/KYC in Banking: perché la sola biometria non è più sufficiente nell’attuale scenario di Identity Verification

Quando, dieci anni fa, abbiamo iniziato a sviluppare tecnologie per l’identità, la nostra ambizione non era semplicemente quella di essere un fornitore in più in un mercato in rapida crescita. Ci siamo posti un obiettivo molto più profondo: costruire fiducia nei processi di KYC in banking. All’epoca, la missione sembrava semplice pur nella sua complessità: distinguere ciò che è reale da ciò che è falso in qualsiasi canale. Oggi, tuttavia, quella stessa fiducia è sotto un attacco diretto e senza precedenti.

Garantire l’identità digitale nel settore finanziario non dipende più da un singolo fattore, ma da un binomio indissolubile: la verifica della persona e la legittimità del dispositivo da cui opera. Nell’ultimo decennio, la biometria facciale si è consolidata come il “gold standard” per l’onboarding digitale, partendo dal presupposto che una corrispondenza biometrica fosse sinonimo di sicurezza assoluta. Ma in un contesto in cui l’identità è la principale superficie di attacco, affidarsi esclusivamente al fattore biometrico dell’utente è insufficiente se il canale di comunicazione è stato compromesso. Per questo, le soluzioni di verifica dell’identità devono evolversi verso modelli più robusti.

L’esigenza di questo cambiamento nasce dal fatto che l’IA generativa ha rimescolato le carte: oggi, il 41% dei cyberattacchi sfrutta l’intelligenza artificiale per creare identità sintetiche in pochi secondi, trascinandoci in una “pandemia di frodi” a impatto globale. La biometria tradizionale era stata progettata per contrastare i cosiddetti presentation attacks (come foto o maschere), ma le frodi attuali nel KYC bancario sono invisibili, automatizzate, scalabili e avvengono direttamente nel flusso dei dati. I Frodatori si sono evoluti verso gli injection attacks, che bypassano i sensori fisici e alterano il flusso digitale tra dispositivo e server, rendendo irrilevanti anche i controlli di liveness detection più sofisticati se l’integrità dell’ambiente non viene verificata.

Per banche e neobank, questo cambio di paradigma rivela una verità scomoda: “vedere non significa più credere”. La domanda, quindi, non è più se l’IA sia più intelligente, ma se i presupposti su cui si basa l’identità siano ancora validi. Se un sistema può essere ingannato da qualcosa che semplicemente “sembra” reale, è perché non ha mai verificato l’effettiva realtà dell’interazione. Ciò impone di ripensare processi critici, come la verifica del conto corrente, per passare da un’identità presunta a una Identità Reale. Il futuro della fiducia finanziaria dipende da un’architettura rigorosa che non si limiti a verificare un volto, ma garantisca la reale presenza umana, l’integrità del canale e la continuità dell’identità lungo tutto il ciclo di vita del cliente attraverso l’uso della biometria facciale di nuova generazione.

La fine dell’”Identità Presunta” in KYC in Banking: verso l’integrità del canale

Il grande errore del settore è stato ereditare segnali di identità da ecosistemi consumer poco trasparenti. Molte banche si affidano alla biometria del dispositivo (come il FaceID), che però è stata progettata per proteggere uno smartphone, non per verificare un’identità legale o finanziaria.

Questo nuovo approccio sostiene che la fiducia non risieda nel rilevare fake sempre più sofisticati, ma nel dimostrare simultaneamente due pilastri:

• Verifica di Persona Reale: la certezza che ci sia una persona fisica dall’altra parte e non un’identità finta con dati sintetici.
• Verifica di Integrità del Dispositivo: la garanzia che il canale tra l’utente e la banca non sia stato manipolato.

Strategia di Identità Digitale Integrale nel Customer Journey: oltre l’Onboarding

Per le istituzioni finanziarie con cui collaboramos in mercati ad alta complessità normativa, l’onboarding digitale non è più un processo isolato. La nostra esperienza dimostra che il mercato attuale richiede un’evoluzione del KYC bancario verso un’architettura di difesa attiva in ogni fase. È fondamentale che le banche si adeguino ai nuovi standard di compliance per mitigare i rischi operativi.

1. Apertura del conto e verifica bancaria

Il primo punto di contatto, e al contempo il più critico, è l’apertura del conto. Un processo di verifica solido deve saper gestire la complessità normativa senza penalizzare l’esperienza utente.

• Rilevamento degli injection attack: mentre i sistemi tradizionali si focalizzano solo sulla telecamera, Veridas protegge il flusso di dati per neutralizzare gli injection attack che tentano di sostituire l’identità con media sintetici.
• Precisione certificata: la tecnologia deve essere supportata da standard internazionali; le nostre soluzioni offrono performance leader nei test NIST (1:1 FRTE), garantendo che l’utente sia chi dice di essere con il minimo attrito.
  .
• Certificazione iBeta PAD (Livello 1 e 2): in un panorama di frodi industrializzate, la liveness detection è un requisito non negoziabile. Disponiamo delle certificazioni più rigorose (ISO 30107-3), e assicuriamo che il sistema distingua con precisione assoluta tra una persona reale e qualsiasi tentativo di contraffazione fisica o digitale.
• Compliance auditabile: permettiamo al KYC bancario di rispettare le normative globali come GDPR, PSD3 e AMLR, fornendo sistemi trasparenti e verificabili in linea con le aspettative delle autorità di vigilanza.

2. Autenticazione facciale per l’operatività transazionale

La sicurezza non può esaurirsi dopo la registrazione. L’identità presunta, basata su segnali di dispositivi non verificati, è una delle maggiori vulnerabilità del settore.

• Conferma dell’Identità: implementare l’autenticazione facciale per bonifici di importo elevato o cambi di credenziali assicura che chi opera sul conto sia la stessa persona verificata durante l’onboarding.
• Superamento dei metodi obsoleti: sil futuro del settore risiede nell’eliminazione di password o SMS (facilmente intercettabili), sostituendoli con prove di liveness e integrità del canale.
• Messa in sicurezza del dispositivo (Trusted Device): un pilastro che stiamo già implementando con successo in istituzioni leader come BBVA (specialmente in mercati come il Perù). L’obiettivo è rendere sicuri i pattern di sblocco nativi del dispositivo (Face ID, impronta o codice) legandoli direttamente a un’identità reale pre-verificata dalla banca. Il dispositivo diventa così un fattore di possesso affidabile e certificato.
• Fiducia riutilizzabile tramite Credenziali Verificabili: il vero salto di qualità consiste nell’eliminare la necessità di verificare costantemente l’utente. Veridas permette l’emissione di credenziali crittografiche che il cliente conserva nel proprio Identity Wallet (SSI). Si abilita così un’identità sovrana in cui l’utente controlla i propri dati, riducendo drasticamente le frizioni future e trasformando l’identità da centro di costo ad asset strategico.

Adattamento normativo e portata globale: la compliance come motore di business

Operare in un contesto finanziario globale richiede un’architettura che non solo comprenda, ma anticipi le specificità normative di ogni regione. Veridas offre una piattaforma di orchestrazione dell’identità progettata per mercati esigenti, permettendo agli enti finanziari di espandersi con la certezza di essere sempre allineati alle regolamentazioni.

La nostra rilevanza nel settore si basa su una presenza consolidata in aree geografiche chiave:

• Europa (Italia, Spagna, Portogallo, Germania, ecc.): garantiamo il pieno allineamento con il GDPR e le direttive PSD3/AMLR, con un’architettura pronta per eIDAS2. Abbiamo implementato soluzioni che rispettano i principi di proporzionalità e minimizzazione dei dati.
• Nord America (USA e Canada): la nostra tecnologia e allineata agli standard FinCEN e ai criteri di precisione del NIST.
• America Latina: vantiamo una comprovata esperienza nel rispetto delle normative CNBV in Messico e dei nascenti ecosistemi di Open Finance in Brasile e Colombia.

Innovazione tecnica: Riferimenti Biometrici Rinnovabili (RBR)

Uno dei nostri principali elementi distintivi è l’adozione degli standard ISO tramite l’uso di Riferimenti Biometrici Rinnovabili (RBR). A differenza dei sistemi tradizionali con modelli statici, i RBR permettono:

• • Revocabilità e Riemissione: Se un’identità viene compromessa, il riferimento può essere revocato e riemesso, similmente a come si gestisce una carta di credito, senza perdere la sicurezza del sistema.
  • Privacy by Design: Queste rappresentazioni sono specifiche per ogni scopo e non permettono il tracciamento dell’utente tra diversi contesti, eliminando rischi di sorveglianza di massa.
  • Governance dei Dati: Facilitano la proprietà dell’identità gestita dalle organizzazioni, garantendo che i dati siano sempre verificabili e proporzionali al rischio della transazione.

Infrastruttura critica e capacità di elaborazione massiva

La scalabilità tecnologica è il pilastro che permette a Veridas di accompagnare la crescita di istituzioni finanziarie con milioni di clienti.

• Performance in contesti con alta domanda: Siamo in grado di gestire volumi superiori ai 190.000 processi di verifica al giorno per un singolo cliente, raggiungendo traguardi di oltre 4 milioni di registrazioni mensili.
• Resilienza ai picchi operativi: I nostri sistemi sono pronti ad assorbire periodi di massima attività con picchi superiori alle 600 validazioni al minuto, processando più identità ogni secondo con precisione assoluta.
• Alta disponibilità e velocità: Grazie a un’infrastruttura cloud ottimizzata, un cittadino può completare la sua validazione con successo in meno di trenta secondi, senza necessità di intervento manuale.

La realtà come requisito non negoziabile del sistema

La “pandemia di frodi” alimentata dall’IA non è un fenomeno passeggero, ma un’evoluzione strutturale nell’economia dell’inganno. Per le istituzioni finanziarie, la sfida non risiede più solo nel rilevare falsificazioni sempre più sofisticate, ma nell’integrare la realtà come requisito tecnico centrale dei propri sistemi. La biometria, se progettata secondo principi di responsabilità e trasparenza, rimane lo strumento più robusto per provare l’identità di una persona reale senza aggiungere attrito.

Il futuro del banking non appartiene a chi accumula strumenti di difesa disconnessi, ma a chi adotta un’architettura di Identità Reale. Ciò implica passare da un’identità presunta, basata su segnali deboli del dispositivo, a un’identità certa, ancorata a fonti autorevoli e protetta end-to-end contro gli injection attack.

In un contesto dove “vedere non è più credere”, la capacità di verificare la presenza umana e l’integrità del canale in tempo reale segnerà la differenza tra fragilità e resilienza operativa. Per questo, istituzioni finanziarie leader a livello globale hanno già integrato la tecnologia di Veridas:

• Banche internazionali e locali: BBVA, CaixaBank, Banco BPM, Scotiabank, Sumitomo Mitsui Banking e Ameriabank.
• Fintech e Consumer Credit: IDFinance, Aplazame, Ford Credit, Sunstate Bank e Afirme.
• Inclusive e Servizi Finanziari: Financiera Confianza e Carrefour.

La tecnologia di Veridas non risponde solo alle minacce di oggi, ma pone le basi per un ecosistema finanziario dove l’identità è sovrana, verificabile e, soprattutto, reale.