Identità in banca: mettetela al sicuro

La gestione sicura dell’identità in banca rappresenta da sempre un ambito di estrema attenzione da parte delle banche, sia in termini di protezione dei dati del cliente come leva strategica di vantaggio competitivo e di sviluppo del business, sia in termini di corretta amministrazione dei flussi di autorizzazione delle procedure organizzative interne. Uno degli ambiti in cui con maggior convinzione il settore si sta muovendo in un’ottica integrata è quello della gestione delle identità e del controllo degli accessi (Identity and Access Management - IAM), proprio in ragione della trasversalità che caratterizza le fasi in cui si può scomporre la procedura di accesso a una risorsa aziendale, un locale fisico o uno spazio virtuale. Dal punto di vista dell’offerta verso l’esterno, l’opportunità di erogare servizi sempre più completi e profilati ha esteso la proposizione commerciale fino a includere il cliente stesso nel perimetro delle scelte strutturali che supportano la realizzazione dei progetti di sviluppo del business. Ne è scaturita una focalizzazione sempre più spinta su una visione che inquadra la protezione dei canali di accesso ai servizi bancari come un vero e proprio asset strategico.

L’ambito della gestione dell’identità di un utente può essere definito come l’insieme delle procedure, dei sistemi, delle azioni e delle tecnologie che ne abilitano l’identificazione unica, l’autenticazione sulla risorsa cui sta accedendo e l’autorizzazione ad eseguire le operazioni pianificate. Nel contesto della gestione delle identità in banca rientrano naturalmente sia le identità dei clienti che quelle dei dipendenti, e le procedure con cui vengono gestite si distinguono sulla base delle risorse a cui accedono, dei canali attraverso cui vi accedono e/o delle applicazioni all’interno delle quali sono utilizzate. Procedure differenti, quindi, che sono supportate anche da strategie e scelte tecnologie distinte. Per i clienti, ad esempio, l’attenzione che si pone nella valutazione della tecnologia fa riferimento, in parallelo alla necessità di abilitare elevati livelli di protezione, anche a criteri di minimizzazione dell’impatto percepito e dell’onerosità gestionale. Per i dipendenti, al contrario, l’attenzione primaria è focalizzata sulla necessità di garantire un corretto utilizzo delle risorse in linea con quanto definito nelle policy di sicurezza e condiviso in termini di protezione delle infra-strutture fisiche e logiche della banca, anche in virtù di un rischio operativo mediamente più alto che si deve coprire per una base di utenti comunque minore.

Il tema dell’IAM è stato affrontato dal team di ricerca dell’Osservatorio sulla Gestione Sicura dell’Identità attraverso un’indagine a libello di sistema realizzata con l’obiettivo di definire una mappa di dettaglio delle diverse tecnologie di autenticazione attualmente diffuse in banca. Le tecnologie sono state distinte in base allo specifico canale/ambito di utilizzo e al tipo di utente coinvolto. Il quadro complessivo che emerge dall’indagine, cui hanno partecipato 51 istituti bancari, evidenzia una realtà eterogenea e un panorama in divenire in cui le opportunità di incremento del business sembrano effettivamente supportate tanto dallo stato di evoluzione attuale del contesto tecnologico quanto dalle strategie di integrazione che si stanno sviluppando tra pubblico e privato. L’analisi ha evidenziato come sul canale Internet, dove è adottato l’utilizzo del secondo fattore di autenticazione, si registri la maggiore varietà di tecnologie sperimentate: oltre alla digitazione di Password/PIN come primo fattore (88%), si ricorre infatti a codici OtP via hardware disconnesso (55%), tessera a combinazione (38%), OtP via sms (36%), certificato digitale su supporto software (24%), OtP generata da software (12%) e OtP via hardware connesso (5%).La gestione degli accessi del personale a sedi e aree riservate, invece, rappresenta il contesto applicativo in cui trovano maggior impiego le carte con tecnologia RfID, utilizza-te dal 69% (per le sedi) e dall’81% (per le aree riservate) delle banche.

È ancora limitato il ricorso alla biometria per fini di sicurezza degli accessi. Due istituti utilizzano le tecnologie biometriche (impronte digitali), su un numero limitato di filiali, con finalità di archiviazione dei dati a supporto dell’azione repressiva delle forze dell’Ordine e dunque non strettamente come soluzione di autenticazione. tale risultato evidenzia come il processo di abilitazione della biometria in banca sia fortemente potenziabile, soprattutto nel contesto del controllo degli accessi logici, e come richieda al tempo stesso una forte azione di formazione e sensibilizzazione della clientela e del personale della banca per facilitarne l’adozione, in termini di conoscenza della specifica tecnologia e di trattamento dei dati personali. Un’ulteriore analisi di carattere qualitativo condotta nell’ambito dell’Osservatorio, finalizzata a confrontare la percezione da parte delle banche di tre macrocategorie tecnologiche “biometria, token e carte” in termini di accuratezza, antifalsificabilità, appropriatezza, costo, semplicità di utilizzo e stabilità, conferma tale tendenza; tuttavia, i livelli di valutazione più bassi espressi per la biometria probabilmente risentono anche di un grado di consapevolezza e di conoscenza ancora limitato da parte del campione circa le reali caratteristiche che invece contraddistinguono le tecnologie biometriche rispetto a tecnologie alternative. Al tempo stesso, dall’analisi di dettaglio degli specifici ambiti di utilizzo si evidenzia un discreto interesse da parte del campione a valutare l’utilizzo della biometria per l’autenticazione di dipendenti nell’accesso a sedi e aree riservate e, potenzialmente, per aumentare il livello di sicurezza di Atm e Pos.

Le ulteriori opportunità che emergono in questo scenario, anche in virtù delle ben note strategie attivate in seno alla Pubblica Amministrazione per l’introduzione di documenti di identità digitale verso il cittadino, hanno consolidato l’interesse del settore banca-rio sulla possibilità di sperimentare modalità innovative e sinergiche di sviluppo di un dialogo a 360° con la propria clientela, sia in ottica di integrare l’offerta di servizi tipici bancari con quelli della PA, sia in ottica di sfruttare gli strumenti che si rendono disponibili ai propri utenti come alternative tecnologiche di accesso. Basti pensare alla carta nazionale dei servizi (CNS), distribuita a circa 18 milioni di utenti residenti in Lombardia, Friuli Venezia Giulia e toscana, e la carta di identità elettronica (CIE), che tuttavia presenta ancora un livello di diffusione limitato (circa 1,5 milioni di cittadini).

ABI Lab e OSSIF hanno promosso la realizzazione di sperimentazioni e progetti pilota volti a testare onfield, presso le banche interessate e in collaborazione con partner tecnologici e PA locali, l’uso dei documenti di identità elettronica per l’accesso ai servizi bancari mediante un’identificazione e un’autenticazione forte basata sulle informazioni contenute nei documenti stessi. A oggi sono in via di realizzazione due sperimentazioni distinte, in collaborazione con Toscana e Lombardia, finalizzate a:

È questa la strada già intrapresa in alcune realtà europee extranazionali, in cui da più tempo sono stati avviati progetti di integrazione tra banche e PA in tema di gestione sicura dell’identità, e che sono oggi pervenuti all’espressione più completa del concetto di “Banca Estesa”. Si auspica anche in Italia un’azione condivisa tra PA e sistema bancario per l’elaborazione di iniziative e progetti in grado di produrre servizi sempre più efficienti e profilati per il cittadino. BF