Il furto di identità e credenziali è il rischio più noto e diffuso fra quelli che hanno la capacità di compromettere in modo irreparabile l’onboarding bancario. Trovarsi attrezzati su questo fronte diventa quindi sempre più importante.
In un contesto in cui – come rivelato dal report 2023 di ABI LAB – il 70% delle banche ha già all’attivo un processo di acquisizione della clientela tramite internet banking e l’identità digitale sta acquisendo sempre più peso nei sistemi di identificazione digitali (con il 38% delle banche che ha attualmente questo servizio in uso su internet banking e il 31% su mobile), la consapevolezza dell’utenza finale sull’importanza della tutela dei propri dati si fa sempre più raffinata.
Nei processi di onboarding bancario, la necessaria verifica dell’identità online rappresenta uno step critico che richiede l’implementazione di controlli avanzati a prova di attacco.
Davanti alla possibilità che l’ID venga falsificato da un cybercriminale è infatti necessario offrire protezione massima all’utente, preservando al contempo l’esigenza di ottenere piena garanzia della reale identità dell’interlocutore.
Si tratta di uno scenario sfidante, davanti al quale la banca può facilmente cadere nella trappola di un’eccessiva complicazione delle procedure: una scelta dannosa, che rischia di allontanare il potenziale cliente ancor prima della sua “salita a bordo”.
Indice degli argomenti
Mantenere il focus sulla customer experience
L’attenzione alla customer experience, in questo scenario, è cruciale. Una procedura poco fluida e farraginosa finisce infatti per influenzare la percezione complessiva dell’esperienza con la banca, determinando un alto rischio di abbandono con potenziali ricadute economiche negative.
Secondo un sondaggio Gitnux, il 76% dei clienti probabilmente persiste con un servizio dopo un’accogliente esperienza di onboarding: un dato che dimostra il potenziale di fidelizzazione a lungo termine di un processo ben strutturato.
McKinsey rivela poi che la preferenza della clientela opta per l’accesso a processi digitali rapidi e semplificati (con passaggi minimi, senza informazioni duplicate e un portale di facile utilizzo) e a un team esperto di personale di supporto competente che offre servizi su misura ai loro bisogni.
In generale, tutto ciò che interrompe la fluidità dell’esperienza è visto come fattore squalificante: la richiesta, ad esempio, di un’interazione fisica per la verifica dell’identità e le firme – ancora particolarmente diffusa – è sentita in questo senso come una forte limitazione. In tal caso, l’interazione con la banca viene brutalmente classificata come tendenzialmente scadente e rischia di chiudersi anzitempo.
Obiettivo: conciliare sicurezza e fluidità del journey
Eppure, l’istituto bancario necessita di garanzie. E così l’intero processo di onboarding finisce per trovarsi sotto il fuoco incrociato di esigenze apparentemente contrastanti: il bisogno di sicurezza, tutela della privacy e rispetto della compliance da un lato, la necessità di garantire un’UX veloce, semplice e fluida dall’altro.
Una sfida sui cui incombe la spada di Damocle più temuta: il rischio di abbandono da parte dell’utente davanti al mancato rispetto delle sue aspettative, con una mossa che, in un attimo, vanifica tutti gli sforzi fatti dall’istituto per dare il via al potenziale customer journey.
Le criticità dell’onboarding: i rischi del social engineering
Intesa, società del Gruppo Kyndryl, pone da tempo l’accento sulla centralità della sicurezza nel digital banking, affermando l’esigenza di rafforzare la procedura di onboarding bancario alla luce delle sempre più diffuse minacce informatiche.
Il Chief Sales & Marketing Officer Luca Spina conferma la criticità dello scenario: “Gran parte degli attacchi hacker oggi inizia dal cosiddetto social engineering – puntualizza -, ovvero dalla raccolta delle informazioni presenti online sui singoli utenti e dal loro utilizzo per rubare credenziali o l’identità digitale. Per questo, in un processo di onboarding i controlli devono essere pervasivi, molteplici e applicati a ogni informazione fornita dall’utente, anche nel caso di utilizzo delle identità digitali. Sappiamo che con il tempo i cyber criminali spesso riescono a trovare dei modi per aggirare i sistemi di sicurezza e per questo bisogna non solo aggiornare costantemente le infrastrutture ma essere sempre un passo avanti”.
Controlli diversificati e AI per rafforzare il processo
Ma come muoversi nel concreto? Per rafforzare ulteriormente il processo di onboarding e proteggere i clienti nel settore bancario e finanziario, la proposition Intesa si focalizza sulla forza della digitalizzazione più evoluta, insistendo sull’importanza di controlli diversificati, basati sia sull’AI sia sul ricorso a banche dati proprietarie ed esterne.
“In pratica – chiarisce Spina -, i controlli che vengono effettuati durante un processo di onboarding con Intesa sono diversificati. Innanzitutto è previsto il controllo della veridicità del documento di identità, qualsiasi sia il documento utilizzato, con la verifica del font, di tutti gli elementi grafici e della data di scadenza, quindi si accede a banche esterne per la verifica dei dati (per esempio Scipafi, una delle più famose) e della presenza digitale dell’utente. Si passa poi alla verifica dell’eventuale presenza del volto nella nostra blacklist, per concludere con l’overnight check finale su tutti i video caricati nel tempo nei processi di riconoscimento effettuati da Intesa”.
AI come strumento di offesa: un pericolo da non sottovalutare
Il quadro della cybersecurity nel banking è però complicato dal crescente ruolo dell’intelligenza artificiale, che – oltre a proporre validi mezzi di difesa antifrode – si presenta in realtà anche come temibile strumento di offesa. I deepfake, in particolare, sono una minaccia concreta in questo campo.
L’allerta deve quindi restare massima, come lo stesso Spina sottolinea: “L’AI è una tecnologia molto potente ma alla portata di tutti, e come tale può essere utilizzata sia per semplificare la vita delle persone sia da parte di chi ha cattive intenzioni – commenta il Chief Sales & Marketing Officer di Intesa -. Abbiamo già degli esempi di truffe messe a segno tramite i deepfake con cifre anche abbastanza significative. Inoltre, sappiamo che l’avanzamento della tecnologia AI ha reso possibile la creazione di video deepfake sempre più realistici e sarà un fattore da considerare nell’evoluzione della cybersecurity aziendale e dei processi di onboarding”.
Strategie proattive per farsi trovare preparati
In questo contesto agire in modo proattivo, preparandosi ad affrontare tutti i possibili rischi, sembra l’opzione oggi più consigliabile. Lo scenario delineato da Intesa, in effetti, è in forte chiaroscuro: da un lato sembra improbabile che i deepfake oggi possano essere utilizzati ‘in diretta’ durante un video-self, “eppure – chiarisce Spina – vediamo già emergere qualche startup che si sta specializzando proprio nel riconoscere se in un video è stata utilizzata la tecnologia AI o è originale”. Il pericolo infatti c’è. E non richiederà molto per diventare concreto.
Ma non è tutto. “Per quanto riguarda le identità digitali – aggiunge il Chief Sales & Marketing Officer di Intesa – anch’esse dovranno tenere in considerazione questo tipo di minacce in fase di riconoscimento, ma il fatto che esse siano soggette a un controllo più centralizzato da parte di enti governativi, come nel caso di CIE, sicuramente contribuisce ad aumentare la loro sicurezza. Possiamo presumere che lo stesso livello di affidabilità e sicurezza potrà essere attribuito anche all’EUDI Wallet, l’identità digitale europea, e all’IT Wallet che dovrebbe essere a disposizione degli italiani quest’estate”.
La cultura della cybersicurezza: un valore da coltivare
Intesa, in questo senso, consiglia sempre di favorire un’identificazione tramite identità digitali, ma fermarsi a questo non è comunque sufficiente: “Il passo decisivo e fondamentale, soprattutto da parte di chi ha un contatto con il pubblico, è quello di unire le forze per diffondere una cultura sulla cybersicurezza – conclude Spina -. Non dimentichiamo infatti che la prima difesa, e la più importante, prende il via dagli utenti stessi”. Ecco dunque dove è necessario fare un ulteriore sforzo per mettere le fondamenta di un futuro digitale sempre più sicuro.
Contributo editoriale sviluppato in collaborazione con Intesa
