Ci siamo già occupati di identità digitale in un precedente articolo(1) su questa piattaforma, introducendo il tema e le connessioni con l’adeguata verifica per le finalità di antiriciclaggio.
Abbiamo deciso, con questo nuovo contributo, di passare in rassegna casi d’uso provenienti da diversi paesi, anche extra europei, con l’obiettivo di raccontare che cosa sta accadendo e quali risultati le sperimentazioni hanno raggiunto finora.
Siamo convinti che la condivisione di esperienze sia fondamentale in una fase che presenta ancora margini di incertezza e un tumultuoso sviluppo tecnologico di fondo.
Abbiamo dedicato attenzione al mondo della Self-Sovereign Identity, che riteniamo più promettente e al contempo meno noto, sintetizzando iniziative in corso nel Regno Unito, Stati Uniti e Colombia. Per quanto concerne l’ambito nazionale, presentiamo progetti di ricerca, con approcci distinti all’innovazione, provando a valutare rapidamente pro e contro di ognuno.
NEL REGNO UNITO
Nell’introdurre i principali elementi di innovazione del digital environment del Regno Unito, è ineludibile citare Smart Credentials(2) che, offrendo ai propri utenti un servizio sicuro, rapido ed efficiente, si è guadagnata la medaglia di bronzo presso i Reimagine Education Awards di Londra nel 2019.
Si tratta di una piattaforma che, da un lato, consente alle figure professionali che vi aderiscono di condividere agevolmente e in tempo reale le proprie credenziali e che, dall’altro, conferisce agli utenti un maggior controllo sui propri dati personali. Smart Credentials si propone di intervenire nel Regno Unito in alcuni ambiti, tra cui l’istruzione, l’aviazione, la sanità e, in particolar modo, i servizi finanziari. Con lo scoppio della pandemia da Covid-19, tutti gli ambiti sopraelencati hanno acquisito particolare rilevanza.
Il funzionamento di Smart Credentials è molto semplice:
- la piattaforma emette verifiable credentials, ossia certificati digitali protetti da crittografia, a disposizione dell’utente che, in qualsiasi momento, ha facoltà di condividerle con altre istituzioni o di revocarle.
- L’istituzione presso la quale l’utente decide di condividere i propri dati li recepisce, accerta la loro autenticità e permette all’utente di accedere al servizio desiderato.
NEGLI USA
Nel panorama digitale statunitense, in ambito finanziario, spicca MemberPass(3) una piattaforma il cui funzionamento ricorda il summenzionato Smart Credentials. Il meccanismo è regolato da una relazione di fiducia triangolare:
- un istituto rilascia un MemberPass ad un utente
- che le conserva in un ewallet per poterle poi condividere con terzi
- i quali, a loro volta, verificano l’autenticità dei dati forniti dall’utente.
Si tratta di una piattaforma caratterizzata da un alto livello di sicurezza ed efficienza: non solo si dimostra pienamente conforme alla normativa sulla privacy degli utenti, ma è anche facile da implementare, essendo basata sulla crittografia e la biometria.
L’unione di questi punti di forza rende MemberPass uno strumento efficace nel minimizzare il rischio di frode.
Tra gli istituti di credito di maggior rilevanza che contribuiscono alla piattaforma è possibile citare la Desert Financial Credit Union, con un fatturato che supera i 6 miliardi di dollari.
IN COLOMBIA
Come riportato dal resoconto del WEF di settembre 2021(4), anche in Colombia la digitalizzazione rileva fra le priorità nazionali. In particolar modo, è stata dedicata attenzione all’analisi di SoyYo, una società fondata dalle tre banche più rilevanti della Colombia, ovvero Bancolombia, Banco de Bogotà e Davivienda. SoyYo si è rivelato uno strumento di grande aiuto per alcune aziende, in quanto ha contribuito al complessivo miglioramento delle procedure di onboarding. Inoltre, dispone di meccanismi di identificazione dei clienti che minimizzano il rischio di frode.
Si tratta di un ecosistema deputato alla gestione delle relazioni fra utenti, entità verificatrici, emittenti di identità digitali e i cosiddetti trust providers, ovvero aziende che hanno un rapporto stretto con i clienti grazie al processo di KYC che hanno condotto. Importanti per l’efficienza di tale ecosistema sono altresì gli emittenti, tra cui le autorità che mettono a disposizione dati per il KYC ai fini delle procedure anti-riciclaggio.
NEI PAESI NORDICI
Nel panorama digitale e finanziario dei Paesi Nordici, la fondazione di Invidem da parte delle sei principali banche scandinave (Danske Bank, DNB, HandelsBanken, Nordea, SEB e SwedBank) nel 2019 costituisce un elemento di novità. Prima di essere ufficialmente lanciata sul mercato nel 2021, Invidem ha iniziato ad offrire i suoi servizi nel 2020 alle imprese medio-grandi del mercato nordico. Il suo scopo è quello di reperire e gestire le informazioni KYC. La particolarità di questa piattaforma risiede nel fatto che i servizi di Invidem e le relative informazioni KYC saranno messe a disposizione anche di altre banche e società esterne al settore bancario interessate in egual modo alle norme antiriciclaggio, tra cui le compagnie assicurative.
MENTRE IN ITALIA
A metà dicembre dello scorso anno, presso un evento organizzato dal Politecnico di Milano, è stata presentata un’iniziativa degli Osservatori del Politecnico, Fabrik, PwC e Bonelli Erede. Scopo del progetto è utilizzare SPID e le informazioni fornite da Fabrik attraverso la PSD2 per semplificare l’onboarding dei clienti delle banche che intendono aderire.
In Germania Yes.com già garantisce un servizio simile, parimenti un caso di successo rilevante è costituito da BankID, un servizio abilitato dall’Open Banking che consiste nella creazione di un’identità elettronica personale da utilizzare per firmare documenti online e per garantire l’identificazione digitale sicura dell’utente, sviluppato da un consorzio che ha iniziato a operare nei primi anni 2000 nei paesi scandinavi.
L’affidarsi a SPID è, a parere di chi scrive, una scelta poco lungimirante, sebbene sostenuta dalla crescita di diffusione della tecnologia. Nel momento in cui scriviamo, SPID è infatti adottata da 27 milioni e 500 mila cittadini italiani(5). Perché sia competitivo è richiesto un costo per controllo più basso rispetto all’attuale ma, come già sostenuto nell’articolo citato in premessa(6) l’avvicinarsi dello European Digital Identity Wallet, più potente, sicuro e decentralizzato, costruito secondo una logica di privacy by design, pare sufficiente per imporre delle considerazioni costo-opportunità.
Altro progetto interessante, sviluppato in seno al Cetif, il centro di ricerca sulla tecnologia in ambito finanziario presso l’Università Cattolica di Milano, è O-KYC, iniziativa di Cherry Chain, Intesa IBM e Chiomenti. Si tratta di un’infrastruttura, basata su blockchain, che permette a intermediari bancari, telco e multiutility di condividere informazioni sui propri clienti: nel caso in cui il cliente Andrea D. volesse aprire un secondo conto presso Banca Beta, O-KYC andrà a recuperare i suoi dati personali detenuti presso Banca Alfa, inviandoli poi a Beta dopo aver ricevuto l’autorizzazione di Andrea D. a trasmetterli.
Il progetto è stato avviato a giugno 2020 e ha terminato la sperimentazione a marzo 2021, con l’obiettivo di riprendere quest’anno le attività al fine di industrializzarlo.
Nonostante diversi aspetti promettenti, vediamo alcune difficoltà implementative dovute alla sicurezza dei dati dei clienti che dovrebbero essere costantemente online e accessibili, portando verosimilmente gli intermediari a effettuare un mirroring dei dataset e a investire su una rete ridondante. Attualmente, la mancata connessione di un attore di O-KYC non consente il recupero dei dati dei suoi clienti – non diversamente dal malfunzionamento di un identity provider per SPID.
Inoltre, possono rilevare le tematiche di integrazione: come gestire la varietà di software di gestione della base clienti (CRM) tra i diversi intermediari? Come gestire la transizione a nuovi CRM? A detta degli ideatori di O-KYC, con cui gli autori hanno potuto confrontarsi, la soluzione consiste in un’attività di mappatura dei campi da valorizzare e dei documenti necessari nei processi di onboarding che alimenta un servizio di metadati degli attributi di identità disponibili per ciascun operatore.
NEL PIENO DELLA TEORIA DEI GIOCHI
Finora gli esperimenti di KYC utilities centralizzate sono in buona parte falliti; hanno avuto successo in paesi il cui mercato è caratterizzato da pochi grandi player.
Quali sono i problemi?
- Maggiore il numero di attori, maggiori i tempi di decisione.
- Attori eterogenei hanno necessità diverse.
- Si complica la gestione dei rischi legati all’innovazione.
Se il tavolo negoziale vuole includere da subito i più importanti attori, è necessario del tempo meramente organizzativo per fissare le riunioni, per attendere i diversi percorsi autorizzativi interni (CDA, responsabile AML ecc), per analizzare in dettaglio la documentazione contrattuale che regola l’erogazione dei servizi – tutt’altro che semplice, non essendo al momento chiaro l’inquadramento normativo di una KYC utility.
Anche l’eterogeneità può essere un problema: una grande banca ha vincoli di spesa diversi rispetto a un intermediario di nicchia: la verifica della clientela per una banca retail, per clienti che portano alcune migliaia di euro su un conto corrente non ha lo stesso valore della verifica effettuata su un grande patrimonio per un wealth manager. Ci si confronta con rischi di diversa natura e l’impatto reputazionale non è il medesimo.
Il punto 3 è molto problematico. Una banca di limitate dimensioni potrebbe non avere le risorse per modificare le proprie scelte nel caso si rivelassero poco efficaci.
Una grande banca avrebbe il problema opposto, di dover convincere un numero elevato di suoi clienti a modificare i propri comportamenti per adattarsi a un nuovo sistema, con il rischio di richiedere mesi per la transizione tra i due sistemi, pagando i costi di manutenzione di entrambi.
A ogni modo, gli incumbent si troveranno a competere con fintech e challenger bank, avvantaggiate nell’integrazione di nuove soluzioni tecnologiche grazie alla sempre più diffusa filosofia di “banking as service”, modulare, basata su API.
Per questo riteniamo che l’approccio corretto debba essere il più possibile interdisciplinare e collaborativo: responsabili IT, risk, AML e business devono trovare l’accordo per adottare soluzioni comode, sicure e facilmente integrabili. Meglio se tecnologicamente di avanguardia, per non rischiare di doverle rapidamente sostituire.
Intervento di:
Andrea DANIELLI, Fondatore e AD di Mopso, Startup regtech per antiriciclaggio
Jacopo BOSETTI, Tirocinante c/o Mopso
Per approfondimenti, consultare i seguenti link e/o riferimenti:
(1) A. Danielli (2021), “Adeguata verifica nel mondo delle identità digitali“; www.riskcompliance.it
(2) Smart Credentials – Trusted, secure and tamper-proof credentials in real time | PWC UK
(3) MemberPass – The simplest, most secure and private solutions | Credit Unions
(4) Guide, Digital Identity Ecosystems, WEF – September 2021
(5) Stato di avanzamento Trasformazione Digitale | AgID, Agenzia per l’Italia Digitale
(6) A. Danielli (2021), “Adeguata verifica nel mondo delle identità digitali“; www.riskcompliance.it