1 ottobre 2025

I processi di recupero degli account rappresentano spesso uno degli anelli più deboli della sicurezza digitale. Mentre le organizzazioni investono molto nella protezione dei flussi di autenticazione primari, i meccanismi di recupero si affidano spesso a metodi che si sono dimostrati facilmente compromessi e che i criminali sfruttano attivamente:

  • Domande di sicurezza che possono essere ricercate attraverso i social media
  • Codici SMS vulnerabili allo scambio di SIM
  • Processi di recupero delle e-mail che presuppongono la presenza di account e dispositivi non compromessi.

I tentativi di acquisizione dei conti I tentativi di acquisizione dei conti sono sempre più mirati ai flussi di recupero come percorso di minor resistenza. I clienti delle banche spesso rinunciano a processi di recupero complessi, facendo lievitare i costi di assistenza, in quanto le organizzazioni gestiscono gli interventi manuali.

Questo blog analizza il modo in cui la biometria basata sulla scienza può rendere veramente sicuri i processi di recupero degli account e facile da usare. Utilizzando un caso di studio della Banca Raiffeisen, metteremo in evidenza quanto possa essere semplice consentire agli utenti autentici di recuperare i conti senza fatica, tenendo fuori i truffatori.

La crisi del recupero dei conti: Un caso di studio del mondo reale con la Banca Raiffeisen

Raiffeisen Bank, un cliente iProov con sede nella Repubblica Ceca, serve oltre 1,2 milioni di utenti attivi mensili di mobile banking nella Repubblica Ceca. La banca si è trovata di fronte a una realtà operativa sconcertante: ogni mese circa 50.000 clienti dovevano riattivare il loro mobile banking - il 4% dell'intera base clienti.

Inizialmente, il processo di recupero sembrava solido. I clienti dovevano accedere all'internet banking tramite SMS OTP, inserire un PIN e attivare il mobile banking sul nuovo dispositivo. Il processo sembrava sicuro e conveniente, finché i criminali non hanno sfruttato sistematicamente la sua debolezza fondamentale.

I truffatori hanno lanciato sofisticate campagne di social engineering, spacciandosi per funzionari di banca e polizia per convincere i clienti a fornire l'accesso all'internet banking. In seguito attivavano il mobile banking in remoto sul dispositivo dell'aggressore, consentendo l'accesso diretto al conto e il furto di fondi.

La prima contromisura di Raiffeisen è stata l'aggiunta di schermate di avviso esplicite che chiedevano ai clienti di confermare che volevano davvero attivare il mobile banking. La protezione è durata esattamente un mese prima che i criminali adattassero i loro script per superare l'esitazione dei clienti.

Gli attacchi sono diventati così gravi che Raiffeisen ha disabilitato completamente l'attivazione dell'internet banking a distanza nell'ottobre 2022, costringendo tutti i clienti che necessitavano di una riattivazione a recarsi presso le filiali fisiche - una soluzione dolorosa che ha creato enormi tensioni operative e frustrazione nei clienti.

Perché i metodi di recupero tradizionali falliscono

La situazione di Raiffeisen ha messo in luce le vulnerabilità ricorrenti negli approcci tradizionali al recupero dei conti. I metodi tradizionali condividono un difetto critico: autenticano l'accesso a vari fattori di possesso o di conoscenza piuttosto che verificare la presenza e l'identità autentica della persona.

La biometria nativa dei dispositivi crea un ulteriore problema spesso frainteso dai team di sicurezza. Come Dominic Forrest, CTO di iProov, ha scoperto che la figlia adolescente quando sua figlia adolescente ha registrato l'impronta digitale sul suo telefono utilizzando il PIN noto: "Ciò che si sta realmente dimostrando non è la biometria, ma la prova della conoscenza del codice di sblocco del telefono in un determinato momento".

Risultati della trasformazione di Raiffeisen

Lavorare con lo specialista di onboarding del mobile banking, Wultrae con iProov, il miglior fornitore di liveness, Raiffeisen ha sviluppato un processo di riattivazione completo che convalida la persona attraverso più livelli, formando 5 fasi fondamentali di IDV:

  1. Identificazione iniziale del cliente (numero cliente e data di nascita)
  2. SMS OTP per il blocco delle richieste
  3. Verifica dei documenti che richiede la scansione della carta d'identità più il passaporto o la patente di guida
  4. Rilevamento dinamico della presenza facciale per garantire una presenza autentica, confrontando l'utente in carne e ossa con le foto del documento
  5. SMS OTP finale combinato con token di verifica biometrica per la conformità normativa

Si veda il diagramma di flusso del processo "semplificato" riportato di seguito:

Immagine 01 10 2025 alle 15.34

L'intero processo è remoto e si completa in circa 80 secondi, e può essere eseguito immediatamente quando i clienti devono effettuare il binding di nuovi dispositivi.

La risposta sta nel creare fiducia nella persona piuttosto che nel dispositivo o in qualcosa che potrebbe "conoscere". La verifica facciale basata sulla scienza, sostenuta da Dinamicità e tecnologia Flashmarkfornisce un'autentica conferma di presenza, rispondendo a tre requisiti fondamentali: persona giusta, persona reale, ora.

Il tutto è supportato dal rilevamento dinamico delle minacce di iProov tramite Centro operativo per la sicurezza (iSOC) di iProov) che monitora continuamente il traffico alla ricerca di attacchi e distribuisce oltre 120 aggiornamenti all'anno senza alcuna interruzione per il cliente, garantendo una sicurezza in continua evoluzione.

I risultati mostrano significativi miglioramenti operativi e di sicurezza:

Miglioramento della sicurezza:

  • Tasso di successo del 97-98% per i clienti legittimi che completano la verifica biometrica
  • Un processo resistente al phishing, che non può essere completato da remoto da aggressori con credenziali compromesse.
  • Protezione contro entrambi i tipi di attacchi di iniezione digitale e attacchi di presentazione fisica

Efficienza operativa:

  • 25.000 utenti al mese completano con successo i trasferimenti di attivazione da dispositivo a dispositivo
  • 10.000-12.000 utenti mensili completano la riattivazione completa dei documenti e dei dati biometrici
  • Riduzione drastica delle visite in filiale a scopo di attivazione

L'efficacia della soluzione va oltre i vantaggi immediati in termini di sicurezza. L'infrastruttura biometrica consente ulteriori casi d'uso, tra cui l'autenticazione delle transazioni per attività di alto valore come le richieste di prestito, autenticazione step-up per le attività sospette e un onboarding digitale migliorato per i nuovi clienti.

L'imperativo strategico

Il passaggio da un'autenticazione centrata sul dispositivo a una centrata sulla persona non è facoltativo, ma essenziale. Poiché la tecnologia deepfake diventa sempre più accessibile e i metodi di recupero tradizionali devono affrontare attacchi sofisticati, la verifica biometrica basata sulla scienza rappresenta l'unica difesa scalabile.

Il viaggio di Raiffeisen dalle visite forzate in filiale al recupero remoto sicuro e self-service dimostra che la sicurezza e l'esperienza dell'utente possono allinearsi anziché competere. Con 50.000 clienti al mese che necessitano di riattivazione, era necessaria una soluzione che funzionasse su scala senza compromettere la sicurezza.

I criminali si sono già adattati a sfruttare le vulnerabilità dei processi di recupero. La questione non è se gli attacchi sofisticati prenderanno di mira la vostra organizzazione, ma se le vostre difese si dimostreranno adeguate quando lo faranno.

Non siete riusciti a venire ad Amsterdam? Raiffeisen Bank e iProov hanno appena rivelato il loro progetto per la sicurezza biometrica di prossima generazione all'Identity Management Europe 2025. Condivideremoqui ilriassunto completo di . Nell'attesa, scoprite come è nata questa partnership: guardate ora la nostra precedente conversazione sulla trasformazione della sicurezza bancaria nell'era digitale.