Agli inizi di questo mese, il GAFI (Gruppo di Azione finanziaria meglio conosciuto con l’acronimo inglese FAFT) ha pubblicato le nuove linee guida sull’utilizzo della cosiddetta identità digitale nelle transazioni finanziarie. Ciò in considerazione del fatto che i pagamenti digitali stanno crescendo di circa il 12,7% annuo e che si stima che entro il 2022, il 60% del PIL mondiale sarà digitalizzato. La previsione per l’anno corrente valuta che 726 saranno i miliardi che verranno spostati con canali telematici.
Si tratta dunque di una sfida importante sulla quale i singoli Stati si dovranno impegnare al fine di garantire la maggior inclusione finanziaria possibile, anche con riferimento a tutte quelle persone che attualmente rimangono escluse dai sistemi finanziari e ricorrono a sistemi di finanza “alternativa”, come ad esempio i ben noti sistemi di rimessa hawala che consentono di trasferire somme di denaro attraverso movimentazioni non tracciabili per mezzo di “underground banking process”.
Quali sono dunque i vantaggi della digital identity? I sistemi di identificazione digitale hanno il potenziale per migliorare l’affidabilità, la sicurezza, la privacy, la convenienza e l’assistenza dell’identificazione delle persone nella fornitura di servizi finanziari con beneficio dei clienti, delle entità regolamentate e dell’integrità dello stesso settore finanziario.
Tali sistemi offrono infatti un vantaggio per migliorare la verifica dei clienti al momento dell’accesso al sistema finanziario, così come per autenticare la loro identità al momento dell’accesso all’account. Inoltre, le operazioni on-line consentono un’accurata identificazione del cliente in relazione alle misure di customer due diligence (adeguata verifica). Infatti:
– riducono al minimo le debolezze del controllo umano (ad esempio il confronto di una fotografia su un documento di identità ufficiale con la persona che cerca di aprire un conto);
– migliorano l’esperienza del cliente e generano risparmi sui costi (possono infatti essere aumentati i fattori di fidelizzazione della clientela così come si può giungere alla diminuzione dei costi riferibili fino al 90% nell’onboarding dei clienti stessi);
– migliorano il monitoraggio delle transazioni (tra l’altro una solida autenticazione digitale dell’ID cliente per l’autorizzazione dell’accesso al conto può facilitare l’identificazione e la segnalazione di transazioni sospette, poiché aiuta a stabilire che la persona che accede a un conto e conduce transazioni è in effetti, il cliente identificato / verificato che detiene tale account. Inoltre informazioni aggiuntive, come la geolocalizzazione, l’indirizzo IP o l’identità del dispositivo digitale utilizzato per condurre transazioni possono aiutare a meglio comprendere il comportamento del cliente stesso per determinare quando le sue transazioni finanziarie sembrano essere insolite o sospette e possono pertanto aiutare le forze dell’ordine a indagare sui reati eventualmente commessi);
– favoriscono la già richiamata inclusione finanziaria.
Ovviamente sussistono anche dei rischi. Quali sono ?
Principalmente tali sistemi di identificazione digitale comportano rischi tecnici, poiché spesso il controllo dell’identità e l’autenticazione delle persone avvengono “su una rete di comunicazione aperta (Internet). Di conseguenza, i processi e le tecnologie impiegati dai sistemi di identificazione digitale presentano molteplici opportunità di attacchi informatici tra le parti (IDSP, cliente e parte affidante)”. Nello specifico, tra l’altro, sussistono:
- rischi di gestione del ciclo di vita dell’autenticazione e dell’identità (ad esempio con un attacco informatico in cui le credenziali dell’account rubate vengono testate per corrispondenze su altri sistemi);
- rischi di phishing (raccogliendo credenziali da vittime ignote utilizzando attacchi di social engineering come e-mail ingannevoli, telefonate, messaggi di testo o siti Web);
- intercettazione man-in-the-middle, intercettando le comunicazioni tra la vittima e il fornitore di servizi;
- acquisizione e riproduzione del codice PIN;
- l’acquisizione di dati biometrici (ad esempio – in maniera molto artigianale – sfruttando le impronte digitali latenti lasciate sugli oggetti)
La maggior parte delle vulnerabilità di autenticazione viene sfruttata all’insaputa del proprietario dell’identità, ma l’abuso può anche implicare il coinvolgimento doloso di singoli utenti o IDSP (identify service provider). Ad esempio, autenticatori come le password, possono essere rubati e sfruttati da criminali, ma possono anche essere deliberatamente condivisi dal proprietario delle credenziali di identità per scopi illeciti (infatti dei prestanome possono già disporre di un account o accettare di aprirne uno in relazione alla vendita delle credenziali di identità ponendo quindi il proprio conto corrente bancario a disposizione di gruppi criminali).
In sintesi, nelle oltre 100 pagine di guida, il GAFI ha approfondito e segnalato molteplici problematiche e criticità strutturali, così come alcuni vantaggi, connessi con lo sviluppo delle identità digitali focalizzandosi, ratione materiae, sui riflessi inerenti la normativa antiriciclaggio. La palla passa ora ai singoli Stati che dovranno emettere le conseguenti normative per la regolamentazione nella rispettiva giurisdizione. I rischi sono importanti ed immanenti ma i vantaggi che potrebbero derivare sono tali che non possono non far affrontare la sfida.
