Si dice che pagare online o tramite smartphone abbia l’indubbio vantaggio della velocità ma ciò è vero solo se i processi di autenticazione di chi effettua la transazione sono altrettanto rapidi. D’altro canto questa esigenza di velocità non può far venir meno la sicurezza della transazione e la certezza che chi mette mano al portafoglio tramite un dispositivo mobile o un pc sia effettivamente il titolare dello strumento di pagamento e/o del conto corrente. Così si spiega perché l’innovazione del mondo dei pagamenti si sta muovendo verso l’autenticazione dell’utente per pagare online o su mobile o semplicemente per avere accesso a servizi online.
Gli esempi li troviamo in diversi settori sia nel pubblico sia nel privato. In Italia per rispondere all’esigenza sempre più sentita di disporre di strumenti per l’identificazione certa degli individui sia nel mondo fisico sia in quello virtuale si era predisposto un decreto denominato Sistema per l’Identità Digitale (SPID) per dotare ogni cittadino italiano di una identità digitale certificata che permetta l’utilizzo in sicurezza dei servizi pubblici sulla rete. Introdotto in fase di conversione in legge del decreto legge 69/2013 (il decreto Fare), SPID modifica l’articolo 64 del Codice dell’amministrazione digitale prevedendo che le pubbliche amministrazioni possano consentire l’accesso in rete ai propri servizi, oltre che tramite la carta d’identità elettronica e/o la carta nazionale dei servizi anche mediante servizi offerti dal medesimo sistema SPID. Ciò dovrebbe permettere l’accesso anche con l’impiego di tecnologie mobili.
Un caso concreto (e di successo) arriva dalla Danimarca dove il governo e le banche hanno concordato l’adozione di uno standard comune per il riconoscimento dell’identità tramite firma digitale, progettata in modo da tale da essere come unificante sistema di riconoscimento e di accesso non solo ai servizi pubblici ma anche ai servizi finanziari e bancari.
Così, in un Paese dove l’80% della popolazione ha accesso a Internet, ciascun cittadino ha un’unica user-id e una password per autenticarsi legalmente e avere accesso a servizi di e-government oltre che bancari e finanziari. Grazie al sistema è possibile aprire un conto corrente online immediatamente utilizzando le proprie credenziali digitali, risolvendo l’annoso problema del riconoscimento a distanza ancora oggi visto con grande preoccupazione da parte di Banca D’Italia, come dimostrato recentemente dalle norme di attuazione relative all’adeguata verifica della clientela emanate proprio da parte di Banca D’Italia (KYC, Know your customer) ed entrate in vigore lo scorso gennaio.
Invece sarebbe opportuno che anche l’Italia seguisse questa strada, la migliore permettere la vera mobilità nei pagamenti e quella accessibilità bancaria che ne è la precondizione abbattendo veramente i costi per le banche e per la clientela, favorendo finalmente la mobilità bancaria ancora oggi molto bassa e dando da forte stimolo alla digitalizzazione della popolazione. In un colpo solo si otterrebbe anche una forte spinta all’accesso e alla portabilità dei conti correnti e quindi alla competitività, a tutto favore della clientela, della trasparenza e dell’innovazione. Non a caso oggi la Danimarca ha il più alto tasso di utilizzo dei servizi digitali in Europa. Misure come questa rappresentano un incredibile volano d’innovazione. Lo dimostra il fatto che anche giganti come Apple e Google stanno mostrando interesse per la tematica anche delle cosiddette identità deboli: utilizzate dagli operatori online per l’accesso a servizi digitali (email, social network eCommerce) costituite, di norma, da nome utente e password, oltre a una serie di attributi funzionali alla fruizione del servizio. Già un anno fa Apple aveva acquistato la AuthenTec, gruppo leader per le soluzioni biometriche di sicurezza. Ed è grazie a questa mossa che l’iPhone 5S è in grado di riconoscere le impronte digitali conil TouchID.
Google dal canto suo ha rilevato la scorsa settimana la startup israeliana SlickLogin che ha sviluppato una tecnologia capace di sostituire la vecchia password con un suono. I siti che adottano la tecnologia SlickLogin emettono un suono all’inizio del processo di login. Questo suono quasi impercettibile è intercettato da una app installata sullo smartphone dell’utente che, dopo averlo riconosciuto, rimanda indietro un segnale di conferma dell’identità. Questo sistema di autenticazione a mezzo audio è sembrato a Google ideale per costituire un livello di sicurezza ulteriore alle classiche password e che può essere pensato come alternativa tout court alla classica finestra in cui viene richiesto di inserire user ID e password o come strumento di protezione e sicurezza secondario che andrebbe a sostituire il cosiddetto modello 2-step verification che già Google offriva gratuitamente. “Oggi annunciamo che la squadra di SlickLogin si unisce a Google, un’azienda che condivide con noi la convinzione che il modo per accedere ai servizi online debba essere facile e non frustrante, e che l’autenticazione debba essere sicura ed efficace senza creare intoppi all’utente”, hanno dichiarato il Ceo Or Zelig, il chief technology officer Eran Galili e Ori Kabeli, vice presidente per la ricerca e sviluppo in un post congiunto sul sito dell’azienda. I tre dirigenti sono anche fondatori dell’azienda. Google è stata tra le prime azienda a offrire al vasto pubblico una procedura di autenticazione a due fattori, e sta lavorando ad “alcune grandi idee che renderanno Internet più sicura per tutti”, hanno spiegato i fondatori. “Non potremmo essere più eccitati nell’unirci ai loro sforzi”.
Il legame fra il tema dell’identità e quello dei pagamenti digitali lo dimostra anche la sperimentazione di PayPal, che ha portato in alcuni dei suoi punti vendita un’innovativa tecnologia di riconoscimento facciale dei clienti. I pagamenti saranno autorizzati in seguito alla verifica delle corrispondenze fisiognomiche del volto con la foto del proprio profilo dell’utente Paypal. Un’analogia dunque dell’e-identity (in forma sia forte sia debole) con il mondo dei pagamenti elettronici che non può non essere evidenziata proprio in virtù dell’esistenza di soluzioni e strumenti convergenti, che portano a considerare il pagamento un “di cui” di un più ampio processo d’identificazione e riconoscimento.
Un tema caldo dunque soprattutto negli States dove si parla già dell’esistenza di un vero e proprio authentication business, in cui sono naturalmente coinvolti oltre agli OTT e le banche anche i circuiti tradizionali. Visa and MasterCard lavorano per promuovere l’utilizzo dei digital e mobile token per processare le autenticazioni per transazioni online e mobile. In generale tutte le nuove tecnologie di riconoscimento biometrico (voce, iride, fingerprint, riconoscimento facciale, firma grafometrica o altro ancora) possono essere un ulteriore passo avanti nella convergenze tra e-identity e e-banking. In Italia esiste un’avanzata normativa in materia emanata la scorsa primavera (Regole tecniche in materia di firma elettronica avanzata, qualificata e firma digitale) e le banche si stanno iniziando a muovere, in particolare partendo dalla firma grafometrica ma lasciando la porta aperta all’utilizzo anche di altre soluzioni biometriche.
Lo scopo comune a tutti gli attori è quello di favorire l’utilizzo dei servizi finanziari e dei pagamenti digitali rendendoli più rapidi ma anche sicuri. Di una maggiore sicurezza di Internet potrebbero giovare anche i governi, che almeno nei propositi si pongono come obiettivo di migliorare i servizi di e-governemnt e l’alfabetizzazione digitale della popolazione. Una bella partita insomma ancora tutta da giocare e che per essere vinta necessita della partecipazione convinta di attori pubblici e privati, una sfida di fronte alla quale il sistema paese italiano non può farsi trovare impreparato. Un paese che qualora seguisse con coraggio l’esempio danese magari con uno scope esteso anche al mondo dei servizi non pubblici, avrebbe una grande chance di modernizzazione dell’intera economia.