Come abbiamo raccontato nell’articolo “Digital Banking: la sfida per conquistare i Millennials“, la nuova generazione sta aumentando notevolmente la propria capacità d’acquisto, diventando la popolazione con il più alto numero di consumatori nell’intera storia degli Stati Uniti. Di conseguenza, le aziende devono necessariamente ripensare il proprio modello di business per poter competere in un mercato dominato da una nuova tipologia di utenti che richiedono esperienze di utilizzo sempre più smart, veloci e sicure.
In questa direzione vanno i servizi avanzati di identificazione e certificazione dei clienti, tecnicamente “client onboarding”, che devono essere semplici, immediati e sicuri per garantire all’utente un’esperienza fluida e senza interruzioni perché, come sappiamo bene, non c’è una seconda occasione per fare una buona prima interazione!
Con l’entrata in vigore della Direttiva Europea PSD2 (The Payment Services Directive) a settembre 2019, il servizio di client onboarding dovrà interessare anche i player del commercio online, che vedranno introdotti nuovi standard di sicurezza per i pagamenti digitali. Vediamo quali sono e come fare per affrontarli.
Client onboarding, il futuro è “strong”
Il processo di client onboarding, ossia la registrazione di nuovi clienti, è da considerarsi un must-have in un’era in cui gli utenti utilizzano lo smartphone a supporto di ogni tipo di attività.
Il momento in cui avviene è molto delicato perché coincide con la prima interazione possibile dell’utente con il brand, per cui si aspetta che la creazione di un account sia molto semplice e immediata, con un’esperienza d’uso del tutto simile a quella degli strumenti e delle applicazioni che abitualmente usa sul proprio smartphone (Instagram, Amazon, Spotify…).
A tale scopo si sono sviluppati vari servizi che mirano a creare un processo semplice, immediato, unico e soprattutto full digital. Per esempio, con il boom dei social network, per semplificare il più possibile la registrazione degli utenti si è diffuso il Social Login, che in pratica rende possibile l’autenticazione a una piattaforma digital (App Mobile o sito Internet che sia) attraverso informazioni già esistenti, memorizzate da un servizio di social networking, come ad esempio Facebook, Google o Twitter.
Con tale procedura è possibile fornire informazioni personali come data di nascita, interessi e molto altro in una modalità quasi istantanea, evitando un’esperienza d’uso altrimenti scoraggiante in quanto lunga e tediosa.
Questo tipo di registrazione manca però di un elemento importante, un rafforzativo “strong” che comprovi l’autenticità di chi accede al servizio, elemento fondamentale soprattutto quando si accede a un canale digital in cui sono previsti pagamenti. Si pensi ad esempio a qualsiasi sito di compravendita online, per intenderci, i tanto amati e-commerce che sempre più fanno parte della nostra quotidianità.
Non tutti sanno, infatti, che da qui a brevissimo sarà assolutamente necessario un tipo di autenticazione “forte”, ovvero la Strong Customer Authentication (SCA), per accedere a tutti i servizi di pagamento erogati in modalità digital.
“La SCA è una bomba a orologeria per il settore dei pagamenti europeo”, allerta Aite Group, nota società di ricerca e consulenza di Boston.
“I commercianti dovranno gestire una serie di modifiche complesse al flusso di pagamento che potrà avere un impatto negativo sull’intera esperienza del cliente”.
Risulta preoccupante come la maggior parte dei retailer online non sia pronta ad affrontare questo profondo cambiamento nell’esperienza utente e come una buona parte degli stessi addirittura ignori il problema.
Il prossimo settembre, infatti, ai sensi della Direttiva europea PSD2 che definisce gli standard di sicurezza in grado di supportare le tecnologie più all’avanguardia nei pagamenti digitali, come le soluzioni di autenticazione biometrica, la Strong Customer Authentication diventerà obbligatoria.
Si pensi che da uno studio promosso da Mastercard si evince che la gran parte dei retailer del commercio elettronico in Europa, ovvero il 75% degli intervistati, non è a conoscenza delle novità introdotte dalla normativa per facilitare nuove tecnologie che rendano più sicuri e semplici i pagamenti digitali.
Verifica l'identità dei tuoi clienti in pochi minuti
4 tipologie di Strong Customer Authentication
Detto questo, esaminiamo alcune modalità “strong” di Onboarding degli utenti in grado di preservare aspetti impagabili per i vostri clienti, quali le tanto acclamate immediatezza e semplicità d’uso. Di seguito una brevissima carrellata.
1. Strong Customer Authentication tramite One Time Password (OTP)
Una delle modalità più comunemente utilizzata per procedere ad una Strong Customer Authentication (nel rispetto della normativa PSD2) prevede l’autenticazione attraverso due fattori:
- “knowledge” (user e password)
- “possession” (OTP fornito con SMS su mobile)
L’acronimo OTP (One Time Password) indica una password usa e getta che viene generata “al bisogno”.
Il codice OTP, nel caso l’utente risulti già registrato, verrà richiesto nella fase di pagamento e sarà legato a “importo” e “beneficiario”, come previsto appunto da normativa PSD2.
2. Onboarding tramite selfie
In un’ottica di semplicità ed immediatezza dell’esperienza d’uso, il sistema di Digital Onboarding tramite selfie è in grado di offrire all’utente un’esperienza d’uso allineata rispetto alle incalzanti aspettative del mercato di oggi, anche in presenza di registrazione finalizzata alla sottoscrizione di una qualche forma di accordo atta a consentire una transazione economica.
Il processo richiede pochi minuti e non necessita la stampa di documenti: l’unico strumento operativo rimane lo smartphone per ogni suo singolo passaggio. Le fasi di registrazione sono sostanzialmente tre.
Fase di registrazione
Fase di sottoscrizione di un accordo tramite firma digitale
Fase di verifica dei dati e delle informazioni fornite dal cliente in fase di registrazione e sottoscrizione dell’accordo
I vantaggi del client onboarding tramite selfie, come facilmente intuibile, sono molteplici. Principalmente si guadagna in efficienza, senza necessità alcuna di avere operatori fisici che in “real time” si occupino di verificare i dati e l’utente. Questo attraverso l’ausilio di tool di Intelligenza Artificiale in grado di verificare con grande accuratezza la reale presenza di un utente dall’altra parte dello smartphone, nonché la veridicità del dato fornito in fase di registrazione.
Oltre a questo, si considerino due aspetti molto cari all’utente: velocità ed immediatezza.
Prenditi un paio di minuti per dare un’occhiata alla soluzione che abbiamo sviluppato: DigitalOnboarding, un sistema full digital per la registrazione e l’autenticazione degli utenti.
3. L’Onboarding tramite selfie + contestuale verifica attraverso carta d’identità o passaporto elettronico
Il processo di Onboarding sopra descritto potrebbe essere rafforzato attraverso l’ausilio dei nuovi documenti identificativi elettronici muniti di chip NFC. La Near-Field Communication può infatti consentire tramite smartphone la lettura e contestuale verifica di autenticità della foto del documento del registrante.
Da un punto di vista sostanziale, in un simile processo di Onboarding, quest’ultimo aspetto costituisce un rafforzamento alla verifica. La foto acquisita, infatti, può essere utilizzata come ulteriore elemento informativo di raffronto a disposizione dell’operatore di back-end, delegato alla verifica dell’identità dell’utente attraverso gli elementi acquisiti nel processo di Onboarding.
4. Il processo di autenticazione dell’utente tramite SPID
Un utente già dotato di SPID, Sistema Pubblico di Identità Digitale che permette di accedere a tutti i servizi online della Pubblica Amministrazione con un’unica Identità Digitale (username e password) da computer, tablet e smartphone, può procedere al processo di registrazione, seguendo una sequenza operativa di questo tipo:
- L’utente accede al servizio digitale di riferimento.
- Richiede l’Onboarding con l’ausilio di SPID e viene reindirizzato a un servizio esterno gestito dalla Certification Authority, atto al riconoscimento tramite SPID.
- Il servizio della Certification Authority effettua l’identificazione SPID (di qualsivoglia provider) e abilita l’utente al rilascio della FEQ (Firma Elettronica Qualificata).
- L’utente effettua l’onboarding con l’ausilio della FEQ, permettendo al provider del servizio online di considerare assolta la fase di identificazione dell’adeguata verifica.
Il vantaggio di un simile processo è il suo sviluppo completamente Digital su un unico canale, con autenticazione dell’utente in modalità Strong Customer Authentication.
Ciao Michelangelo.
Articolo interessante dal punto di vista dell’introduzione dei nuovi processi previsti da PSD2. Per quanto riguarda le tecniche e standard di identificazione direi che non c’è nulla di nuovo.
Ciao Antonio, ti ringrazio per il contribuito.
Mi permetto di specificare che allo stato attuale i requisiti tecnici forniti dall’EBA (European Banking Authority) sul tema “Strong Customer Authentication” – da considerarsi ancora in draft – non offrono tante altre alternative rispetto alla gestione del processo, che come previsto dalla normativa PSD2 prevede due diversi fattori di autenticazione, appunto quello del “knowledge” e quello del “possession”.
La novità sta nell’introduzione da settembre 2019 dell’obbligatorietà di questi standard di sicurezza in tutti i processi online in cui è previsto un pagamento.