Onboarding: sicurezza o semplicità d’accesso? Le banche in cerca del punto d’equilibrio

Cos’è meglio? Un’esperienza online fluida, veloce, semplice come quella a cui i giganti del web ci hanno abituato, ma con qualche azzardo per la sicurezza? Oppure una protetta, blindata, inespugnabile, ma al tempo stesso lenta, piena di cancelli e posti di blocco per verificare chi stia effettivamente operando? Il paragone non sembri irrispettoso, ma un po’ come nel caso del covid, anche la navigazione per chi gestisce le proprie finanze su internet oscilla tra due poli contrapposti: a ogni azione per proteggere i nostri soldi corrisponde un freno della circolazione economica; a ogni snellimento delle procedure, viceversa, una crepa per il passaggio di attacchi nocivi. Come trovare, allora, un punto di equilibrio? In che modo, per esempio, biometria e analisi comportamentale possono essere di aiuto? E gli hacker, nel frattempo, cosa stanno escogitando per aggirare le mura che da gennaio fortificheranno i sistemi di autenticazione degli utenti?

Domande queste che assumono forma di urgenza se si guarda all’accelerazione dei pagamenti digitali, spinti sia dalle regole di igiene e distanziamento imposte dalla pandemia, sia dall’azione del governo con gli incentivi all’abbandono del contante offerti dal cashback per le transazioni elettroniche nei negozi fisici o dalla lotteria degli scontrini. Spiega Emiliano Anzellotti, ricercatore di Abi Lab e tra i relatori della sessione “Una sicurezza multilivello per salire a bordo del servizio” del convegno Banche e Sicurezza promosso dall’Abi: “Con l’emergenza del coronavirus è cresciuto in modo esponenziale l’onboarding digitale dei clienti bancari. È un fatto sicuramente positivo per il sistema, perché assicura alla clientela una via d’accesso ai servizi bancari facile e comoda. Ma ovviamente questo aumento repentino dei soggetti coinvolti richiede un altrettanto rapido aumento delle difese da potenziali attacchi informatici”.

 Una prima novità arriva a inizio gennaio con l’obbligo della strong authentication, in pratica un'autenticazione doppia, attraverso l'inserimento di due password: una statica e una dinamica, con codici usa e getta, tramite messaggi sul telefonino o con i generatori di codici (le chiavette token) o attraverso i token digitali o mediante i sistemi di riconoscimento biometrico. “Il problema – avverte Anzellotti – è che molti utenti, magari quelli con poca dimestichezza tecnologica, potrebbero vedere questi passaggi come troppo complicati, scoraggiarsi e abbandonare a metà quello che intendevano fare. Con perdite significative per il mercato finanziario”.

E allora? Come sveltire le procedure? Una risposta viene dalle biometrie, la scienza che studia le caratteristiche fisiologiche e comportamentali capaci di identificarci in modo preciso e inconfondibile.  Dice Gian Luca Marcialis, docente di Tecnologie Biometriche all’Università di Cagliari, altro relatore del convegno: “Le tecnologie biometriche sono ormai familiari al largo pubblico grazie al fatto che sempre più spesso vengono richieste per sbloccare il proprio cellulare. Per il mondo finanziario non rappresentano in realtà un’alternativa ai sistemi identificativi esistenti, ma un’integrazione capace di potenziare la sicurezza degli utenti”. La biometria più diffusa è quella dell’impronta, con decenni di sperimentazioni alle spalle. “Si può acquisire sia con una struttura di silicio integrata sullo schermo sia con una a ultrasuoni all’interno dell’apparecchio”, spiega Marcialis.

In crescita l’uso del volto. Con investimenti massicci da parte di aziende come Google, che hanno abbandonato la tecnica dell’impronta a causa dei troppi casi in cui, per varie ragioni (come l’umidità sulla pelle), il titolare effettivo non veniva riconosciuto dal sistema. “Tra l’altro – osserva Marcialis - gli attuali software di intelligenza artificiale permettono di identificare un volto anche se parzialmente coperto dalla mascherina”. Quanto all’iride, è un’ottima biometria, “ma – precisa il professore cagliaritano - richiede una discreta cooperazione dell’utente e sensori molto specifici”.

Accanto alle caratteristiche fisiche, prende poi piede l’analisi dei comportamenti online. “Le esigenze di sicurezza – dice Anzellotti – possono essere affrontate anche dagli algoritmi che identificano una serie di parametri di navigazione riconducibili a una specifica persona. Dai più elementari, come il modello di cellulare o la localizzazione, a quelli più complessi, come la velocità con cui si digita una frase, il tipo di tastiera o l’uso della mano sinistra per i mancini”.

“Ancora in fase di ricerca – annota Marcialis – biometrie come lo studio delle vene, il palmo della mano o l’andatura fisica. Quanto alla voce, con cui già oggi è possibile ordinare un bonifico tramite l’assistente vocale, c’è il rischio che il sistema non riconosca il titolare in caso di raffreddore o che consenta l’accesso a un bravo imitatore. Per non parlare della possibilità che la voce del titolare venga sintetizzata e riprodotta da un algoritmo”.

Ecco, infatti. Mentre le sentinelle della sicurezza informatica lavorano per salvaguardare i nostri portafogli virtuali, le centrali del crimine immaginano strategie alternative per sferrare i loro attacchi. Come appunto i più evoluti sistemi di intelligenza artificiale capaci di generare audio vocali del tutto identici a quelli della persona da colpire, simulando per esempio la richiesta di un bonifico. Ma non solo.

“Il problema più grosso – spiega Stefano Fratepietro, esperto di Cyber Security & Digital Forensics, anche lui relatore a Banche e Sicurezza – non riguarda tanto i sistemi informatici delle banche, che hanno una robusta esperienza contro il cybercrime, quanto le cosiddette terze parti. Con la normativa europea Psd2, infatti, moltissimi soggetti esterni al mondo degli istituti di credito avranno accesso alle Api bancarie per facilitare il rapporto con la loro clientela. Penso ad esempio a grandi operatori telefonici o ai negozi del commercio elettronico. Malgrado le regole sia molto rigorose, il timore è che la pirateria informatica stia spostando l’attenzione su questi soggetti meno attrezzati e più facili da aggredire”.

Per non parlare delle manovre che la delinquenza digitale ha già messo in moto per scavalcare le biometrie. Racconta il professor Marcialis: “Si va da sistemi rudimentali, come quello dei calchi in silicone delle impronte prelevate di nascosto, magari dalla tazza di un caffè in un bar, alla riproduzione del volto di una persona con una sorta di mascherina digitale elaborata da particolari algoritmi”.

E allora, come fare per difenderci? Per esempio, rafforzando i sistemi pubblici di identificazione. Come Spid o come la carta di identità elettronica. Commenta Anzellotti: “È questa la strada a cui guarda la Commissione europea nel suo lavoro di revisione della direttiva eIDAS. Oggi c’è ancora chi per l’onboarding usa il fax o le foto da cellulare. Peraltro con tempistiche lunghe e costi consistenti. Da Bruxelles invece viene la proposta di combattere le frodi informatiche attivando il maggior numero di servizi sui sistemi come il nostro Spid. Il quale, oltre alle poche informazioni che attualmente contiene, potrebbe integrare i dati della patente, dell’Iban, della carta di credito e della durata di questa. In più, in questa nuova veste, Spid sarebbe utilizzabile anche per altri contesti, come la pratica di un prestito o l’acquisto di una scheda telefonica”.

Anche sul fronte delle biometrie le contromisure sono già allo studio: “Il nostro laboratorio sta elaborando algoritmi in grado di riconoscere quei piccoli elementi che caratterizzano la simulazione di un’impronta, di un volto o di una voce”, riferisce Marcialis.

Ma in generale, conclude Fratepietro, la battaglia contro le frodi informatiche dovrebbe diventare oggetto di piani pluriennali, concepiti come vere e proprie attività di ricerca e sviluppo: “Bisogna attivare azioni di intelligence nel web per riconoscere i clienti che si espongono al rischio di attacchi con comportamenti disattenti. O anche contrastare il commercio di identità digitale, infiltrandosi nelle compravendite illegali dei dati bancari che avvengono nel web sommerso. Una guerra senza tregua che richiede sempre più impegno da parte di tutti”.