BNP Paribas Leasing Solutions, leader di mercato nel leasing, è la realtà nata dal Gruppo BNP Paribas pensata per fornire alle aziende e ai professionisti soluzioni finanziarie e di noleggio di attrezzature ad uso professionale. La società si pone l’obiettivo di diventare acceleratore di business, anche in chiave di sostenibilità, per tutti i suoi circa 170.000 clienti, offrendo un servizio di valore basato su competenza, semplicità, reattività, innovazione e responsabilità.
A partire dallo scorso anno la società ha deciso di introdurre l’iniziativa che prende il nome di Inspiring Hub: un programma di sensibilizzazione rivolto a tutti i suoi dipendenti e che tratta le principali tematiche dell’innovazione digitale di interesse nel mondo finanziario, in ottica di sviluppo di nuovi prodotti e soluzioni e/o semplificazione dei processi. Lo scorso 3 giugno, con la collaborazione dell’Osservatorio Startup intelligence e dell’Osservatorio Digital Identity del Politecnico di Milano, ha organizzato un nuovo appuntamento Inspiring Hub dedicato al tema dell’Identità Digitale e alle relative novità in merito alle modalità di autenticazione e onboarding dei clienti.
Ad aprire l’incontro è stata Giorgia Dragoni, Co-Direttore dell’Osservatorio Digital Identity, che ha introdotto il tema illustrando gli elementi principali che compongono l’Identità Digitale. “La materia prima su cui si basa l’intero ecosistema sono i dati, attraverso di essi, infatti, è possibile identificare univocamente un utente che vuole accedere a specifici servizi digitali”. In funzione del valore aggiunto generato da queste informazioni, il regolamento eIDAS (electronic IDentification Authentication and Signature) ha stabilito tre Level of Assurance progressivi, che determinano il grado di affidabilità relativo ai processi di identificazione e autenticazione: per i servizi meno critici è sufficiente un LoA basso, in cui l’identificazione è basata su dati auto-dichiarati dall’utente e l’autenticazione avviene con un solo fattore (tipicamente una password); per i servizi con un maggiore livello di criticità è necessario un LoA significativo, caratterizzato da un accurato controllo dei dati dell’utente in fase di identificazione e da un’autenticazione estremamente sicura tramite almeno due fattori; in caso di servizi molto critici il LoA dovrà invece essere elevato, contraddistinto dalla raccolta di dati identificativi da fonti certificate, dalla verifica in persona e da un’autenticazione a più fattori supportata da elementi di crittografia.
Ha proseguito l’esposizione Valeria Portale, Co-Direttore dell’Osservatorio Digital Identity, che ha presentato i principali attori coinvolti e i modelli previsti per l’Identità Digitale. Ad oggi, infatti, è possibile rintracciare quattro diversi ecosistemi: centralizzato, federato, decentralizzato e Self-Sovereign Identity (SSI). Nella prima configurazione, un unico ente eroga e gestisce l’identità digitale dell’utente e può servire diversi service provider, nella seconda invece esiste una federazione di gestori dell’identità digitale (Identity Provider, IdP). Il primo caso è tipico di sistemi di enti governativi o attori privati che gestiscono tutte le identità dell’ecosistema, mentre si parla di identità federata, per esempio, nel sistema SPID, dove coesistono diversi Identity Provider. Negli ultimi due modelli, invece, è l’utente che svolge un ruolo attivo nell’ecosistema. Si parla dunque di modello decentralizzato quando l’utente autorizza la condivisione dei dati tra i diversi provider, e di SSI nel caso in cui l’utente è ritenuto unico owner delle proprie informazioni ed è in grado di scegliere quali dati condividere direttamente con i Service Provider.
La parola è poi passata a Matteo Risi, Ricercatore dell’Osservatorio Innovative Payments, per il tema della Strong Customer Autentication (o SCA) utilizzata per concludere pagamenti digitali. In ottemperanza alle normative introdotte negli ultimi due anni, infatti, le banche europee hanno integrato nei propri processi di autenticazione la SCA, che richiede loro di effettuare una doppia verifica dell’identità dell’utente al momento del pagamento. A partire da aprile 2021 tutte le transazioni digitali sono regolate da questo tipo di autenticazione, tuttavia esistono delle esenzioni che permettono di evitare la SCA, ad esempio in caso di pagamenti dovuti per subscription, giroconti e micropagamenti.
A concludere gli interventi del Politecnico di Milano è stato Roberto Garavaglia, Management Consultant & Innovative Payments Strategy Advisor, che ha esposto il quadro normativo a supporto dell’Identità Digitale. Garavaglia ha introdotto il tema del Digital Finance Package, entrando nel merito degli specifici obiettivi da implementare nei prossimi anni. “L’obiettivo primario entro il 2030 è quello di ottenere un’ampia diffusione di un’Identità Digitale affidabile, ma soprattutto controllata dagli utenti, in modo che ciascun cittadino possa monitorare la propria presenza online e le proprie interazioni”, conclude Garavaglia.
Tale robustezza normativa che sta man mano prendendo forma, per quanto essenziale per la sicurezza, solleva alcune criticità in termini di user experience del cliente finale e di capacità di generare nuove revenue da parte degli istituti bancari. Per tale ragione sono state invitate all’evento due aziende e una startup, partner dell’Osservatorio Digital Identity, che hanno esposto alla platea la loro tecnologia volta a velocizzare e semplificare le procedure di onboarding e autenticazione del cliente finale attraverso soluzioni innovative.
La prima testimonianza è stata di Giulio Rattone e di Alberto Mussinatto, rispettivamente CIO e Head of Business Development di Fabrick, piattaforma di Open Banking e Open Finance che porta nuovi modelli di fare banca attraverso tecnologie API (Application Programming Interface) spinte dalla normativa PSD2. L’intento di questa realtà è migliorare il processo di onboarding dell’utente attraverso una semplificazione e una velocizzazione degli step di riconoscimento. Il primo caso d’uso esposto riguarda la possibilità di identificare e verificare l’intestazione di un conto attraverso uno di quelli già in possesso dall’utente. Ciò è reso possibile dalla licenza AISP, grazie alla quale la società è autorizzata ad accedere e verificare i dati del conto già in essere; tale operazione, lato cliente, si concretizza in una classica autenticazione tramite SCA. Il secondo caso d’uso riguarda la possibilità di effettuare un bonifico di riconoscimento con inizializzazione sincrona alla fase di onboarding. Grazie a questa soluzione l’utente è in grado di effettuare il bonifico e ricevere l’esito in tempo reale una volta concluso il processo di onboarding. L’ultimo caso d’uso illustrato è l’abilitazione delle credenziali SPID per l’accesso diretto ai servizi offerti, al fine di semplificare ulteriormente l’autenticazione dell’utente.
Antonio Taurisano è Responsabile International Markets di Namirial, società specializzata in soluzioni tecnologiche per aziende e fornitore di servizi fiduciari. Taurisano ha raccontato la soluzione per rendere semplice e versatile l’autenticazione del cliente attraverso un prodotto modulabile e personalizzabile in base alle esigenze aziendali. A rendere unica la tecnologia offerta da Namirial, oggi riconosciuta a livello internazionale, concorrono diversi fattori. Di primaria importanza è certamente il focus sulla compliance alle normative European based in materia di privacy e security. Questa realtà è infatti vista come la principale alternativa europea affidabile rispetto ai provider americani, che funzionano su regolamentazioni ben diverse in questi ambiti. Sicuramente altrettanto importante è la possibilità di fruire dei servizi offerti sia in cloud che “on premises” per i clienti con esigenze più specifiche, con la possibilità di integrare e personalizzare con il proprio brand il servizio offerto da Namirial. Il sistema è inoltre pensato per essere fruibile sia da remoto che in filiale.
L’ultima testimonianza è stata di Andrea Carmignani, CEO & Co-Founder di Keyless. Questa realtà si propone di semplificare la customer experience del cliente finale attraverso un’autenticazione facile, veloce e sicura, in una combinazione di biometria e crittografia. La sola autenticazione biometrica risulta essere particolarmente vulnerabile in caso di attacchi informatici in quanto le credenziali dell’utente non possono essere modificate proprio perché direttamente riconducibili ai tratti biometrici dell’utente. La tecnologia di autenticazione di Keyless è in grado di raccogliere e criptare le informazioni raccolte al fine di renderle più sicure. Tale soluzione è inoltre validata per funzionare come firma digitale ed è applicabile in qualsiasi app di pagamento. In periodo pandemico si è rivelata, inoltre, molto utile per autenticare gli studenti universitari di un noto Ateneo italiano in sede di esame.
Ancora una volta tanti spunti interessanti su cui riflettere all’interno di un percorso di continuous improvement per aziende dinamiche che desiderano efficientare i propri processi e continuare ad approcciarsi in modo innovativo al mercato.
