Sicurezza e praticità, un difficile equilibrio per le transazioni online

In che modo gli intermediari finanziari possono permettere ai soggetti autorizzati di eseguire facilmente le proprie transazioni, bloccando al contempo qualsiasi attività criminosa da parte di malintenzionati? Questo interrogativo assilla ormai da trent’anni le menti più brillanti della sicurezza informatica; adesso che i furti d’identità, le violazioni dei dati e le frodi sono al massimo storico, questa domanda ha assunto una rilevanza tutta particolare per gli istituti finanziari. Mai come oggi è stato così difficile trovare una risposta. In tutto il mondo gli utenti privati interagiscono con le banche attraverso una pluralità di canali quali i siti web delle banche stesse, gli sportelli Bancomat, le transazioni svolte nei locali di un negozio a mezzo di una carta con chip e PIN, lo shopping on-line, il telefono e, sempre più sporadicamente, gli sportelli bancari tradizionali.

I truffatori sono pronti ad approfittare di qualsiasi opportunità di contatto per appropriarsi delle credenziali degli utenti, ricorrendo indifferentemente a malware, tecniche di phishing, card skimming o altre minacce emergenti. La messa in sicurezza delle transazioni è resa ancora più difficoltosa dalla “consumerizzazione” dell’IT e dalla conseguente mobilità ad essa associata. Sempre più spesso anche in viaggio, ad esempio sugli autobus e sui treni, si vedono passeggeri intenti a controllare il saldo del proprio conto, acquistare un volo o prenotare dei biglietti per il teatro, attraverso il proprio iPad o smartphone; persone che, interpellata sulla sicurezza di tali transazioni, tendono generalmente a scrollare le spalle. Tra l’altro, la maggior parte della gente non ritiene che un’eventuale frode finanziaria possa avere delle conseguenze, nella convinzione che la loro banca o l’emittente della loro carta di credito rimborsi qualsiasi somma sottratta in maniera fraudolenta dal conto corrente.

In genere, le organizzazioni finanziarie hanno difficoltà a identificare i rischi presenti nelle varie occasioni di contatto con i clienti; se, ad esempio, un malintenzionato dovesse rubare una carta di credito per prelevare del contante da un ATM, acquistare poi un televisore tramite il terminale POS di un negozio e ordinare infine un bonifico on-line, molte banche tratterebbero ognuno di questi atti illeciti come un evento a sé in quanto ogni canale fa capo a sistemi e operatori diversi, inficiando gravemente la probabilità di rintracciare eventuali abusi.

Agli occhi del consumatore la comodità batte la sicurezza. Ma dev’essere per forza così? Il fatto è che oggi i consumatori vogliono ridurre al minimo i disagi incontrati nello svolgere le transazioni on-line. La rapidità è essenziale e considerano inaccettabile anche il minimo disagio, soprattutto nel caso di attività a rischio minore: sono disposti a giustificare e tollerare misure proporzionali al rischio, ma non accettano di ‘subire’ un livello di sicurezza fissa per tutte le circostanze. Durante le attività di on-line banking, ad esempio, i clienti sono disposti ad usare un dispositivo di autenticazione aggiuntiva rispetto alla semplice password (es. token PKI hardware/software) per un bonifico, ma sono meno disposti a simili sistemi di autenticazione quando si tratta semplicemente di visionare l’estratto conto.

Allo stesso modo, non è forse più ragionevole che ci venga chiesto di autenticarci quando siamo in procinto di acquistare un gioiello costoso piuttosto che quando facciamo una piccola spesa al supermercato? L’ideale sarebbe che le transazioni a basso rischio fossero istantanee e indolori tanto quanto i pagamenti in contanti. Per le transazioni più rischiose, invece, la banca dovrebbe adottare misure di sicurezza proporzionali al livello di rischio. I clienti ne riconoscerebbero la logica e sarebbero addirittura contenti di beneficiare di maggiori tutele.

I clienti non sono tutti uguali, quindi qualora fosse necessaria una sicurezza maggiore, preferirebbero procedure di auto-identificazione consone al loro stile di vita; ad esempio, smartphone e tablet possono essere utilizzati come generatori di OTP (One-Time-Password: password temporanea) anziché costringere gli utenti a portare sempre con sé un dispositivo hardware (Token) aggiuntivo. In alternativa, chi non dovesse possedere uno smartphone, ma eseguisse regolarmente acquisti e operazioni bancarie on-line dal computer, accetterebbe molto più volentieri un sistema di credenziali software, in grado di riconoscere quel PC come strumento da utilizzare per il riconoscimento del titolare.

Per salvaguardare gli utenti autorizzati e bloccare i truffatori, le organizzazioni del settore “finance” devono trovare il giusto compromesso fra comfort, costo e sicurezza, per mantenere i clienti soddisfatti e il denaro al sicuro. Nasce però un dilemma: come favorire, da un lato, lo svolgimento di transazioni finanziarie creando disagi minimi e controllare, dall’altro, l’identità del soggetto che richiede l’accesso (solitamente previa autenticazione dell’utente mediante password e un’altra credenziale)? La risposta sta in un controllo su più livelli per il rilevamento delle frodi, basato sull’analisi dei rischi e coadiuvato da un’adeguata autenticazione.

Per distinguere i “buoni” dai “cattivi”, gli organismi finanziari necessitano di una strategia graduata di rilevamento delle frodi che coniughi l’analisi del rischio a una serie di metodi di autenticazione differenziati per garantire una sicurezza commisurata al rischio insito in ogni azione intrapresa dall’utente. Questa sofisticata analisi dei rischi può contemplare vari fattori quali la località in cui si trova l’utente, il dispositivo che sta usando on-line, l’importo della transazione o il tipo di articolo acquistato. In generale, solo una minima parte delle transazioni è considerata a rischio; la soluzione ideale deve essere in grado di identificare tali operazioni per alzare il livello di sicurezza richiesto, mantenendo il massimo comfort possibile per l’utente. Una soluzione di questo tipo contribuirebbe a prevenire in tempo reale le frodi dirette ai servizi on-line per la platea consumer senza causare inutili disagi ai legittimi utenti per la stragrande maggioranza di attività da loro svolte.

Una soluzione di autenticazione davvero evoluta dev’essere in grado di istituire un processo adattivo di analisi dei rischi per valutare il potenziale di frode in ogni procedura di login e transazione on-line. La tecnologia fornisce una serie di metodi di autenticazione a due fattori e basati sui rischi, tutti finalizzati a una multicanalità di autenticazione; ad esempio, gli organismi finanziari hanno la possibilità di esaminare un’ampia gamma di dati raccolti automaticamente in occasione di ogni login o transazione, calcolando un punteggio di rischio per stabilire quale azione intraprendere a fronte di ogni transazione. Si possono anche impostare delle soglie di tolleranza per regolare l’impatto sui legittimi utenti, oltre alla flessibilità di decidere la misura da adottare in risposta a ogni punteggio sulla base delle policy e della tolleranza al rischio.

Un approccio di questo tipo trasforma l’autenticazione e la prevenzione delle frodi, ottimizzando anche altri aspetti quali la comodità d’uso. Poniamo il caso di un cliente che vada a Londra per le Olimpiadi: in albergo utilizza la carta di credito dotata di chip con PIN per autorizzare la carta a eventuali acquisti effettuati durante il soggiorno; in camera si serve del portatile per inviare una disposizione di bonifico on-line; in serata effettua un altro acquisto con l’iPad. Basandosi sull’autenticazione multicanale avanzata, la banca del cliente avrà verificato la validità della transazione eseguita tramite carta con chip e PIN, avrà preso atto che il cliente si trova in Gran Bretagna e si sarà attivata per monitorare eventuali transazioni successive su altri canali, partendo da questa prima transazione autorizzata dell’albergo.

Il livello di rischio può tener conto anche di eventuali utilizzi pregressi del portatile o dell’iPad da parte dello stesso cliente, nonché dell’importo e del tipo di pagamento. Se a breve distanza di tempo, venisse inoltrata una richiesta d’acquisto da Mosca, la funzione di autenticazione avanzata, identificata la località, realizzerebbe che il cliente non può essere contemporaneamente in due luoghi diversi, perciò respingerebbe la transazione.

In un momento in cui gli intermediari finanziari sono più che mai sotto pressione per quanto riguarda le soluzioni di security e la relativa implementazione, l’autenticazione avanzata rappresenta una svolta verso una sicurezza più trasparente, pratica ed efficiente anche sul versante dei costi.