In parte ci si è assuefatti alle procedure dell’autenticazione forte (Strong Customer Autentication – SCA) imposte dalla Direttiva europea sui servizi di Pagamento entrata in vigore nel 2018. Nota nel settore come PSD2, è una sorta di aggiustamento della prima versione del 2015, studiata nell’ottica di potenziare la sicurezza e abilitare la libera concorrenza nell’ambito dei servizi di pagamenti. Dal punto di vista di un utente, è la norma responsabile di una serie di passaggi “scomodi” e a volte complessi che rischiano di scoraggiare l’uso dei canali digitali. Non si tratta di una paura recondita: nel 2021 una grande banca italiana ha per esempio stimato un tasso di abbandono dei carrelli “causa SCA” pari al 22%.
Neanche l’”effetto Covid” ha migliorato le performance di autenticazione degli italiani che sembrerebbero tuttora infastiditi dalla mancanza di procedure frictionless, nei servizi bancari come in tutti quelli che prevedono un’autenticazione con più step e, a volte, più dispositivi da avere sottomano per uscirne vincenti.
Abituati a piattaforme in cui non ci si accorge quasi nemmeno di effettuare il login, ci si chiede se tutto ciò sia davvero inevitabili. Leggendo bene la PSD2, si possono scorgere degli spazi di manovra preziosi per chi cerca soluzioni con determinazione. Esiste infatti la possibilità di bypassare il processo SCA, utilizzando uno strumento di analisi del rischio di transazione.
“Manomettere” reti neurali per innovare l’autentication
Adocchiata questa opportunità regolamentare, Vidyasoft ha preso una rete neurale convoluzionale già in uso, “trasformandola in uno strumento di anomaly detection unico nel suo genere, perlomeno in Italia. Si chiama HF-SCA, che sta per “Hands Free Strong Customer Autentification” spiega Roberto Vergallo, CIO e founder di questa società nata nel 2015 come spin-off dell’Università del Salento.
Come base di partenza per la propria ricerca di vie alternative alla SCA, ha scelto una rete neurale solitamente utilizzata per la segmentazione di immagini biomediche, quella alla base di molti modelli di generazione di immagini, come DALL-E e Midjourney e denominata U-Net. La sua speciale architettura consente una segmentazione molto precisa che minimizza il numero di immagini necessarie per l’addestramento. Una peculiarità che il team di Vidyasoft ha trasformato in opportunità per adattarla ai suoi scopi.
Ha iniziato inserendo dei “blocchi” che le regalano “il dono della memoria” e ha aggiustato i parametri relativi al trade off, in modo che non si considerasse tutto un’anomalia. Avendo a che fare con una rete abituata a ricevere un input formato immagine, ha fatto poi in modo che “digerisse” lo storico delle transazioni bancarie trasformandolo preventivamente in una sorta di video, perché potesse essere analizzato con il solito iter.
Accuratezza ancora inspiegabile
Con HF-SCA, tutti coloro che hanno a che fare con la strong customer authentication, possono contare su un approccio alternativo che evita loro lungaggini o potenziali inghippi, “continuando però a garantire sicurezza” precisa Vergallo. E poi spiega: “Gli altri strumenti di anomaly detection oggi si basano su sistemi sistemi top-down. In questo caso c’è un esperto di dominio ben preparato sulle eccezioni da identificare che istruisce il software. È un approccio che lascia totalmente scoperti da tutte le variabili non percepibili a occhio nudo, che quindi sfuggono allo strumento. Il nostro, basato sull’AI, parte invece dall’evidenza empirica e vede cose che l’esperto non potrà mai essere in grado di cogliere. L’ideale sarebbe unire i due approcci”.
Rispetto alle reti neurali “concorrenti”, la rete neurale usata da Vidyasoft mostrerebbe secondo l’azienda stessa, delle performance di accuratezza più elevate. Raggiungerebbe il 97,7% del punteggio AUC su un noto set di dati recuperati online. AUC sta per “area sotto la curva” ed è il nome di una metrica scelta da chi ha bisogno di dare molto peso ai falsi negativi. Nel contesto bancario è fondamentale, per esempio, perché non ci si può permettere di trascurare anomalie con superficialità.
Confermata anche su dati reali del sandbox di Banca d’Italia, questa performance rappresenta uno dei vantaggi di HF-SCA, il più significativo per chi cerca di bypassare SCA continuando a operare in sicurezza. Un altro è “la possibilità di essere sfruttata senza dover fornire particolari domini o informazioni – aggiunge Vergallo – perché trasforma tutto in numeri e in video. Non c’è quindi bisogno di recuperare data point particolari da parte delle banche, rischiando di ‘disturbare’ i clienti. Ora non stiamo provando a risolvere il problema della explainability, per fare in modo che le decisioni legate al deep learning non restino in una black box”.
A caccia di anomalie anche in manufacturing e IoT
Per sfruttare HF-SCA si passa da semplici chiamate API, ma la parte di preparazione dei dati che le precede rappresenta un passaggio cruciale: deve essere affrontata con massima attenzione e, soprattutto, con esperienza. Ecco perché, proprio su questo aspetto, Vidyasoft mira ad affiancare l’utente della sua rete neurale per aiutarlo a ricavare il massimo possibile dalle informazioni a disposizione. “Si tratta di feature engineering” precisa Vergallo. “Nella pratica significa cercare di trarre il meglio dai dati, durante il set up. Noi vogliamo affiancare chi sceglie di scommettere sulla nostra soluzione, per poi continuare a supportarlo regolarmente perché l’algoritmo deve essere riaddestrato sempre. Il contesto, i clienti, le dinamiche cambiano: tutto evolve”.
Si parla di “utenti di HF-SCA” e non di banche solamente, perché le anomalie non esistono solo nel mondo delle transazioni e dei pagamenti. Questa soluzione, seppur nata in seno a una normativa strettamente rivolta all’ambito banking, si rivela applicabile in ogni situazione in cui si vuole “togliere frizione all’accesso ai servizi. Esistono tante barriere come l’età, ma anche il digital divide o alcune disabilità, che fanno sì che l’autenticazione a due fattori diventi un passaggio discriminante. Noi la evitiamo ma manteniamo la massima sicurezza, garantendo una buona user experience”. Anche nel back-end, una soluzione come HF-SCA può servire, fa notare Vergallo, “per potenziare e rendere più agile tutta la parte di cybersecurityrelativa all’analisi di anomalie sui dati raccolti”. Si pensi a quelli “sperimentali”, dal campo, che si ricevono da dispositivi IoT non presidiati e in luoghi remoti, in agricoltura o nell’abito del monitoraggio ambientale e infrastrutturale. Oppure a quelli “dalla fabbrica”, in un settore come il manufacturing, sempre più in allerta perché ogni passaggio automatizzato potrebbe restare, a sua insaputa, vittima di un attacco cyber.
