Le truffe sui nuovi account e le appropriazioni illecite sono tra le principali preoccupazioni di molte organizzazioni che si scontrano con password ormai scadenti, non più sufficienti per confermare l’identità di un utente di fronte a tecniche di attacco sempre più avanzate. A questo si aggiunge il fatto che il comportamento dei consumatori sta diventando più fluido: molti utenti accedono agli account da browser privati e utilizzano diversi dispositivi e metodi di connessione inducendo tassi di falsi positivi più elevati negli strumenti di autenticazione e di rilevamento frodi. Quando accade, aumenta anche la frustrazione del cliente che è portato così ad abbandonare l’iscrizione, il login o l’acquisto.
Gartner ha previsto che, entro il 2022, le aziende digitali con un customer journey fluido durante l’autenticazione guadagneranno il 10% in più rispetto ad aziende simili ma con una esperienza meno performante. È quindi questo il momento per passare all’azione e riequilibrare il rischio e la fiducia nei confronti dei nostri utenti.
Ecco tre passi che i responsabili della sicurezza e del risk management dovrebbero compiere per abilitare un’esperienza di autenticazione low friction.
1. Implementare tecnologie di rilevamento dei bot
Mentre i bot cattivi sono stati a lungo visti come problematici, ora si sono dimostrati molto ben organizzati e determinati a guadagnare denaro. Molte organizzazioni hanno risposto agli attacchi dei bot forzando i CAPTCHA sui punti sensibili di interazione con i clienti ma i CAPTCHA tradizionali con numeri e lettere mescolati e i più semplici CAPTCHA basati su immagini possono essere bypassati dagli aggressori e dagli strumenti di cloud analysis. I clienti sono inoltre più propensi ad abbandonare un’interazione quando appare una richiesta CAPTCHA.
I sistemi di rilevamento dei bot sono il metodo migliore per aggirare questi attacchi, sono diventati prodotti autonomi e non più una parte integrata di molti firewall di applicazioni web aziendali e reti di distribuzione dei contenuti. Ora rilevano e gestiscono gli attacchi dei bot sulle pagine di registrazione e accesso, così come sui contenuti protetti o sensibili. L’onere di “provare l’umanità” viene rimosso, lato cliente, e posto dove dovrebbe stare: nella parte di tecnologia destinata a sostenere l’integrità di una proprietà web.
Rilevando attivamente e separando il traffico bot dal traffico umano, le organizzazioni possono ridurre o eliminare la necessità di “prove di umanità” attive favorendo una maggiore fiducia tra cliente e azienda, rafforzando la fedeltà e l’impegno.
2. Concentrarsi sul comportamento dei clienti legittimi
Con il 60%-70% dei consumatori stimati che utilizzano lo stesso nome utente e password per accedere a più di un account, è chiaro che la privacy delle password è morta da tempo. Questo significa che la capacità degli utenti di autenticare i propri account con una password fornisce poche prove di legittimità e, a causa dell’alta percentuale di clienti legittimi che non riescono a inserire la password corretta (in particolare per i siti che richiedono password complesse), il fallimento della password da solo non può essere considerato un forte indicatore di rischio.
L’implementazione di tecnologie biometriche comportamentali, in combinazione con metodi di autenticazione più tradizionali, può portare ad un elevato livello di fiducia. Queste tecnologie osservano e analizzano l’attività degli utenti all’interno di una proprietà digitale, ad esempio il modo in cui digitano, il posizionamento e la tempistica dei loro movimenti con il mouse o il loro modo di scorrere sullo schermo di un dispositivo mobile.
Per le organizzazioni che hanno interazioni frequenti con gli utenti, come le banche, i siti di gioco e i rivenditori di e-commerce, si possono stabilire norme comportamentali per ogni utente. A questo punto variazioni significative dai modelli normali di un utente possono indicare l’appropriazione illecita di un account o un uso non autorizzato. Per le organizzazioni con interazioni meno frequenti, questa tecnologia può ancora aggiungere valore quando si concentra sull’analisi comportamentale piuttosto che sulla conferma dell’identità dell’utente, e lo fa creando un riferimento di base dei comportamenti normali, rispetto al quale ogni interazione può essere confrontata.
Avvicinarsi a ogni interazione con la domanda: “È un umano o una macchina?” è il primo passo per separare i soggetti a rischio. Se si tratta di un umano, decidere se sembra essere un cliente conosciuto o sconosciuto permette un’ulteriore segmentazione dei clienti conosciuti e a basso rischio dagli utenti sconosciuti e a rischio moderato. A quel punto, assumendo che il cliente percepito come conosciuto sia, in effetti, un cliente legittimo, si crea una base di fiducia. L’analisi continua del comportamento del cliente fornisce una convalida continua di questa fiducia.
Le aziende dovrebbero separare gli umani dai non umani che accedono agli account e poi valutare questi umani per consentire o negare l’accesso. Per la maggior parte delle interazioni di business da umano a digitale, l’utente umano ha un’intenzione positiva: spostando il paradigma della fiducia digitale per partire da questo presupposto, basandosi anche sull’analisi del comportamento per segnalare indicatori di comportamenti anomali, si può migliorare l’esperienza del cliente abbassando anche i tassi di falsi positivi.
3. Implementare un approccio adattivo all’autenticazione
Quando si progettano i processi di autenticazione e le tolleranze di rischio, molte organizzazioni adottano un approccio “fortino”. Una volta all’interno del “fortino”, un soggetto malintenzionato avrà accesso a tutto ciò che ha valore, quindi gli sviluppatori caricano l’esperienza del cliente con un requisito di fiducia assoluta.
Per la maggior parte delle organizzazioni, gli utenti legittimi che accedono a un account esistente raramente intendono eseguire azioni ad alto rischio, è più probabile che l’utente esegua un’attività banale e a basso rischio, come rivedere il saldo del conto o effettuare un pagamento a un beneficiario noto.
La mentalità da “muro di cinta” spesso porta i clienti legittimi ad allontanarsi, poiché non hanno la pazienza di ripetere un processo di autenticazione a più fasi. Le domande di verifica basate sulla conoscenza o le ripetute richieste di autenticazione via e-mail o cellulare sembrano richiedere molto tempo, nel migliore dei casi, ed essere eccessivamente difficili, nel peggiore.
La scelta non è più tra alta sicurezza e un’esperienza senza soluzione di continuità: un sistema che utilizza classificazioni del rischio basate sul contesto può offrire un’esperienza in cui il livello di attrito richiesto corrisponde al livello di rischio. Per esempio, un utente identificato come molto probabilmente umano, che accede a un account da un dispositivo a basso rischio e con alcuni segnali comportamentali familiari, può essere autorizzato ad accedere al proprio account anche da un nuovo indirizzo IP. Ogni ostacolo o verifica evitati al cliente sono un ulteriore passo verso la costruzione della fiducia.
Le organizzazioni possono costruire gate di valutazione nei punti ad alto rischio, come cambiare un indirizzo e-mail, aggiungere un nuovo conto di deposito o disattivare le notifiche del conto. Questi permettono all’organizzazione di determinare, in punti strategici, se la fiducia è abbastanza alta per l’azione richiesta. Se non è abbastanza alta, questo è il momento giusto per una verifica con il cliente, che sia un push mobile, una modalità di autenticazione biometrica attiva o un passcode via SMS.
La chiave per una trasformazione di successo dell’autenticazione e della gestione del rischio è riformulare i rischi aziendali che entrano in gioco: il più grande rischio per un business non è più l’attività fraudolenta ma un processo impraticabile e la perdita di clienti.