Come il machine learning può prevenire il furto d’identità

Le frodi online sono da sempre un tema molto sensibile per tutto l’ecosistema Ecommerce e il 2021 in Europa ha segnato una svolta epocale in questo ambito con l’attuazione della normativa PSD2 che, con la diffusione della Strong Customer Authentication (SCA), ha introdotto nuovi strumenti per contrastare questo fenomeno.

Tra le truffe online più comuni che interessano il settore Ecommerce ci sono il furto d’identità (in inglese identity fraud o identity theft), definizione che identifica le frodi tramite le quali vengono carpiti dati di persone esistenti, e le frodi con identità sintetiche o combinate (synthetic identity fraud) ossia truffe realizzate con identità fittizie generate dalla combinazione dei dati di persone reali e dati artefatti.

Come approfondito nel whitepaper “Cyber-crime e frodi online: sfida per tutto l’ecosistema”, la frode con identità sintetica è solitamente caratterizzata dalla combinazione di diverse informazioni carpite anche a più persone (indirizzi, numeri di previdenza sociale, nomi reali, ecc.), senza il loro consenso, associate ad altre generate ad-hoc per creare nuove identità utili a perpetrare atti illeciti, online e off-line.

Uno studio di LexisNexis® Risk Solutions pubblicato nel 2021¹ ha evidenziato dati poco incoraggianti su questo tema: al primo posto delle frodi che hanno generato le perdite maggiori agli Ecommerce statunitensi nel corso dell’anno passato ci sono proprio le synthetic identity fraud, con il 30% dei volumi totali. Nel 2020, il 45% delle perdite dovute a frodi finanziarie nel Regno Unito, che hanno raggiunto un totale di 1,26 miliardi di sterline, è attribuibile al furto di informazioni sulle carte di pagamento, che è un tipo di frode d'identità. ²

Se guardiamo la situazione all’interno dei confini italiani, i dati confermano la gravità del problema anche nel nostro Paese. Le notizie di furti di identità ai danni dei consumatori non sono infrequenti³ e inficiano anche sulla percezione dei consumatori nei confronti della sicurezza del commercio elettronico. A conferma di quanto scritto, dal 1° Rapporto Censis-DeepCyber sul valore della cybersecurity⁴ pubblicato ad aprile 2022 emerge che quattro italiani su cinque temono di perdere online le proprie informazioni personali a partire dal furto d’identità. Non solo, quasi il 14% degli italiani ha subito un furto di dati personali o la condivisione non autorizzata di foto o video e oltre il 17% si è visto addebitare acquisti online di terzi sulla propria carta di credito.

Le frodi online e il furto di identità in particolare rappresentano un punto di attenzione a livello globale. In questo insight, esaminiamo come sia possibile prevenire queste attività fraudolente, con un focus sulle potenzialità dell'apprendimento automatico implementato nelle soluzioni di rilevamento delle frodi sintetiche.

Differenza tra friendly-fraud, furto d’identità e frode sintetica

Ciò che accomuna questi tre tipi di frode sono l'aspetto della falsa rappresentazione e l'intenzione di ingannare. La friendly-fraud (nel mondo anglosassone anche detta first-party fraud o bust-out fraud) viene realizzata dai clienti stessi che sfruttando strumenti leciti, come il chargeback, ottengono benefici ai danni dell’esercente. Tra gli esempi più comuni ci sono la falsa dichiarazione di merce non ricevuta, a cui segue la richiesta di rimborso di quanto speso, oppure dichiarazioni mendaci, per esempio in fase di richiesta di prestiti online. Questa specifica forma di truffa online non rientra tra quelle relative al furto di identità ma si tratta in ogni caso di una pratica ad esse riconducibili, considerato che sfruttano elementi di falsa rappresentazione dell’utente.

• Il furto d’identità viene attuato da un truffatore che travisa la propria identità, personificando un’altra persona, trafugandone direttamente i dati personali o acquisendoli da intermediari, per trarne un vantaggio economico o di altra forma. Acquisti online, registrazioni a servizi e piattaforme e la vendita stessa dei dati carpiti sono solo alcune delle motivazioni che spingono i cyber-criminali a realizzare queste attività criminose.
• Il furto di identità sintetico (Synthetic Identity Theft o semplicemente SIF) è la forma più complessa e può eludere molte tecnologie tradizionali di prevenzione frodi, perché la falsa identità viene costruita combinando informazioni riconducibili a persone reali a dati completamente fittizi. Più difficile da identificare, questa truffa viene sempre più preferita ad altre tipologie proprio perché garantisce una probabilità maggiore di successo, anche considerato che le tecniche per costruire le identità false sono sempre più sofisticate e generano profili sempre più credibili.

Apprendimento automatico e trend delle frodi nel 2022

Tra le novità più recenti e più diffuse nella protezione dal furto d'identità c’è il machine learning, soprattutto nel contrasto delle frodi ai danni di istituzioni finanziarie e siti Ecommerce. Gli algoritmi di apprendimento automatico vengono utilizzati in finanza per rilevare e prevenire attività fraudolente oltre che per automatizzare controlli e processi manuali; quest'ultimo aspetto (automazione dei processi) è l'uso più comune del machine learning al giorno d'oggi. Tuttavia, il vantaggio principale dell'apprendimento automatico implementato nei servizi di protezione dell'identità è che l'intelligenza artificiale diventa sempre più sofisticata e smart e ottiene prestazioni migliori quanto più viene utilizzata e quanto maggiore è l'esposizione ai dati e agli attacchi di frode, imparando attraverso l'analisi di milioni di set di dati in un breve periodo di tempo, senza una programmazione complessa preliminare.

L'intelligenza artificiale avanzata e l'apprendimento automatico sono ampiamente utilizzati con successo nella biometria. Il machine learning, per esempio, riesce a riconoscere le immagini false, come i selfie dei clienti con un documento d'identità in mano, e ultimamente viene utilizzato da molte banche nel mondo come verifica dell'identità del cliente. Questa tecnologia è in grado di riconoscere quando la fotografia è stata costruita ad arte e se ci sono discrepanze nelle informazioni fornite.

Un altro uso dell'apprendimento automatico nella finanza e nel retail che sta riscontrando sempre più successo, per esempio ai controlli di frontiera negli aeroporti o nelle banche di tutto il mondo, è quello dei tag NFC (Near Field Communication). Nella protezione dell'identità, questa tecnologia aiuta ad autenticare l'identità e a verificare se il documento è in possesso del legittimo proprietario. Il documento d'identità dotato di chip NFC, accompagnato da una foto del proprietario, è tutto ciò che serve al machine learning per prevenire una frode in tempo reale.

L'apprendimento automatico nei servizi e nelle soluzioni di protezione dell'identità aiuta a identificare facilmente modelli di synthetic fraud che sono molto difficili da rilevare utilizzando soluzioni tradizionali e soprattutto manualmente. Questo accade perché il machine learning non agisce secondo le regole preimpostate nel rilevamento delle frodi, ma in base ai comportamenti dell’utente. Le soluzioni dotate di questa tecnologia effettuano controlli incrociati sui dati disponibili internamente e online e predicono con grande precisione gli esiti delle azioni, grazie alla storia comportamentale e a milioni di set di dati raccolti nel tempo.

Frodi online: perché è importante essere aggiornati sul tema

Durante la pandemia mondiale le frodi sono cresciute a dismisura, a causa del boom dell'Ecommerce che ha visto crescere il numero di consumatori che si sono avvicinati per la prima volta al commercio elettronico. I criminali informatici si sono dimostrati più incisivi e hanno iniziato a cercare nuovi modi per sottrarre fondi alle loro vittime.

Questa ondata di cyber-crime ha generato un incremento delle iniziative con l’obiettivo di contrastare il fenomeno, sia nell’ambito privato sia in quello pubblico. L’Unione europea ha aumentato gli sforzi in favore della lotta al cyber-crimine; la comunicazione congiunta al Parlamento e al Consiglio Europei “The EU's Cybersecurity Strategy for the Digital Decade” ha riconosciuto la cybersecurity come parte integrante della sicurezza dell’Unione: che si tratti di dispositivi connessi, banche, pubbliche amministrazioni o ospedali, tutta la popolazione ha il diritto di fruire di servizi con la sicurezza di essere protetta da eventuali minacce digitali. ⁵

Nonostante gli sforzi di tutti gli organi istituzionali e delle aziende private del settore della lotta al crimine informatico, i cittadini europei mostrano ancora diffidenza nei confronti dell’ecosistema digitale, soprattutto in tema di gestione dei dati. È quanto emerge da “Crime, safety and victims' rights”, uno studio pubblicato a febbraio 2021 dall’Agenzia europea per i diritti fondamentali (FRA) e basato su un sondaggio svolto nei 27 Paesi dell’Unione, Regno Unito e Macedonia del Nord, nel periodo gennaio – ottobre 2019 che ha coinvolto circa 35.000 rispondenti. Nella ricerca, che include alcune domande relative alle frodi subite dai consumatori su carte di credito e online banking emergono, l’8% degli intervistati europei afferma di aver subito almeno una frode online negli ultimi 5 anni, dato che scende al 3% se si prendono come riferimento i 12 mesi precedenti.

In Italia è il sito della Polizia di Stato a fornire un quadro generale sul problema. Il Report 2020 sulla situazione delle minacce e delle truffe sul web nel nostro Paese ha evidenziato che durante il primo anno di pandemia le truffe online sono aumentate, avvicinandosi a 100mila. La Polizia postale ha poi concluso 14 indagini anche sul dark web, sia in Italia sia all'estero, con un aumento del 132% dei casi trattati, del 93% di indagati, dell’86% di arresti e del 48% di perquisizioni, registrando anche un incremento del 69% di materiale sequestrato.

È evidente, dunque, quanto siano necessarie soluzioni immediate e innovative che garantiscano la protezione e la sicurezza dei clienti, delle aziende e della pubblica amministrazione. La risposta più recente ed efficace arriva dalle piattaforme di orchestrazione dei pagamenti (payment orchestration) che, grazie alla gestione multi-provider per tutte le fasi del pagamento, sono in grado di contrastare le frodi online adattandosi ad un contesto sempre più internazionale e variegato, anche nell’ambito dei crimini informatici. Intelligenza artificiale, machine learning, smart routing, multi-acquiring e la possibilità di integrare  più provider per lo stesso servizio (per esempio proprio per prevenzione frodi e autenticazione forte) sono solo alcune delle frecce che le soluzioni di payment orchestration hanno al proprio arco.

Gli strumenti resi disponibili dall’orchestrazione dei pagamenti permettono agli esercenti di prevenire in modo puntuale eventuali frodi ai loro danni a quelli dei loro clienti. Gestire mercati geografici adottando acquirer specifici, che garantiscono per quel mercato un numero più elevato di pagamenti andati a buon fine, poter scegliere provider specifici per l’analisi di rischio delle transazioni (TRA) o per la Strong Customer Authentication, ottimizzando l’uso delle esenzioni previste dalla PSD2, sono due esempi tangibili di come la payment orchestration può essere efficace in termini di prevenzione, riducendo le perdite e ottimizzando le vendite per offrire un’esperienza d’acquisto ottimale ai propri clienti.