1 ottobre 2025

I processi di recupero degli account rappresentano spesso uno degli anelli più deboli della sicurezza digitale. Mentre le organizzazioni investono molto nella protezione dei flussi di autenticazione primari, i meccanismi di recupero si affidano spesso a metodi che si sono dimostrati facilmente compromessi e che i criminali sfruttano attivamente:

  • Domande di sicurezza che possono essere ricercate attraverso i social media
  • Codici SMS vulnerabili allo scambio di SIM
  • Processi di recupero delle e-mail che presuppongono la presenza di account e dispositivi non compromessi.

I tentativi di acquisizione dei conti I tentativi di acquisizione dei conti sono sempre più mirati ai flussi di recupero come percorso di minor resistenza. I clienti delle banche spesso rinunciano a processi di recupero complessi, facendo lievitare i costi di assistenza, in quanto le organizzazioni gestiscono gli interventi manuali.

Questo blog analizza il modo in cui la biometria basata sulla scienza può rendere veramente sicuri i processi di recupero degli account e facile da usare. Utilizzando un caso di studio della Banca Raiffeisen, metteremo in evidenza quanto possa essere semplice consentire agli utenti autentici di recuperare i conti senza fatica, tenendo fuori i truffatori.

La crisi del recupero dei conti: Un caso di studio del mondo reale con la Banca Raiffeisen

Raiffeisen Bank, un cliente iProov con sede nella Repubblica Ceca, serve oltre 1,2 milioni di utenti attivi mensili di mobile banking nella Repubblica Ceca. La banca si trovava ad affrontare una realtà operativa sconcertante: circa 50.000 clienti dovevano riattivare il loro mobile banking ogni mese, pari al 4% dell'intera base clienti.

Inizialmente, il processo di recupero sembrava solido. I clienti dovevano accedere all'internet banking tramite SMS OTP, inserire un PIN e attivare il mobile banking sul nuovo dispositivo. Il processo sembrava sicuro e conveniente, finché i criminali non hanno sfruttato sistematicamente la sua debolezza fondamentale.

I truffatori hanno lanciato sofisticate campagne di social engineering, spacciandosi per funzionari di banca e polizia per convincere i clienti a fornire l'accesso all'internet banking. In seguito attivavano il mobile banking in remoto sul dispositivo dell'aggressore, consentendo l'accesso diretto al conto e il furto di fondi.

La prima contromisura di Raiffeisen è stata l'aggiunta di schermate di avviso esplicite che chiedevano ai clienti di confermare che volevano davvero attivare il mobile banking. La protezione è durata esattamente un mese prima che i criminali adattassero i loro script per superare l'esitazione dei clienti.

Gli attacchi sono diventati così gravi che Raiffeisen ha disabilitato completamente l'attivazione dell'internet banking a distanza nell'ottobre 2022, costringendo tutti i clienti che necessitavano di una riattivazione a recarsi presso le filiali fisiche - una soluzione dolorosa che ha creato enormi tensioni operative e frustrazione nei clienti.

Perché i metodi di recupero tradizionali falliscono

La situazione di Raiffeisen ha messo in luce le vulnerabilità ricorrenti negli approcci tradizionali al recupero dei conti. I metodi tradizionali condividono un difetto critico: autenticano l'accesso a vari fattori di possesso o di conoscenza piuttosto che verificare la presenza e l'identità autentica della persona.

La biometria nativa dei dispositivi crea un ulteriore problema spesso frainteso dai team di sicurezza. Come Dominic Forrest, CTO di iProov, ha scoperto che la figlia adolescente quando sua figlia adolescente ha registrato l'impronta digitale sul suo telefono utilizzando il PIN noto: "Ciò che si sta realmente dimostrando non è la biometria, ma la prova della conoscenza del codice di sblocco del telefono in un determinato momento".

Risultati della trasformazione di Raiffeisen

Lavorare con lo specialista di onboarding del mobile banking, Wultrae con iProov, il miglior fornitore di liveness, Raiffeisen ha sviluppato un processo di riattivazione completo che convalida la persona attraverso più livelli, formando 5 fasi fondamentali di IDV:

  1. Identificazione iniziale del cliente (numero cliente e data di nascita)
  2. SMS OTP per il blocco delle richieste
  3. Verifica dei documenti che richiede la scansione della carta d'identità più il passaporto o la patente di guida
  4. Rilevamento Facial Dynamic Liveness™ per garantire la presenza autentica, confrontando l'utente dal vivo con le foto dei documenti
  5. SMS OTP finale combinato con un token di verifica biometrica per la conformità normativa

Si veda il diagramma di flusso del processo "semplificato" riportato di seguito:

Immagine 01 10 2025 alle 15.34

L'intero processo è remoto e si completa in circa 80 secondi, e può essere eseguito immediatamente quando i clienti devono effettuare il binding di nuovi dispositivi.

La risposta sta nel creare fiducia nella persona piuttosto che nel dispositivo o in qualcosa che essa possa "conoscere". Verifica facciale basata sulla scienza, supportata da Dynamic Liveness e tecnologia Flashmark™, fornisce una conferma autentica della presenza, rispondendo a tre requisiti fondamentali: persona giusta, persona reale, in questo momento.

Tutto questo è supportato dal rilevamento dinamico delle minacce di iProov attraverso il nostro Security Operations Center (iSOC) che monitora continuamente il traffico alla ricerca di attacchi e implementa oltre 120 aggiornamenti all'anno senza alcuna interruzione per il cliente, fornendo una sicurezza in continua evoluzione.

I risultati mostrano significativi miglioramenti operativi e di sicurezza:

Miglioramento della sicurezza:

  • Tasso di successo del 97-98% per i clienti legittimi che completano la verifica biometrica
  • Un processo resistente al phishing, che non può essere completato da remoto da aggressori con credenziali compromesse.
  • Protezione contro entrambi i tipi di attacchi di iniezione digitale e attacchi di presentazione fisica

Efficienza operativa:

  • 25.000 utenti al mese completano con successo i trasferimenti di attivazione da dispositivo a dispositivo
  • 10.000-12.000 utenti mensili completano la riattivazione completa dei documenti e dei dati biometrici
  • Riduzione drastica delle visite in filiale a scopo di attivazione

L'efficacia della soluzione va oltre i vantaggi immediati in termini di sicurezza. L'infrastruttura biometrica consente ulteriori casi d'uso, tra cui l'autenticazione delle transazioni per attività di alto valore come le richieste di prestito, autenticazione step-up per le attività sospette e un onboarding digitale migliorato per i nuovi clienti.

L'imperativo strategico

Il passaggio da un'autenticazione centrata sul dispositivo a una centrata sulla persona non è facoltativo, ma essenziale. Poiché la tecnologia deepfake diventa sempre più accessibile e i metodi di recupero tradizionali devono affrontare attacchi sofisticati, la verifica biometrica basata sulla scienza rappresenta l'unica difesa scalabile.

Il viaggio di Raiffeisen dalle visite forzate in filiale al recupero remoto sicuro e self-service dimostra che la sicurezza e l'esperienza dell'utente possono allinearsi anziché competere. Con 50.000 clienti al mese che necessitano di riattivazione, era necessaria una soluzione che funzionasse su scala senza compromettere la sicurezza.

I criminali si sono già adattati a sfruttare le vulnerabilità dei processi di recupero. La questione non è se gli attacchi sofisticati prenderanno di mira la vostra organizzazione, ma se le vostre difese si dimostreranno adeguate quando lo faranno.

Non sei riuscito ad andare ad Amsterdam? Raiffeisen Bank e iProov hanno appena presentato il loro progetto per la sicurezza biometrica di nuova generazione all'Identity Management Europe 2025. Condivideremo qui il resoconto completo. Nell'attesa, scopri come è nata questa partnership: guarda subito la nostra precedente conversazione sulla trasformazione della sicurezza bancaria nell'era digitale.

Schermata 2025 10 01 alle 15.44.23
Indice dei contenuti

Continua a leggere