di Laura Grandinetti – Subject Matter Expert Fraud Management & Integration Development Team Coordinator

Molti di voi si chiederanno cosa avrà mai a che fare la famosa commedia di Oscar Wilde con il concetto di Identità Digitale; domanda più che lecita, ma andiamo per gradi.

Nella sua esilarante commedia, Wilde ritrae due giovani inglesi che mentono sulla loro identità; fingono di chiamarsi “Ernest” per conquistare il cuore delle loro amate e, come si evince dal titolo, l’autore gioca proprio sulla assonanza, sulla comune pronuncia in inglese della parola Earnest, che vuol dire “onesto” e il nome “Ernest”.

Quanto è importante, quindi, essere onesti oggi, nell’era digitale?

Chissà come avrebbe risposto Oscar Wilde, forse sarebbe rimasto sorpreso di quanto facilmente oggi possiamo mentire e fingere di essere un’altra persona o, peggio ancora, di vedere come si possono creare identità false con finalità tutt’altro che lecite. 

Dietro le nostre identità digitali si celano le nostre azioni quotidiane, azioni che siamo abituati a compiere comodamente dalla poltrona di casa e tra queste, ovviamente, ci sono tutte quelle che riguardano la nostra operatività bancaria: gestione del conto, movimentazioni, opzioni di risparmio, richiesta di finanziamenti, etc. Tutte le banche sono in grado di offrire la quasi totalità dei propri servizi in modo digitale, sulle loro piattaforme online, siano esse mobile oppure web. Per fare ciò devono sempre destreggiarsi tra l’eterna dicotomia: User Experience vs Sicurezza¸ ovvero facilitare la navigazione online dell’utente e, allo stesso tempo, proteggerla dagli attacchi fraudolenti in un processo accurato e bilanciato tra le parti.

Quali sono le principali frodi bancarie online?

I frodatori utilizzano diversi vettori d’attacco, a volte combinati tra loro (social engineering e malware, per esempio), che possono essere raggruppati in due macrocategorie:

• Account Take Over (ATO)

• Automatic Transfer System (ATS)

In entrambi i casi, il primo obiettivo del frodatore è il furto d’identità.

Account Take Over (ATO)

Nella tipologia di Account Take Over, i frodatori cercano di prendere possesso dell’account del cliente, o meglio, ne rubano l’identità. Per farlo si utilizzano tecniche di social engineering (truffe che consistono in una vera e propria manipolazione psicologica del cliente) insieme a tecniche che manomettono il dispositivo per aggirare i fattori di autenticazione forte (SIM Swap, ad esempio). 

Una volta rubate le credenziali, esse vengono utilizzate per prosciugare il conto, magari inviando denaro ai cosiddetti money mule, oppure vengono vendute al migliore offerente sul dark web.

Le truffe telefoniche sono una particolare declinazione – chiamate vishing – del più noto e ampio fenomeno phishing, ossia quello di inviare via e-mail o tramite SMS (smishing) dei link a siti falsi, del tutto simili a quelli autentici dell’istituto bancario, in cui il malcapitato inserisce le proprie credenziali consegnandole, di fatto, ai frodatori. 

Ad oggi, le frodi perpetrate tramite truffa telefonica rappresentano il 65% delle frodi per la clientela Retail secondo il Report 2023 CERTFin:

 

Automatic Transfer System (ATS)

Nella tipologia ATS, invece, si ha un mero trasferimento di denaro dal conto della vittima al frodatore, nella maggior parte dei casi utilizzando malware. I malware infettivi si possono diffondere sui dispositivi delle vittime attraverso e-mail di phishing o tramite SMS con contenuti cliccabili che sembrano assolutamente legittimi, ma spesso indirizzano la vittima verso download di app malevole direttamente dai marketplace ufficiali, come Google Play Store, rendendo molto difficile per gli utenti rendersi conto del pericolo. Una volta scaricata e installata l’app malevola, i frodatori hanno pieno controllo del dispositivo per cui possono agevolmente effettuare un Account Take Over e nuovamente quindi, rubare l’identità della vittima.

Gli attacchi ATS sui dispositivi mobili vengono eseguiti acquisendo il controllo sui servizi di accessibilità di Android, una suite per rendere i dispositivi più accessibili per gli utenti con disabilità.

Una delle maggiori differenze tra ATO e ATS è che il primo si avvale maggiormente della social engineering, con l’obiettivo di prendere di mira pochi clienti per grandi importi di frode; nel caso dell’ATS, invece, la frode viene automatizzata e perpetrata tramite malware, per cui raggiunge un maggior numero di clienti collezionando importi minori, rendendoli più agevoli nel passare inosservati ai sistemi antifrode delle banche.

Il Report 2023 CERTFin indica che, per la clientela Corporate, la frode viene maggiormente finalizzata attraverso tecniche automatiche piuttosto che usando la social engineering:

Si rende indispensabile per le tecnologie antifrode adottare strumenti che abbiano l’obiettivo di capire se l’identità che si cela dietro quell’operazione è legittima oppure se si tratta di un frodatore.

Come accennato all’inizio di questo articolo, parlare di identità oggi è un tema complicato e controverso; le identità digitali che creiamo sono tutti i nostri alter ego che dicono cosa facciamo per vivere, come spendiamo i nostri soldi e, persino, cosa progettiamo di fare per il futuro. Esse sono talmente frammentate che potrebbe risultare un’impresa davvero ardua ricostruirne l’origine, ma solo vederle nel loro insieme potrebbe dirci veramente chi siamo rendendoci, quindi, Earnest, onesti.

Che sia arduo oppure no, però, le banche hanno sempre più bisogno di analizzare l’identità digitale del cliente che sta effettuando l’operazione, col fine di valutarne correttamente il valore di rischio di frode.

Come gestire le informazioni sull’identità digitale?

Si potrebbe partire dall’utilizzare le “nuove” informazioni per confrontarle con uno storico dati bancario, per capire se l’operazione che si sta effettuando è compatibile con tutte quelle che l’identità digitale ha effettuato in passato. L’analisi può essere valorizzata attraverso il tracciamento di un profilo utente e di modelli comportamentali sempre più precisi che si affidano a tecniche di Machine Learning e coadiuvati con dati biometrici, ovvero informazioni relative alla gestualità ed al modo in cui l’utente interagisce con il dispositivo per effettuare un’operazione. Nei dati biometrici si includono informazioni del tipo:

• Come l’utente sblocca il dispositivo oppure conferma un’operazione (impronta digitale, riconoscimento facciale, etc.)
• Come l’utente utilizza la tastiera (combinazione rapida di tasti, utilizzo di auto completamento, etc.)
• Come viene movimentato il mouse oppure l’utilizzo del touchscreen
• Tempo di permanenza sulla pagina web
• …

Questi dati dicono molto circa la genuinità dell’operazione; se l’identità digitale sta realmente effettuando un bonifico, ad esempio, mi aspetto che ci sia un tempo di permanenza sulla pagina compatibile con quello di una persona che ne sta accuratamente compilando gli estremi.

I dati biometrici sono sempre più importanti per la definizione dell’identità digitale, perché meglio di tutti riescono ad aggiungere quel tratto “umano” che rende unica quell’identità.

Il passo successivo potrebbe essere quello di arricchire questo modello che traccia il profilo dell’identità digitale non solo con i dati di storico che la banca ha in suo possesso, ma anche con quelli che l’utente dissemina nel web (social network, e-commerce, etc.).

L’importanza dell’identità digitale nella fase di Onboarding

Esiste una particolare operazione in cui l’analisi dell’identità digitale diventa fondamentale: l’Onboarding, ossia il momento in cui la banca acquisisce un nuovo cliente.

Quasi la totalità degli istituti bancari offre il servizio di onboarding digitale tramite i canali web, ma tale numero è in crescita anche per il canale mobile. Le banche stanno adottando tecnologie in grado di verificare i documenti di identità e le informazioni inserite attraverso procedure automatiche sempre più veloci, che mirano a migliorare sempre di più l’esperienza utente.

L’onboarding è un momento importante per la banca, è il momento in cui un prospect diventa cliente e in cui nascono tutte le relazioni. Fino a quel momento, il sistema antifrode bancario non conosceva nulla di quella identità digitale, non possedeva alcun dato di storico per cui non ha elementi per capire se dietro il dispositivo ci sia un utente genuino oppure un frodatore. Quando quel nuovo cliente effettuerà una prima operazione, esso non avrà elementi per valutarne il livello di rischio.

È qui che diventa fondamentale l’analisi dell’identità digitale, che si avvale di dati biometrici, di piattaforme globali condivise che forniscono informazioni provenienti anche da altre entità, come i social network, i canali e-commerce, etc.

Diventa possibile, quindi, raccogliere informazioni del tipo:

• Rilevare se l’identità digitale sta creando “manualmente” il suo profilo oppure se si tratta di un bot
• Analizzare l’indirizzo e-mail inserito e/o il numero di telefono valutandone la validità
• Analizzare il dispositivo utilizzato, se compromesso con app malevole
• Analizzare la rete che l’utente sta utilizzando, se ci sono tentativi di offuscamento dati

e così via, dando ai sistemi antifrode ulteriori parametri per la valutazione.

L’identità digitale viene creata attraverso una serie di innumerevoli correlazioni che coinvolgono e-mail, numeri di telefono, dispositivi, indirizzi, tutto ciò che gravita attorno a quella identità e che riporta alla persona fisica e reale. I dati possono essere manipolati con le moderne tecniche di AI, dare vita a modelli predittivi che saranno per le banche il punto di partenza, l’elemento con cui fare prevenzione e non solo rilevamento o analisi ex post.

Un approccio di questo tipo sarebbe coerente con la multidimensionalità dell’identità digitale e darebbe alle banche uno strumento di analisi più raffinato e preciso che possa essere la chiave per non “rincorrere” i frodatori, ma essere finalmente un passo avanti a loro.

Proteggere l’Identità Digitale dei Clienti: N.O.V.A. e l’approccio Alfa Group

Forte di una esperienza decennale in ambito antifrode al fianco delle banche, Alfa Group offre ai suoi Clienti un approccio olistico alla gestione delle frodi, che si struttura in un servizio gestito Antifrode end-to-end (Fraud Managed Service) erogato tramite Managed Service Operation Center “N.O.V.A.” (Next-gen Outsourcing for Vulnerability and Antifraud). 

Al fine di rispondere in modo migliore alle nuove esigenze e bisogni degli istituti finanziari, e non solo, l’offerta si compone delle seguenti peculiarità:

• Team di lavoro dedicato, costituito da risorse altamente specializzate nel settore antifrode
• Team di lavoro multidisciplinare – Tecnici Antifrode, Consulenti, Esperti di Processo, System Integrator, Data Scientist – per una gestione a 360° dell’antifrode
• Gestione dell’antifrode “Cliente-centrica”, ossia che mette i clienti delle banche – gli utenti finali, potenziali vittime di frodi – al centro di tutto il processo
• Esperienza in tutte le macroaree del processo antifrode:
  • Prevenzione:  campagne di awareness attraverso piattaforme come Proofpoint
  • Integrazione: integrazione tecnologie per raccolta dati su dispositivo/identità digitale
  • Analisi Dati: Advanced analytics con indicatori di rischio comportamentali
• Gestione completa dei casi e delle informazioni attraverso la piattaforma proprietaria RHD FRAUD 360, un vero e proprio orchestratore che consente di correlare, analizzare i dati e creare interfacce personalizzabili che siano di consultazione e presentazione dati, per il Management, oppure più funzionali tipo “case manager” per l’antifrode.

Scopri di più della nostra offerta in ambito Antifrode.