VASCO Data Security ha annunciato di recente il passaggio al nuovo brand OneSpan e il lancio della Trusted Identity Platform, che sfrutta l’intelligenza artificiale e l’apprendimento automatico per ridurre le frodi bancarie. Ne abbiamo parlato con Giovanni Verhaeghe, Vice President Corporate Development and Hardware Operations in OneSpan.
Giovanni è entrato nel 2000 quando l’azienda si chiamava ancora VASCO Data Security, e da allora, ha ricoperto varie posizioni manageriali a livello globale, con incarichi in ambito di Project Management, Product Management e Market & Product Strategy.
A quale esigenza risponde il cambio del brand?
Questo cambiamento riflette prima di tutto la trasformazione del nostro modello di business: da azienda produttrice di hardware, siamo passati a offrire software e servizi mobile. La scelta del nuovo nome non è stata casuale: ‘One’ sta a indicare che vogliamo essere vicini ai nostri clienti. I clienti sono molto importanti per noi: possiamo scambiare con loro informazioni tecniche, sulle tendenze di mercato, ed ecco perché vogliamo essere un tutt’uno con loro.
‘Span’ in inglese significa costruire ponti, creare legami. Non vogliamo solo essere un tutt’uno con i nostri clienti, ma anche creare relazioni durature con loro e con tutte le terze parti coinvolte.
Anche il nostro slogan aziendale è cambiato, diventando “Be bold, be secure”. La ragione è che vogliamo essere positivi rispetto alla sicurezza. Quando si parla di sicurezza tutti pensano ai costi, a una perdita di denaro. Noi vogliamo fare il contrario: vogliamo proteggere le transazioni, ridurre le frodi, e farlo in maniera positiva. Vogliamo portare un messaggio positivo ai nostri clienti grazie al nostro lavoro di gruppo e alle nostre tecnologie.
Il cambio del brand è stato annunciato insieme al lancio di Trusted Identity Platform: in che modo si inserisce nella nuova filofofia di OneSpan?
Questo significa che possiamo offrire un’esperienza completa ai nostri clienti, grazie a una serie di nuovi tool. Il primo è quello che abbiamo chiamato Adaptive Identity Authentication, uno strumento che consente di scegliere il livello di autenticazione più adatto ad ogni tipo di transazione mentre la transazione viene eseguita.
Intelligent significa che utilizziamo un grande numero di parametri, che passo dopo passo ci conducono all’identificazione del livello di autenticazione necessario per quella specifica transazione o per firmare quel particolare documento.
Perchè si tratta di una soluzione unica? Prima di tutto perché è una soluzione Saas, cioè una soluzione cloud completa. In secondo luogo, ma non meno importante, perché la nostra tecnologia è la più avanzata possibile. Possiamo interagire molto facilmente con soluzioni di terze parti. Non è più necessario effettuare singolarmente ogni integrazione: siamo in grado di fornire una piattaforma che permette anche alle terze parti di raggiungere velocemente il mercato. Questo significa che i nostri clienti possono essere più rapidi nell’ottenere guadagni e nell’introdurre nuovi business, certi di avere tutto il nostro supporto.
Non solo: abbiamo anche acquisito Dealflo. Questo ci permetterà di arricchire la nostra piattaforma, nel più breve tempo possibile, con funzioni di e-signature e workflow management. In questo modo potremo davvero individuare step by step quali sono le necessità di identificazione del cliente. Il processo di identificazione può avvenire attraverso il riconoscimento facciale, attraverso elementi biometrici, ma anche attraverso soluzioni di terze parti. Abbiamo partnership importanti con Mitek e BehavioSec, per il riconoscimento comportamentale.
Tutto questo ci consentirà di applicare le nostre tecnologie ben oltre il campo delle Fintech, e di dare vita alla nostra trasformazione digitale. Questo è solo l’inizio di un nuovo viaggio, di una nuova era.
Sappiamo ovviamente che abbiamo anche un’eredità, i nostri clienti precedenti. Possiamo continuare a supportarli tutti.
Per quanto riguarda il mercato, al momento la nostra offerta è rivolta principalmente a banche di livello 2 e 3, ma possiamo lavorare anche con banche del livello 1 su richiesta. Tuttavia le nostre ricerche di mercato ci suggeriscono che le banche di livello 2 e 3 andranno sul cloud molto più velocemente, mentre quelle di livello 1 hanno dipartimenti IT più grandi, e quindi la transizione sarà più lenta.
Quali sono i parametri principali su cui si basa il vostro sistema di autenticazione?
Naturalmente il nostro sistema raccoglie una enorme quantità di dati, collegati al contesto o all’ambiente biometrico, o forniti da terze parti. Il punto di forza della nostra piattaforma è proprio quello di creare, per ciascun cliente, un insieme di regole specifiche per le sue esigenze di autenticazione. Si tratta di una soluzione multi-tenant. Offriamo anche delle soluzioni standard, che possono però diventare molto sofisticate se le banche le personalizzano e le parametrizzano. L’algoritmo è sempre lo stesso, a cambiare sono gli input che forniamo all’algoritmo, e le regole sulle quali di volta in volta si basa.
I parametri biometrici possono essere i più svariati: il sistema è in grado di riconoscere il modo in cui il cliente tiene in mano lo smartphone, in cui tocca il touch screen, la pressione che esercita. Tutti questi parametri cambiano molto da persona a persona, e possono essere combinati con altri – ad esempio la geolocalizzazione – per fornire un’autenticazione estremamente precisa.
Fino a che punto TID è sicura nel prevenire le frodi bancarie?
Sappiamo tutti che non esiste alcun modo di proteggere al 100% le transazioni, e che nessun singolo strumento può farlo. Piuttosto, noi diamo il nostro contributo ad un ecosistema di protezione, di cui costituiamo un tassello di elevatissima qualità. Insieme alle infrastrutture network e al sistema dei pagamenti, stiamo dando un grande contributo alla lotta alle frodi bancarie.
Il vostro sistema è basato sul machine learning: questo significa che diventerà sempre più sicuro col passare del tempo?
Sì e no. Questo ha più che altro a che vedere non tanto con il nostro sistema, quanto con l’evoluzione del machine learning. Il punto è sempre che quando si utilizza l’IA bisogna prima di tutto definire il proprio quadro di azione, il proprio obiettivo. Il nostro è quello di proteggere l’identità, proteggere le transazioni, e firmare documenti elettronici. Non facciamo nulla più di quello. Naturalmente, le banche possono decidere di utilizzare la nostra piattaforma all’interno di altri sistemi, il che rende ovviamente tutto molto più complesso.
Ovviamente, tutto dipende dal numero dei parametri: più parametri si aggiungono, più dati si raccolgono, maggiore è il livello di sicurezza. Ma questo dipende dai clienti, dai loro dipartimenti di sicurezza. Sono loro a decidere se utilizzare un livello di autenticazione più alto o più basso per ogni specifica operazione. Il nostro sistema può soddisfare ogni richiesta.
Ovviamente, se il cliente non sa quale strategia adottare, può sempre optare per le nostre soluzioni standard che funzionano molto bene: siamo sempre felici di condividere la nostra esperienza. Abbiamo più di 2000 banche come clienti, per cui siamo in grado di rispondere a tutte le domande e le esigenze tecniche relative alla sicurezza.
Il mondo delle frodi bancarie cambia molto velocemente. Tutti i dipartimenti IT ne sono consapevoli, o c’è della resistenza?
Si, il mondo cambia velocemente. Però devo dire che non diventa più complesso, semplicemente aumenta il numero di canali a cui prestare attenzione, il numero di vettori da cui gli attacchi possono provenire. L’aumento è esponenziale, ma ogni caso è a sé. Maggiore è il valore della transazione, o del documento da firmare, maggiore è il livello di sicurezza. Per questo non ci limitiamo a fornire la nostra piattaforma, ma possiamo anche dare al cliente delle componenti hardware specifiche come le schede PKI.
Ci sono migliaia di scenari differenti, e le nostre soluzioni sono modulari: con la giusta combinazione, siamo in grado di gestirli tutti. È il motivo per cui ci siamo fatti conoscere negli ultimi 20-25 anni.
Qual è il suo giudizio sul mercato italiano?
Il mercato italiano è molto interessante, ci sono molti nuovi progetti e molti investimenti nel campo della sicurezza. Ovviamente è anche un mercato molto particolare, come tutti i mercati europei, dal punto di vista normativo. Il regolatore ha sempre degli aspetti locali da tenere in considerazione, e noi abbiamo una soluzione per ciascuno di questi problemi. C’è molto potenziale.
Ci sono già delle banche in Italia che usano la vostra soluzione?
Sì certo, Banca Intesa, Banca Popolare di Milano e altre. Ma non tutte vogliono pubblicità su questo, anche banche molto grandi. È una questione di mentalità, vogliono mantenere il segreto. È una specificità europea, in Giappone ad esempio sono felici di parlare di queste cose.
Quale è stato l’impatto di PSD2 e GDPR?
Nel nostro caso è soprattutto l’evoluzione normativa più rilevante è la PSD2, che ha imposto nuovi obblighi di legge alle transazioni elettroniche. Pensiamo alla 2 factor authentication, che per noi in realtà è una cosa abbastanza ovvia, ma anche al modo di firmare le transazioni: alcuni dati specifici devono essere inclusi per legge, e noi abbiamo la soluzione perfetta per la compliance. Il GDPR anni fa sembrava avere una rilevanza europea, ma si è rilevato davvero globale. Anche in questo caso, abbiamo tutti gli strumenti per salvare i dati, conservarli, e riprodurli ogni volta che si renda necessario. Possiamo tenere traccia di ogni fase della firma digitale, di ogni dettaglio.
