Come garantire la sicurezza dei pagamenti digitali

Occorre un giusto bilanciamento tra la rapidità delle transazioni finanziarie e la sicurezza informatica. Molto spesso, continue verifiche di password e codici di identificazione possono apparire come un ostacolo alla fruibilità e alla velocità di esecuzione. [...]
Sicurezza
  1. Home
  2. Sicurezza & Privacy
  3. Come garantire la sicurezza dei pagamenti digitali

Sicurezza dei pagamenti digitali. Le restrizioni imposte si sviluppano in diverse fasi del processo di utilizzo delle piattaforme e dei servizi digitali così che la sicurezza di utilizzo che è necessario bilanciare si sviluppa su diversi fronti di utilizzo e in particolari fasi operative.

Le banche e altre istituzioni finanziarie hanno spostato pesantemente i loro clienti sui canali digitali soprattutto nell’ultimo decennio e con la pandemia si è intensificata la necessità di strutture bancarie sempre più digitalizzate.

Le interazioni dei consumatori con le banche tramite app mobili o siti Web sono aumentate dal 32% nel 2018 al 50% nel 2020. Anche i pagamenti contactless sono in aumento con una parte della clientela che inizia ad abbandonare soluzioni in contanti a favore di carte di credito e portafogli digitali.

Con quali tecnologie quindi si sviluppano i processi di sicurezza delle banche e cosa ci riserva il futuro sul fronte dell’evoluzione di fruibilità e sicurezza? Ogni istituto perfeziona il proprio mix fatto di elementi variegati che la continua evoluzione tecnologia propone sul mercato.

Sicurezza: onboarding digitale e verifica dell’identità degli utilizzatori

La prima fase di contatto tra il cliente e l’istituto viene denominato con il termine onboarding ossia il processo automatizzato di introduzione di nuovi clienti nel sistema di accesso a prodotti, servizi e strutture dell’istituto finanziario.

Il processo include la tradizionale procedura di codifica del cliente, in modo veloce, semplice e sicuro attraverso Internet. Un buon processo di onboarding digitale elimina attività noiose come la compilazione di moduli, l’esecuzione di pagamenti allo sportello e l’invio di documenti.

Questo processo di contatto “primario” utilizza la piattaforma online dell’istituto di credito, sviluppata internamente o esternalizzata attraverso una piattaforma di onboarding digitale.

In questa fase, quindi, i clienti non devono più recarsi presso la banca fisica per aprire conti correnti o richiedere un prestito. Il processo tradizionale, che di solito richiede giorni o settimane per essere completato, può essere eseguito in pochi minuti.

Tali vantaggi in termini di convenienza e risparmio di tempo sono possibili con la connessione a svariate banche dati e con una procedura ben adeguata di riconoscimento del proprio futuro cliente.

La verifica dell’identità, del volto e dei documenti di un determinato soggetto avvengono integrando servizi e strumenti basati sul riconoscimento delle immagini, la biometria e l’intelligenza artificiale (AI). Durante l’erogazione del servizio, questi strumenti saranno altresì utilizzati dalle banche con il primario obiettivo di proteggere l’accesso dei clienti alla piattaforma bancaria.

Il processo di onboarding è l’inizio della relazione tra la banca e il potenziale cliente. Questo passaggio è cruciale in quanto, da esso, dipenderà la sorte del potenziale cliente che completerà il processo e sceglierà la banca oppure abbandonerà il tentativo e porterà la propria attività altrove.

Sfide e minacce nell’onboarding digitale

Le banche devono affrontare varie sfide per ottenere un onboarding digitale senza interruzioni. In primo luogo, l’istituto ha bisogno di un processo ben strutturato che coinvolga i dipartimenti interessati (legale, creditizio, centrale rischi, ecc.), l’altro lato della medaglia dell’onboarding da tenere presente è quello commerciale, ove vengono enfatizzati valori come la convenienza e la praticità di utilizzo. Su questo fronte le banche devono eliminare i modelli di business tradizionali e implementare procedure meno burocratiche e più rapide se vogliono rimanere competitive e primeggiare sulla concorrenza.

La domanda di servizi bancari completamente virtuali e contactless continuerà a crescere man mano che l’utenza continuerà a vederne i vantaggi. Le istituzioni finanziarie, quindi, devono essere in grado di soddisfare questa esigenza in modo sicuro, soprattutto con l’aumento costante delle minacce informatiche.

I rischi principali per il digital banking includono dati non crittografati, malware, servizi di terze parti non sicuri e attività di spoofing. In particolare, i truffatori sfruttano le cattive abitudini di privacy degli utenti.

Password deboli e reti non protette sono gli obiettivi principali utilizzati dai criminali per acquisire credenziali di accesso e perpetrare frodi. Una banca affidabile non dovrebbe solo fare affidamento sui propri utenti per prendere precauzioni, ma anche aiutarli ad autenticarsi quando accedono alla loro piattaforma.

Infine, le piattaforme bancarie devono essere in grado di fornire un servizio ininterrotto per mantenere l’affidabilità e la fiducia nei propri servizi.

Sicurezza: soluzioni di onboarding digitale

Banche e altri istituti finanziari possono utilizzare tecnologie all’avanguardia per soddisfare i requisiti imposti dalla fase di onboarding.

Con il livello di tecnologia oggi disponibile, le banche possono conformarsi agli standard normativi fornendo al contempo un’esperienza bancaria digitale senza attriti.

Le società finanziarie possono utilizzare l’intelligenza artificiale per anticipare meglio le esigenze dei clienti. Ad esempio, con la AI è possibile fornire supporto 24 ore su 24, 7 giorni su 7 e risposte a domande generali, migliorando l’esperienza del cliente. I sistemi basati sull’intelligenza artificiale possono anche valutare i dati dei clienti in modo più accurato, riducendo i rischi e aumentando il potenziale della banca di personalizzare il servizio clienti.

La tecnologia biometrica gioca un ruolo importante nel panorama digitale delle banche. Poiché esistono maggiori rischi che i malintenzionati si iscrivano come truffatori attraverso l’onboarding remoto, le banche hanno bisogno di un modo sicuro per dimostrare l’identità delle persone che si iscrivono. Con la biometria, le banche possono acquisire tale sicurezza in quanto misurano le caratteristiche fisiche o comportamentali uniche della persona.

WHITEPAPER
Previeni e mitiga le minacce informatiche nella finanza digitale con il Regolamento DORA
Amministrazione/Finanza/Controllo
Finanza/Assicurazioni

Ad aiutare queste procedure è l’uso di passaporti biometrici e il confronto dell’immagine ID con un’impronta digitale o una scansione facciale. Le banche possono anche impostare i dati biometrici del cliente per la verifica dell’identità nelle transazioni bancarie rilevanti come il trasferimento di fondi o l’esecuzione di pagamenti.

La verifica biometrica dell’identità digitale elimina le vulnerabilità di nomi utente e password. Questo, quindi, protegge sia la banca che il cliente dai rischi di phishing, dirottamento di sessione, attacchi man-in-the-middle e malware.

L’onboarding digitale consente alle banche di raggiungere questo obiettivo con l’aiuto di strumenti e soluzioni moderne. Ma quali altre metodologie possono essere utilizzate per aumentare e gestire la sicurezza delle transazioni?

Lo sviluppo della sicurezza dei pagamenti digitali

La tokenizzazione

“Tokenizzazione” è una parola che viene utilizzata sempre più frequentemente a causa dell’aumento delle aziende che accettano app di pagamento mobile. La tokenizzazione viene essenzialmente utilizzata come un altro livello di sicurezza per proteggere le informazioni sulle carte. I pagamenti tramite token proteggono i dati sensibili sostituendoli con dati non sensibili come un numero generato algoritmicamente chiamato token.

La tokenizzazione della carta di credito sostituisce il PAN (Primary Account Number) del cliente con una serie di numeri generati casualmente che vengono quindi indicati come token.

Il sistema consente ai clienti di registrare la propria carta sul sito web per utilizzarla per acquisti futuri. Vengono essenzialmente utilizzati per prevenire frodi con carte di credito e di debito e ridurre i tempi di checkout utilizzando i dati dei clienti memorizzati per completare le transazioni invece di richiedere i dati della carta ogni volta. Dato che il PAN non è mai stato compromesso, le possibilità di attività fraudolenta tramite token sono molto basse.

Questa forma di pagamento è l’ideale per incoraggiare la fidelizzazione dei clienti poiché inserire più volte i dettagli della carta può essere noioso. Con la possibilità di pagare con un click, i clienti possono usufruire di un pagamento rapido che rimane comunque sicuro e conforme alle normative sulla sicurezza dei dati.

I token di pagamento vengono emessi automaticamente in tempo reale e utilizzati online in domini e/o ambienti di pagamento predefiniti.

Pertanto, i pagamenti tokenizzati sono pagamenti in cui il PAN viene sostituito da un token durante l’esecuzione di un’operazione di pagamento. Con i pagamenti tokenizzati, il PAN non viene trasmesso durante la transazione, rendendo il pagamento più sicuro. Questo è il punto di forza della tokenizzazione come misura di sicurezza.

Poiché il PAN non viene mai compromesso, ci sono pochissime possibilità che il token possa essere utilizzato per attività fraudolente, anche se si verifica una violazione dei dati e si accede ai token di pagamento. Quindi, volendo riassumere:

Vantaggi

  • I token di sicurezza funzionano bene come ulteriore livello di protezione.
  • Possono essere programmati per funzionare solo entro un periodo specifico e sostituiti o riprogrammati regolarmente, rendendo più difficile lo spoofing.
  • I token di sicurezza sono convenienti per gli utenti.

Svantaggi

  • I sistemi di token di sicurezza che si basano su connessioni wireless o Internet possono essere vulnerabili ad attacchi di terze parti.
  • Gli hacker esperti possono utilizzare una connessione NFC (comunicazione in prossimità) o Bluetooth wireless per rubare dati su un token di sicurezza.

Autenticazione biometrica

L’autenticazione biometrica utilizza le caratteristiche biologiche uniche di un individuo per verificarne l’identità. I sistemi di identificazione biometrica possono esaminare le impronte digitali, la voce, la retina o i tratti del viso.

Questa è una delle opzioni più affidabili per verificare l’identità di qualcuno perché, al momento, è quasi impossibile falsificare un’impronta digitale o ingannare uno scanner retina a meno che non si abbiano conoscenze o formazione specialistica.

Gli accessi biometrici stanno diventando sempre più popolari per le aziende, e per molti telefoni cellulari che offrono opzioni di accesso tramite impronte digitali, voce o riconoscimento facciale invece di richiedere un passcode.

Vantaggi

  • I dati biometrici sono sicuri perché sono quasi impossibili da falsificare o replicare.
  • Le scansioni biometriche sono veloci, quindi questa opzione è abbastanza conveniente.
  • La biometria è facile da usare. Non è necessario ricordare un codice o trasportare un dispositivo esterno.

Svantaggi

  • Gli attacchi di spoofing, in cui un attaccante imita i dati biometrici di qualcuno, sono possibili per hacker esperti.
  • Dopo una violazione iniziale, un hacker potrebbe accedere all’intero sistema a meno che non ci siano più livelli di sicurezza (il che ostacolerebbe la comodità per gli utenti).
  • Il riconoscimento facciale e la scansione delle impronte digitali forniscono una comoda opzione di autenticazione, ma sono migliori se combinati con altre misure di sicurezza.

sicurezza

Autenticazione basata su certificato

L’autenticazione basata su certificato utilizza un certificato digitale per identificare un utente o un dispositivo prima di concedere l’accesso a un’applicazione o a una rete. Questa tecnica di autenticazione è in genere combinata con metodi di verifica tradizionali, come l’immissione di una password o di un PIN.

Un certificato impedisce ad account, computer o dispositivi non autorizzati di accedere al sistema protetto. Può anche impedire agli utenti autorizzati di accedere al sistema da dispositivi non protetti che un hacker potrebbe compromettere.

Il personale IT può installare il certificato su macchine o dispositivi approvati e la maggior parte delle soluzioni basate su certificati viene fornita con una piattaforma di gestione basata su cloud. Gli amministratori lo utilizzano per concedere, aggiornare, rinnovare e revocare i certificati.

 Vantaggi

  • I certificati consentono l’autenticazione reciproca tra il sistema e il computer o dispositivo dell’utente.
  • Non è necessario hardware aggiuntivo per l’autenticazione basata su certificato.
  • L’autenticazione è intuitiva e non richiede altri passaggi dopo l’installazione del certificato.

Svantaggi

  • L’installazione richiede conoscenze tecniche, quindi questa non è una soluzione per privati ​​o piccole imprese senza personale IT.
  • Il sistema è vulnerabile agli attacchi se qualcuno ruba e utilizza una macchina con un certificato installato.

Password

L’autenticazione con password rimane la forma più familiare di verifica dell’identità. Richiede all’utente di inserire un nome utente e un passcode univoci per accedere a un dispositivo, un account o un sistema.

Le aziende possono ancora utilizzare le password insieme ad altre misure di sicurezza. Tuttavia, la maggior parte dei servizi utilizzati dalle persone, dall’e-mail alle piattaforme di social media, dall’online banking ai servizi di streaming, richiedono un nome utente e una password per accedere.

Molte aziende cercano di impedire alle persone di utilizzare password facili da indovinare avendo requisiti numerici e simbolici. Esistono anche strumenti di gestione delle password che aiutano gli utenti a creare e ricordare codici complessi che nessuno sarebbe in grado di indovinare.

Un’altra opzione ormai diffusa consiste nell’utilizzare l’autenticazione a due fattori (2FA), che richiede all’utente di inserire un secondo codice casuale, inviato tramite e-mail, testo o app, prima di accedere.

Vantaggi

  • Le password sono facili ed economiche da implementare per aziende e sviluppatori di siti Web senza hardware aggiuntivo.
  • È possibile molto facilmente modificare le password se si ha il sospetto che siano compromesse.
  • Le password sono semplici da combinare con altri metodi, per una sicurezza a più livelli.

 Svantaggi

  • I server contenenti i dati delle password potrebbero essere violati, esponendo tutti gli account e i dispositivi che utilizzano le stesse informazioni di accesso.
  • L’inconveniente di password perse o dimenticate e i rischi per la sicurezza associati a codici rubati o non sicuri potrebbero rendere le password obsolete in futuro. Tuttavia, al momento, sono ancora un metodo di autenticazione ampiamente utilizzato.

sicurezza

Monitoraggio di terze parti

Il monitoraggio di terze parti implica l’assunzione di uno specialista per raccogliere e analizzare i dati relativi alle attività IT e alle pratiche di sicurezza informatica di un’azienda. Questo metodo può essere utile perché le minacce informatiche si evolvono costantemente e gli hacker si concentrano sempre sul superamento delle ultime misure di sicurezza.

Le aziende in genere si affidano a un provider per offrire questo tipo di assistenza alla sicurezza. Questi esperti utilizzano software specifici per il monitoraggio delle informazioni.

Il vantaggio del monitoraggio di terze parti è la capacità di rilevare attività sospette all’interno del sistema ed individuare le minacce interne.

Nessun’altra opzione di autenticazione può vedere o isolare i problemi di sicurezza una volta che un utente è autenticato e nel sistema.

Oltre alla sicurezza, il monitoraggio e la gestione remoti possono rilevare problemi ed avvisare il personale IT in modo che possa rispondere rapidamente prima che un problema interrompa le operazioni.

Vantaggi

  • Il monitoraggio di terze parti consente all’organizzazione di risparmiare tempo per concentrarsi sulle operazioni aziendali piuttosto che sulla sicurezza informatica.
  • Sfrutta l’utilizzo di esperti IT esterni che sono più specializzati rispetto ai generalisti IT interni.
  • Garantisce un monitoraggio ininterrotto 24 ore su 24 per i sistemi IT.

 Svantaggi

  • Il monitoraggio di terze parti comporta pesanti investimenti e costi di attuazione.
  • Potrebbe non essere accessibile o adatto a piccole imprese e privati.
  •  Le tendenze e gli sviluppi nell’autenticazione consentono alle aziende e ai privati ​​di utilizzare più livelli di sicurezza o di affidarsi a strumenti che offrono protezione senza compromettere la praticità.
WHITEPAPER
[White Paper] Digitalizza il punto cassa per una customer experience a 5 stelle

 

FacebookTwitterLinkedIn