקרים בעולמות דאטה) שנערך בשיתוף עם אוניברסיטת קולומביה, מציג תמונה מורכבת: הדיפ-פייק הפיננסי לא מתחיל ולא מסתיים בבנק. שרשרת הערך עוברת דרך פלטפורמות מדיה חברתית, אפליקציות הודעות מוצפנות (WhatsApp, Telegram), מוסדות פיננסיים, ולבסוף מנגנוני הלבנה דרך נדל"ן וסחורות יוקרה.
הפיקוח על הבנקים הישראלי מכיר בבעיה: ישראל לא הגדירה גורם מתכלל לאומי לתחום ההונאות, בניגוד לסינגפור (ASC), אוסטרליה (NASC) ובריטניה (National Fraud Squad).
כיצד עולם מתמודד ומה ישראל יכולה ללמוד:
| גישה | דוגמה | מנגנון |
| חיוב פיצוי | בריטניה (APP Fraud) | הבנק מחויב לפצות לקוחות ב Authorised Push Payment – תמריץ ממשי למניעה APP – סוג של הונאה שבה הקורבנות עוברים מניפולציה לבצע תשלומים בזמן אמת לנוכלים — בדרך כלל באמצעות מתקפות הנדסה חברתית הכוללות התחזות. הונאות “מאושרות” אלה יכולות להיות קשורות גם להונאות השקעה, שבהן הקורבן משוכנע להעביר כסף עבור השקעות שאינן קיימות, וכן להונאות רומנטיות, שבהן הנוכל גורם לקורבן להאמין שהוא נמצא עמו במערכת יחסים |
| שיתוף מודיעין | טייוואן (Eagle Eye) | בנקים מאמנים מודלים משותפים מבלי לשתף נתוני לקוח גולמיים |
| מרכז מניעה | סינגפור (ASC) | מרכז המניעה מקבל התראות בזמן אמת ומחבר בין המשטרה לארבעת הבנקים הגדולים. |
| תיוג AI חובה | סין, האיחוד האירופי ( AI Act) | תוכן שנוצר באמצעות AI חייב לקבל סימון ויזואלי ולהתייחס לנתוני אותנטיות |
| אחריות פלטפורמות | בריטניה (Online Safety Act) | מחויבות לזהות ולהסיר הונאות דיפ-פייק |
מה חסר בתשובה הישראלית
פרסומי הפיקוח מציגים רשימת הוראות ראויה אך מפגרים בשלושה ממדים קריטיים:
- אין סטנדרטים טכניים מחייבים לבדיקת חיות, הנב"ת 367 מדברת על "כלים לניטור" אך לא מגדירה מינימום טכנולוגי עמיד בפני דיפ-פייק.
- אין גורם מתכלל, הפיקוח עצמו מאשר זאת. מדינות שהצליחו בנו מרכז מבצעי ייעודי, לא רק ועדת היגוי רבעונית.
- מחסור בנתונים, אין מסד נתונים ציבורי לניתוח מגמות הונאה בזמן אמת. הפיקוח מוגבל בידע המגיע מהבנקים עצמם.
פערים בנב"ת 367
לא מחייבת סטנדרט liveness ספציפי — כל 'מנגנון אוטומטי' עומד בדרישה — גם אם אינו מזהה דיפ-פייק
מיקוד בניטור פעילות, לא בזיהוי זהות — הבנק מתריע על פעולות חריגות, אך אם הזהות עצמה מזויפת — לא תהיה חריגות
אין מינימום לתדירות עדכון המודלים — הוראה לעקוב אחר 'התפתחות שיטות הונאה' — ללא מדד ביצוע מחייב
לסיכום: תיאבון לסיכון שמומן על ידי הפער הרגולטורי
הפיקוח על הבנקים עושה עבודה חשובה וסקירת 2024 היא תרומה ממשית לשיח המקצועי. אולם קצב העדכון הרגולטורי פרסום שנתי, מסגרות שנבנו סביב טכנולוגיה של אתמול — אינו תואם את קצב ההתפתחות של הטכנולוגיה. דיפ-פייק קולי ריאליסטי זמין היום לכל מי שיש לו חיבור לאינטרנט ו-20 שקל.
הפער בין "הבנק עמד בהוראות הנב"ת" לבין "הבנק מוגן מפני דיפ-פייק" הוא פער שמוסדות פיננסיים, רגולטורים ולקוחות צריכים להכיר ולפעול לסגירתו, לפני שהמחיר ייגבה ממישהו אחר.
מקורות:
תיבה מסקירת הפיקוח על הבנקים 2024 (פורסמה מאי 2026);
Deepfake Financial Fraud: The Global Regulation of AI-Driven Scams, Data & Society / Columbia SIPA, מרץ 2026.
Federal Bureau of Investigation Internet Crime report 2025