Banche Digitali: come fronteggiare le frodi in un contesto omni-channel
di Marco Pacchiardo - Senior Sales Engineer, Alfa Group
-
5 Agosto 2019
Dotarsi di un sistema di Orchestration offre una serie di nuove possibilità in termini di prevenzione e contrasto delle frodi. Ne parla Marco Pacchiardo di Alfa Group, sottolineando le potenzialità del passaggio dal KYC (Know Your Customer) al KYT (Know Your Transaction), in cui l’identità digitale e l’analisi comportamentale sono associate ad ogni singola transazione effettuata
di Marco Pacchiardo - Senior Sales Engineer, Alfa Group
Customer experience e omni-canalità sono i due elementi di un binomio che nell’era della digitalizzazione va imponendosi in maniera sempre più incisiva su una rosa di settori in continua espansione. Le banche digitali non fanno eccezione: la banca non è più (solo) un luogo fisico, i canali operativi e di relazione con il cliente sono molteplici e, evolvendosi da un approccio multi-canale discontinuo e frammentario, caratterizzati da una coerenza ed integrazione “seamless”.
In questo contesto, appare subito chiaro che affrontare il tema della gestione delle frodi non è semplice: l’omni-canalità propria delle banche digitali è, a tutti gli effetti, un nuovo fattore essenziale da considerare quando si compiono valutazioni atte a identificare i rischi cui queste sono soggette.
Se è pur vero che, nella molteplicità degli elementi coinvolti, non tutti hanno reale possibilità di essere individuati e tenuti sotto controllo nel dettaglio (o quantomeno non in tempo utile) per la gestione delle frodi), possiamo tuttavia individuare 5 layer fondamentali da valutare per prevenire e/o identificare le frodi:
- L’Endpoint – ovvero il “punto di ingresso” alla banca digitale, e gli elementi che lo caratterizzano (l’ID dell’apparato, la geolocalizzazione, la username utilizzata, e la strong authentication).
- La navigazione – ovvero il modo in cui l’utente si muove in relazione ai modelli di comportamento attesi per la navigazione stessa.
- Il Canale – ovvero i modelli di comportamento all’interno del canale stesso.
- Il Cross Channel – ovvero i modelli di comportamento tra i vari canali
- La Link Entity - ovvero le relazioni tra le differenti entità e i loro attributi.
Ciascuno di questi elementi può essere oggetto tanto di attacchi e vulnerabilità specifici del singolo elemento, quanto di attacchi generali che coinvolgono più canali contemporaneamente (si pensi a DdoS al phishing, fino alle bot di Account Take Over.).
Il problema nella protezione di tali elementi nasce quindi propriamente dalla natura stessa dell’omni-canalità, per cui sono necessari al contempo sia sistemi di protezione specifica per ogni canale o modo di accesso messo a disposizione, sia strumenti e metodologie per tenere sotto controllo tutta la situazione nella sua complessità.
Un sistema di questo tipo, come è facile immaginare, apre una serie di nuove possibilità in termini di prevenzione e contrasto delle frodi: tentativi di frodi destrutturate, che per esempio sfruttano la e-mail e una telefonata al call center, sono aggregabili in termini di informazione e possono indicare facilmente lo stato di una transazione a rischio (lasciando comunque la valutazione finale all’analista stesso, che bloccherà tale transazione o, nel caso di un falso negativo, la inoltrerà ai sistemi batch per la riconciliazione).
Un’altra interessante potenzialità di un simile sistema è la creazione di un’identità digitale dell’utente che sta effettuando il log-in, ad esempio all’inizio una transazione, così da avere la certezza della persona. Una volta che, oltre alla correttezza delle credenziali, sono stati anche verificati, ad esempio, gli account e-mail, gli IP e la posizione geografica in relazione a quelli utilizzati normalmente per l’autenticazione, allora è possibile profilare un livello di rischio per ogni transazione (dispositiva o azione di altro tipo che richieda le credenziali) che l’utente farà sui sistemi della banca.
Attraverso le informazioni legate all’identità digitale dell’utente e alle azioni, usuali o meno, che questo compie, è possibile tracciare una user behavioural analysis, che permette alla banca di passare da principi di KYC (Know Your Customer) a più accurati principi di KYT (Know Your Transaction), in cui l’identità digitale e l’analisi comportamentale saranno associate ad ogni singola transazione effettuata.
In occasione dell’evento
Banche e Sicurezza promosso da ABI, Alfa Group ha affrontato il tema delle nuove sfide nella protezione delle banche digitali (
vedi qui la videointervista al Ceo Dario Lauricella) e presentato
RHD Fraud Risk Monitor, il proprio sistema di orchestration per una governance efficace ed integrata delle frodi basata sui principi finora descritti.
(Articolo a cura di Alfa Group)