Guida ai protocolli di verifica dell'identità: tutto ciò che serve alle aziende

Nella valutazione globale delle minacce di frode finanziaria condotta da InterPol, le perdite globali legate alle frodi finanziarie sono state stimate in 442 miliardi di dollari.  Per i team di conformità e gestione del rischio nei settori regolamentati, questa cifra solleva un interrogativo diretto: i protocolli di verifica dell'identità attualmente in vigore sono calibrati per contrastare la minaccia, oppure si tratta di un insieme di metodi senza una chiara correlazione con il rischio?

Questa guida illustra i tre principali framework di protocollo a cui le aziende si affidano, i requisiti di ciascuno e come sviluppare un approccio basato sul rischio che resista al vaglio normativo. Se il vostro team sta lavorando per conformarsi allo standard NIST 800-63, ai requisiti di due diligence rafforzata del FATF o a una tempistica di preparazione per eIDAS 2.0, questo è il punto di partenza pratico.

Che cos'è un protocollo di verifica dell'identità?

Un protocollo di verifica dell'identità è un insieme di regole definite che specificano quali prove un'organizzazione accetta, come le convalida e quale livello di sicurezza deve raggiungere la verifica prima che un utente possa procedere. Un metodo di verifica, come la scansione di un documento o un controllo biometrico, è una componente di un protocollo più ampio. In genere, una singola azienda esegue più protocolli in parallelo, ciascuno calibrato su un diverso livello di rischio del cliente.

I tre framework di protocollo su cui fanno affidamento le imprese

La maggior parte delle imprese regolamentate trae i propri requisiti da tre standard sovrapposti, in particolare NIST800-63, i livelli di due diligence del cliente basati sul rischio del FATF e eIDAS 2.0. Questi quadri normativi affrontano verifica dell'identità digitale da diverse angolazioni, ma i loro requisiti convergono a livelli di garanzia più elevati.

NIST 800-63 e livelli di garanzia dell'identità

NISTSP800-63A definisce tre livelli di garanzia dell'identità.

IAL1 consente l'identificazione remota autodichiarata con convalida di base delle prove e, facoltativamente, con dati biometrici. IAL2 innalza lo standard. Le prove devono essere convalidate rispetto a una fonte autorevole e il richiedente deve essere vincolato a tali prove tramite confronto biometrico o conferma postale. IAL3 impone la presenza fisica, la verifica in loco con presenza di un addetto e la raccolta di campioni biometrici da parte di un agente di verifica qualificato, ed è riservato agli scenari che richiedono la massima sicurezza.

Per i servizi finanziari e l'onboarding fintech, IAL2 rappresenta lo standard operativo di riferimento. Eventi ad alto rischio come il recupero di conti, trasferimenti di valore elevato o l'accesso ad asset soggetti a restrizioni richiedono in genere controlli equivalenti a IAL3, anche quando le autorità di regolamentazione locali non utilizzano direttamente la terminologia NIST.

Requisiti di verifica a livelli di rischio del GAFI

Migliori Raccomandazioni del GAFI richiedono un approccio basato sul rischio per la verifica della clientela. La verifica standard della clientela (CDD) prevede la conferma dell'identità tramite documenti o dati affidabili. Due Diligence migliorata La debita adeguata verifica (EDD) si applica quando il cliente o la transazione presentano un rischio elevato, tra cui persone politicamente esposte, pagamenti transfrontalieri di elevato valore, procedure di onboarding non in presenza in giurisdizioni ad alto rischio e strutture proprietarie complesse.

I requisiti dell'EDD vanno oltre la semplice conferma dell'identità di una persona. Il protocollo deve verificare la provenienza dei fondi, la titolarità effettiva fino al livello del titolare effettivo e l'esposizione politica, e richiede un monitoraggio continuo durante tutto il rapporto con il cliente. Negli Stati Uniti, il Regolamento definitivo FinCEN CDD codifica tali obblighi, rendendo obbligatoria la verifica dell'identità delle persone fisiche che detengono una quota di proprietà pari o superiore al 25% in qualsiasi persona giuridica cliente.

eIDAS 2.0 e il passaggio alle credenziali di identità digitali

Le imprese europee devono rispettare una scadenza rigida per la conformità. Entro dicembre 2027, le imprese dei settori bancario, energetico, sanitario, dell'istruzione e delle telecomunicazioni devono accettare Portafogli di identità digitale dell'UE quando gli utenti li presentano, secondo eIDAS 2.0. Tutti i 27 Stati membri sono tenuti a rendere disponibili i portafogli ai cittadini entro dicembre 2026.

Per i team di verifica dell'identità, ciò crea un'immediata esigenza di pianificazione del protocollo. Il portafoglio EUDI si qualifica come prova "SUPERARE" secondo il quadro di riferimento del NIST, il che significa che è crittograficamente verificabile, firmato dall'emittente e a prova di manomissione. I sistemi che lo accettano devono interrogare direttamente le caratteristiche di sicurezza digitale, non limitarsi a confrontare un documento fotografato.

Le aziende che attualmente utilizzano la verifica tramite caricamento di soli documenti per gli utenti europei si trovano ad affrontare il divario di preparazione più ampio. Un flusso di lavoro che gestisce passaporti e patenti di guida nel 2026 dovrà integrare la presentazione delle credenziali basata su wallet entro il 2027. Quelle che hanno già implementato Verifica dell'identità elettronica Grazie ai sistemi di database nazionali, come BankID, MitID e Singpass, le aziende sono in una posizione migliore per assorbire questo cambiamento senza dover ricostruire tutto da zero.

Come costruire un framework per un protocollo di verifica dell'identità basato sul rischio

Un framework di protocollo basato sul rischio assegna a ciascun segmento di clientela il livello di garanzia appropriato prima di qualsiasi verifica. Questo si differenzia dall'applicazione di un unico flusso standard a tutti gli utenti.

Mappare il rischio del cliente al livello di garanzia appropriato.

Il framework prevede almeno tre livelli di rischio per i clienti. I clienti standard, con bassi volumi di transazione e senza segnali di allarme, possono procedere con una verifica equivalente a IAL1, con convalida di base dei documenti. I clienti ad alto rischio, in particolare quelli operanti in settori soggetti a restrizioni, che effettuano transazioni al di sopra di determinate soglie o che provengono da giurisdizioni ad alto rischio, necessitano di controlli IAL2, tra cui la convalida degli attributi da fonti incrociate e l'autenticazione biometrica. I clienti ad alto rischio, inclusi i PEP (Personal Economic Personnel) e quelli con strutture UBO (Uniform Benefit Officer) complesse, richiedono un protocollo completo di due diligence rafforzata (EDD) con documentazione probatoria e monitoraggio continuo delle transazioni.

Il GAFI linee guida sull'identità digitale supporta esplicitamente questo approccio a più livelli, confermando che un sistema di identità digitale ben progettato può soddisfare i requisiti di garanzia AML/CFT quando il metodo di verifica corrisponde correttamente al risultato del rischio.

Personalizzazione del protocollo senza un team di sviluppo

Una preoccupazione comune quando si passa a un modello a livelli di rischio è il costo di ingegneria. Tre flussi di verifica separati per tre livelli di rischio storicamente significavano tre integrazioni separate. Il moderno no-code strumenti per il flusso di lavoro di verifica Consenti ai team di conformità di configurare la logica del protocollo per ogni livello di rischio, inclusi i requisiti dei documenti, le soglie biometriche, l'accettazione dello schema eID e i trigger per l'innalzamento del livello di rischio, senza modificare l'API sottostante. Le assegnazioni dei livelli di rischio si aggiornano in tempo reale al variare dei profili dei clienti, in modo che un cliente standard che supera una soglia di transazione attivi automaticamente il protocollo avanzato.

Quali errori commettono le aziende nella scelta dei protocolli di verifica dell'identità?

L'errore più comune è quello di confondere "metodo di verifica" e "protocollo di verifica". Un controllo biometrico è un metodo. Il protocollo definisce quando tale controllo è richiesto, quale standard di garanzia deve soddisfare e cosa accade in caso di fallimento della verifica.

Un secondo errore frequente consiste nel considerare la verifica iniziale di onboarding come l'intero protocollo. Le norme di due diligence della clientela (CDD) del GAFI e del FinCEN richiedono entrambe un monitoraggio continuo dopo l'onboarding, non solo una conferma di identità una tantum. Un'azienda con controlli di accesso rigorosi ma priva di un processo di revisione post-onboarding presenta una lacuna strutturale nel proprio protocollo.

Le imprese che entrano nel mercato UE sottovalutano anche i tempi di preparazione all'eIDAS 2.0. Dicembre 2027 è la scadenza per la conformità, ma i test di interoperabilità del wallet, l'integrazione tecnica e la formazione del personale richiedono tutti dei tempi di preparazione. Una revisione di come eIDAS2.0 sta rimodellando la verifica dell'identità Per le istituzioni finanziarie europee, questo significa evitare una corsa contro il tempo per adeguarsi alle nuove normative.

Le incongruenze di protocollo e l'applicazione incoerente dei protocolli di verifica dell'identità tra i diversi livelli di rischio dei clienti rappresentano una delle vie più dirette di esposizione normativa per le aziende che operano nei settori dei servizi finanziari, del fintech e del gioco d'azzardo. Shufti copre l'intero spettro dei protocolli, dai controlli passivi del database equivalenti a IAL1 e dalla verifica biometrica a oltre 30 schemi nazionali di identificazione elettronica per la conformità a eIDAS 2.0, tutti configurabili per livello di rischio tramite un'interfaccia senza codice. Richiedi una demo per mappare i segmenti di clientela al protocollo di verifica appropriato e visualizzare il flusso completo nei propri casi d'uso.