Il contrasto alle frodi bancarie è stato sempre inteso come un compromesso da raggiungere tra sicurezza e user experience: se le istituzioni finanziarie irrigidiscono le misure di sicurezza, prevengono le frodi, ma ciò può influire negativamente sull’esperienza del cliente e limitare la crescita. Se invece si concentrano sulla crescita a discapito della sicurezza, ciò renderà i loro clienti vulnerabili alle frodi.
L’Intelligent Adaptive Authentication, invece offre alle istituzioni finanziarie la possibilità di raggiungere entrambi gli obiettivi, combattendo finalmente le frodi e riducendo le complessità nella user experience. Il tutto, attraverso tecnologie che permettono tempi di implementazione e attivazione molto rapidi.
Possiamo esaminare il processo operativo dell’Intelligent Adaptive Authentication (IAA) prendendo come esempio lo scenario tipo di un utente. Tim Bedard, Director of Product Marketing di OneSpan ci spiega il valore della Intelligent Adaptive Authentication illustrandoci un processo in sei fasi.
Immaginiamo un utente che vive e lavora a Milano. Abitualmente, preleva denaro in contanti da un bancomat situato all’interno del suo supermercato di fiducia. Al di fuori di questi prelievi regolari, l’utente effettua i suoi pagamenti usando una combinazione di carte di credito e di debito in varie località nei pressi di Milano. La sua famiglia di origine vive nella zona di Bologna, dove si reca diverse volte l’anno e dove, quindi, le capita spesso di effettuare transazioni POS.
La banca dell’utente utilizza l’Intelligent Adaptive Authentication: ogni volta che effettua una transazione, dietro le quinte si verificano i seguenti sei passaggi senza che se ne renda conto.
Dietro le quinte
Quando l’utente effettua una transazione, la tecnologia di Intelligent Adaptive Authentication raccoglie i dati da qualsiasi dispositivo lei stia utilizzando. Ad esempio, se il dispositivo è un telefono cellulare, l’IAA può determinare se è stato sottoposto a jailbreak e valutare l’integrità dell’applicazione. Se si trattasse di un laptop o un ATM, l’IAA attiverebbe la geo-localizzazione, ricercherebbe il modello del bancomat e altri dati contestuali.
Allo stesso tempo, l’IAA raccoglie anche dati sul comportamento dell’utente sui canali digitali per ricavarne un modello accurato. L’IAA raccoglie sempre dati comportamentali per capire meglio le abitudini dell’utente, in modo che se una transazione si discosta da questi modelli noti, può riconoscere questa deviazione e agire di conseguenza. L’IAA non verrà mai a conoscenza dell’ammontare di denaro sul conto bancario dell’utente, ma rileverà che lei ritira regolarmente denaro contante al bancomat presso il supermercato del quartiere in cui vive.
Analisi dei rischi server-side
Successivamente, l’IAA prende in considerazione una raccolta di altri dati sul cliente e sulle transazioni per comporre un quadro più completo della situazione. Essendo una piattaforma ad architettura aperta, l’IAA è in grado di sfruttare tutti gli strumenti anti-frode che un’istituzione finanziaria ha già in esecuzione nel proprio ambiente IT e, successivamente, di integrarne altri.
In genere, le istituzioni finanziarie usano una vasta gamma di soluzioni di sicurezza per combattere le frodi: l’IAA consente di ottimizzare al massimo gli investimenti effettuati integrando e sfruttando i vari strumenti su un’unica piattaforma. Attraverso questo metodo, l’IAA può tenere conto dei dati di tutte le fonti sia per creare il profilo utente sia per creare un riferimento incrociato tra le sue transazioni e il suo comportamento abituale.
Con tutti i dati relativi alle transazioni a disposizione, l’IAA utilizza una combinazione di algoritmi di apprendimento automatico per identificare nuovi schemi di frode, modelli anomali di attività o attività sospette per un singolo utente o un gruppo di utenti.
Apprendimento automatico
Gli algoritmi di apprendimento automatico aiutano l’IAA a visualizzare la situazione in modo esteso. Analizza un enorme insieme di dati raccolti: la storia di ogni utente, ogni dispositivo o terminale e ogni canale a cui ha accesso. Quando si lavora con un insieme di dati così ampio, l’occhio umano non sarebbe in grado di identificare alcun profilo significativo, ma l’IAA può creare modelli di dati in tempo reale che individuano attività sospette per un singolo individuo o per un gruppo di utenti.
L’intelligenza artificiale, quindi, spinge ancora più in avanti l’apprendimento automatico, determinando quali serie di dati sono importanti per definire i modelli utili per un particolare scenario. In questo caso, sta decidendo se la specifica transazione di Giulia richiede passaggi di autenticazione aggiuntivi.
Attraverso questo processo, la combinazione tra apprendimento automatico e intelligenza artificiale assegnerà un punteggio di rischio alla transazione da utilizzare nella fase successiva.
Determinato il punteggio, l’IAA utilizza modelli predefiniti di regole anti-frode. Questi modelli acquisiscono il punteggio di rischio dell’utente per le sue transazioni e applicano la logica su come gestirle. I risultati di tali flussi di lavoro logici varieranno da un’organizzazione all’altra, ma, in generale, l’istituzione finanziaria richiederà a Giulia di completare specifici passaggi di autenticazione a seconda del livello di rischio. In questa fase, i passaggi di autenticazione sono assegnati alla transazione ma non ancora implementati.
Nella fase cinque, l’IAA implementa la sua autenticazione incrementale. Con il punteggio di rischio come riferimento, i passaggi di autenticazione vengono applicati dinamicamente alla transazione in tempo reale. Un determinato punteggio di rischio potrebbe far si che all’utente sia richiesto l’invio di una password monouso (One Time Password). Un punteggio di rischio più elevato potrebbe determinare l’invio di una password monouso e, in aggiunta, la scansione delle impronte digitali.
Naturalmente, può accadere che la transazione sia considerata coerente con il normale modello di comportamento dell’utente. In tal caso, non verranno avviate ulteriori misure di sicurezza.
Attraverso questo processo, l’IAA accresce il livello di sicurezza solo quando c’è una effettiva ragione per farlo. In generale, applica il livello preciso di sicurezza necessario per ogni transazione al fine di contrastare i tentativi di frode.
Orchestrazione dell’autenticazione client side
Se sono ritenute necessarie ulteriori misure di sicurezza, a Giulia vengono richieste altre forme di autenticazione, che lei effettua. Una volta autenticata, la transazione di Giulia si conclude normalmente.
L’esperienza dell’utente con l’IAA non coincide con ciò che sta effettivamente accadendo. Le prime 5 fasi del processo si verificano in tempo reale e le sono del tutto invisibili. Non viene mai informato della profondità dell’analisi che si verifica per ogni sua transazione. Invece, è coinvolto solo nella fase 6, quando l’IAA determina il livello di rischio e le viene richiesto un preciso livello di autenticazione.
A differenza della maggior parte degli strumenti anti-frode, a l’IAA garantisce agli utenti la migliore esperienza possibile per ogni specifica transazione e su tutti i canali digitali, incrementando l’uso dei servizi. Allo stesso tempo, l’IAA garantisce che qualsiasi transazione potenzialmente fraudolenta sia soggetta a ulteriori misure di sicurezza per garantirne la legittimità.
Con il suo approccio, inoltre, l’IAA soddisfa i più stringenti requisiti di conformità normativa, inclusi quelli previsti dalla PSD2 e dal GDPR.
Con l’Intelligent Adaptive Authentication, in definitiva, le istituzioni finanziarie possono finalmente abbandonare la ricerca dell’equilibrio tra la necessità di limitare le frodi e quella di sostenere la crescita.