L’autenticazione forte del cliente (o Strong Customer Authentication – SCA) e la conferma delle transazioni sono tipicamente una seccatura per gli utenti che si trovano a doverne fare uso regolarmente nel settore finanziario, assicurativo, e via dicendo. Oltretutto, i processi di login presenti attualmente sul mercato, contribuiscono ad aumentare in maniera significativa i costi operativi essendo poco flessibili da usare, offrendo una user experience insoddisfacente, risultando costosi e per giunta alcuni di essi non essendo più considerati sicuri. L’ottima notizia è che tutto ciò può tuttavia essere evitato se ci si affida ai giusti esperti. Ora diamo uno sguardo alla situazione attuale e al futuro dell’autenticazione forte.
Situazione attuale: costi operativi elevati
La necessità di aumentare radicalmente la sicurezza informatica in vari settori ha fatto sì che i clienti di banche, assicurazioni e molti altri servizi si siano dovuti abituare alla complessità dei processi di onboarding e a quelli inerenti al login sui portali clienti o e-banking. Per poter accedere a dati sensibili ed effettuare una semplice transazione finanziaria, sono stati aggiunti ulteriori livelli di sicurezza, come l’inserimento di un codice ricevuto tramite SMS, di un PIN/codice/password o la scansione di un codice QR.
L’assenza di semplicità di utilizzo di alcuni di questi sistemi non solo ha un impatto diretto sugli utenti, ma anche sulle aziende stesse. Difatti, il team dell’help desk è il primo punto di contatto a cui ci si rivolge se il processo di registrazione è troppo complicato, se il login non funziona o se non si rammenta più la password. Come se questo non bastasse, si vanno ad aggiungere i costi per le richieste di aiuto quando l’utente compra un nuovo smartphone e l’inizializzazione delle applicazioni che offrono soluzioni di sicurezza e bancarie risultano difficili da completare.
Prendendo l’esempio della Svizzera, una tra le principali piazze finanziarie del mondo, il 40% delle richieste di supporto verso l’help desk di fornitori di servizi finanziari sono legate a problemi di login, onboarding o cambio di dispositivi. Queste chiamate creano costi annuali che ammontano facilmente a più di centinaia di migliaia di euro. Secondo Gartner, una tra le più rinomate società di consulenza e di ricerca nel campo della tecnologia, una chiamata della durata di 5 minuti all’help desk costa in media 25 euro. Pertanto, calcolando che le grandi imprese che forniscono servizi finanziari ricevono una media di 20.000 chiamate all’anno, i costi che dovranno essere sostenuti per fornire supporto ai clienti ammontano a circa 500mila euro, mentre per quanto riguarda le aziende di medie dimensioni, il costo equivale a 250mila euro.
Ulteriori problematiche che possono sorgere dall’utilizzo di alcuni dei metodi di autenticazione descritti poc’anzi sono legate agli smartphone più obsoleti, noti per causare problemi durante la scansione dei codici QR a causa della qualità della fotocamera. Quindi, la scelta di concentrarsi su un’unica tecnologia può risultare molto costosa e non centrata sul cliente.
Situazione attuale: SMS, costi elevati e sistema non più sicuro
L’utilizzo di SMS come mezzo per generare un codice OTP per autenticare gli utenti ha superato il suo momento di gloria, ma ciononostante questo metodo è ancora usato in tutto il mondo e in varie industrie come metodo di autenticazione forte. A gran sorpresa, alla luce dei noti rischi per la sicurezza e del crescente numero di attacchi informatici, questa soluzione è tuttora considerata sicura dalle autorità di regolamentazione, soprattutto nel settore dei servizi finanziari e nel settore sanitario. La bassa sicurezza di questo metodo è riconducibile a tre categorie di rischi: attacchi locali, attacchi agli operatori di telefonia mobile e attacchi attraverso lo smartphone stesso.
Gli attacchi locali sono riconducibili al fatto che l’invio e la consegna di SMS si basi ancora su un protocollo di comunicazione sviluppato nel 1975, il Signalling System 7 (SS7). Se, ad esempio, un hacker si trova a poca distanza dalla torre di trasmissione più vicina alla vittima oppure si trova nelle vicinanze del dispositivo di quest’ultima, questo protocollo obsoleto permette al malintenzionato di intercettare senza problemi un SMS inviato in tempo reale.
Per quanto riguarda invece gli attacchi agli operatori di telefonia mobile, gli hacker riescono a entrare in possesso di una carta SIM valida per l’utente che si vuole attaccare, grazie a informazioni rubate mediante l’ingegneria sociale. Questo tipo di attacchi, conosciuti come “SIM swapping”, avvengono di solito in maniera molto rapida, e quando la vittima realizza di aver subito l’attacco normalmente è troppo tardi.
Come menzionato in precedenza, un altro rischio da non sottovalutare è spesso nascosto nel proprio smartphone. Per esempio, sempre più frequentemente i bambini hanno accesso agli smartphone dei genitori e possono quindi installare delle app dei loro giochi preferiti. Quello che probabilmente è meno noto, è che queste app potrebbero essere in grado di leggere gli SMS ricevuti, anche in background, tramite i popolari “cavalli di Troia” (cosiddetti “trojan”) contenuti in queste ultime. Proprio per questo motivo diventa fondamentale prestare particolare attenzione allo sviluppatore dell’app tramite un’analisi accurata sullo store legato al produttore del cellulare. Non solo le app di giochi, ma anche quelle di criptovalute sono bersagli comuni degli hacker.
Inoltre, l’autenticazione forte tramite SMS risulta alquanto costosa, poiché l’impresa deve sostenere un costo per ogni singolo SMS inviato. Oltretutto, non è possibile avere il controllo sull’effettiva consegna di un SMS, o quando viene consegnato, e se viene effettivamente letto dall’utente. Soprattutto in alcune regioni del mondo, le trasmissioni SMS sono spesso complicate dato che gli operatori telefonici le bloccano o ne ritardano la consegna.
Dopo aver analizzato in maniera più dettagliata la situazione attuale nel campo dell’autenticazione forte, si può giungere alla conclusione che utilizzare almeno due metodi di autenticazione ma soprattutto usare soluzioni di autenticazione più sicure e meno costose, risulta vantaggioso non solo per le aziende stesse, ma anche per i clienti.
La soluzione: autenticazione forte e conferma delle transazioni innovativa
I prodotti di autenticazione forte e le soluzioni innovative centrate sull’utente non solo eliminano i login macchinosi per i clienti delle imprese e diminuiscono drasticamente i costi sostenuti da queste ultime, ma sono anche un passo avanti rispetto alle soluzioni attuali presenti sul mercato.
La fase di onboarding, il login, la reimpostazione della password o anche la migrazione del dispositivo, risultano così intuitivi e semplici che i clienti sono in grado di fare tutto da soli senza avere bisogno del supporto da parte dell’azienda o di ricevere ulteriori informazioni.
Le tecnologie di ultima generazione offrono in aggiunta un meccanismo di soluzioni alternative automatiche, assicurando così che gli utenti possano accedere in modo sicuro in qualsiasi momento, indipendentemente dalla circostanza in cui si trovano. Questo permette agli utenti di avere sempre accesso ai servizi digitali in modo facile e conveniente. Di conseguenza, le aziende che utilizzano queste soluzioni di autenticazione non solo guadagnano la reputazione di essere le più user-friendly con un’elevata soddisfazione dei clienti, ma riducono anche in modo significativo i costi di help desk e operativi legati all’autenticazione.
Nuove tendenze nel campo dell’autenticazione
L’utilizzo della password è destinato a diminuire in maniera drastica in futuro. Il motivo principale risiede nel fatto che la maggioranza degli utenti, vista la difficoltà nel ricordare password lunghe e complicate, opta per l’utilizzo di password deboli. Inoltre, la maggior parte degli utenti usa la medesima password su siti differenti. Non sorprende pertanto che le password siano l’anello debole e l’obiettivo preferito dei criminali informatici. Alcuni studi dimostrano infatti che oltre l’80% di tutte le perdite sostenute dalle aziende per quanto riguarda la sicurezza digitale, siano riconducibili alle password rubate.
Sostituire le password con metodi di autenticazione più sicuri e innovativi permette quindi di accrescere decisamente la sicurezza informatica e al contempo permette anche di aumentare la facilità d’uso e la soddisfazione degli utenti. Oggigiorno è possibile sostituire le password nel processo di login tramite soluzioni software che permettono di autenticarsi tramite un’app, o attraverso soluzioni hardware come i token FIDO2.
FIDO2 è uno standard di autenticazione composto dalla specifica W3C Web Authentication (WebAuthn API) sviluppato da FIDO Alliance, che consiste nella specifica W3C Web Authentication (WebAuthn API) e dal protocollo CTAP (Client To Authenticator Protocol). CTAP è un protocollo utilizzato per la comunicazione tra un client (browser) o una piattaforma (sistema operativo) e un autenticatore esterno. I token FIDO2 possono sostituire interamente le credenziali deboli e statiche come “nome utente e password” con credenziali forti basate su hardware a chiave pubblica/privata. Queste credenziali non possono essere riciclate, riprodotte o condivise tra servizi diversi, e non sono soggette a phishing, attacchi man in the middle o violazioni del server.
Un’altra novità che potrebbe divenire la prossima generazione di autenticazione degli utenti, è l’utilizzo del metodo adattivo. Questa soluzione altamente innovativa basata sul contesto, sfrutta le tecnologie di machine learning in modo tale da valutare un numero variabile di parametri di rischio in background, e permette, nel caso di rischio basso, di effettuare il login senza alcuna interazione da parte dell’utente (esperienza zero-touch). Quindi, l’autenticazione adattiva offre la massima sicurezza e la migliore user experience in assoluto. Un’occasione perfetta per aumentare la soddisfazione dell’utente e offrire un servizio veramente all’avanguardia!
Autenticazione forte del cliente: da male necessario a possibilità di offrire un’esperienza migliore
Abbiamo visto come sia possibile utilizzare soluzioni di autenticazione forte centrate sull’utente in grado di fornire un’esperienza utente eccellente e al contempo ridurre drasticamente i rischi di sicurezza e costi operativi aziendali. L’implementazione di sistemi di autenticazione innovativi non solo aumenta la soddisfazione dei clienti, ma anche la frequenza d’uso dei servizi digitali.