Il contesto della gestione sicura dell’identità in banca rappresenta da sempre un ambito di estrema attenzione da parte delle banche, sia in termini di protezione dei dati del cliente come leva strategica di vantaggio competitivo (e di sviluppo del proprio business), sia in termini di corretta amministrazione dei flussi autorizzativi su cui si basano le procedure organizzative interne.

La visione per processi, che ha da tempo assunto il ruolo di paradigma di riferimento per la gestione del business, consente oggi di affrontare il tema della gestione sicura dell’identità in un’ottica integrata, che in linea generale può prescindere dall’ambito funzionale di applicazione e viene a differenziarsi solo sulla base della tecnologia che supporta le singole procedure operative. Nasce da queste considerazioni l’Osservatorio sulla Gestione Sicura dell’Identità in Banca, promosso da ABI Lab e Ossif (Centro di ricerca ABI sulla sicurezza anticrimine) e supportato da un dialogo costante con banche, fornitori di tecnologia, fra cui Reply e Wincor-Nixdorf, enti e istituzioni di riferimento, centri di ricerca universitari e centri di eccellenza nazionale attivi in materia. Il quadro complessivo che emerge da questo Osservatorio evidenzia una realtà eterogenea e un panorama in divenire in cui le opportunità di incremento del business da parte delle banche sembrano effettivamente supportate tanto dallo stato di evoluzione attuale del contesto tecnologico quanto dalle strategie di integrazione e partnership che si stanno sviluppando tra pubblico e privato. L’ambito della gestione dell’identità di un utente può essere definito come l’insieme delle procedure, dei sistemi, delle azioni e delle tecnologie che ne abilitano l’identificazione unica, l’autenticazione sulla risorsa cui sta accedendo e l’autorizzazione ad eseguire le operazioni pianificate su di essa.

 

Identità lato retail

Password e PIN sono le modalità di autenticazione più diffuse per l’accesso della clientela retail agli ATM, indicati dalla totalità del campione; per questi canali, dunque, la tecnologia è ad oggi considerata consolidata e le banche non intravedono l’urgenza di sperimentare tecnologie più innovative, come ad esempio le tecnologie biometriche (che sono invece largamente diffuse in altri Paesi), oppure specifiche applicazioni software. Una situazione simile avviene per il POS, dove però si segnala anche un 10% di istituti (su una base di 41 banche) che utilizza anche carte con tecnologia RFID. Analogamente, per il riconoscimento del cliente allo sportello, il campione ad oggi ricorre ad un’unica modalità di autenticazione, ossia la firma autografa, che è unita ad un documento di identità qualora si tratti di un cliente non abituale, o che viene confrontata con un template (lo specimen) memorizzato presso il database clienti della banca. Per quanto riguarda il canale Internet, l’adeguamento di sistema all’adozione del secondo fattore previsto da PattiChiari ha indotto le banche ad adottare differenti dispositivi per la sicurezza dell’accesso ai servizi da parte dei clienti: tra questi, i più diffusi sono il token per la generazione di un codice OTP (On Time Password) via hardware disconnesso (55%), la tessera a combinazione (38%) e il telefono cellulare per l’invio di SMS (36%). Relativamente più limitato è l’uso di un certificato digitale su supporto software (24%), unitamente al codice OTP generato da software (12%) o attraverso hardware connesso (5%). Per il canale Mobile si utilizzano di fatto le principali soluzioni adottate per il canale Internet, per cui oltre alla tradizionale digitazione della password (indicata da tutte le 42 banche), viene garantito un ulteriore fattore di protezione attraverso la generazione del codice OTP mediante hardware disconnesso (38% dei casi) o, alternativamente, attraverso l’utilizzo di tessera a combinazione (36%), o invio di codice OTP tramite SMS (36%).

 

Identità lato corporate

La clientela corporate sembra costituire il segmento di utenti verso cui l’offerta da parte delle banche di tecnologie di autenticazione nell’accesso al canale Internet è più eterogenea. Per quanto riguarda il canale Internet, infatti, oltre alle digitazione di password e PIN (utilizzata dal 72% del campione) e all’adozione di token per la gene4razione di codici OTP via hardware disconnesso (52% dei casi), si segnala un maggior utilizzo dei certificati digitali come strumento di autenticazione rispetto alla clientela retail: certificati digitali su smart card o su supporto software sono infatti stati scelti dal 36% e dal 30% delle banche, rispettivamente.

 

Identità lato dipendenti

L’utilizzo di password e PIN risulta la modalità di autenticazione base anche per i dipendenti in fase di accesso fisico e logico alle infrastrutture della banca; la totalità dei rispondenti ne fa infatti ricorso per l’accesso agli applicativi, alla Intranet e al posto di lavoro. Per tutti e tre i canali citati, inoltre, si segnala un 10% di istituti (su una base media di 50 banche) che utilizza per l’autenticazione il certificato digitale su smart card. La gestione degli accessi del personale a sedi e aree riservate rappresenta il contesto applicativo in cui trovano maggior impiego le carte con tecnologia RFID, utilizzate dal 69% (per le sedi) e dall’81% (per le aree riservate) delle banche.

 

Un capitolo dell’Osservatorio è poi dedicato all’analisi dello stato dell’arte e della diffusione dei documenti di identità elettronica in Italia come la carta d’identità elettronica (CIE) e la carta nazionale dei servizi (CNS), che sono destinate a tutti i cittadini, mentre altre, come il permesso di soggiorno elettronico, la carta del Ministero della Giustizia e la carta multi servizi del Ministero della Difesa, sono destinate a un gruppo limitato di utenti e sono progettate per specifiche finalità. L’introduzione della CIE, ad esempio, ha portato alla realizzazione di un database centralizzato (e della relativa infrastruttura architetturale), denominato INA/SAIA (acronimi per “Indice Nazionale delle Anagrafi” e “Sistema di Accesso e di Interscambio Anagrafico”), di competenza del Ministero degli Interni, in cui convengono tutte le informazioni di tutti i documenti di identità dei cittadini. Ad oggi l’accesso al database e il relativo scambio di informazioni non sono consentiti a soggetti privati ma sono limitati alle amministrazioni e alle autorità pubbliche. Infine nell’ambito della collaborazione tra banche e PA, la sottoscrizione del Protocollo d’Intesa tra l’ABI e il Ministro per la Pubblica Amministrazione e l’Innovazione, per la partecipazione del sistema bancario all’attuazione del Piano e-Government 2012, ha dato slancio alla realizzazione di numerose iniziative congiunte, soprattutto in tema di de materializzazione e sicurezza, con finalità di abilitare l’innovazione e promuovere la diffusione di servizi di rete, l’accessibilità e la trasparenza.