Trust, privacy and security

Il settore dei pagamenti, e in generale il settore finanziario, si contraddistinguono per operare con dati sensibili. Quindi è opportuno che i fornitori di servizi finanziari siano affidabili per i clienti. A minare la sicurezza del sistema è la precarietà del device di riferimento, infatti, Lee e Shin (2018), asseriscono che «for fintech applications, critical information may be stored on mobile devices then oftentimes get

lost or stolen180_{». Quindi, affinché un sistema FinTech risulti credibile è indispensabile che siano}

sviluppate opportune misure allo scopo di proteggere le informazioni e i dati.

Con l’obiettivo di fornire un servizio di pagamenti mobile FinTech in modo sicuro e conveniente durante la crescita rapida del mercato dei servizi di pagamento mobile, è necessario definire dei vincoli e classificare le sfide in tema di sicurezza.

Dato che i servizi di pagamento riguardano direttamente i beni patrimoniali degli utilizzatori, uno dei requisiti fondamentali affinché si valorizzi il sistema del mobile payment è la sicurezza. Quindi queste informazioni sensibili non devono trapelare ed essere esposte ad assalitori maliziosi; per l’appunto i servizi di pagamento mobile devono essere costruiti assicurando la sicurezza dei dati sia nell’hardware che nel software, e anche se molteplici pagamenti sono stati compiuti con lo stesso servizio di pagamento, le informazioni riguardanti il metodo di pagamento non devono essere esposte a terze parti non autorizzate. Anche dalle informazioni usate durante l’uso del servizio di pagamento Fintech mobile, l’utilizzatore o le sue informazioni non devono essere esposti. Se i device non sono forniti dei servizi di pagamento sicuri, non solo possono provocare danni monetari agli utilizzatori ma anche invadere la loro privacy.

I fornitori di applicazioni di pagamento mobile devono essere affidabili per i clienti, in quanto non abusano delle informazioni della carta di credito o di debito. In secondo luogo, la privacy del cliente deve essere preservata quando queste transazioni sono registrate, al fine di consentire che le cronologie di credito e i modelli di consumo del cliente siano utilizzabili per indagini pubbliche. I

180 _{Lee, I., & Shin, Y. J. (2018). Fintech: Ecosystem, business models, investment decisions, and}

83

pagamenti mobili devono essere anonimi allo stesso modo delle transazioni in contanti. In terzo luogo, il sistema dovrebbe essere infallibile e resistente agli attacchi di hacker e cyberterroristi. Come evidenziato in Figura 22 vi sono alcune situazioni che mettono alla prova la sicurezza dei servizi di pagamento mobile fintech. Tra queste vi sono:

- Autenticazione reciproca. Nei servizi di pagamento fintech mobile, la mutua autenticazione tra il fornitore del servizio di pagamento e le esistenti infrastrutture finanziarie, deve essere conclusa prima di compiere il pagamento. L’assenza di un’autenticazione reciproca può provocare danni finanziari gravi non solo agli utilizzatori e al servizio soggetto, ma anche alle istituzioni finanziarie di pagamento. Se un assalitore assume l’identità dell’utilizzatore del mobile ha la facoltà di diffondere false informazioni di pagamento al provider per consentire l’approvazione ai pagamenti, e, se assume l’identità del servizio soggetto, i pagamenti possono essere ricevuti dagli utenti e non fornire il servizio. Poiché i servizi di pagamento mobile fintech, non sono effettuati solo face to face, ma anche da remoto, oltre agli utenti devono essere autenticati anche i device. Al contempo, se le procedure di mutua autenticazione diventassero complesse, si creerebbero dei sistemi di pagamento Fintech mobile più complessi rispetto a quelli tradizionali, e ciò implicherebbe una riduzione in termini di comodità, declinata come uno dei requisiti indispensabili nei servizi di pagamento mobile. Grazie ai recenti sviluppi tecnologici, il sistema di autenticazione sta divenendo più comodo e semplice, soprattutto a seguito dell’introduzione delle tecnologie biometriche, come l’impronta digitale o il riconoscimento dell’iride, che hanno avuto successo e sono già inseriti negli hardware.

- Autorizzazione. I pagamenti fintech mobile devono essere accessibili solo agli utilizzatori autorizzati e anche lo scambio di informazioni per i pagamenti deve essere accessibile solo a questi. Anche i soggetti di pagamento non devono essere in grado di vedere altre informazioni rispetto a quelle approvate, anche se stanno partecipando ad un processo di pagamento. Ad esempio, gli utilizzatori devono fornire delle password per le informazioni sul metodo di pagamento al fornitore del servizio per procedere con il pagamento mobile, ma le informazioni di pagamento sensibili possono essere viste solo dalle istituzioni finanziarie. Se l’autorizzazione sulle informazioni non è fornita in modo appropriato ai soggetti di pagamento, gli hacker possono facilmente intercettare le informazioni di pagamento degli utilizzatori senza una autenticazione reciproca e, soprattutto, possono controllare le informazioni.

- Integrità. Se le informazioni di pagamento o le informazioni scambiate dallo strumento mobile per compiere pagamenti sono modificate da aggressori o fattori esterni, ciò può

84

arrecare un danno diretto alle risorse finanziarie dell’utente. Inoltre, a differenza dell’attuale incasso di un assegno, i servizi di pagamento mobile effettuano transazioni attraverso lo scambio di valuta digitale, e ciò implica che non è possibile avvisare gli utenti immediatamente riguardo al danno subito. Quindi se l’integrità non è mantenuta, gli utilizzatori possono continuamente essere esposti a perdite ripetute. Per l’appunto, per provare sia agli utenti che al servizio di pagamento che i normali pagamenti sono stati compiuti in modo tradizionale, è necessario essere in grado di provare l’integrità del pagamento.

- Privacy. Se degli aggressori possono scoprire le informazioni o i modelli di pagamento degli utenti, oltre al danno finanziario nei confronti degli utilizzatori e dei soggetti di pagamento, compie anche un’invasione della privacy. Infatti, i pagamenti con mobile passano attraverso il servizio di pagamento di un’organizzazione IT, piuttosto che direttamente attraverso un’istituzione finanziaria, ciò implica che, a prescindere dal volere degli utilizzatori, le informazioni sui pagamenti possono essere inviate a tutti i soggetti partecipanti al pagamento, e ciò può nuocere alla privacy degli utenti stessi. Le informazioni utilizzate nei pagamenti devono essere inviate criptate, divise per scopo e sensibilità, e i soggetti di pagamento non devono avere la facoltà di estrarre informazioni, ad esclusione del minimo necessario per procedere con il pagamento. Per esempio, quando un utilizzatore paga per un servizio usando le informazioni di una carta, i dettaglianti non devono sapere le informazioni della carta e il circuito di pagamento non deve conoscere i movimenti effettuati dall’utente. Al fine di proteggere la privacy, negli ultimi anni si sono diffuse le carte one-time, le quali generano nuovi codici ogni volta che si effettua un trasferimento, o i token, ormai verso il disuso, i quali generavano un codice diverso ogni volta che doveva essere effettuato un pagamento.

- Atomicità. Il servizio di pagamento fintech mobile può veicolare completamente un pagamento o non farlo affatto. Grazie al miglioramento della tecnologia i metodi di pagamento sono stati semplificati, ma a causa dell'aumento dei soggetti che partecipano al processo di pagamento, è diventato più complesso. Durante la transazione, se il trasferimento viene interrotto da fattori esterni o errori interni, anche se l'utente ha tentato il pagamento, il soggetto della determinazione potrebbe non ricevere correttamente la richiesta di pagamento, e l'utente potrebbe non essere in grado di ricevere il servizio anche in seguito all'elaborazione dell’operazione; oppure il fornitore del servizio potrebbe non ricevere il pagamento anche dopo aver fornito il servizio. I fornitori di servizi di pagamento mobile fintech devono fare in modo che il pagamento venga effettuato solo quando il

85

processo di pagamento è completamente condotto dall'inizio alla fine, in modo da prevenire questo tipo di danni e deve indicare ai soggetti partecipanti che il pagamento è stato effettuato con successo.

- Disponibilità. I servizi di pagamento fintech mobile operano una semplificazione del servizio e, inoltre, espandono le competenze disponibili rispetto ai tradizionali servizi di pagamenti; ciò però non deve prevedere una minore sicurezza nella fornitura del servizio. Pur mantenendo lo stesso livello di sicurezza, deve avere la disponibilità di poter effettuare il pagamento in qualsiasi momento e ovunque. Comunque, poiché tale sistema disintermediato ha eliminato o limitato il passaggio attraverso le istituzioni finanziarie, non è sempre possibile mantenere il livello di sicurezza garantito dai normali sistemi di pagamento. Inoltre, se per mantenere il pagamento sicuro sono richieste agli utilizzatori varie procedure di sicurezza, può diminuire la comodità rispetto a quella dei servizi di pagamento tradizionali. I servizi di pagamento Fintech mobile devono, quindi, mettere a disposizione del cliente un servizio che soddisfi sia la sicurezza richiesta, sia la comodità degli utilizzatori.

«In order for a mobile payment service to be securely provided, it must have mutual authentication, authorization,

integrity, privacy, atomicity, and availability as mentioned above181_{» Kang (2018). Difatti, come definito in}

precedenza, i servizi finanziari sono contraddistinti da maggiore rigore che altri servizi, perché riguardano direttamente le informazioni finanziarie degli utenti e un errore potrebbe arrecare un danno patrimoniale. Quindi le aspettative del consumatore, anche in termini di sicurezza del servizio offerto, sono aumentate, e risulta opportuno soddisfare determinati standard, senza incorrere nel personalization paradox, infatti «maggiore è il grado di personalizzazione sperimentata da un individuo e maggiore è la fiducia che questo ripone nel brand. Nel caso contrario, se il cliente ha la percezione che l'utilizzo dei propri dati personali non è trasparente, la fiducia nel brand è subito messa in discussione causando l'allontanamento del cliente182_».

Una ricerca condotta da EY indica che i non adottanti delle tecnologie FinTech scelgono di rimanere con i servizi finanziari tradizionali perché nutrono maggiore fiducia nei loro confronti. Sebbene, quasi la metà (46%)183 _{degli adottanti si senta a proprio agio con la condivisione dei propri} dati bancari da parte del proprio istituto bancario con altre organizzazioni bancarie, al fine di ricevere offerte migliori su prodotti o servizi, meno di un quarto (23%) condividerebbe i dati con

181 _{Kang, J. (2018). Mobile payment in Fintech environment: trends, security challenges, and}

services. Human-centric Computing and Information Sciences, 8(1), 1-16.

182 _{KPMG, (2019), L’eccellenza della customer experience}

86

società di servizi non finanziari. Questo divario gioca a favore degli incumbent e delle FinTech, a discapito delle società che producono servizi non finanziari. Queste sono in grado di migliorare l’innovazione tecnologica, ma non ispirano fiducia nell’utente nel caso di fornitura di prodotti e servizi finanziari. Tuttavia, il 68% degli intervistati sarebbe disposto a prendere in considerazione un prodotto di servizi finanziari offerto da società il cui core business non sia servizi finanziari.