Aggiornato al 02/05/2022

Perchè la strong customer authentication era necessaria?

Nell’estate del 2020, il nome di Jack Dorsey, ai tempi CEO di Twitter, è salito agli onori della cronaca per un fatto spiacevole: il suo account personale è stato hackerato ed utilizzato per diffondere in rete dei tweet a contenuto offensivo e razzista (fonte: AGI).

Sono state necessarie diverse ore per riuscire a risolvere il problema e fare i dovuti accertamenti. Anche a seguito di questi avvenimenti (un caso simile era già capitato nel 2016), la piattaforma ha dichiarato di voler avviare una seria campagna di sicurezza, per ridurre attacchi di questo tipo ed impedire la pubblicazione di contenuti inappropriati.

Un altro attacco hacker ha fatto scalpore, sempre in quel periodo: il riferimento è alla violazione dei firewall di sicurezza della Capital One Financial, una banca americana attiva nel settore dei prestiti e delle carte di credito. L’infrazione della sicurezza ha cagionato la violazione dei dati personali di oltre 100 milioni di clienti negli Stati Uniti e di 6 milioni in Canada. Il danno all’istituto di credito è stato stimato tra i 100 milioni e i 150 milioni di dollari, a causa delle molteplici notifiche dei clienti, della necessità di un rafforzato monitoraggio dei crediti e, ovviamente, dell’assistenza legale a cui è dovuta ricorrere la banca. Senza contare le eventuali spese che dovranno essere (giustamente) sostenute per porre rimedio alle falle del sistema di sicurezza (fonte: corrierecomunicazioni.it).

Ovviamente il caso della Capital One non è isolato. Anche Unicredit, uno dei colossi bancari del nostro Paese è stato vittima di un attacco informatico che ha coinvolto i dati personali di 400 mila clienti italiani con prestiti personali. Va detto che, sebbene l’attacco non abbia avuto conseguenze dannose per i correntisti, dal momento che non sono stati acquisiti dati che permettano l’accesso ai conti correnti dei clienti o transazioni non autorizzate – come password, dati anagrafici o codici iban – l’infrazione ha comunque rivelato una certa fragilità dei sistemi di sicurezza implementati dagli istituti bancari italiani e stranieri.

 

New call-to-action

 

La sicurezza prima di tutto

I tre casi, diversi nelle loro specificità, non vogliono certo essere motivo di preoccupazione o dissuadere chi legge dall’utilizzare gli strumenti digitali.

Rappresentano, al contrario, la base di partenza di una riflessione circa il tema della trasversalità della cybersecurity ad ogni tipo di attività che si svolge in rete. Questa è una questione che va affrontata in maniera sistematica in modo da garantire misure di sicurezza maggiormente pervasive ed efficaci, soprattutto quando ad essere coinvolti sono informazioni sensibili come i dati personali o bancari dei cittadini.

D’altra parte, non è sufficiente che il singolo istituto di credito o la singola azienda implementi un software di difesa efficace e all’avanguardia, poiché nessuno di questi soggetti è un “sistema chiuso” che lavora in maniera totalmente isolata dall’esterno.

Al contrario, le tecnologie digitali stanno sempre più spingendo i soggetti economici a sviluppare modelli di organizzazione interna orizzontali e “diffusi”, in cui all’attività produttiva prendono parte sempre più soggetti condividendo competenze, piattaforme, informazioni – si pensi, tra i tanti possibili esempi, alla Blockchain, l’innovativa tecnologia di registro condiviso che facilità i processi di registrazione delle transazioni e di tracciamento degli asset attraverso una rete di blocchi a cui hanno accesso un numero limitato di validatori.

Con l’approvazione e la conseguente entrata in vigore il 14 settembre 2019 della Direttiva Europea n. 2366/2015 – altrimenti nota con l’acronimo PSD2 – anche il legislatore europeo sembra aver accettato la necessità di un intervento sistematico per garantire la sicurezza in un settore così delicato e, insieme, così strategico come quello dei pagamenti online.

Questo a maggior ragione se si considera che la PSD2 tra le sue finalità ha proprio quella di trasformare il mercato bancario europeo in uno spazio di Open Banking, prevedendo l’inserimento nel settore di soggetti prima di oggi formalmente esclusi.

Cosa vuol dire essere open banking?

Con il termine Open Banking si intende il modello collaborativo tra più player all’interno del mercato finanziario delineato dalla Direttiva Europea 2366/2015.

Essa, infatti, prevede che tutti gli istituti di credito abbiano l’obbligo di aprire ad altri soggetti, chiamati Terze Parti – in inglese Third Party Provider, autorizzati a prestare servizi finanziari prima esclusivamente forniti dalle banche, le proprie API (acronimo per Application Programming Interface), cioè l’insieme di funzioni e procedure che consentono ad una applicazione qualsiasi di accedere a funzionalità, dati e/o audience di altri servizi digitali.

In sostanza, significa che le banche che operano in Europa perdono il monopolio dei dati finanziari dei propri clienti, i quali potranno decidere di gestire e monitorare i propri conti correnti rivolgendosi ad aziende diverse dai tradizionali istituti di credito, le cosiddette Terze Parti appunto.

I vantaggi che questa trasformazione comporta per i clienti sono tanti; i quali possono beneficiare di una notevole disintermediazione del settore, non essendo più necessario passare da una banca per svolgere tutta una serie di operazioni online, è tuttavia innegabile che questa apertura del mercato ha posto il tema della sicurezza ancora più in primo piano.

Ovviamente, la presenza di più fornitori di servizi finanziari ha aumentato la competizione, riducendo notevolmente i costi per i consumatori e dando grande impulso alle banche più tradizionali a digitalizzarsi e implementare soluzioni innovative capaci di soddisfare i bisogni dei clienti e di rendere tali istituti competitivi sul mercato rispetto alle Terze Parti.

Contestualmente, però, il rischio di attacchi si è ampliato, dal momento che più soggetti hanno avuto accesso a dati ed informazioni sensibili. Per questo motivo, la PSD2 ha, allora, previsto una serie di importanti innovazioni legate proprio alla sicurezza e alla tutela dei clienti per evitare eventuali frodi e violazioni come quelli indicati ad inizio articolo.

Una sicurezza tre volte maggiore: la Strong Customer Authentication 

La Direttiva Europea ha previsto, come una delle misure più importanti, l’introduzione obbligatoria per tutti coloro che forniscono servizi di pagamento online della cosiddetta Autenticazione Forte dei Clienti – Strong Customer Authentication (SCA) dal momento che il classico procedimento di autorizzazione basato sull’inserimento dello username e della password non risulta essere più adeguato.

La Strong Customer Authentication prevede, infatti, il sistema di two-factor authentication, la cosiddetta “autenticazione a due fattori”, il quale richiede due fasi o un doppio fattore di autenticazione in modo tale da rendere più difficile la sottrazione delle credenziali e più sicuro l’accertamento dell’identità dell’utente.

In particolare, la PSD2 ha stabilito che ogni Autenticazione Forte richiedesse l’incrocio di almeno due di questi tre elementi:

  1. un elemento di conoscenza, che è una cosa che solo il cliente conosce e può essere ad esempio un codice o una password;
  2. un elemento di possesso, sfruttando qualcosa che l’utente ha nella sua immediata disponibilità, come un token, un badge, uno smartphone o comunque un qualunque altro dispositivo mobile;
  3. un elemento di inerenza, che solitamente viene indicato come un fattore biometrico e che riguarda le caratteristiche fisiche dell’utente stesso. In generale, si utilizzano degli attributi specifici ed identificativi, come le impronte digitali o il riconoscimento facciale o vocale. Più raramente, ma comunque compresi nella categoria, sono anche i parametri biometrici comportamentali o lo screen della retina.

Tale novità ha avuto un notevole impatto sulla customer journey degli utenti che hanno visto diminuire gli intermediari, ma aumentare gli step obbligatori per svolgere determinate operazioni.

Questo ha impensierito non poco i provider di servizi di e-commerce o di pagamento digitale in generale, che da un lato devono analizzare ed eventualmente rivedere la customer experience offerta e dall’altro temono che i passaggi aggiuntivi richiesti dalla Direttiva possano avere una ricaduta negativa sul totale degli affari.

Il tema, infatti, è che con l’implementazione della Strong Customer Authentication gli utenti percepiscano una sensazione di pagamento difficoltoso e questo rischia di aumentare la probabilità che l’utente svuoti il carrello rinunciando all’acquisto – problema, tra l’altro, particolarmente sentito tra gli operatori nel settore ecommerce.

Ma, come in tutte le cose, bisogna solo avere pazienza che l’utente si abitui a questa nuova modalità.

Al mercato serve fiducia

Nonostante questo, la Strong Customer Authentication è apparsa come un’innovazione necessaria, anche alla luce dei trend di mercato.

Dopo i due anni di crisi a causa della pandemia, in Italia l’eCommerce B2c torna a crescere con un ritmo simile a quello pre-pandemia. Da un lato gli acquisti di prodotto continuano ad aumentare, sebbene con un tasso più contenuto (+18%) rispetto a quello dello scorso anno (+45%), e toccano i 30,5 miliardi di euro. Dall’altro gli acquisti di servizio, dopo la forte crisi del 2020, segnano una ripresa (+36%) e raggiungono gli 8,9 miliardi di euro. Rimane però ancora significativo il divario rispetto al 2019 quando il comparto valeva 13,5 miliardi (fonte: osservatori.net).

Ci vuole tempo per far sì che la situazione torni in uno stato di normalità, ma i frutti si cominciano a vedere.

Ma c’è un aspetto che va assolutamente tenuto in considerazione: si stima che circa 2,05 miliardi di persone nel mondo acquistino beni online e il 63% degli acquisti inizia online. Insomma, quasi la metà dei consumatori fa più acquisti da mobile che in negozio (fonte: Oberlo).

Per questa ragione, la presenza della Strong Customer Authentication come condizione obbligatoria di ogni acquisto è fondamentale. Durante la pandemia, gli acquisti online hanno avuto un’impennata e sembra che, nonostante la fine dello stato di emergenza e i negozi ormai aperti da tempo, questo trend continui a mantenersi costante. Quindi, mettere in gioco tutte le soluzioni possibili per rassicurare i consumatori e trasmettere loro maggior fiducia rispetto ad uno strumento così comodo (e sempre più sicuro) come l’e-commerce, è importante.

 

New call-to-action

 

Un case study di successo: il caso Poste Italiane

Con l’avvento della PSD2, anche Poste Italiane si dovuta adeguare alle nuove disposizioni, fissandosi internamente degli obiettivi ben specifici che le permettessero di conformarsi alle disposizioni stabilite dalla Direttiva.

Per fare questo, Poste Italiane ha previsto una sezione specifica del proprio sito dedicata alla PSD2, spiegandone i vantaggi e i cambiamenti che essa porta; inoltre, ha anche inserito un video tutorial per mostrare i vari passaggi per autenticarsi tramite SCA.

La scelta del video è stata strategica per rendere più facilmente fruibile un contenuto altrimenti molto tecnico e, nello stesso tempo, per essere sicuri che tutte le informazioni importanti siano correttamente veicolate.

Chiaramente per perseguire questi scopi un semplice video non sarebbe stato sufficiente: per questo Poste Italiane è ricorsa alla collaborazione con Doxee, partner dalla grande esperienza nella creazione di contenuti video ingaggianti. Doxee, infatti, ha creato un video con delle caratteristiche specifiche, funzionali a perseguire gli obiettivi di chiarezza ed efficacia.

Come prima cosa, il video è stato reso interattivo inserendo testi, immagini e audio che spiegassero in modo preciso tutti i passaggi da seguire, guidando lo spettatore attraverso tutto il percorso.

In secondo luogo è stata prevista la presenza di apposite call-to-action cliccabili direttamente all’interno del video in modo da dare la possibilità agli utenti di navigare tra le varie scelte e seguire le spiegazioni ed i passaggi davvero rilevanti.

Grazie a queste caratteristiche, Poste Italiane ha fornito un servizio davvero efficace al proprio pubblico, capace di ingaggiare il cliente ed incentivare l’interazione nel corso della fruizione.

Del resto, Doxee Pvideo® è la soluzione ideale per creare dei contenuti aziendali coerenti con quelle che sono le aspettative degli utenti, i quali si trovano al centro di una customer experience sorprendente ed innovativa, che si adatta perfettamente alle loro necessità e che fornisce loro la possibilità di scegliere autonomamente il contenuto da fruire.

Questo aumenta, ovviamente, il numero di utenti che portano a termine la visione del contenuto e che rispondono alle CTA inserite, anche grazie al fatto che non è necessario uscire dal video per svolgere determinate operazioni (il che è un bene, considerato che i contenuti video di questo tipo sono fruiti soprattutto da mobile).

In questo modo, con una sola soluzione digitale, i Doxee Pvideo® appunto, ogni azienda può lavorare su diversi KPI, come l’awareness e la conversion, oltre che migliorare la reputationtra i propri consumatori, che percepiranno la stessa azienda come maggiormente attenta ai propri clienti e sempre al passo con le principali innovazioni tecnologiche.