Internet banking: i sistemi di autenticazione delle banche

L’ANSSAIF, (Associazione Nazionale Specialisti di Sicurezza in Aziende di Intermediazione Finanziaria), ha portato a termine un progetto di indagine sui sistemi di autenticazione offerti dalle banche per l’accesso all’Internet Banking, con l’obiettivo di individuare un nuovo modello di accesso ai servizi finanziari (bancari) che tenga conto del cambiamento dei consumi e delle nuove tecnologie.

Il progetto rientra nella “mission” dell’associazione che vuole creare nelle persone (ed in primis negli studenti) la consapevolezza dell’importanza della Sicurezza, come misura di prevenzione e, non ultimo, di gestione di eventi anche imprevisti.

Il progetto si è sviluppato in due fasi:

1. l’analisi critica dei sistemi di autenticazione attualmente disponibili sul mercato su un campione di banche: ciò con il coinvolgimento dei ragazzi dell’ELIS college;
2. la raccolta del parere da parte di un panel di utenti, sia tramite web che mediante interviste telefoniche.

Executive summary delle risultanze

Se da più parti si auspica l’adozione di sistemi di autenticazione più avanzati che non vincolino il cliente all’uso delle password e dei PIN, e al possesso di un token, ma che permettano l’uso di ciò che uno ha sempre con sé: impronte digitali, volto, voce, firma, ecc.,  dall’altro non si può trascurare che l’indagine ha evidenziato che praticamente la totalità dei rispondenti si è detta soddisfatta delle misure di sicurezza offerte (ben il 42% ha giudicato il sistema come “altamente affidabile”).

Ma ciò che l’indagine ha evidenziato è che l’offerta delle banche è notevolmente differenziata. Addirittura, è emerso che non tutte le banche obbligano il cliente ad utilizzare strumenti e prassi oramai consolidate (Sms, Otp, ecc.).

Infatti, l’utente, comunque soddisfatto della sicurezza, quando gli è stato chiesto di dare dei suggerimenti, ha indicato che vi sarebbe la necessità di: migliorare l’assistenza, avere a disposizione misure di sicurezza già offerte da altri intermediari, una maggiore disponibilità del servizio (7/24).

Stesse considerazione anche espresse dagli studenti dell’ELIS che hanno seguito l’indagine.

Interessanti anche i suggerimenti forniti dagli utenti sotto il profilo delle funzionalità: da una migliore interfaccia, più intuitiva, più semplice, alla necessità di alcune funzionalità aggiuntive per la gestione dei propri dati contabili. Non ultima, l’assistenza nell’utilizzo di funzionalità non intuitive.

Cosa è emerso dall’analisi dell’offerta e dall’indagine

Le attività di cui al punto a) precedente (analisi dell’offerta) sono state proposte da ANSSAIF all’ELIS College (Scuola di specializzazione in tecnologie informatiche, multimediali e operations) chiedendo loro di valutare l’attuale offerta di accesso all’Internet Banking ripensandola rispetto alle aspettative delle attuali e delle prossime generazioni.

La fase di analisi si è svolta su un campione di 20 realtà, divise tra banche e gruppi bancari, a loro volta suddivisi rispetto a differenti caratteristiche. Il panel è stato scelto prendendo le prime banche per capitalizzazione a livello mondiale e quindi europeo e si sono aggiunte le sei banche italiane più attive nell’online banking nel 2014.

Gli studenti, organizzati in quattro gruppi per sviluppare l’argomento specifico di competenza, dopo aver ascoltato alcuni ex dirigenti di banca, che li hanno introdotti in modo chiaro e sintetico sulle funzionalità prevalentemente usate dai clienti per uso personale e professionale (tralasciando di soffermarsi su funzioni molto complesse), hanno analizzato le offerte delle banche del campione ed hanno suggerito un modello ideale.

Le risultanze dei lavori dei gruppi sono state portate all’attenzione di una autorevole e competente multidisciplinare giuria (professionisti e manager operanti in diversificate realtà aziendali), anche per la scelta del lavoro migliore, e come si potrà notare dalla sintesi delle conclusioni del gruppo scelto dalla giuria, che molto pragmaticamente hanno suggerito che intanto si debba  uniformare l’offerta da parte delle banche in quanto vi è una sostanziale difformità, anche sulle misure di sicurezza adottate.

Conclusioni raggiunte dal gruppo vincitore della “challenge”, contrassegnato dal numero 3.

Questi sono i principi secondo i quali, debba essere ideato il portale home banking di una banca:

• Sicurezza
• Velocità
• Innovazione
• Immediatezza nella comprensione dei serviti offerti
• Semplicità dell’interfaccia grafica e struttura lineare del sito
• Reperibilità assistenza clienti

In particolare:

1. Sicurezza:
   1. Username diverso da nome o email;
   2. Connessione con SSL a 2048 bit;

• Invio sms con codice autorizzazione operazione;

1. Sms per accesso e avvenuta transazione a seguito di un operazione;
2. Mail di report mensile

2. Velocità, Immediatezza nella comprensione dei servizi offerti:
   • Un altro elemento di fondamentale importanza nel gradimento di un portale di home banking è la velocità percepita dall’utente nel trovare le funzionalità richieste, e una volta trovate, nell’eseguire le operazioni. Infatti molti siti presentano una discutibile disposizione dei servizi offerti, molte volte raggruppati secondo logiche molto laboriose e che richiedono una conoscenza avanzata del settore bancario.

3. Reperibilità assistenza clienti:
   • è opinione del gruppo che tutta l’architettura informatica non viene percepita come sicura da parte del cliente fin quando ad essa non viene associata una solida struttura di assistenza clienti. Pertanto si suggerisce:
   • Chat istantanea;
   • Call center Always-on;
   • Assistente virtuale con poche funzioni accessibili rapidamente;
   • Piattaforma e-learning, composta principalmente da video tutorial;

4. Interfaccia grafica:
   • Tutte queste soluzioni tecnologiche ed architetturali, devono essere integrate con un’interfaccia grafica semplice veloce e soprattutto intuitiva.

Dal dibattito scaturito tra i membri della giuria, dopo la presentazione dei lavori, è stato anche segnalato che:

• deve esservi il modo per assicurare il cliente che sta operando effettivamente sul sito della banca e non su un altro (“chi mi assicura che sto interloquendo con la mia banca?” ha detto un ragazzo, visti i recenti attacchi “man in the middle”...?);
• Perché non mettere a disposizione, nel menu di accoglienza, le funzionalità più richieste dal cliente? Molti, in effetti, tendono a ripetere sempre le stesse operazioni.
• Riportare oltre alla data ed ora dell’ultimo accesso al sito, anche da quale località / IP ciò è avvenuto.

L’indagine

Sono state poste diverse domande tese a comprendere come il cliente giudica il sistema offerto dalla banca sia dal punto di vista della sicurezza, sia delle funzionalità.

In estrema sintesi i risultati:

1. Domanda: come giudica il sistema di sicurezza offertole dalla banca? Il 99% ha approvato quanto offerto: il 42% ha risposto che è ottimo e il 57% che è buono / sicuro.
2. Domanda: quali sono i punti di forza del sistema di sicurezza che le è stato offerto? (Più risposte ammesse): l’80% ha dichiarato che piace la sicurezza offerta, il 21% che la documentazione fornita è assai esauriente/rassicurante, il 16% ha dato diverse motivazioni (OTP, SMS di conferma e/o di accesso, eccetera).
3. Domanda: se dovesse suggerire dei miglioramenti alla sicurezza nel suo complesso, cosa direbbe? Il 96% ha fornito delle indicazioni facendo emergere che molte banche, o non hanno adottato quanto ad oggi già offerto dalle altre, o hanno altre carenze che hanno un impatto sulla sicurezza.
4. Domanda: sotto il profilo del funzionamento, come giudica il servizio? Il 50% ha risposto ottimo, il 44% buono. Solo il 6% ha dichiarato che lo giudica sufficiente (molti si sono lamentati per le frequenti indisponibilità del servizio, la presentazione dei menu non intuitiva e a volte tendente a confondere l’utente non esperto, ecc.).
5. Domanda: cosa dovrebbe migliorare sotto il profilo del funzionamento? Il 97% ha fornito delle indicazioni che in larga maggioranza erano commenti a favore (49%); chi ha indicato cosa migliorare ha scritto:

• – maggiori funzionalità, più dati storici, tempestivo adeguamento alle variazioni legislative (22%),
• – migliori prestazioni, maggiore velocità di risposta (11%),
• – una migliore interfaccia (11%), maggiore tempo di disponibilità (7%).

Per quanto riguarda le maggiori funzionalità le risposte possono essere così raggruppate: una interfaccia più intuitiva, maggiore disponibilità di dati storici e funzionalità grafiche, separare le funzioni più usate dalle altre, evitare frequenti cambiamenti nella presentazione (look).