Per chi si occupa di adeguata verifica della clientela il tema dell’identità del cliente è centrale: vi sono fenomeni di furto di identità, difficoltà nei controlli dei documenti, molti falsi positivi nelle verifiche effettuate in batch e, infine, procedure che tendono a mettere a disagio i clienti. L’adeguata verifica della clientela è stata a lungo un’attività di raccolta di materiali cartacei: fotocopie di carte d’identità, questionari stampati, copie di dichiarazioni dei redditi, tutti da conservare in un bel faldone e non proprio comodi da recuperare in caso di necessità.
La digitalizzazione ha portato naturalmente novità anche in questo ambito: vi sono oggi formulari da riempire sui siti, o sulle app, delle banche e delle fintech. I documenti di identità vengono fotografati dal cellulare e verificati da software avanzati in grado di confrontare la foto del documento di identità con il selfie effettuato dal cliente.
Non tutto però funziona per il meglio: secondo Signicat il 63% dei clienti abbandona le procedure di adeguata verifica perché le trova troppo lunghe o complesse (Digital Onboarding Playbook for Europe, 2021). Un’ampia fetta si lamenta poi del fatto che, dopo aver fornito le informazioni online, è necessario comunque rivolgersi alla filiale per terminare l’identificazione.
Rendere il processo più efficiente richiede una profonda innovazione nel modo in cui il cliente può essere identificato anche a distanza: un tema che è trasversale a molti mercati oltre a quello finanziario, come per esempio la telefonia o le multiutility. La pandemia ha reso per alcuni mesi sostanzialmente impossibili le attività di persona e, pertanto, ha spinto alla ricerca di nuove soluzioni tecnologiche e ad alcune modifiche normative.
SPID E LE BANCHE
Il Decreto Legge 76/2020(1), all’articolo 27, comma 3, ha eliminato la necessità di riscontrare il documento di identità del cliente, ai fini dell’assolvimento degli obblighi di adeguata verifica, ove l’identificazione avvenga a distanza (lettera a). Alla lettera c) introduce la possibilità di procedere all’identificazione, ex art. 19 D.lgs. 231/07 e segg. “per i clienti in possesso di un’identità digitale di livello almeno significativo”, modificando la previsione del D.Lgs 125/19 che fissava il “livello massimo di sicurezza” come condizione per l’uso di SPID.
Questa opportunità ha iniziato a interessare alcune banche, come Widiba e Banca Popolare di Puglia e Basilicata e può contare su una buona base clienti, alla luce dei quasi 22 milioni di profili SPID attivati finora.
ALCUNI LIMITI DI SPID
Tecnicamente SPID si affida a una tecnologia, SAML Security Assertion Markup Language – Wikipedia(2), che ha quasi 20 anni e ha mostrato alcune vulnerabilità utilizzabili dagli hacker [rif SAML XML Injection – NCC Group Research(3) e Fun with SAML SSO Vulnerabilities and Footguns – WorkOS(4)]
Ma il problema non è tecnologico. Vi sono infatti alcuni dubbi sul modo in cui viene effettuato il riconoscimento, di persona e a distanza. Il principale, per quota di mercato, provider di SPID consente il riconoscimento allo sportello: se ricordo correttamente, la verifica dei documenti di identità non utilizza alcuna tecnologia anticontraffazione. Mentre un vecchio articolo del Fatto Quotidiano mostra il video di un furto di identità compiuto dal giornalista a “danni” di un suo collega; nella videochiamata il giornalista mostra dei documenti costruiti appositamente a partire da immagini raccolte in rete: Identità digitale (Spid), c’è un buco nella sicurezza: “Così ti divento Matteo Renzi” – Il Fatto Quotidiano(5)
Verosimilmente, se il documento fosse stato rubato, sarebbe stato intercettato dal sistema Scipafi, l’anagrafe pubblica che consente la verifica dei documenti di identità – sempre che l’Identity Provider se ne servisse all’epoca, visto che è un servizio abbastanza costoso a fronte di un prodotto che può venir rilasciato gratuitamente.
In secondo luogo, vi sono alcuni dubbi sulla connessione tra il portatore dell’app e l’identità SPID: dando il nome account e la password ad altri utenti, gli stessi possono utilizzare il nostro SPID. Il lettore si troverà facilmente ad ammettere di aver utilizzato lo SPID di un parente non molto a suo agio con il digitale – per fargli un favore, naturalmente. Purtroppo questo costituisce un vulnus, dato che è noto che la criminalità organizzata si rivolge spesso a incensurati, magari giovani, perché facciano da tramite per pagamenti di piccola entità (il fenomeno viene chiamato “money muling”). Ottenendo le loro credenziali, il riciclatore potrebbe aprire a loro nome diversi conti correnti, senza nemmeno chiedere al prestanome di effettuare le operazioni bancarie di occultamento. Gli identity provider non hanno al momento modo di controllare se l’utente si autentichi tramite utilizzo di sistemi biometrici, un po’ più solidi nel contrasto ai fenomeni di identità “in prestito”.
CHE COSA CI ASPETTA NEL FUTURO?
Indipendentemente da alcune debolezze, SPID è un passo avanti in una direzione che pare obbligata, se vogliamo accedere a servizi finanziari efficaci e poco costosi: l’identità digitale è il futuro dell’adeguata verifica.
A parere di chi scrive, vi sono importanti e promettenti novità in tal senso. Il 3 giugno scorso la Commissione Europea ha infatti pubblicato una proposta di modifica(6)(7) al Regolamento N° 910/2014, comunemente noto come eIDAS, che introduce importanti novità:
- lo European Digital Identity Wallet;
- La figura dei qualified trust service providers;
- L’estensione immediata all’AML.
Partendo dal primo punto, la Commissione propone un European Digital Identity Wallet, “un prodotto o servizio che consente all’utente di immagazzinare dati personali, credenziali e attributi legati alla propria identità e gli consente di fornirli a soggetti affidatari su richiesta nonché di usarli come autenticazione, online e offline”(8). Il wallet sarà utile per accedere a un ampio spettro di servizi, pubblici e privati. Tale wallet sarà emesso da uno stato membro, su mandato di uno stato o da soggetti privati, riconosciuti dallo stato.
Il secondo punto è a mio avviso estremamente interessante per quanto concerne il tema dell’adeguata verifica dell’identità: “Qualsiasi entità che raccolga, crei ed emetta attributi attestati come diplomi, licenze, certificati di nascita dovrebbe essere in grado di diventare un fornitore di attestazioni elettroniche degli attributi. Le parti che si affidano all’Identity Wallet per identificare l’utente dovrebbero utilizzare le attestazioni elettroniche degli attributi come equivalenti alle attestazioni in formato cartaceo.(9)” Tradotto nel gergo dell’adeguata verifica: invece di chiedere la dichiarazione dei redditi a un profilo di rischio alto, sarà sufficiente richiedere l’attributo contenente le informazioni che servono – che potrà in ogni momento essere verificato rispetto alla fonte ufficiale.
Infine, concernente il terzo aspetto, il considerando 31 prevede che “L’identificazione elettronica sicura e la fornitura dell’attestazione degli attributi dovrebbero offrire flessibilità e soluzioni aggiuntive per il settore dei servizi finanziari per consentire l’identificazione dei clienti e lo scambio di attributi specifici necessari per conformarsi, ad esempio, agli obblighi di adeguata verifica della clientela ai sensi del regolamento antiriciclaggio”(10).
I PUNTI DI FORZA RISPETTO A SPID
Lo European Digital Identity Wallet ambisce a diventare un servizio trasversale, auspichiamo che le credenziali di identità e gli attributi possano essere immediatamente utilizzabili, in tal modo offrendo immediatamente tutte le potenzialità insite nella tecnologia.
Rispetto a una osservazione sulla sicurezza del legame tra identità e dati contenuti nel wallet, trovo molto positivo il considerando 11, in cui la Commissione pone giustamente l’accento sulla biometria: “L’utilizzo della biometria per l’autenticazione è uno dei metodi di identificazione che fornisce un alto livello di sicurezza, in particolare se utilizzato in combinazione con altri elementi di autenticazione”(11).
L’autenticazione biometrica ne rende quasi impossibile il prestito a terzi e tutela maggiormente le informazioni contenute nel wallet che, by design, sono in pieno controllo dell’utente.
Altro aspetto interessante e distintivo, è la possibilità di effettuare “selective disclosure”: l’European Identity Wallet dovrebbe tecnicamente consentire la divulgazione selettiva degli attributi alle parti che si affidano. Questa caratteristica dovrebbe diventare una scelta di base della progettazione, rafforzando così la praticità e la protezione dei dati personali, compresa la riduzione al minimo del trattamento dei dati personali.(12) Per alcuni dati particolarmente delicati, e utili, come reddito e patrimonio, sarà possibile comunicare solo degli intervalli o delle differenze rispetto a delle soglie, per esempio.
CONCLUSIONI
Il responsabile AML, come altre figure del mondo bancario, si troverà presto costretto a diventare un esperto di identità digitali e di modalità di erogazione dei servizi connessi. È molto importante avere piena contezza delle alternative disponibili, dei pro e contro di ogni soluzione e, a parere di chi scrive, conviene cogliere strategicamente le importanti novità che si stanno presentando e che, verosimilmente, inizieranno a diffondersi nei prossimi due anni. Affidarsi integralmente alle identità digitali di nuova generazione avrà impatti rilevanti sui processi, molto più snelli e integrati, e sull’esperienza del cliente, finalmente comodo nel rispondere alle domande di banche e finanziarie.
Per approfondimenti, consultare i seguenti link e/o riferimenti:
(2) SAML Security Assertion Markup Language | Wikipedia
(3) SAML XML Injection | NCC Group Research, 29-03-2021
(4) Fun with SAML SSO Vulnerabilities and Footguns | WorkOS, 01-09-2020
(5) Identità digitale (Spid), c’è un buco nella sicurezza: “Così ti divento Matteo Renzi” | Il Fatto Quotidiano
(6) Proposta relativa a un’identità digitale affidabile e sicura per tutti gli europei | Commissione Europea, 03-06-2021
(8) Articolo 3, paragrafo i.
(42)“‘European Digital Identity Wallet’ is a product and service that allows the user to store identity data, credentials and attributes linked to her/his identity, to provide them to relying parties on request and to use them for authentication, online and offline, for a service in accordance with Article 6a; and to create qualified electronic signatures and seals;
(9) Cons. 27
Any entity that collects, creates and issues attested attributes such as diplomas, licences, certificates of birth should be able to become a provider of electronic attestation of attributes. Relying parties should use the electronic attestations of attributes as equivalent to attestations in paper format. Therefore, an electronic attestation of attributes should not be denied legal effect on the grounds that it is in an electronic form or that it does not meet the requirements of the qualified electronic attestation of attributes. To that effect, general requirements should be laid down to ensure that a qualified electronic attestation of attributes has the equivalent legal effect of lawfully issued attestations in paper form.
(10) Cons. 31
Secure electronic identification and the provision of attestation of attributes should offer additional flexibility and solutions for the financial services sector to allow identification of customers and the exchange of specific attributes necessary to comply with, for example, customer due diligence requirements under the Anti Money Laundering Regulation, [reference to be added after the adoption of the proposal], with suitability requirements stemming from investor protection legislation, or to support the fulfilment of strong customer authentication requirements for account login and initiation of transactions in the field of payment services.
(11) Cons. 11
Using biometrics to authenticate is one of the identifications methods providing a high level of confidence, in particular when used in combination with other elements of authentication.
(12) Cons. 29
The European Digital Identity Wallet should technically enable the selective disclosure of attributes to relying parties. This feature should become a basic design feature thereby reinforcing convenience and personal data protection including minimisation of processing of personal data.
