Verifica dell'identità vs. autenticazione: le principali differenze

Oggi le organizzazioni si trovano ad affrontare notevoli preoccupazioni in merito alle violazioni dei dati e al furto di identità. Quasi 15 milioni di record di dati sono stati esposti a livello globale ddurante il terzo trimestre del 2022. Questa cifra era aumentata del 37% in più rispetto al trimestre precedente poiché i criminali sono diventati più ingegnosi e hanno hanno trovato modi più efficaci per eludere i controlli di verifica. Inoltre, i truffatori hanno spostato la loro attenzione verso la compromissione delle aziende piuttosto che dei singoli individui, con l'obiettivo di ottenere l'accesso a dati riservati. Pertanto, la verifica dei clienti durante ogni interazione è diventata fondamentale per le aziende in quest'era digitale. Questo obiettivo si raggiunge combinando due approcci complementari: verifica dell'identità e autenticazione. 

Verifica vs. Autenticazione

Analizziamo le loro similitudini in base a tre aspetti chiave:

1. Obiettivo della valutazione dell'identità: La verifica mira a stabilire l'autenticità dei clienti utilizzando vari segnali per convalidarne l'identità. D'altra parte, autenticazione determina se ai clienti debba essere concesso l'accesso a specifici servizi o dati.
2. Natura dei dati raccolti: La verifica si concentra principalmente sulla transizione delle identità offline alle piattaforme online. Per raggiungere questo obiettivo, le aziende in genere esaminano i dati che verificano l'identità fisica di un individuo, come documenti d'identità rilasciati dal governo o selfie. Al contrario, l'autenticazione si concentra sulla dimostrazione delle identità e sulla garanzia di un'identificazione coerente dell'utente durante i tentativi di accesso. Questo metodo si basa su dati che potrebbero non corrispondere direttamente all'identità dell'utente, come password e codici di autenticazione a due fattori (2FA).

Approfondimento sulla verifica dell'identità

La verifica dell'identità si riferisce alla garanzia che un cliente sia chi dichiara di essere. Diverse organizzazioni possono impiegare diversi metodi di convalida. Ad esempio, un'azienda potrebbe richiedere agli utenti di fornire la data di nascita e il numero di previdenza sociale (SSN) durante la fase di onboarding, mentre un'altra potrebbe richiedere agli utenti di inviare una foto della patente di guida e di scattare un selfie per la conferma dell'identità. L'avvento di tecnologie sicure per l'acquisizione e l'elaborazione dei dati ha facilitato l'ascesa dell'online verifica dell'identità.

Metodi standard per verificare un individuo

Le aziende utilizzano una vasta gamma di indicatori, chiamati segnali, per autenticare le identità e verificare l'accuratezza delle dichiarazioni degli individui. 

Questi segnali comprendono diverse tipologie:

1. Segnali attivi: Questi segnali vengono forniti attivamente dall'individuo, e includono dati personali come nome, codice fiscale, documento d'identità rilasciato dal governo, autoscatto e documenti giustificativi.
2. Segnali passivi: I segnali passivi riguardano informazioni raccolte sull'individuo, come il suo indirizzo IP, le caratteristiche del dispositivo o l'impronta digitale del browser, che vengono raccolte senza la sua partecipazione attiva.
3. Segnali comportamentali: I segnali comportamentali comprendono indicatori legati al comportamento dell'utente, tra cui azioni come esitazioni, eventi di distrazione e l'utilizzo da parte di una persona di strumenti per sviluppatori, funzioni di copia/incolla o funzionalità di compilazione automatica.
4. Segnali di terze parti: Questi segnali derivano da elenchi ufficiali, come le watchlist, le segnalazioni negative da parte dei media, i rapporti sui rischi relativi all'utilizzo del telefono e gli elenchi delle persone politicamente esposte (PEP).

Diversi metodi di verifica dell'identità 

Le aziende hanno diverse opzioni tra cui scegliere quando prendono in considerazione le soluzioni di verifica dell'identità. Tra i metodi comunemente utilizzati verifica dell'identità sono:

1. Verifica dell'identità tramite documento governativo: Questo metodo prevede in genere che gli utenti carichino una foto di un documento d'identità rilasciato dal governo, come la patente di guida, il passaporto o altro documento valido, che viene poi sottoposto a verifica. Spesso, viene combinato con altre tecniche di verifica, tra cui controlli nei database e verifica tramite selfie.
2. Verifica dell'identità digitale: Con la crescente digitalizzazione dei documenti di identificazione, alcune aziende optano per il digitale Verifica IDCiò implica l'accettazione di patenti di guida mobili (MDL), passaporti elettronici e altri documenti d'identità dotati di tecnologia NFC (Near-field Communication). Questo approccio offre agli utenti maggiore flessibilità e semplifica il processo di verifica.
3. Verifica del documento: Verifica dei documenti Consente alle aziende di raccogliere documenti aggiuntivi oltre alle carte d'identità rilasciate dal governo. Questi documenti verificano diversi aspetti, come l'indirizzo di residenza, la storia lavorativa, il reddito e la documentazione aziendale.
4. Verifica del database: La verifica del database consente di confrontare le informazioni fornite dall'utente con database autorevoli, spesso gestiti da enti come il Dipartimento dei veicoli a motore (DMV) e l'Agenzia delle entrate (IRS).
5. Verifica selfie: La verifica tramite selfie richiede agli utenti di inviare uno o più selfie, che vengono successivamente confrontati con la foto presente sul documento d'identità rilasciato dal governo a scopo di autenticazione. Questo metodo viene solitamente utilizzato per contrastare il furto d'identità.

Il processo di verifica dell'identità 

Le aziende dovrebbero individuare i momenti cruciali che richiedono la verifica dell'identità, come la registrazione di un conto, i prelievi di fondi e le modifiche alle informazioni del conto.

• Agli utenti viene richiesto di fornire prove a supporto della propria identità.
• Le informazioni fornite vengono utilizzate dalle aziende per verificare l'autenticità delle dichiarazioni dell'individuo.
• Grazie a questi dati verificati, le aziende possono formulare giudizi e prendere decisioni ben ponderati, basati sulla valutazione del rischio.

Principali vantaggi della verifica automatizzata dell'identità

• Aumentare la fiducia dei clienti: L'implementazione di processi automatizzati di verifica dell'identità infonde fiducia nei clienti e nelle attività aziendali. Quando i clienti sanno che vengono effettuate verifiche approfondite per i nuovi account e le transazioni di valore elevato, percepiscono che l'azienda si impegna attivamente a minimizzare i rischi di frode. Questo, a sua volta, aumenta la loro fiducia nella sicurezza delle proprie informazioni personali e dei propri beni.
• Semplificare le procedure: Le soluzioni di verifica dell'identità digitale semplificano e velocizzano l'invio dei documenti da parte dei clienti. Attività che prima richiedevano giorni o mesi ora possono essere completate in pochi secondi, con conseguente miglioramento dei tassi di conversione e un'esperienza utente più fluida.
• Garantire la conformità normativa: Antiriciclaggio (AML) e Conosci il tuo cliente (KYCLe normative impongono alle aziende di verificare l'identità degli utenti. La mancata conformità può comportare sanzioni o multe salate, anche se involontaria. L'implementazione di processi completi di verifica dell'identità aiuta le aziende a rispettare gli obblighi normativi e a garantire la conformità ai requisiti.
• Ridurre il rischio di frode: Soluzioni di verifica affidabili aiutano le aziende a mitigare il rischio di furto d'identità e frode. Sfruttando soluzioni che incrociano i dati con fonti autorevoli, le aziende possono valutare efficacemente i potenziali rischi e prendere decisioni informate basate su informazioni accurate.

Esistono normative specifiche per la verifica dell'identità?

Non esiste uno standard di base per la verifica dell'identità che possa essere applicato universalmente. Tuttavia, i requisiti per la verifica dell'identità possono variare significativamente in base a diversi fattori, tra cui:

• Settore: Diversi settori sono soggetti a diverse leggi e regolamenti in materia di verifica dell'identità. Ad esempio, le società finanziarie e i marketplace online devono rispettare le normative KYC e AML regolamenti. Le agenzie federali e le aziende che collaborano con esse devono seguire le linee guida delineate nel rapporto speciale NIST 800-63-3, che definisce i requisiti di implementazione dell'IDV.
• Giurisdizione: Diverse giurisdizioni hanno leggi e regolamenti unici, che possono comprendere verifica dell'identità requisiti. Sebbene alcune norme possano presentare somiglianze tra stati o paesi, possono anche differire in modo significativo. Le aziende devono comprendere e rispettare le normative specifiche della giurisdizione in cui operano.
• Limiti d'età: Le aziende che vendono prodotti soggetti a restrizioni di età, tra cui alcolici, prodotti per adulti, tabacco, ecc., devono rispettare normative incentrate sulla verifica dell'età.
• Profili di rischio individuali: Tutte le imprese si trovano ad affrontare diversi tipi e livelli di rischio. Di conseguenza, questi profili di rischio sono fondamentali per determinare i metodi di verifica appropriati.

Comprendere nel dettaglio l'autenticazione dell'identità

L'autenticazione dell'identità determina se un utente è autorizzato a svolgere una determinata attività. Le aziende utilizzano quattro metodi principali per autenticare i clienti:

1. Le password: Nonostante le discussioni sulla loro obsolescenza, le password sono ampiamente utilizzate. Gli indirizzi email combinati con le password vengono utilizzati per l'autenticazione a singolo fattore.
2. Autenticazione a due fattori (2FA): L'autenticazione a due fattori (2FA) offre un ulteriore livello di autenticazione. Questo di solito comporta un codice univoco generato e inviato tramite SMS quando un utente tenta di accedere. Gli individui devono fornire il proprio nome utente, password e 2FA codice per ottenere l'accesso.
3. Autenticazione basata sulla conoscenza (KBA): L'autenticazione basata sulla conoscenza (KBA) richiede agli utenti di rispondere a domande "segrete" create durante la configurazione iniziale dell'account. Viene solitamente utilizzata in combinazione con diversi metodi di autenticazione. Le domande tipiche riguardano dettagli come il nome dell'animale domestico o il cognome da nubile della madre. Le risposte ideali alla KBA sono facili da ricordare per l'utente, ma difficili da indovinare per gli altri.
4. Biometrica: Autenticazione biometrica Verifica l'identità di un utente tramite caratteristiche fisiche uniche, come le impronte digitali, per consentirgli di sbloccare un laptop o un telefono. 

Quale valore aggiunto offre l'autenticazione alle aziende?

Le aziende possono mitigare i rischi associati al furto di identità e all'acquisizione non autorizzata di account confrontando i dati forniti con le informazioni iniziali utilizzate durante l'apertura dell'account. Inoltre, i processi di autenticazione contribuiscono a un'esperienza cliente semplificata, consentendo loro di accedere agli account o effettuare transazioni senza intoppi, mantenendo al contempo la sicurezza. Ad esempio, il Single Sign-On (SSO) permette agli utenti di memorizzare un unico set di credenziali per accedere a diversi account. Procedure di autenticazione solide possono migliorare la soddisfazione del cliente, riducendo la probabilità che quest'ultimo si rivolga ad aziende alternative per transazioni critiche.

In che modo Shufti Pro può esserti d'aiuto?

Shufti Pro offre un sistema basato sull'intelligenza artificiale Soluzione di verifica dell'identità Operiamo in oltre 230 paesi e territori e supportiamo più di 150 lingue. La nostra solida soluzione di verifica dell'identità (IDV) verifica le identità in pochi secondi e aiuta le aziende a conformarsi alle normative KYC e AML.

Hai ancora dubbi su come una soluzione di verifica dell'identità tenga lontani i truffatori?