fbpx
Information, news and best practices covering our industry, company, partners and customers
Strong Customer Authentication

Tra open banking e Strong Customer Authentication: l’importanza di comunicare una rivoluzione

Jack Dorsey è il CEO di Twitter, il social network dell’uccellino che cinguetta. Questa estate, il suo nome è salito agli onori della cronaca per un fatto spiacevole: il suo account personale è stato hackerato ed utilizzato per diffondere in rete dei tweet a contenuto offensivo e razzista.

Sono state necessarie diverse ore per riuscire a risolvere il problema e fare i dovuti accertamenti. Anche a seguito di questi avvenimenti (un caso simile era già capitato nel 2016), la piattaforma ha dichiarato di voler avviare una seria campagna di sicurezza, per ridurre attacchi di questo tipo ed impedire la pubblicazione di contenuti inappropriati.

Un altro attacco hacker ha fatto scalpore, sempre questa estate: il riferimento è alla violazione dei firewall di sicurezza della Capital One Financial, una banca americana attiva nel settore dei prestiti e delle carte di credito. L’infrazione della sicurezza ha cagionato la violazione dei dati personali di oltre 100 milioni di clienti negli Stati Uniti e di 6 milioni in Canada. Il danno all’istituto di credito è stato stimato tra i 100 milioni e i 150 milioni di dollari, a causa delle molteplici notifiche dei clienti, della necessità di un rafforzato monitoraggio dei crediti e, ovviamente, dell’assistenza legale a cui è dovuta ricorrere la banca. Senza contare le eventuali spese che dovranno essere (giustamente) sostenute per porre rimedio alle falle del sistema di sicurezza.

Ovviamente il caso della Capital One non è isolato. Anche Unicredit, uno dei colossi bancari del nostro Paese è stato recentemente vittima di un attacco informatico che ha coinvolto i dati personali di 400 mila clienti italiani con prestiti personali. Va detto che, sebbene l’attacco non abbia avuto conseguenze dannose per i correntisti, dal momento che non sono stati acquisiti dati che permettano l’accesso ai conti correnti dei clienti o transazioni non autorizzate – come password, dati anagrafici o codici iban – l’infrazione ha comunque rivelato una certa fragilità dei sistemi di sicurezza implementati dagli istituti bancari italiani e stranieri.

 

La sicurezza prima di tutto

I tre casi, diversi nelle loro specificità, non vogliono certo essere motivo di preoccupazione o dissuadere chi legge dall’utilizzare gli strumenti digitali.

Rappresentano, al contrario, la base di partenza di una riflessione circa il tema della trasversalità della cybersecurity ad ogni tipo di attività che si svolge in rete. Questa è una questione che va affrontata in maniera sistematica in modo da garantire misure di sicurezza maggiormente pervasive ed efficaci, soprattutto quando ad essere coinvolti sono informazioni sensibili come i dati personali o bancari dei cittadini.

D’altra parte, non è sufficiente che il singolo istituto di credito o la singola azienda implementi un software di difesa efficace e all’avanguardia, poiché nessuno di questi soggetti è un “sistema chiuso” che lavora in maniera totalmente isolata dall’esterno.

Al contrario, le tecnologie digitali stanno sempre più spingendo i soggetti economici a sviluppare modelli di organizzazione interna orizzontali e “diffusi”, in cui all’attività produttiva prendono parte sempre più soggetti condividendo competenze, piattaforme, informazioni – si pensi, tra i tanti possibili esempi, alla Blockchain, l’innovativa tecnologia di registro condiviso che facilità i processi di registrazione delle transazioni e di tracciamento degli asset attraverso una rete di blocchi a cui hanno accesso un numero limitato di validatori.

Con l’approvazione e la conseguente entrata in vigore il 14 settembre 2019 della Direttiva Europea n. 2366/2015 – altrimenti nota con l’acronimo PSD2 – anche il legislatore europeo sembra aver accettato la necessità di un intervento sistematico per garantire la sicurezza in un settore così delicato e, insieme, così strategico come quello dei pagamenti online.

Questo a maggior ragione se si considera che la PSD2 tra le sue finalità ha proprio quella di trasformare il mercato bancario europeo in uno spazio di Open Banking, prevedendo l’inserimento nel settore di soggetti prima di oggi formalmente esclusi.

 

Cosa vuol dire essere open banking?

Con il termine Open Banking si intende il modello collaborativo tra più player all’interno del mercato finanziario delineato dalla Direttiva Europea 2366/2015.

Essa, infatti, prevede che tutti gli istituti di credito abbiano l’obbligo di aprire ad altri soggetti, chiamati Terze Parti – in inglese Third Party Provider, autorizzati a prestare servizi finanziari prima esclusivamente forniti dalle banche, le proprie API (acronimo per Application Programming Interface), cioè l’insieme di funzioni e procedure che consentono ad una applicazione qualsiasi di accedere a funzionalità, dati e/o audience di altri servizi digitali.

In sostanza, significa che le banche che operano in Europa perdono il monopolio dei dati finanziari dei propri clienti, i quali potranno decidere di gestire e monitorare i propri conti correnti rivolgendosi ad aziende diverse dai tradizionali istituti di credito, le cosiddette Terze Parti appunto.

Se è vero che molti hanno sottolineato i vantaggi che comporterà questa trasformazione per i clienti, i quali potranno beneficiare di una notevole disintermediazione del settore, non essendo più necessario passare da una banca per svolgere tutta una serie di operazioni online, è tuttavia innegabile che questa apertura del mercato pone il tema della sicurezza ancora più in primo piano.

Ovviamente, la presenza di più fornitori di servizi finanziari aumenterà la competizione, riducendo i notevolmente i costi per i consumatori e dando grande impulso alle banche più tradizionali a digitalizzarsi e implementare soluzioni innovative capaci di soddisfare i bisogni dei clienti e di rendere tali istituti competitivi sul mercato rispetto alle Terze Parti.

Contestualmente, però, potrebbe rendere il rischio di attacchi più diffuso, dal momento che più soggetti potranno avere accesso a dati ed informazioni sensibili. Per questo motivo, la PSD2 prevede una serie di importanti innovazioni legate proprio alla sicurezza e alla tutela dei clienti per evitare eventuali frodi e violazioni come quelli indicati ad inizio articolo.

 

Una sicurezza tre volte maggiore: la Strong Customer Authentication 

La Direttiva Europea prevede, come una delle misure più importanti, l’introduzione obbligatoria per tutti coloro che forniscono servizi di pagamento online della cosiddetta Autenticazione Forte dei Clienti – Strong Customer Authentication (SCA) dal momento che il classico procedimento di autorizzazione basato sull’inserimento dello username e della password non risulta essere più adeguato.

La Strong Customer Authentication prevede, infatti, il sistema di two-factor authentication, il quale richiede due fasi o un doppio fattore di autenticazione in modo tale da rendere più difficile la sottrazione delle credenziali e più sicuro l’accertamento dell’identità dell’utente.

In particolare, la PSD2 stabilisce che ogni Autenticazione Forte richieda l’incrocio di almeno due di questi tre elementi:

  1. un elemento di conoscenza, che è una cosa che solo il cliente conosce e può essere ad esempio un codice o una password;
  2. un elemento di possesso, sfruttando qualcosa che l’utente ha nella sua immediata disponibilità, come un token, un badge, uno smartphone o comunque un qualunque altro dispositivo mobile;
  3. un elemento di inerenza, che solitamente viene indicato come un fattore biometrico e che riguarda le caratteristiche fisiche dell’utente stesso. In generale, si utilizzano degli attributi specifici ed identificativi, come le impronte digitali o il riconoscimento facciale o vocale. Più raramente, ma comunque compresi nella categoria, sono anche i parametri biometrici comportamentali o lo screen della retina.

Dunque, a partire dal 14 settembre di quest’anno, ogni utente che vuole compiere dei pagamenti online o, in generale, disporre dei trasferimenti di denaro usufruendo di servizi digitali offerti da banche o TTP, deve soddisfare i requisiti di autenticazione fornendo due degli elementi elencati sopra.

Tale novità avrà necessariamente un notevole impatto sulla customer journey degli utenti che vedranno diminuire gli intermediari, ma aumentare gli step obbligatori per svolgere determinate operazioni.

Questo ha impensierito non poco i provider di servizi di e-commerce o di pagamento digitale in generale, che da un lato devono analizzare ed eventualmente rivedere la customer experience offerta e dall’altro temono che i passaggi aggiuntivi richiesti dalla Direttiva possano avere una ricaduta negativa sul totale degli affari.

Secondo uno studio compiuto da Stripe, un’importante piattaforma digitale per la gestione finanziaria aziendale, ci sarebbe un rischio di perdite, in termine di mancati acquisti, che potrebbero raggiungere addirittura i 57 miliardi di euro.

Il tema, infatti, è che con l’implementazione della Strong Customer Authentication gli utenti percepiscano una sensazione di pagamento difficoltoso e questo rischia di aumentare la probabilità che l’utente svuoti il carrello rinunciando all’acquisto – problema, tra l’altro, particolarmente sentito tra gli operatori nel settore ecommerce.

 

Al mercato serve fiducia

Nonostante questo, la SCA appare più che mai un’innovazione necessaria, anche alla luce dei trend di mercato.

Secondo l’Osservatorio eCommerce B2c del Politecnico di Milano, che monitora l’andamento del settore, gli acquisti online del 2018 hanno segnato un netto aumento rispetto all’anno precedente. Il valore totale del mercato, infatti, ha superato i 27 miliardi di euro, con una crescita impressionante del 16%. In particolare, gli acquisti online di prodotti hanno toccato i 15 miliardi di euro, segnando un +25% rispetto al 2017. Per quanto riguarda invece i servizi, essi hanno raggiunto il valore di 12 miliardi crescendo “solo” del 6%. Gli ambiti che hanno mostrato una migliore prestazione sono l’informatica e l’elettronica di consumo (4,6 miliardi di euro e una crescita del +18%), seguiti dall’abbigliamento (2,9 miliardi e +20%) e l’arredamento (con 1,4 miliardi e +53%). Mentre per quanto riguarda i servizi in assoluto ha dominato il turismo, che ha raggiunto circa i 10 miliardi di euro, totalizzando una crescita del 6%.

Nonostante questo, resta comunque tra molti consumatori un senso di insicurezza nel compiere acquisti online, anche a causa di notizie come quelle riportate sopra.

Per questo è comprensibile e condivisibile la scelta del legislatore europeo di introdurre la SCA come condizione obbligatoria di ogni acquisto: è fondamentale, infatti, mettere in gioco tutte le soluzioni possibili per rassicurare i consumatori e trasmettere a loro maggior fiducia rispetto ad uno strumento così comodo (e sempre più sicuro) come l’e-commerce.

 

Una migliore comunicazione per una maggiore sicurezza 

Ovviamente, tale questione può e deve essere risolta a stretto giro e nel modo più efficace possibile.

Tra l’altro, di tempo per farlo ce n’è, considerato che l’1 agosto 2019 la Banca d’Italia ha rilasciato un comunicato stampa in cui ha dichiarato la propria intenzione di concedere un periodo di proroga che sposterà oltre il 14 settembre l’obbligo di conformarsi alla nuova normativa.

Si legge, infatti, che l’European Banking Authority “ha riconosciuto alle autorità̀ nazionali la possibilità̀ di concedere ulteriore tempo, rispetto al 14 settembre” e pertanto la Banca d’Italia, dopo alcuni colloqui, “ha ritenuto che una migrazione graduale possa ridurre fortemente i rischi di disservizi nei pagamenti online con carta, evitando soluzioni di continuità delle transazioni in settori economici vitali come il commercio elettronico”.

Tale periodo di proroga sarà limitato e dipenderà dal termine massimo che la stessa EBA comunicherà. In ogni caso chi ha tempo non può e non deve sprecarlo.

È necessario, ora più che mai, comunicare in maniera chiara e precisa questi cambiamenti agli utenti, spiegando loro i benefici che tale normativa comporterà. Nel farlo, però, bisognerà tener presente che si sta trattando di una materia complessa e non facile da comunicare: scegliere il mezzo giusto è essenziale.

Da questo punto di vista, Poste Italiane rappresenta un esempio virtuoso da seguire.

 

Un case study di successo: il caso Poste Italiane

Con l’avvento della PSD2, Poste Italiane si è adeguata alle nuove disposizioni, fissandosi internamente degli obiettivi ben specifici che le permettessero di conformarsi alle disposizioni stabilite dalla Direttiva.

Tra questi c’è ovviamente mantenere alto il livello di sicurezza dei propri clienti, nonché garantire la massima trasparenza con gli stessi. Questo significa, da un lato, aiutarli a prendere confidenza con il nuovo strumento della SCA e, dall’altro lato, fornire ai consumatori tutte le informazioni chiave per rendere intellegibile la Direttiva 2366/2015 e, quindi, rendere comprensibili le trasformazioni che gli stessi hanno già iniziato a percepire.

Per fare questo, Poste Italiane ha previsto una sezione specifica del proprio sito dedicata alla PSD2, spiegandone i vantaggi e i cambiamenti che essa porta; inoltre, ha anche inserito un video tutorial per mostrare i vari passaggi per autenticarsi tramite SCA.

La scelta del video è stata strategica per rendere più facilmente fruibile un contenuto altrimenti molto tecnico e, nello stesso tempo, per essere sicuri che tutte le informazioni importanti siano correttamente veicolate.

Chiaramente per perseguire questi scopi un semplice video non sarebbe stato sufficiente: per questo Poste Italiane è ricorsa alla collaborazione con Doxee, partner dalla grande esperienza nella creazione di contenuti video ingaggianti. Doxee, infatti, ha creato un video con delle caratteristiche specifiche, funzionali a perseguire gli obiettivi di chiarezza ed efficacia.

Come prima cosa, il video è stato reso interattivo inserendo testi, immagini e audio che spiegassero in modo preciso tutti i passaggi da seguire, guidando lo spettatore attraverso tutto il percorso.

In secondo luogo è stata prevista la presenza di apposite call-to-action cliccabili direttamente all’interno del video in modo da dare la possibilità agli utenti di navigare tra le varie scelte e seguire le spiegazioni ed i passaggi davvero rilevanti.

Grazie a queste caratteristiche, Poste Italiane ha potuto fornire un servizio davvero efficace al proprio pubblico, capace di ingaggiare il cliente ed incentivare l’interazione nel corso della fruizione.

Del resto, Doxee Pvideo® è la soluzione ideale per creare dei contenuti aziendali coerenti con quelle che sono le aspettative degli utenti, i quali si trovano al centro di una customer experience sorprendente ed innovativa, che si adatta perfettamente alle loro necessità e che fornisce loro la possibilità di scegliere autonomamente il contenuto da fruire.

Questo aumenta, ovviamente, il numero di utenti che portano a termine la visione del contenuto e che rispondono alle CTA inserite, anche grazie al fatto che non è necessario uscire dal video per svolgere determinate operazioni (il che è un bene, considerato che i contenuti video di questo tipo sono fruiti soprattutto da mobile).

In questo modo, con una sola soluzione digitale, i Doxee Pvideo® appunto, ogni azienda può lavorare su diversi KPI, come l’awareness e la conversion, oltre che migliorare la reputation tra i propri consumatori, che percepiranno la stessa azienda come maggiormente attenta ai propri clienti e sempre al passo con le principali innovazioni tecnologiche.

 

Per scoprire di più sul video interattivo realizzato per poste Italiane, scarica il case study.

New call-to-action

 

Back to Blog

This site or the third-party tools it uses make use of cookies necessary for their operation and useful for the purposes set out in the Privacy Policy. By navigating the site, scrolling this page or clicking "I agree", you are consenting to the use of cookies. To learn more or disable the use of cookies, consult the Privacy Policy

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close