Il ruolo della biometria nella direttiva PDS2 - Migliorare la sicurezza dei pagamenti elettronici con l'autenticazione biometrica - Nuance ...
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Customer engagement omnicanale White paper Sicurezza e biometria Il ruolo della biometria nella direttiva PDS2. Migliorare la sicurezza dei pagamenti elettronici con l’autenticazione biometrica.
1
Customer engagement omnicanale White paper
Sicurezza e biometria
Per facilitare la conformità alle nuove normative
applicabili ai pagamenti nell’Unione Europea,
Nuance offre soluzioni biometriche leader del
settore progettate per aiutare le organizzazioni
dei servizi finanziari a eseguire le transazioni
con il massimo livello di sicurezza e garantendo
ai clienti un’esperienza scorrevole.
Direttiva sui servizi di pagamento 2
La seconda direttiva sui servizi di pagamento (“PSD2”)1 fa parte di una tendenza globale nell’ambito della
regolamentazione delle banche, ed enfatizza la sicurezza, l’innovazione e la competizione sul mercato. La direttiva
PSD2 è entrata in vigore il 13 gennaio 2018, con un’estensione iniziale fino al 14 settembre 2019, seguita da
un’altra estensione fino al 31 dicembre 2020. L’estensione è stata autorizzata dall’Autorità bancaria europea per
facilitare il raggiungimento della conformità da parte di tutte le aziende interessate. La direttiva PSD2 si propone di
modernizzare i servizi di pagamento in Europa, con vantaggi sia per le aziende che per i consumatori. Consente,
quindi, alle aziende di stare al passo con un mercato in rapida evoluzione, migliorando allo stesso tempo sia la
protezione dei consumatori dalle frodi sia l’assunzione di responsabilità nell’ecosistema dei pagamenti.
Nelle parole di Valdis Dombrovskis 2: “Segniamo oggi un altro passo avanti verso il mercato unico digitale
nell’UE: queste norme promuoveranno lo sviluppo di pagamenti mobili e in rete innovativi, che andranno a favore
dell’economia e della crescita”.
La nuova direttiva europea cerca non solo di riflettere i cambiamenti tecnologici, ma anche di promuovere
l’innovazione digitale facilitando l’ingresso sul mercato di nuovi tipi di fornitori di servizi di pagamento. Cerca inoltre
di offrire maggiore trasparenza riguardo alle transazioni, di migliorare la protezione dei consumatori e rafforzare la
sicurezza dei pagamenti.
PSD2: cambiamenti più importanti
Crea parità di condizioni per i fornitori di servizi di pagamento,
consentendo a nuove aziende di terze parti di inserirsi in
questo settore.
Comprende più forme di transazioni, ad esempio quelle effettuate
in nuove aree geografiche e valute (al di fuori degli stati membri e
dell’euro).
Regola nuovi servizi relativi a pagamenti a parte carte di
credito e trasferimenti tra conti bancari: ad esempio, l’avvio
dei pagamenti e le informazioni del conto.
Rafforza i requisiti di sicurezza, tra cui l’autenticazione
rafforzata del cliente (SCA, Strong Customer Authentication) e
nuove protezioni per i consumatori.
Introduce controlli sui casi di frode per pagamenti non
autorizzati e responsabilità per il fornitore di servizi di
1. Direttiva (UE) 2015/2366 del Parlamento
pagamento. Se viene eseguita un’operazione di pagamento europeo e del Consiglio del 25 novembre
non autorizzata, il fornitore di servizi di pagamento del 2015 relativa ai servizi di pagamento nel
mercato interno
pagante avrà la responsabilità di rimborsare immediatamente 2. Vicepresidente responsabile per la stabilità
la somma corrispondente all’operazione non autorizzata. finanziaria, i servizi finanziari e l’unione dei
mercati dei capital
2
Customer engagement omnicanale White paper
Sicurezza e biometria
Perché la direttiva PSD2 è così diversa
OPEN BANKING
La direttiva PSD2 avrà un ruolo fondamentale per rendere finalmente
l’”Open Banking” una realtà. I nuovi servizi per l’avvio dei pagamenti e le
informazioni sui conti daranno l’opportunità a nuove figure di rivoluzionare
l’attuale framework dei pagamenti in Europa. Questi cambiamenti
rappresentano sia una sfida (a causa del rischio di disintermediazione) che
un’opportunità (per via delle competenze e dell’infrastruttura esistenti delle
istituzioni finanziarie).
PROTEZIONE DEI CONSUMATORI
La maggiore trasparenza dei costi e la protezione dagli addebiti
miglioreranno la protezione dei consumatori. In risposta alla diffusione
della criminalità informatica e delle frodi online, la direttiva PSD2 continua
la tendenza volta al miglioramento della sicurezza dei pagamenti.
Le banche o le organizzazioni di servizi finanziari saranno responsabili
dei pagamenti non autorizzati, a meno che non possano dimostrare che
l’operazione è stata autenticata correttamente e non si sono verificati
problemi tecnici.
SICUREZZA DEI PAGAMENTI
Negli ultimi anni abbiamo visto aumentare i rischi per la sicurezza relativi
ai pagamenti elettronici, in parte a causa di una maggiore complessità
tecnica, del volume sempre crescente di pagamenti elettronici e dello
sviluppo di nuove forme di servizi di pagamento. In base alla direttiva
PSD2, la responsabilità dei rischi di sicurezza spetta ai fornitori di servizi di
pagamento. La direttiva intende mitigare tali rischi tramite un framework
regolatorio chiaro ed equilibrato.
I fornitori di servizi di pagamento devono disporre
di una propria politica sui criteri di sicurezza che
comprenda una dettagliata valutazione dei rischi
ed una descrizione delle procedure per il controllo
e attenuazione degli stessi. Devono inoltre disporre
di un framework per gestire i rischi operativi e di
sicurezza correlati ai propri servizi di pagamento.
Inoltre, su base almeno annuale viene richiesto l’invio
di report agli enti regolatori nazionali.
Con la direttiva PSD2 è stata inoltre rinforzata la necessità
di condurre una rigorosa autenticazione dell’identità della
persona che effettua il pagamento (SCA, Strong Customer
Authentication).
3
Customer engagement omnicanale White paper
Sicurezza e biometria
SCA (Strong Customer Authentication)
Uno degli elementi fondamentali della direttiva PSD2 è l’SCA (Strong
Customer Authentication, l’Autenticazione rafforzata del cliente, o
Autenticazione a due fattori), un nuovo requisito normativo europeo per
ridurre le frodi e rendere più sicuri i pagamenti online.
Per l’elaborazione dei pagamenti a partire dalla data di entrata in vigore
dell’SCA (31 dicembre 2020)3, è obbligatorio l’utilizzo di almeno due fattori
delle tre categorie illustrate di seguito.
Conoscenza Possesso Inerenza
Qualcosa che solo Qualcosa che solo Qualcosa di
l’utente conosce l’utente possiede associabile
(PIN, password, ecc.) (carta di credito, esclusivamente
token RSA, ecc.) all’utente
(riconoscimento
vocale/facciale,
biometria...)
I fornitori di servizi di pagamento devono utilizzare l’SCA quando i clienti
accedono a un account di pagamento online e avviano una transazione
per un pagamento elettronico o effettuano “qualsiasi azione, tramite un
canale a distanza, che può comportare rischio di frode nei pagamenti o
altri abusi”.
Inoltre, alcune transazioni in remoto, inclusi pagamenti su Internet
e tramite smartphone, dovranno “collegare in modo dinamico” la
transazione a un importo e a un beneficiario specifici, generando così un
codice di autenticazione unico. Come conseguenza della dinamicità di
detto collegamento, eventuali cambiamenti dell’importo o dell’identità del
beneficiario renderanno il codice non valido.
3. L’Autorità bancaria europea (ABE) ha
autorizzato un’estensione del periodo
di entrata in vigore. L’entrata in vigore è
prevista per il 31 dicembre 2020.4
Customer engagement omnicanale White paper
Sicurezza e biometria
Impatto dell’SCA sui servizi finanziari
Il requisito obbligatorio dell’SCA interesserà tutto il settore dei pagamenti
e in particolare le organizzazioni di servizi finanziari. L’obbligo di
implementare l’SCA per pagamenti effettuati da browser e dispositivi
mobili comporterà cambiamenti per queste organizzazioni.
Per abilitare l’SCA, la maggior parte delle organizzazioni di servizi
finanziari ha deciso di mantenere l’invio di un codice o un PIN (One-Time
Password) tramite SMS. Sebbene la combinazione di OTP tramite
SMS, un elemento relativo al possesso, e un elemento relativo alla
conoscenza, come una password, sia tecnicamente conforme al
requisito che prevede l’utilizzo di due fattori, il presupposto alla
base è che il possesso da parte del cliente del dispositivo a cui viene
inviato l’OTP sia sicuro. Tuttavia, la realtà è molto diversa.
L’articolo 22(4) degli standard tecnici di regolamentazione in tema di
autenticazione rafforzata del cliente e comunicazione sicura ai sensi della
direttiva PSD2 afferma che “i prestatori di servizi di pagamento assicurano
che il trattamento e l’instradamento delle credenziali di sicurezza
personalizzate e dei codici di autenticazione generati conformemente al
capo II avvengano in ambienti protetti secondo standard settoriali rigorosi
e ampiamente riconosciuti”.
La crescita continua di frodi basate su violazioni degli account e
sostituzioni di SIM (‘SIM swapping’) rivela un’evidente mancanza di
sicurezza degli ambienti a cui si fa riferimento nel suddetto articolo.
Per le organizzazioni di servizi finanziari, solo questo rappresenta
un valido motivo per abbandonare l’approccio OTP/SMS a favore
dell’implementazione di un’autenticazione migliorata dei clienti,
come sta avvenendo sempre più spesso nel settore dei servizi finanziari in
Germania.
Organizzazioni di servizi finanziari come Postbank, Raiffeisen Bank,
Volksbank e Consorsbank hanno annunciato l’intenzione di abbandonare
l’approccio OTP/SMS nel corso del 2020. Anche Deutsche Bank e
Commerzbank seguiranno la stessa linea ed è probabile che molte altre
organizzazioni facciano lo stesso.
La responsabilità delle organizzazioni di
servizi finanziari riguardo all’SCA
La direttiva PSD2 rappresenta un passaggio essenziale verso una migliore
protezione dei consumatori in caso di perdita, furto, appropriazione La conformità alla direttiva
indebita ed errata esecuzione. I fornitori di servizi di pagamento (PSP)
assumono piena responsabilità per i pagamenti che non sono stati PSD2 è diventata una
eseguiti correttamente. Di conseguenza hanno l’obbligo di rimborsare delle priorità principali per
immediatamente l’importo totale della transazione di pagamento non
gli operatori di servizi di
autorizzata ai propri clienti.
pagamento, in quanto la
Gli utenti dei servizi di pagamento assumono piena responsabilità solo mancata conformità li rende
quando agiscono in modo fraudolento o in caso di colpa grave.
responsabili di eventuali
Pertanto, per garantire la conformità alla direttiva PSD2, è fondamentale danni subiti dai clienti a
che le organizzazioni di servizi finanziari implementino un metodo per
l’autenticazione valida e sicura dei clienti, in grado di ridurre al minimo causa di frodi.
il rischio di furto di identità, aumentando così la fiducia dei clienti e
riducendo i costi associati alle frodi.5
Customer engagement omnicanale White paper
Sicurezza e biometria
Il ruolo emergente della biometria
Le organizzazioni hanno aumentato considerevolmente il loro interesse nelle
tecnologie di biometria per l’identificazione e autenticazione del cliente,
considerandola l’opzione più valida per rafforzare tanto la sicurezza dei suoi
sistemi quanto quella dei suoi clienti. La biometria, combinata con elementi di
possesso o di conoscenza, può aiutare a raggiungere un’autenticazione a due
fattori sicura e senza attriti.
Dall’arrivo in molti smartphone e tablet della possibilità di autenticarsi con biometrica
(ad es. il riconoscimento facciale o con impronta digitale), gli utenti si sono abituati
alla biometria e la vedono come un’alternativa sicura e pratica alle password.
Le organizzazioni che stanno valutando l’utilizzo della biometria per
l’autenticazione sicura dei clienti devono tenere presente quanto segue:
Utilizzo dell’autenticazione biometrica integrata al proprio dispositivi
rispetto a metodi biometrici di fornitori esterni: sebbene l’utilizzo di metodi
di autenticazione biometrica integrati nei dispositivi mobili (“native”) possa
semplificare le implementazioni, è importante notare che non tutti i metodi
nativi per i dispositivi forniscono un alto livello di sicurezza, accuratezza e
protezione da attacchi di presentazione. Altri metodi “non nativi” dei propri
dispositivi consentono d’altro canto alle organizzazioni di offrire una sicurezza e
un’esperienza più coerenti, indipendentemente dal modello o dal produttore del
dispositivo. Inoltre, le soluzioni di autenticazione biometrica di fornitori esterni
fidati offrono livelli più elevati di accuratezza e funzionalità anti-spoofing, capaci
di identificare.
Elaborazione biometrica sul dispositivo o sul server: l’elaborazione
biometrica su dispositivo garantisce che i dati biometrici non lascino
mai il dispositivo in questione. In tal modo, le organizzazioni non devono
gestire la registrazione, l’elaborazione e la verifica del cliente. D’altra parte,
l’elaborazione biometrica sul server consente di utilizzare gli stessi dati
biometrici in più canali, ad esempio l’utilizzo di un’impronta vocale con un’app
di mobile banking, ma anche quando il cliente contatta il contact center via
cellulare. Inoltre, la registrazione biometrica sul server offre una maggiore
protezione contro le frodi.
Scelta tra varie forme di biometria: le modalità passive, ad esempio
la biometria comportamentale, diventano sempre più diffuse, in quanto
rappresentano un modo efficace, invisibile e scorrevole per fornire
un’autenticazione continua nei canali mobili e web. Inoltre, anche le modalità
biometriche che utilizzano sensori disponibili su una vasta gamma di dispositivi
(ad esempio biometrica vocale, basata sul volto e basata su impronte digitali)
vengono spesso preferiti per via della loro praticità e familiarità.
Canali applicabili: nonostante la direttiva PSD2 riguardi principalmente
le transazioni elettroniche, è importante prendere in considerazione
l’implementazione della biometria su scala più ampia, in maniera globale,
per ottenere tutti i vantaggi di una soluzione omnicanale che includa canali
digitali, contact center e canali fisici nelle filiali.
L’aiuto che Nuance può offrire
Le soluzioni biometriche di Nuance offrono supporto per rispettare i mandati
della direttiva PSD2 e dell’SCA, rafforzando la sicurezza dell’autenticazione e i
processi di prevenzione delle frodi e migliorando al contempo l’esperienza e la
fidelizzazione dei clienti.
Le aziende devono ora trovare il giusto equilibrio tra questi tre obiettivi:
Ottimizzare l’esperienza dei clienti e massimizzare la validazione di
transazioni autentiche.
Minimizzare le perdite legate alle frodi, rilevando e respingendo le transazioni
fraudolente e riducendo allo stesso tempo al minimo i falsi positivi.
Mantenere sotto controllo i costi operativi delle attività di gestione delle
frodi automatizzando le operazioni di prevenzione e riducendo il carico
di lavoro degli operatori, grazie anche ad avvisi di frode di alta qualità.6
Customer engagement omnicanale White paper
Sicurezza e biometria
Il 21 giugno 2019, l’Autorità bancaria europea (ABE) ha riconosciuto la validità di
diversi tipi di biometria4 come elemento nell’ambito della categoria “inerenza”, Rilevatori intelligenti
aprendo la porta all’implementazione di sofisticate procedure per l’autenticazione di Nuance
rafforzata dei clienti, che non dipendono da possibili falle nella sicurezza delle
I rilevatori intelligenti forniscono
infrastrutture di comunicazione.
segnali di rischio che rendono molto
Le soluzioni biometriche di Nuance per l’autenticazione dei clienti e il rilevamento più semplice l’identificazione dei
delle frodi si basano su algoritmi IA che consentono l’autenticazione più veloce e malintenzionati.
affidabile attualmente sul mercato. Tali soluzioni integrano inoltre molteplici fattori
e livelli di sicurezza (tra le altre: l’individuazione di voci registrate, voci sintetiche e
anti-spoofing) che permettono di identificare l’individuo attraverso caratteristiche
intrinseche della sua voce e pattern di comportamento.
Le funzionalità biometriche di Nuance comprendono: Liveness ID
Biometria comportamentale Assicura che il soggetto che fornisce
Ogni persona interagisce con i propri dispositivi in modo unico e personale. Nuance i dati biometrici sia una persona.
Gatekeeper analizza i modelli di comportamento biometrico, ad esempio la velocità
di digitazione delle persone, il modo in cui tengono in mano lo smartphone, il livello
di pressione esercitata e la superficie coperta con le dita durante l’interazione con
il dispositivo, e persino il modo in cui prendono delle pause durante lo svolgimento
di un’attività. Se questi atteggiamenti cambiano, o se il modello comportamentale
corrisponde a quello di un potenziale malintenzionato, Nuance Gatekeeper può
Synthetic ID
Rileva il parlato sintetico,
elevare il livello di rischio associato alla transazione. La biometria comportamentale
anche in caso di resa perfetta.
è quindi un metodo ideale per rafforzare l’autenticazione e ridurre le frodi nei canali
web, mobili e chat, pur rimanendo completamente invisibile per il cliente.
Biometria vocale
Tra tutti i tipi di biometria, quella vocale ha raggiunto un livello elevato di maturità negli
ultimi anni. Nuance è il leader mondiale nella fornitura di soluzioni tecnologiche di
biometria per il settore finanziario, con oltre 500 clienti e 400 milioni di impronte vocali. Playback ID
Rileva quando un malintenzionato sta
La tecnologia di biometria vocale di Nuance è in grado di generare un’impronta vocale usando una registrazione della voce
dopo aver analizzato centinaia di attributi e caratteristiche fisiche di ciascun individuo della vittima.
(tratto vocale, lingua, cavità orale, ecc.) e caratteristiche intrinseche della voce,
garantendo la verifica dell’identità del parlante con un’accuratezza superiore al 99%.
Un’impronta vocale può inoltre essere utilizzata per identificare il parlante sia su un
canale vocale (IVR e contact center) che sui canali digitali (app per dispositivi mobili,
web, e-mail, social network, ecc.). Geo ID
Identifica il paese e la città a cui è
Riconoscimento facciale
associato il dispositivo.
L’utilizzo del riconoscimento facciale diventa sempre più diffuso, in quanto offre
un metodo semplice per eseguire l’autenticazione degli utenti sfruttando le
fotocamere di alta qualità disponibili sulla maggior parte degli smartphone e dei
tablet. Il riconoscimento facciale può rappresentare anche un deterrente per i
malintenzionati, limitando la loro capacità di continuare l’attività criminale in corso
quando si trovano di fronte a una richiesta di autenticazione tramite riconoscimento Network ID
facciale. Nuance Gatekeeper offre il riconoscimento facciale come una delle Analizza la qualità della rete per
modalità utilizzabili per un’autenticazione sicura dei clienti, con elevati livelli di rilevare cambiamenti sospetti.
accuratezza e funzionalità di rilevamento in tempo reale.
ConversationPrint
ConversationPrint™, una forma di biometria comportamentale, è unica nel
settore ed è in grado di identificare attività fraudolente in tempo reale in base a
una selezione di parole e modelli di parlato o testo digitato durante un’interazione
con un operatore o un assistente virtuale nei canali digitali e nel contact center.
Channel ID
Analizza l’audio nella sua interezza,
Analizzando il vocabolario, la struttura delle frasi, la grammatica e altro ancora,
per determinare il tipo di dispositivo
ConversationPrint è in grado di garantire autenticazione continua durante una
utilizzato durante l’interazione.
conversazione, ad esempio in una sessione di chat. Fornisce inoltre un metodo
potente per rilevare le frodi confrontando gli script di conversazione ai modelli di un
possibile malintenzionato.
Grazie alle funzionalità biometriche multimodali di classe enterprise basate su IA,
Nuance è di grande aiuto alle organizzazioni per garantire l’SCA e raggiungere gli
obiettivi di conformità, ottimizzando l’esperienza del cliente e riducendo le frodi in ANI ID
tutti i canali di interazione con i clienti. Analizza i metadati di una telefonata e
determina quando una chiamata in arrivo
4. “L’inerenza può comprendere la scansione della retina e dell’iride, delle impronte digitali,
proviene da un utente legittimo.
il e delle mani, il riconoscimento vocale” Autorità bancaria europea (21 giugno 2019)7
Customer engagement omnicanale White paper
Sicurezza e biometria
Perché scegliere Nuance?
Nuance Communications (NASDAQ: NUAN) è una multinazionale con oltre 30 anni di esperienza nell’innovazione,
nella ricerca, nello sviluppo e nella commercializzazione di soluzioni di biometria e tecnologie di comprensione
della voce e del linguaggio naturale basate su intelligenza artificiale (IA). Oggi, molte delle soluzioni di Nuance sono
presenti nella maggior parte dei reparti di assistenza clienti di un vasto numero di aziende multinazionali, offrendo
un valore aggiunto e aiutando a migliorare l’esperienza e la sicurezza dei clienti.
Oltre 400 milioni di persone intorno al mondo eseguono l’autenticazione ai servizi di assistenza clienti tramite le
soluzioni di biometria vocale di Nuance. Quest’anno, fino a questo momento, sono stati elaborati con successo
oltre 8 miliardi di transazioni biometriche senza nessuna segnalazione di autenticazione fraudolenta, consentendo
un risparmio annuale di due miliardi di dollari per costi legati alle frodi.
Tra i clienti all’avanguardia che utilizzano le soluzioni biometriche di Nuance per l’autenticazione dei clienti e
la prevenzione delle frodi rientrano banche e organizzazioni di servizi finanziari, aziende di telecomunicazioni,
assicurazioni, rivenditori, fornitori di utenze e organizzazioni governative di tutto il mondo. Di seguito sono riportati
alcuni esempi di clienti che ci hanno autorizzato a utilizzare il loro logo in pubblico:
Ulteriori informazioni
Fare clic qui per ulteriori informazioni su queste e altre soluzioni di sicurezza
e biometria per l’autenticazione dei clienti e la prevenzione delle frodi.
Per richiedere una demo di prodotto o in caso di domande,
inviare un’e-mail direttamente a: pilar.blasco@nuance.com
Informazioni su Nuance Communications, Inc.
Nuance Enterprise sta rivoluzionando il rapporto tra aziende e clienti grazie a soluzioni di customer engagement
basate sull’intelligenza artificiale. L’azienda si propone di essere il fornitore leader del mercato di soluzioni
di assistenza self-service e tramite operatore per le grandi aziende di tutto il mondo. Queste soluzioni sono
differenziate da voce, biometria vocale, assistente virtuale, chat web e tecnologie cognitive, consentendo
un’assistenza cliente multicanale per IVR, dispositivi mobili e web, chiamate in arrivo e in uscita: il tutto arricchito
dalle competenze di design e di sviluppo di un team di servizi professionali globale. Tra i nostri clienti rientrano
aziende Fortune 2500 di tutto il mondo, che comprendono clienti diretti e partner di canale.
Copyright © 2020 Nuance Communications, Inc. Tutti i diritti riservati. Nuance e il logo Nuance sono marchi e/o marchi
registrati di Nuance Communications, Inc. o delle sue consociate negli Stati Uniti e/o in altri paesi. Tutti gli altri marchi e
nomi di prodotto sono marchi o marchi o marchi registrati delle rispettive aziende.Puoi anche leggere
