Biometria: come cambiano user experience e sicurezza nel payment

Mobysign, Nexi, AppQuality e P4I a confronto al Salone dei Pagamenti 2018 sulle prospettive aperte dall’utilizzo delle soluzioni biometriche nell’ambito dei servizi di digital payment

Pubblicato il 16 Nov 2018

shutterstock_454770697

Qualche anno fa l’utilizzo della propria impronta digitale per la attivazione di un servizio, per confermare un acquisto o per completare una operazione di pagamento appariva al mercato come una bella e intelligente sintesi tra usabilità (niente più codici da ricordare a memoria, basta appoggiare l’indice sul fingerprint reader) e sicurezza (niente più rischi che qualcuno accedere alle nostre password). Poi, come tutte le sicurezze del mondo della tecnologia anche quella si è indebolita e si è rapidamente passati ad esempio alla face recognition e alla voice recognition, altri passi in avanti in termini di user experience e, ancora una volta, almeno per un certo periodo, un importante livello di sicurezza. Ma solo per un certo periodo, perché anche ogni “certezza” è destinata, inesorabilmente e come sempre, ad essere violata e a mostrare le sue falle e i suoi rischi. Ma come arrivano nuove minacce arrivano anche nuove soluzioni per proteggersi e la face recognition si associa anche alla voce e al movimento, al calore, alle espressioni. La ricerca dell’univocità e della certezza biometrica “irripetibile” e incorruttibile per avere il riconoscimento certo e appunto univoco è il veicolo per creare ostacoli ai malintenzionati senza complicare la vita agli utenti.

In concreto, a fronte di una progressiva evoluzione delle minacce informatiche che rende costantemente più fragili i metodi tradizionali di accesso basati sulle tradizionali “sicurezze” di ID utente e password per l’autenticazione dell’identità digitale, il mondo dei pagamenti digitali in particolare e tutto il mondo dei servizi (come il controllo di determinati accessi, come la smart mobility che si appoggiano a loro volta a servizi di digital payment) cercano e trovano nei nuovi sistemi di sicurezza e autenticazione basati sulla biometria, con riconoscimento di impronte digitali, vocale e facciale nuove soluzioni e nuove prospettive che permettono di aumentare la user experience e garantire nello stesso tempo nuove forme di sicurezza. Ed proprio sugli sviluppi delle soluzioni biometriche che il Salone del Pagamenti ha dedicato il workshop “La biometria al servizio dei nuovi pagamenti con la partecipazione di

  • Antonio Bonsignore, Mobysign – ceo
  • Emiliano Imbimbo, Nexi – digital issuing product manager
  • Luca Bechelli, information & cyber security advisor P4I – Partners4Innovation
  • Luca Manara, co-founder AppQuality

Mobysign: usabilità, sicurezza e nuovi servizi grazie alla biometria

ANTONIO BONSIGNORE, Ceo Mobysign

Per Antonio Bonsignore, Ceo di Mobysign la biometria è una straordinaria occasione di sviluppo di nuovi servizi prima di tutto in direzione di una migliore accessibilità e usabilità dei servizi e con nuove forme di sicurezza. Mobysign è un’applicazione adottata oggi da diversi attori e merchant grazie alla disponibilità su siti web, portali, e-commerce, app, sistemi di home e mobile banking, punti vendita, servizi di firma digitale e di identità digitale affiliati.

La soluzione presenta due canali di interfaccia grafica che fungono da canali indipendenti di sicurezza, da una parte il dispositivo con cui si inizia la transazione: il pc, la cassa del supermercato, una app specifica ad esempio per il mobile banking o per servizi di e-commerce, un successivo messaggio che compare sullo smartphone e a questo primo livello segue il confronto dei dati sulle due interfacce con due situazione. Nel caso in cui i dati corrispondono si procede con la transazione: si conferma con l’impronta digitale su smartphone (lettore o tastiera ad hoc) + ulteriore livello di sicurezza; nel caso in cui i dati non corrispondono, si registra la criticità, non si conferma l’operazione e si passa all’analisi del problema

Guarda il video con Mobysign all’opera

La soluzione non invia in rete nessun dato sensibile: non ci sono password, impronte, pin che “viaggiano” e che possono essere violati, bensì la firma elettronica dei dati della transazione eseguita in locale (che rappresenta il requisito del possesso). Il tutto con un codice di identificazione robusto.

Bonsignore sottolinea la sintesi tra sicurezza e usabilità, tra customer experience e rispetto degli standard. Mobysign parte dalla sicurezza per garantire la miglior esperienza utente possibile e si presta ad applicazioni in tanti contesti dall’home banking all’e-commerce a tutto il mondo dei merchant e del retail.

Nexi: riconoscimento biometrico tra UX e sicurezza

EMILIANO IMBIMBO, Nexi, Digital Issuing Product Manager

Emiliano Imbimbo, Digital Issuing Product Manager in Nexi ricorda che più di 5 anni fa si lavorava alla introduzione di un nuovo metodo di pagamento tramite Mobile con una grande attenzione e focalizzazione per garantire da un lato un livello adeguato di sicurezza e dall’altro una UX che permettesse la migliore gestione possibile dell’applicazione. Per molto tempo la formula dell’”Inserimento del PIN” per vagliare l’operazione è rimasta quella più affidabile.nel

Le cose sono cambiate grazie all’azione (e alla sperimentazione) dei grandi provider di tecnologia, in particolare in ambito Mobile che prima con la introduzione e attivazione di soluzioni fingerprint e poi con la face recognition e voice recognition hanno resto più accessibili e percorribili quelle modalità di interazione che erano per tanto tempo limitate all’ambito delle soluzioni dedicate. Il fingerprint è uno standard diffusissimo, grazie all’opera di attori come Apple, Samsung e Google, solo per citarne alcuni. Dall’avvento in Italia di soluzioni di pagamento come Apple Pay di fatto, questi colossi hanno introdotto una abitudine e un approccio che è appunto basato su uno standard di utilizzo comune: dall’applicazione biometrica che semplifica la UX a partire dalla abitudine di  “sbloccare” il telefono in modo sicuro “con la faccia” al passaggio all’utilizzo della stessa operazione per altre funzioni in modo sicuro. E una delle operazioni più importanti che più hanno bisogno di un controllo  “sicuro” è rappresentato proprio dal mondo dei pagamenti. La chiave di volta è la capacità di “rispettare le abitudini degli utenti semplificandole” e di garantire un alto livello di sicurezza. In parallelo, sottolinea Imbimbo, il focus di Nexi è sia nel rispetto delle aspettative degli utenti, sia nel favorire al massimo lo sviluppo di soluzioni che hanno applicato questa semplificazione anche a tutte le dimensioni e a tutti i servizi di pagamento.

C’è poi un tema di normativa che invita gli istituti di pagamento a garantire determinati livelli e forme di sicurezza, e nello stesso tempo è cresciuto il valore di User Experience anche in termini di capacità di ingaggio degli utenti.

Va ricordato che con il settembre 2019 e con la PSD2 la biometria diventa uno dei tre elementi di autenticazione forte del cliente. Nel prossimo futuro anche sulle transazioni e-commerce andrà assicurato un sistema di autenticazione delle transazioni a sua volta basato sulla biometria. In altre parole l’attuale security asset deve essere affiancata a modalità di autenticazione biometrica.

Ma la PSD2 introduce un ulteriore elemento a vantaggio della UX e invita a garantire la Frictionless Experience con un metodo di autenticazione evidente a cui si associa una verifica di sicurezza e autenticazione da attivare solo quando è necessario dotandosi di un sistema di transazione che verifica l’effettivo livello di sicurezza e di rischio di un determinato evento. In questi scenari si innesta la biometria mediata dai vendor come standard di Experience + sistema backend transazionale, ovvero una soluzione che rispetta determinate abitudini di utilizzo dei device e dei servizi di accesso concepiti per richiedere la autenticazione di sicurezza solo quando necessaria, avvero per determinate circostanze.

Ed è in questo scenario che si colloca una soluzione come NexiPay che porta la sperimentazione di questo approccio a supporto degli utilizzatori di carta di credito. La biometria è utilizzata per accedere all’applicazione e per validare operazioni all’interno della stessa. Si può provare che con la biometria applicata all’accesso all’applicazione si ottiene il 100% di success rate.

Con soluzioni di questo tipo si aprono nuove prospettive e per verificare l’identità e si entra negli ambiti della biometria comportamentale, che analizza non solo le caratteristiche fisiche ma anche quelle legate ad atteggiamenti, movimenti, espressioni, alla ricerca di nuove forme di univocità e di certezze. In sintesi, il rapporto tra device, sistemi di pagamento e sicurezza richiama il tema della governance che deve comprendere questioni legate alla normativa, alla qualità del dato, alla User Experience e, appunto, ai nuovi livelli di sicurezza.

AppQuality: UX e sicurezza, il segreto è nella conoscenza dei comportamenti

LUCA MANARA, Co-Founder AppQuality

Per Luca Manara, Co-Founder AppQuality si parte dalla necessità di garantire il massimo livello di sicurezza e su questa base la sfida è quella di sviluppare forme di user experience realmente efficaci ma che non comportino rischi. Per questo Manara invita a portare l’attenzione sull’importanza di lavorare sulla conoscenza dei comportamenti e dei soggetti, di diventare sempre più data-driven con una focalizzazione massima sul valore del dato comportamentale. In questo modo non solo si può rendere al meglio l’usabilità di una procedura di sicurezza, ma si può rendere naturale lo sviluppo e la gestione di comportamenti virtuosi da parte degli utenti in termini di diminuzione dei fattori di rischio, cercando sempre di lavorare con la massima attenzione alle abitudini e alla loro evoluzione.

AppQuality si occupa proprio di coinvolgere gli utenti finali nel processo di User Testing tramite una piattaforma web che mostra i prodotti oggetto di indagine. L’attività è orientata a tanti settori con una forte attenzione al mondo del banking e del payment dove è particolarmente importante ragionare sul tema di UX. AppQuality gestisce l’intero processo di test: dalla progettazione all’ingaggio degli utenti, fino alla restituzione finale dei feedback ricevuti.
Diverse ricerche analitiche constatano una correlazione positiva tra Customer Experience e i ricavi aziendali, come dimostra la stessa MCKinsey Design Index, The business Value of Design

Il problema è che più del 40% delle aziende ancora non parla con gli utenti finali nella fase di design e poco più del 50% ha ammesso di non avere alcun modo oggettivo di valutare i risultati dei team di progettazione. Senza un modo chiaro per collegare il design alla salute del business, i decisori aziendali sono spesso riluttanti a dirottare le scarse risorse verso le funzioni di progettazione. Questo è problematico perché molti dei fattori chiave dell’ambiente di progettazione identificato nella ricerca richiedono decisioni e investimenti a livello aziendale.

Uno sguardo utile alle competenze necessarie per arrivare ad avere la miglior customer experience:

  • Customer analysis
  • cross-functional talent
  • continous iteration
  • user knowledge

E uno sguardo ai driver di miglioramento per indirizzare il processo di UX

  1. personalizzazione
  2. gestire aspettative nel tempo
  3. integrità: garantire fiducia
  4. esperienza brillante con l’utente finale
  5. empatia

Ma l’aspetto chiave per AppQuality è certamente nella capacità di plasmare i servizi in funzione delle esigenze degli utenti.

Bechelli: sicurezza come vantaggio competitivo  

Luca Bechelli, Information & Cyber Security Advisor P4I – Partners4Innovation

Sulla sicurezza non si devono fare sconti, purtroppo più aumentano performance, innovazione nei servizi, intensità di utilizzo del digitale, valore dei dati più aumentano anche le minacce e i fattori di rischio. Per Luca Bechelli, Information & Cyber Security Advisor P4I la questione ruota attorno a una domanda chiave: quando si passa da meccanismi tradizionali di autenticazione quali password e pin a meccanismi biometrici moderni, esiste effettivamente un beneficio in termini di protezione?

Quando si sostituisce la tradizionale password con la biometria, la base dell’autenticazione non consiste più in un’informazione silente, bensì in una pubblica. Le impronte sono sparse ovunque. Il sistema sta autenticando la persona con un’informazione paradossalmente pubblica. Le nostre impronte, per certi aspetti, sono presenti in tanti luoghi, le lasciamo ad ogni nostro passaggio. Non è complicatissimo replicarle e così altri parametri. Come sempre è una questione di costi benefici, ma certamente ci sono aspetti che nel momento in cui si intende contare su parametri di sicurezza più elevati occorre considerare. Occorre cioè aumentare il livello di profondità nella riconoscibilità di un individuo, nella identificazione della sua precisa identità, che non può essere lasciata a un solo parametro, se possibile non a parametri che possono diventare pubblici e pertanto, più o meno difficilmente, replicabili.

Ma allora in cosa deve consistere la sicurezza?

L’autenticazione biometrica è un processo che assicura che l’utente esegua un gesto di fronte ad una macchina e che questo sia irripetibile, una sorta di impronta univoca di elementi del mondo analogico che vengono trasferiti in digitale e che permettono di riconoscere il soggetto e che – lui solo – è in grado di ripeterli e dunque di validare una eventuale operazione. Quando si appone l’impronta sul lettore, il segreto tecnologico non è rappresentato dall’impronta, bensì dal fatto che esiste un dito sul lettore. La macchina non deve limitarsi a leggere la superficie dell’impronta, ma andare in profondità e vedere cosa si nasconde al di sotto (carne umana e non – eventualmente – gomma). Misurare la temperatura, il calore, la rete dei vasi sanguigni, il movimento caratteristico. Fortunatamente oggi siamo in grado di avere tecnologie complesse in oggetti sottili, utilizzabili tutti i giorni.

Ma il vero tema è anche quello che quando le tecnologie sono in mano a migliaia di persone, quando i costi di oggetti complessi diminuiscono e quando le tecnologie arrivano alla portata di tutti, aumentano le possibilità, aumentano i rischi e aumenta la responsabilità di chi sviluppa e realizza soluzioni e applicazioni, ma aumentano anche le opportunità di individuare e valorizzare un posizionamento sempre più forte e dunque un vantaggio competitivo nell’assicurare un sistema di autenticazione forte all’utente senza compromettere la sua user experience.

Immagine fornita da Shutterstock

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 4