Strong authentication - settore finanziario

La strong authentication nel settore finanziario.

Caratteristiche e vantaggi

Con l’introduzione della direttiva europea PSD2, la strong authentication nel settore finanziario è diventata obbligatoria sia per riconoscimento dell’identità del cliente nel momento in cui crea il proprio account (onboarding) sia durante l’autenticazione per accedere di volta in volta al proprio conto.

Del resto, i servizi del settore finanziario e le banche rappresentano uno degli obiettivi più allettanti per gli attacchi di cycersecurity, sebbene siano anche gli ambiti più tutelati e protetti.

Secondo i dati di IBM X-Force[1], nel 2021 ben il 22,4% degli attacchi informatici ha avuto proprio questi come obiettivi.

Gli attacchi informatici sono dannosi non solo per l’evento in sé, ma anche perché hanno una serie di ricadute negative su altri aspetti correlati che ora andremo ad elencare.

I danni portati al settore finanziario dagli attacchi informatici

Nel settore finanziario, gli attacchi informatici hanno un impatto che si riflette su diversi frangenti delle attività:

• Costi e rischi operativi

Gli attacchi informatici hanno un’influenza negativa sui mercati in quanto aumentano i potenziali costi per la rimozione dei software fraudolenti , oltre che quelli legati ai potenziali indennizzi verso il cliente. Inoltre, vi è un rischio operativo legato alla ristrutturazione delle strutture violate.

• Costi diretti

La difesa dagli attacchi ha un costo notevole sia per l’implementazione di risorse extra sia per l’intervento di specialisti che possano ricostruire i sistemi compromessi in tempi rapidi e risolvere le criticità. A ciò si aggiungono i mancati introiti nei tempi di inattività del sistema.

• Fiducia da parte dei consumatori

La violazione di un account, così come un attacco di sistema, sono elementi che minano la credibilità di quei gestori o banche che non siano riusciti a proteggere i loro clienti. La riuscita di un attacco può essere un elemento sufficiente per perdere numerosi clienti.

• Costi assicurativi

in seguito a un attacco riuscito che abbia richiesto un indennizzo dei clienti o dell’istituto stesso è probabile che aumenti il premio assicurativo.

Nel 2022 circa il 46% degli attacchi [1]  al settore finanziario ha utilizzato il phishing come metodo di accesso fraudolento agli account dei correntisti, mentre in altri casi sono stati utilizzati altri metodi come brute force, credential stuffing o password spraying: si tratta di attacchi che sfruttano la debolezza delle password usate dagli utenti.

Ciò avviene perché il momento dell’autenticazione risulta essere quello più vulnerabile: in questo modo gli hacker possono accedere all’interno del sistema e caricare malware, ransomware o altri software fraudolenti che aprono le porte a vari tipi di violazioni o frodi.

Proprio per tutti questi motivi, la strong authentication per i servizi finanziari rappresenta un importante rafforzamento della sicurezza in fase di onboardinge, di autenticazione, e nelle transazioni finanziarie.

La strong authentication nel settore finanziario: come funziona

L’autenticazione forte si basa su un sistema multi fattoriale nel quale il cliente, per poter accedere al proprio account, deve fornire una serie di dati.

Una sorta di prova di identità che garantisce la sicurezza in quanto associa tipi di dati di tipo diverso.

La SCA (Strong Customer Authentication) prevede che per completare il processo di autenticazione si debbano possedere/conoscere:

  • La conoscenza di un dato, come un PIN o una password;
  • Il possesso di un dato, come quelli ottenuti tramite token o altro device su cui viene ricevuta una chiave di sicurezza;
  • L’inerenza del dato, ovvero una caratteristica biometrica come l’impronta digitale o il riconoscimento del viso.


L’applicazione della strong authentication nel settore finanziario implica il suo utilizzo in tre momenti cruciali: durante l’onboarding, ovvero a momento della richiesta di apertura di un conto bancario, durante l’autenticazione per entrare nel proprio conto, e durante le transazioni di pagamento.

Onboarding KYC

La procedura di onboarding Know your Customer permette di identificare e verificare l’identità dell’utente attraverso tecnologie biometriche e di intelligenza artificiale, in modo tale da garantire una drastica riduzione dei tempi burocratici e allo stesso tempo garantendo la massima sicurezza ad esempio tramite un’architettura blockchain posta a tutela dei dati, caratteristica della piattaforma di neobanking Smart Bank 800.

Sono sempre più numerosi gli utenti che scelgono di diventare nuovi clienti utilizzando lo smartphone a supporto anziché il desktop.
Ciò si presenta come una sfida interessante: da una parte offre un’opportunità in quanto i clienti, specialmente di giovane età, vogliono accedere ad applicazioni finanziarie con la stessa semplicità e leggerezza con cui lo fanno accedendo a un social o a un e-commerce, dall’altra richiede un alto grado di sicurezza come solo la strong authentication può garantire, tanto da essere oggi obbligatoria per legge.

Per esempio, la procedura di onboarding KYC proposta da Smart Bank 800 consente in pochi minuti di riconoscere l’utente e, nel rispetto delle direttive comunitarie, verificarne l’identità tramite le tecnologie biometriche e l’intelligenza artificiale. 

Autenticazione passwordless

Le password sono state indicate come uno dei punti critici nei processi di autenticazione, in quanto possono essere decriptate se non sufficientemente sofisticate, oltre al fatto che possono essere smarrite dall’utente o rilasciate dallo stesso senza accorgersene quando rimanesse vittima di phishing.

Per questo motivo, l’autenticazione passwordless risulta essere il metodo più sicuro: esso implica che si associno dati di cui l’utente è in possesso (come il codice inviato dal token o su un altro device con una durata limitata nel tempo) e un dato biometrico (come il fingerprint).
A ciò si aggiunge l’utilizzo di una infrastruttura PKI (Public Key Infrastructure) che rende quasi impossibili i furti di identità e che garantisce la corrispondenza tra account e utente.

[1] https://www.ibm.com/downloads/cas/ADLMYLAZ