Hai subito una frode e non lo sai: con questa frase provocatoria Miguel Angel Adan, Digital Identity Expert di Veridas, ha aperto il suo intervento all’Identity and Business Day di Milano, mettendo subito a fuoco la gravità della situazione.

Viviamo nell’era dei deepfake e delle voci sintetiche e l’integrità dell’identità digitale è minacciata su più fronti.

Nel mirino ci sono, in particolare, gli utenti dei servizi bancari.

L’Identity and Business Day organizzato da Veridas e Sopra Steria ha messo in luce come il settore bancario si trovi a fronteggiare quella che potrebbe essere definita la “tempesta perfetta”: da un lato, la democratizzazione dell’AI generativa ha reso gli attacchi alle identità digitali sempre più accessibili e sofisticati; dall’altro, le aspettative dei clienti, che richiedono esperienze digitali sempre più fluide e rilevanti, sono sempre più sofisticate.

Il pericolo è l’abbandono del processo di onboarding, con la conseguenza di perdere – a volte per sempre – un nuovo cliente.

La risposta non può essere unidimensionale. Serve, piuttosto, un approccio ecosistemico capace di integrare tecnologie biometriche avanzate, AI per la detection, partnership strategiche con provider specializzati e, soprattutto, un cambio culturale che veda nella compliance non un ostacolo ma piuttosto un’opportunità di differenziazione competitiva.

Come ha efficacemente sintetizzato Andrea Di Filippo, Direttore Financial Services & Insurance di Sopra Steria Italy, serve “investire nella revisione dei processi, formalizzare e tracciare i rilievi, puntare sulla semplicità d’uso. Solo così si può chiudere la porta ai malintenzionati senza compromettere l’esperienza del cliente”.

Il nuovo volto della frode: identità sintetiche e injection attack

I numeri presentati durante l’evento sono eloquenti e preoccupanti al tempo stesso. Il 93% delle frodi è legato all’identità, ma è la natura stessa degli attacchi a essere cambiata radicalmente.

Non si tratta più solo di furto di credenziali: siamo nell’era delle identità sintetiche, create assemblando elementi reali presi da profili social diversi.

Durante una dimostrazione pratica, Adan ha mostrato quanto sia semplice realizzare un account fake da zero: “È possibile realizzare l’immagine di un volto unendo due foto profilo di LinkedIn o Facebook per creare in pochi secondi un’identità falsa”, ha spiegato, completando un intero processo di onboarding fraudolento in pochi minuti sovrapponendo l’identità sintetica creata sulla propria faccia.

“Le soluzioni di verifica delle identità tradizionali non sono in grado di rilevare questi attacchi”, mette in guardia lo specialista. Il dato emerge con chiarezza, visto che circa “il 3% di tutti i processi digitali di registrazione dei clienti nel banking è già affetto da injection attack avanzati in cui, tramite una camera virtuale o un emulatore, i truffatori inseriscono dati sintetici o manipolati direttamente nel sistema. E, di questi, il 30% è rappresentato da attacchi in cui vengono create addirittura identità multiple”.

La tecnologia dei Renewable Biometric References (RBR)

Per contrastare i rischi legati alla compromissione dei dati biometrici si diffondono soluzioni innovative come i Renewable Biometric References (RBR) – rappresentazioni matematiche astratte dei tratti biometrici di una persona che non memorizzano dati diretti.

Arianna Valente, Sales Director Italy di Veridas, ha illustrato alla platea i benefici di questa tecnologia di ultima generazione basata sull’AI. “A differenza dei template biometrici tradizionali, che archiviano rappresentazioni fisse delle caratteristiche facciali e diventano permanentemente compromessi in caso di violazione, gli RBR sono dinamici e si adattano al contesto in cui vengono utilizzati, analizzando tra le 500 e le 600 caratteristiche distintive di una persona”.

I vantaggi degli RBR risiedono nelle loro caratteristiche distintive: generano riferimenti distinti per lo stesso volto attraverso sistemi diversi rendendo impossibile la ricostruzione del volto originale, sono specifici per il sistema che li ha generati e possono essere facilmente revocati e sostituiti se compromessi.

Nel contesto bancario, dove gli attacchi deepfake stanno proliferando, gli RBR rappresentano una tecnica di difesa fondamentale. Anche se un malintenzionato riuscisse a clonare perfettamente un volto, il riferimento biometrico rinnovabile potrebbe essere immediatamente invalidato e rigenerato, lasciando l’attaccante senza alcun accesso permanente al sistema.

Il dilemma dell’onboarding nell’identità digitale: sicurezza vs Customer Experience

Secondo i dati del report “Digital Banking Experience 2025” di Sopra Steria, il 73% dei clienti ha utilizzato l’online banking negli ultimi 12 mesi e il 64% prevede di aumentarne l’utilizzo.

Ma questa spinta alla digitalizzazione si scontra con le preoccupazioni sulla sicurezza: solo il 54% dei consumatori italiani ripone piena fiducia nelle banche per la protezione dei propri dati.

Questa discrepanza tra domanda di servizi digitali in crescita e aspettative di maggior sicurezza crea un campo minato per gli istituti di credito, chiamati a misurarsi sulla ricerca di un equilibrio instabile e delicato.

Andrea Di Filippo, Direttore Financial Services & Insurance di Sopra Steria Italy, ha identificato tre tipologie di approccio all’onboarding digitale: “C’è il processo guidato dalla compliance, che penalizza la Customer Experience. C’è, poi, il processo guidato dalla tecnologia, che penalizza la sicurezza e c’è un compromesso intermedio a cui dobbiamo tendere. Registrazione e caricamento documenti sono gli elementi che tipicamente degradano la CX. Il 73% dei clienti abbandona il processo proprio in questa fase”. Il monito è chiaro: “Non penalizzare la Customer Experience per essere sicuri, ma non degradare la sicurezza per garantire una CX eccellente”.

Gestione dell’identità digitale nel banking: lo scenario italiano

Giulio Murri, Responsabile della Ricerca e Coordinatore Digital Transformation di ABI Lab, illustrando i dati dell’Osservatorio Digital Banking di ABI Lab ha tratteggiato il ritratto del banking italiano come di un settore in rapida evoluzione. Il tasso di digitalizzazione dei clienti è passato dal 55,2% del 2020 al 65,7% del 2024, trainato soprattutto dal mobile banking che è cresciuto del 129% dal 2018 al 2024.

“Il digital onboarding è ormai adottato dal 78% delle banche, con l’83% che lo offre tramite sito web e il 44% tramite app. Le modalità più utilizzate per la verifica dell’identità sono SPID, videoselfie/video captcha e videochiamata con operatore. Questo servizio sta diventando sempre più una commodity ma cresce il livello di sofisticatezza rispetto alle tecnologie di identificazione, per rendere l’esperienza utente più fluida e accessibile così da garantire quel fattore wow che tutti i clienti oggi pretendono, anche nel banking”, ha osservato Murri.

Normativa UE sull’identità digitale: la compliance come opportunità

In questo scenario di minacce in continua e rapida evoluzione, il quadro normativo europeo sta cercando di fornire risposte strutturate all’esigenza di maggior sicurezza combinata, però, con una esperienza utente di qualità.

L’introduzione dell’EUDI Wallet (European Digital Identity Wallet) e l’evoluzione del framework eIDAS 2.0 rappresentano tentativi di creare un’infrastruttura comune per l’identità digitale nell’Unione Europea.

L’obiettivo è permettere ai cittadini di controllare i propri dati personali e utilizzarli in modo sicuro per accedere a servizi pubblici e privati, comprese le operazioni bancarie, con un livello di protezione standardizzato in tutti gli Stati membri.

Tuttavia, tra l’ambizione normativa e la realtà operativa esiste ancora un divario significativo. E Nicola Cecchetto, Head of Digital Banks Legal Team di BBVA Italy, su questo aspetto, ha invitato a una riflessione: “L’assetto normativo europeo rappresenta sicuramente una fonte di complessità. Anzitutto, perché gli investimenti in modifiche e adeguamenti sottraggono risorse, in termini di tempo e denaro ad altre iniziative, e in seconda battuta perché siamo ancora ben lontani dall’obiettivo di un ecosistema bancario europeo, sia per quel che riguarda le prassi e sia per le aspettative di vigilanza locali. Un esempio concreto? L’onboarding che usiamo in Italia non lo possiamo utilizzare in Germania perché lì le leggi antiriciclaggio impongono che il cliente debba essere identificato con una videochiamata”.

Questa frammentazione rende difficile scalare soluzioni efficaci a livello europeo, nonostante iniziative come l’EUDI Wallet rappresentino, allo stato attuale delle cose, sicuramente un’opportunità interessante.

“La compliance è una complicazione – ha proseguito il manager –, ma in una visione più illuminata è anche un’opportunità. Proporre soluzioni tecnologicamente avanzate può essere un elemento distintivo dell’offerta, che aumenta la robustezza e la resilienza del sistema bancario”.

L’esempio dell’EUDI Wallet è emblematico, come ha sottolineato Franco Tebaldi, Head of IT Direct Channels di Banco BPM. “Di solito, con una nuova normativa la spinta viene dal reparto legal, mentre in questo caso è stata evidente da subito la valenza per il business. L’Europa fa scuola e, regolando, innova introducendo una tecnologia che, se realizzata in tempi adeguati e con standard omogenei, rappresenta un bel passo in avanti nella direzione di creare un modello competitivo europeo”.

Deepfake e cheapfake: la democratizzazione della frode

Tebaldi anche evidenziato la pericolosa convergenza tra mondo digitale e fisico: “Falsificare il dato biometrico con l’AI è sempre più semplice e, oltretutto, c’è un travaso dal digitale al mondo fisico. Nell’era dei deepfake e dei cheapfake è importante dotarsi di soluzioni che permettono di chiudere la porta ai malintenzionati. La creazione di contenuti fraudolenti non richiede più competenze tecniche avanzate perché con l’AI generativa, la barriera d’ingresso si è drammaticamente abbassata. Manipolazione di codice, sostituzione di identità, photomorphing: le tecniche sono diverse. Il problema è che questi attacchi sono sempre meno massivi e sempre più mirati e questo rende estremamente difficile non solo prevenirli, ma anche alimentare la fiducia nel cliente. Quella fiducia nella solidità dell’istituzione che è un caposaldo del rapporto tra cliente e banca”.

Tebaldi ha identificato un punto particolarmente critico a cui tutti gli operatori del settore dovrebbero prestare attenzione: “La compromissione avviene soprattutto nei corner case, come nel momento delcambio della password e, in generale, nell’accesso a funzionalità che non vengono utilizzate tutti i giorni e che, se non adeguatamente presidiate, rischiano di aprire delle backdoor molto pericolose. Questo richiede un approccio ecosistemico alla difesa. Non basta più proteggere il singolo punto di accesso, ma serve una visione d’insieme che integri riconoscimento del device, verifica dell’identità e analisi comportamentale. Partendo in ogni caso dal presupposto che è impossibile stare al passo con l’evoluzione degli attacchi senza dotarsi di soluzioni tecnologiche di provider specializzati”.

L’approccio Agent-to-Agent ridisegna la Customer Experience del futuro

L’intervento di William Bariselli, Head of Italian Financial Services and Insurance CE Team di Google Cloud, infine, ha fornito uno sguardo sulla roadmap di evoluzione dell’esperienza bancaria digitale nel prossimo futuro.

“L’avvento dell’AI generativa e degli LLM tre anni fa ha sconvolto tutte le roadmap digitali – ha esordito Bariselli -. Oggi si inizia a parlare di altri argomenti, perché quando abbiamo iniziato a portare questi strumenti all’interno di sistemi complessi abbiamo capito che la mera generazione di contenuto non è l’elemento che crea più valore. Piuttosto lo è la gestione di grandi quantità di informazioni”.

Una delle innovazioni più promettenti in questo ambito riguarda proprio la User Experience: “Siamo passati – ha spiegato – dai sistemi che tentano di indovinare quello che ci serve in un preciso momento a sistemi che già nell’onboarding sono in grado di sottoporci contenuti e proposte ottimizzati sulle nostre esigenze. Ecco come nascono gli agenti AI, strumenti che permettono di comprendere il contesto e le esigenze dei clienti, valutare le modalità che permettono di soddisfarle, sulla base delle istruzioni e dei dati di input ricevuti, e arrivare a prendere decisioni (take actions in gergo – ndr) al posto dell’utente… Ma anche potenzialmente a fronte di input malevoli ricevuti. Ed è questo il punto critico”.

Il potenziale degli AI agent è enorme, ma solleva interrogativi fondamentali sulla sicurezza. Se un sistema è in grado di prendere decisioni autonome per conto dell’utente, ivi compresi i pagamenti, diventa cruciale garantire che quelle decisioni vengano effettivamente prese nell’interesse della persona legittima e non di un attaccante che ne ha compromesso l’identità digitale.

La risposta di Google a questa sfida passa attraverso un approccio che integra intelligenza artificiale e protocolli di sicurezza avanzati. “Con il Google Agent Payment Protocol siamo in grado di abilitare il Conversational Commerce, delegando agli agenti la capacità di gestire autonomamente tutte le procedure. Nel caso dell’acquisto del biglietto di un concerto l’identificazione dei diversi siti che lo vendono, l’eventuale pre-registrazione, la gestione delle code e il pagamento. Tutta questa catena di comunicazioni funziona solo se io sono in grado di trasferire all’agente il contesto nel quale operare. In questo contesto c’è anche la verifica delle identità, un aspetto che va gestito come un vero e proprio ecosistema tra merchant, gestore dei pagamenti e gestore delle identità”.