L'autenticazione a 2 fattori (2FA) è un metodo comune di autenticazione dell'identità che dimostra che l'utente corrente è l'individuo che dovrebbe avere accesso all'account. La verifica dell'identità (IDV) è una soluzione Know Your Customer (KYC) e antiriciclaggio (AML) che verifica le credenziali di un utente in modo che le aziende sappiano con chi stanno intrattenendo un rapporto commerciale.
Questa guida assimila i casi d'uso per entrambi i processi, identificandone le principali differenze e stabilendo come dovrebbero essere utilizzati al meglio insieme.
Cos'è la verifica dell'identità?
L'IDV è il primo processo di una strategia KYC ed è fondamentale per gli obblighi di conformità antiriciclaggio (AML) delle aziende. Esistono diversi metodi per verificare l'identità dell'utente e la tecnica utilizzata è generalmente dettata dall'approccio basato sul rischio (RBA) di un'azienda.
La verifica dell'identità sta diventando sempre più vitale per gli intermediari finanziari nel settore finanziario tradizionale (TradFi) e nei settori finanziari emergenti, come gli scambi centralizzati (CEX) e i servizi di finanza decentralizzata (DeFi) nel settore delle criptovalute.
La Financial Crimes Enforcement Network (FinCEN) ha introdotto il Customer Identification Program (CIP) nel 2003. è la prima fase fondamentale in un nuovo rapporto cliente-impresa che precede la Customer Due Diligence (CDD).
Settori diversi richiedono livelli di garanzia (LoA) diversi. Ad esempio, le aziende del settore delle criptovalute richiedono un livello di garanzia dell’identità molto più elevato rispetto a quelle del settore dell’e-commerce a causa delle sfumature normative imposte dai diversi settori e dai loro regolatori. Le soluzioni IDV digitali, o eIDV, stanno rapidamente diventando il metodo di riferimento per gli istituti finanziari grazie alla loro efficienza in termini di costi e affidabilità.
Verifica del documento
La verifica dell'identità di un nuovo cliente inizia con l'autenticazione dei suoi documenti KYC. I documenti più comuni utilizzati sono i documenti d'identità rilasciati dal governo, come patenti di guida o passaporti. Questi documenti possiedono un numero di identificazione nazionale e vari elementi di sicurezza progettati per renderli difficili da replicare.
Verifica del documento analizza questi elementi di sicurezza mentre digerisce i dati sul documento per ottenere informazioni di base sul cliente. La moderna verifica dei documenti sfrutta tecnologie avanzate di intelligenza artificiale per verificare i documenti in 15 secondi, favorendo un processo di acquisizione dei clienti semplificato con attriti limitati.
Verifica biometrica
La maggior parte delle istituzioni finanziarie (FI) utilizzano la verifica biometrica come passaggio successivo. L'autenticazione biometrica prevede la corrispondenza dell'immagine nell'ID fornito nel processo di verifica del documento con un selfie o un video. In genere, questo selfie o video viene ripreso dal vivo durante l'acquisizione per creare un LoA più elevato.
Verifica biometrica sfrutta un algoritmo di apprendimento automatico per verificare i clienti in pochi secondi, contribuendo a una maggiore garanzia dell'identità. La velocità con cui viene completata la verifica garantisce che il processo di onboarding del cliente rimanga fluido e riduca il tasso di abbandono dei clienti.
Prova di indirizzo
Prova di indirizzo (PoA) è un processo IDV fondamentale. La verifica PoA digitale offre alle aziende una vasta gamma di informazioni oltre al luogo in cui vive il cliente. Un esempio chiave è la corrispondenza dell'indirizzo IP dell'evento di caricamento del documento con la geolocalizzazione del documento.
Questo è un passo fondamentale, in particolare per le moderne fintech, poiché garantisce che gli utenti accedano al tuo servizio dalle regioni in cui la tua azienda ha la licenza per operare. Molti scambi di criptovaluta hanno ricevuto multe significative per violazioni AML consentendo agli utenti di utilizzare particolari servizi in territori senza licenza.
Hong Kong, in particolare, ha represso gli scambi di criptovalute senza licenza, in particolare contro ByBit e MEXC recentemente. Questi scambi sono stati accusati di operare nella regione senza una licenza della Securities and Futures Commission, la principale forza di regolamentazione finanziaria per le aziende che trattano titoli o attività simili ai titoli.
La verifica dell'indirizzo sarebbe una metodologia sicura per garantire che gli scambi siano eseguiti solo da clienti provenienti dalle regioni in cui hanno la licenza. Per ulteriori informazioni sulle politiche crittografiche della regione, leggi la nostra guida su La regolamentazione crittografica di Hong Kong nel 2024.
Verifica multi-ufficio
La verifica multi-ufficio confronta le informazioni ottenute durante la fase IDV con i database dei partner, come agenzie di credito, uffici postali e molti altri. Questi controlli creano un ulteriore livello di sicurezza, poiché le aziende vengono informate che esiste una traccia storica dei dettagli di un particolare utente.
L'IDV in breve
La verifica dell'identità è il processo utilizzato da un'azienda per stabilire che un nuovo cliente è chi dice di essere. I processi IDV differiscono drasticamente in base alle diverse RBA e ai requisiti di conformità specifici del settore.
- Rispettare gli obblighi di conformità normativa è fondamentale per gli scambi di criptovalute centralizzati, poiché consente l'espansione internazionale mitigando al contempo la possibilità di sanzioni antiriciclaggio.
- Un DEX che opera con Real World Assets (RWA) tokenizzati deve anche avviare un processo CIP e IDV se desidera ottenere la conformità con le autorità di regolamentazione locali.
- Gli scambi di criptovalute decentralizzati che forniscono scambio P2P di criptovalute non richiedono attualmente alcuna soluzione KYC. Poiché offrono trasferimenti continui di risorse digitali, attualmente non esiste alcun obbligo legale di verificare i propri utenti. Ciò potrebbe cambiare poiché il mondo approva rapidamente un’ulteriore regolamentazione delle criptovalute.
- Le tipiche aziende fintech devono inoltre verificare i propri utenti con i processi IDV più rigorosi, tra cui la verifica dei documenti e dei dati biometrici e il monitoraggio AML.
Autenticazione dell'identità
L'autenticazione dell'identità è utilizzata al meglio come protezione aggiuntiva per gli account che sono già stati verificati tramite un processo KYC. Garantisce che la persona che accede a un account in quel momento sia qualcuno che dovrebbe avere accesso. L'autenticazione a 2 fattori è l'iterazione più comune di questo.
Alcuni processi di acquisizione dei clienti utilizzano solo l'autenticazione dell'identità; tuttavia, questo processo da solo non è adeguato per conformarsi a rigorose normative finanziarie come la Raccomandazioni della task force di azione finanziaria.
Autenticazione a due fattori
2FA richiede 2 diversi codici o serie di informazioni prima che un utente possa accedere a una piattaforma. In genere, la seconda serie di informazioni verrà richiesta dopo aver inserito una password. La 2FA può assumere molte forme.
- Codice di verifica e-mail monouso
- Codice SMS monouso
- Codice rigenerativo tramite un'app di autenticazione, come Google Authenticator
- Un dispositivo hardware che genera un codice monouso
2FA riduce significativamente le possibilità che un'entità o un individuo non autorizzato ottengano l'accesso a un account; pertanto, è un prezioso strumento di prevenzione delle frodi. Tuttavia, manca la profondità fornita dai processi di verifica dell’identità. Inoltre, consente comunque a qualcuno di creare in modo fraudolento un nuovo account se, ad esempio, un account di posta elettronica è stato compromesso.
Autenticazione a più fattori
Questo processo è molto simile al 2FA, tuttavia, il processo di verifica è costituito da più di 2 fattori o set di dati. L'autenticazione a più fattori potrebbe consistere in una password, un codice SMS monouso e un codice proveniente da un'app di autenticazione.
2FA biometrico
La maggior parte degli smartphone moderni è dotata di funzionalità di verifica biometrica. I dispositivi mobili possono utilizzare questa passkey biometrica come secondo set di dati, offrendo il processo di accesso più snello, poiché gli utenti autorizzati non devono attendere per ottenere l'accesso.
Apple ha affermato che la probabilità di frode o errore biometrico con la sua tecnologia Face ID è 1 su 1.000.000. La tecnologia FaceIF genera una grande sicurezza quando gli utenti tentano di accedere nuovamente dopo aver verificato il proprio account con un processo KYC.
Autenticazione basata sulla conoscenza
Analogamente alla 2FA, l'autenticazione basata sulla conoscenza utilizza una domanda preimpostata per autenticare se un utente ha accesso a un account. Di solito si tratta di domande semplici ma personali, tra cui:
- Qual è il nome da nubile di tua madre?
- Qual era il nome del tuo primo animale domestico?
- In quale paese/città sei nato?
Questo processo può essere ulteriormente ripetuto utilizzando informazioni dinamiche. Un'app bancaria, ad esempio, potrebbe essere programmata per porre all'utente domande sull'attività recente del conto e sulla cronologia dei pagamenti, oltre ad altre informazioni che solo l'utente del conto conoscerebbe.
Caso di studio Coinbase
La maggior parte dei CEX utilizza la verifica dell'identità come parte del processo KYC e dell'autenticazione dell'identità quando gli utenti accedono. Insieme, formano una metodologia sicura ma senza intoppi per gli utenti dal punto di acquisizione del cliente fino al ritorno per accedere.
Coinbase lo è uno dei più grandi scambi di criptovalute per utenti e volume di scambi ed è conosciuto come leader nella conformità alle criptovalute. La borsa americana si avvale del seguente flusso di lavoro IDV:
- Caricamento del documento
- Caricamento di selfie
- Caricamento PoA (se richiesto)
Coinbase non lo consente persone a utilizzare la sua piattaforma senza completare questo programma, un fattore chiave alla base della sua strategia di conformità. L'exchange lascia quindi alla discrezione dell'utente l'implementazione di una strategia 2FA.
Limitazioni dell'autenticazione dell'identità
L'autenticazione dell'identità non aggiunge alcun valore identificativo al nuovo account creato. Se un numero di posta elettronica o SMS è stato compromesso, la possibilità che un utente malintenzionato crei l'account per scopi dannosi è molto più alta.
Pertanto, la 2FA non aiuta a prevenire il furto di identità nel momento dell'acquisizione del cliente e non consente il rispetto delle normative antiriciclaggio locali o globali. I processi KYC sono fondamentali per le aziende che desiderano soddisfare normative rigorose e in evoluzione.
Ad esempio, molti pacchetti di verifica dell’identità sono abbinati a soluzioni CDD e di monitoraggio continuo, consentendo una valutazione continua del rischio e aiutando le aziende a capire quali clienti necessitano di Enhanced Due Diligence (EDD).
Realizzare i benefici dell’innovazione tecnologica responsabile negli Stati Uniti sostenendo l’uso di nuovi meccanismi per la conformità del settore privato e utilizzare l’automazione e l’innovazione per trovare nuovi modi per combattere la finanza illecita.
Molti enti regolatori chiave in tutto il mondo sostengono soluzioni di conformità automatizzate e basate sulla tecnologia per aiutare a combattere il riciclaggio di denaro. Questi includono il GAFI e il Dipartimento del Tesoro degli Stati Uniti, descritti sopra. I servizi finanziari che utilizzano un processo di autenticazione dell’identità su una rigorosa soluzione AML e KYC saranno probabilmente esaminati dalle autorità di regolamentazione nel 2024 e oltre.
Le soluzioni IDV di ComplyCube
ComplyCube è un pluripremiato fornitore SaaS di soluzioni AML e KYC in un ampio spettro di settori, tra cui TradFi, fintech, criptovalute, telecomunicazioni e molti altri. Le aziende possono integrarsi con la propria infrastruttura in vari modi.
- Tramite una potente API
- Codificando i loro SDK nel tuo stack tecnologico mobile esistente
- Oppure utilizzando la propria infrastruttura comodamente da una piattaforma di conformità all-in-one.
Mettiti in contatto con uno specialista oggi stesso
Se la tua azienda fintech o attività correlata sta cercando di integrare soluzioni di conformità che consentano la crescita soddisfacendo al tempo stesso i requisiti di conformità, contatta a Specialista ComplyCube oggi per scoprire come possono aiutarti.
