NETHEOS lancia la sua soluzione di Firma Elettronica Qualificata!

Tutto quello che c’è da sapere sul KYC

Che cos’è la verifica dell’identità a distanza? Definizione e problemi

In Francia, la verifica a distanza dell’identità è diventata una pratica molto importante per garantire la conformità alla legislazione vigente. Gli istituti professionali del settore finanziario sono tenuti ad applicare questa metodologia seguendo misure rigorose per combattere le frodi e il riciclaggio di denaro, due piaghe che si stima valgano circa 90 miliardi di euro all’anno.

Oltre all’aspetto legale, questo metodo basato sull’automazione tramite l’Intelligenza Artificiale può anche consentire alle aziende diottimizzare in modo significativo i processi di sottoscrizione online. Uno studio recente, ad esempio, ha dimostrato che il tempo medio necessario per verificare l’identità di una persona da remoto è 3,2 volte inferiore rispetto alla versione manuale.

Verifica dell'identità a distanza, un requisito normativo

Che cos'è la verifica dell'identità?

La verifica dell’identità è un processo che verifica l’identità di una persona. Può essere effettuata fisicamente, ad esempio in una filiale bancaria, o a distanza, tramite servizi online. Quando si apre un conto corrente su Internet, ad esempio, la banca deve assicurarsi che il richiedente sia la persona che dichiara di essere. Per le aziende che operano in settori altamente regolamentati come quello bancario, assicurativo, fintech, ecc. si tratta di un obbligo legale noto come KYC, l’acronimo di “Know Your Customer”. Per altri settori, come quello immobiliare, sanitario o educativo, si tratta di un’esigenza interna di conoscere i propri clienti per motivi amministrativi o di solvibilità. La verifica a distanza dell’identità (RIV) prevede l’utilizzo di strumenti per garantire l’autenticità delle informazioni e dei documenti forniti.

Qual è la differenza tra un controllo dell'identità e una verifica dell'identità?

Sebbene i due termini siano spesso utilizzati nel contesto della sicurezza e dell’identificazione personale, hanno significati leggermente diversi.

Un controllo dell’identità viene generalmente effettuato dalle autorità, come la polizia, per assicurarsi che una persona sia quella che dichiara di essere. L’agente autorizzato controllerà generalmente i documenti d’identità della persona, come il passaporto o la carta d’identità.

I controlli di identità possono essere effettuati in diverse situazioni, tra cui la sottoscrizione di un servizio internet, la creazione di un conto bancario o l’acquisto di un prodotto regolamentato. Questa procedura prevede la verifica dei documenti di supporto del richiedente (carta d’identità, passaporto, ecc.) e dei suoi dati personali, come l’indirizzo e la data di nascita, e talvolta include misure di sicurezza aggiuntive come l’autenticazione biometrica o l’SMS OTP.

Verificare l'identità dei clienti: un obbligo normativo per le imprese

Gli istituti professionali di molti settori, come le banche, le compagnie di assicurazione, le fintech e le piattaforme di criptovalute, sono obbligati a verificare l’identità dei loro clienti prima di sottoscrivere una qualsiasi delle loro offerte. Questo obbligo, noto come“Know Your Customer“, è stato concepito per combattere il riciclaggio di denaro, il finanziamento del terrorismo e il furto di identità. L’AMF (Autorité des Marchés Financiers), l’istituzione responsabile della supervisione di queste procedure, ha introdotto una serie di misure, note come “direttive”, per garantire una maggiore trasparenza nelle transazioni finanziarie e combattere meglio le frodi in materia di LCB-FT. La quinta direttiva, che sarà recepita nel diritto francese nel febbraio 2020, riguarda direttamente la procedura VID. Per integrare un processo di onboarding del cliente (l’ingresso in una relazione digitale), gli istituti regolamentati devono utilizzare uno strumento conforme a 2 delle 6 misure di vigilanza aggiuntive seguenti (articolo R561-5-2):

  1. Ottenere una copia di almeno un documento d’identità.
  2. Ottenere la verifica e la certificazione da parte di una terza parte indipendente (notai, ufficiali giudiziari, ecc.).
  3. Dimostrare che il cliente ha già effettuato un primo pagamento associato a un conto bancario (europeo o equivalente) a suo nome.
  4. Ottenere conferma della propria identità da un’altra banca o compagnia di assicurazioni.
  5. Utilizzare un mezzo di verifica dell’identità da parte di un fornitore di servizi di verifica dell’identità remota (PVID) conforme agli standard certificati dall’ANSSI.
  6. Verifica dell’identità tramite lettera raccomandata elettronica (ERL) o firma elettronica qualificata con firma elettronica qualificata (QES) certificata eIDAS.

Le offerte PVID e QES, esigenti e altamente regolamentate, devono includere metodi di riconoscimento facciale automatizzati al 100% (Facematch con rilevamento della vita) o condivisi al 50% con un servizio umano responsabile del controllo delle frodi (come nel caso degli specialisti di NETHEOS) per garantire un grado di fiducia sufficiente. Devono inoltre incorporare sistemi computerizzati per la verifica dei documenti di supporto e la firma elettronica.

I limiti dei controlli d'identità faccia a faccia

Quali sono i principali svantaggi della verifica dell'identità fisica?

Assicurarsi che una persona sia quella che dichiara di essere è un processo cruciale nella lotta contro vari tipi di frode quando ci si abbona a un servizio su Internet. Tuttavia, il metodo fisico tradizionale presenta limitazioni significative che possono comprometterne l’efficacia:

  • Bad UX: per aprire un conto bancario, ad esempio, le persone devono recarsi fisicamente in banca per fornire i propri documenti di supporto. Inoltre, gli orari di apertura limitati delle agenzie possono rendere la procedura difficile per chi lavora o ha impegni familiari.
  • Rischi per la sicurezza: la verifica dell’identità faccia a faccia è spesso soggetta a errori umani. Gli agenti dedicati a questo compito potrebbero interpretare male i documenti d’identità o non essere in grado di individuare i documenti falsi. I richiedenti possono anche fornire informazioni errate o falsificate durante la verifica. Questi errori possono portare a risultati incoerenti e compromettere l’accuratezza dell’approccio.
  • Svantaggi operativi e finanziari: la procedura faccia a faccia è spesso lunga, noiosa e costosa. Senza alcuna capacità di automazione, gli agenti devono controllare le prove cartacee una per una, impedendo loro di concentrarsi su altre attività a maggior valore aggiunto. Inoltre, gli istituti professionali devono disporre di personale qualificato e autorizzato, il che aumenta notevolmente i costi umani.

Perché la verifica dell'identità fisica è considerata un metodo insicuro?

La verifica del profilo di una persona di persona è considerata un metodo insicuro a causa del rischio di furto di identità. Documenti ufficiali come carte d’identità o passaporti possono essere facilmente falsificati. I truffatori possono utilizzare queste prove per spacciarsi per altre persone e accedere a prestazioni non destinate a loro.

Verifica dell'identità a distanza: vantaggi e casi d'uso

Quali sono i principali vantaggi della verifica dell'identità a distanza?

Il VID offre una serie di vantaggi, i principali dei quali sono i seguenti:

  • Maggiore sicurezza: grazie al riconoscimento facciale e all’uso dell’intelligenza artificiale, VID consente una migliore individuazione delle frodi e riduce il rischio di errore umano. Anche le informazioni personali sono più protette grazie a procedure più sicure.
  • Automazione: il VID consente di elaborare più rapidamente le richieste. I dipendenti possono quindi dedicarsi a compiti a più alto valore aggiunto. L’automazione riduce anche i costi umani.
  • UX migliorata: i clienti possono sottoscrivere un servizio da casa, in qualsiasi momento della giornata, senza doversi recare in una filiale. Questo semplifica e migliora il processo di acquisto
  • Conformità agli standard normativi: per rispettare la procedura “Know Your Customer” per la lotta al riciclaggio di denaro e al finanziamento del terrorismo (LCB-FT), le aziende del settore finanziario devono utilizzare uno strumento certificato dall’ANSSI. Il Facematch PVID o il Facematch semplificato con firma elettronica qualificata (QES) sono due opzioni possibili. Sono altamente regolamentati e offrono un elevato livello di protezione.
  • Tracciabilità dei dati: il VID consente di tenere traccia dei dati scambiati tra le parti per garantirne l’affidabilità.

Verifica dell'identità a distanza: casi d'uso per settore di attività

Il VID può essere utilizzato in un’ampia gamma di casi, a seconda del settore di attività e delle normative applicabili. Ecco i principali casi d’uso:

  • Settore finanziario e fintech: apertura di un conto bancario, richiesta di credito, transazioni monetarie, apertura di un conto di trading, verifica della solvibilità degli investitori.
  • Assicurazione: stipula di una polizza assicurativa, denuncia di un sinistro
  • Criptovalute: creare un conto su una piattaforma di trading di criptovalute, acquistare o vendere criptovalute.
  • Gioco d’azzardo online: creare un conto giocatore e confermare la propria età, depositare o prelevare denaro.
  • eSport: registrazione ai tornei, conferma dell’età dei giocatori, convalida delle vincite.
  • Ecommerce: valutazione del profilo dell’acquirente o del venditore (a seconda della legislazione relativa alla vendita di determinati tipi di merci), convalida del pagamento.
  • Immobiliare: affitti di immobili, vendite di immobili, controllo del credito dei richiedenti.
  • Salute: creazione di cartelle cliniche, consultazioni mediche in videoconferenza
  • Istruzione: iscrizione a un corso di laurea, rilascio di certificati di formazione.

Comprendere il processo di verifica dell'identità a distanza

Le diverse fasi della verifica dell'identità a distanza

Il processo VID si articola in 5 fasi, di cui una facoltativa:

  1. Raccogliere i dati riservati dell’individuo: questi dati possono essere raccolti tramite un modulo web o un’applicazione mobile dedicata. Questo può includere il cognome, il nome, la data di nascita, l’indirizzo, il numero di telefono e l’indirizzo e-mail.
  2. Raccogliere un documento d’identità dell’individuo: i documenti accettati possono variare a seconda delle normative locali e delle esigenze delle strutture. Di solito si tratta di passaporti, carte d’identità e patenti di guida.
  3. Verifica del documento ufficiale di supporto raccolto: questa fase può essere svolta manualmente o automaticamente utilizzando strumenti di intelligenza artificiale come quelli offerti da Netheos. In questa fase vengono controllati 4 punti condizionali:
    • Qualità del documento
    • Verifica del tipo di documento (CNI, Passaporto, Permesso di soggiorno)
    • Coerenza del documento con le informazioni riservate fornite dall’utente
    • Autenticità del documento
  4. Confrontare la foto del passaporto sul documento fornito con il volto della persona (Facematch). Questa fase cruciale garantisce che l’individuo sia chi dice di essere. A seconda del livello di sicurezza richiesto, sono disponibili 3 soluzioni Facematch:
    • foto
    • video semplificato
    • Certificato PVID
  5. Nel caso della soluzione PVID, è necessaria una quinta fase che richiede l’impiego di un servizio umano specializzato nella lotta contro le frodi di identità e di documenti. Questo vale in particolare per Netheos, il cui team di esperti ha sede in Francia. In seguito, i funzionari controllano manualmente i documenti di supporto prima di dare l’approvazione finale.

Documenti accettati per la verifica dell'identità a distanza

Nella maggior parte dei casi, la prova accettata per il VID comprende il passaporto, la carta d’identità o la patente di guida. Queste sono considerate prove affidabili e difficili da falsificare.

Tuttavia, alcuni fornitori possono accettare altre forme di prova, come la carta di soggiorno, la carta di previdenza sociale o la tessera professionale.

Guida alle soluzioni di verifica dell'identità a distanza

Elenco delle principali soluzioni di verifica dell'identità a distanza

I metodi più comunemente utilizzati includono, in ordine crescente di sicurezza garantita :

  • Facematch fotografico o video: basato sulla tecnologia AI, questo metodo, noto anche come “riconoscimento facciale”, consiste nel confrontare la foto del documento d’identità della persona da controllare con la sua foto “selfie” o una breve sequenza del suo volto ripresa dal vivo. È generalmente utilizzato per situazioni che comportano un rischio limitato, come la sottoscrizione di un servizio fornito da istituzioni pubbliche o private non finanziarie (sanità, proprietà, istruzione, ecc.).
  • SEPAmail DIAMOND: si tratta di un’applicazione per la verifica delle coordinate bancarie fornite dal titolare di un conto all’ordinante di un bonifico o di un addebito diretto. Dopo un primo pagamento con un conto bancario a nome del titolare, quest’ultimo viene integrato nella rete SEPAmail. Il suo profilo viene quindi riconosciuto automaticamente come autentico e non richiede l’uso di Facematch. Questo metodo è ora più comunemente utilizzato nei gruppi.
  • Firma elettronica qualificata eIDAS: questo servizio prevede l’utilizzo di un Facematch semplificato (foto o video) e la successiva firma digitale del documento tramite SMS OTP (One Time Password). Certificato dal regolamento europeo eIDAS (Electronic IDentification Authentication and trust Services), questo metodo è accompagnato da un cosiddetto certificato qualificato, che fornisce la prova legale della verifica dell’identità, conferendole lo stesso grado di garanzia della verifica fisica. Utilizzato anche nel settore finanziario, il suo Facematch è meno impegnativo e offre un’esperienza utente più fluida rispetto al repository PVID.
  • PVID Facematch: questa versione di Facematch soddisfa i rigorosi requisiti del quadro di riferimento definito dall’ANSSI ed è prodotta da un’azienda certificata come conforme al quadro di riferimento PVID. Viene utilizzato per situazioni che comportano un grado “sostanziale” o “elevato” di rischio di furto o alterazione dell’identità, specifico per le aziende del settore finanziario (banche, assicurazioni, fintech, criptovalute, ecc.) che devono combattere il riciclaggio di denaro e il finanziamento del terrorismo (LCB-FT). Si noti che ad aprile 2023 nessuna delle 10 aziende in lizza aveva ottenuto la certificazione.Netheos ha superato a pieni voti i 3 audit relativi allo standard ed è ora in attesa della decisione finale dell’Agenzia Nazionale di Certificazione(https://www.ssi.gouv.fr/administration/produits-certifies/prestataires-de-verification-didentite-a-distance-pvid/).

Come si sceglie la soluzione più appropriata?

La scelta del metodo VID dipende dal livello di sicurezza richiesto e dal settore di attività dell’azienda. Le aziende del settore finanziario devono quindi scegliere un sistema conforme alla normativa LCB-FT (Facematch PVID, QES, SEPAmail Diamond o Identità Digitale di La Poste). Le società pubbliche o private non finanziarie possono accontentarsi di una tecnologia Facematch semplificata.

È inoltre importante considerare la gestione dei dati riservati. I fornitori di servizi devono rispettare gli standard del RGPD e della protezione dei dati per evitare qualsiasi rischio di furto di identità.

Infine, la scelta della tecnologia deve tenere conto anche del processo di acquisto online e offrire un’esperienza fluida e veloce per evitare frustrazioni o abbandoni.

Contenuti
Webinar
PVID: quali sono le novità nell'onboarding dei clienti?
Webinar