Il progresso vertiginoso del FinTech e lo sviluppo di nuove funzionalità connesse – e complementari – alla fornitura di servizi di finanziamento hanno facilitato l’accesso al credito, ma di pari passo è cresciuto il numero di reati (e cyber-reati) economico-finanziari. Identificare i frodatori e contrastare il fenomeno è una condizione essenziale per lo sviluppo sostenibile del settore in quanto i danni, economici ma anche reputazionali, possono compromettere l’efficienza e l’efficacia di un’organizzazione nel perseguimento dei propri obiettivi di business. Ecco le difficoltà in questo senso introdotte dal GDPR e le possibili soluzioni tecnologiche.
FinTech, opportunità e rischi: la situazione attuale
Secondo il Parlamento europeo gli sviluppi in materia di FinTech possono condurre a notevoli benefici, tra cui servizi finanziari per i consumatori e le imprese migliori, più rapidi e meno costosi, contribuendo allo sviluppo e alla competitività del sistema finanziario e dell’economia europea.
Volgendo lo sguardo al mercato italiano è difatti possibile constatare come l’adozione delle innovazioni tecnologiche applicate ai servizi finanziari abbia determinato notevoli sviluppi in termini di business nel settore del credito, dei pagamenti e degli investimenti finanziari, favorendo l’avvicinamento e facilitando l’accesso al credito – soprattutto per i più giovani – e producendo un effetto significativo sui mercati finanziari, sulle istituzioni e sull’offerta di servizi.
Secondo una indagine conoscitiva di Banca d’Italia, gran parte degli operatori economici del mercato italiano sta effettuando o prevede di effettuare nel breve e medio termine investimenti in tecnologie e servizi FinTech, e tutti sono intensamente coinvolti in processi di modernizzazione e digitalizzazione per affermarsi in nuovi settori di mercato emergenti o per evitare l’erosione delle proprie quote di mercato a vantaggio delle new-entry internazionali.
L’immagine che emerge dall’analisi è quella di un sistema finanziario che appare pronto a coglierne le opportunità ove se ne delinei un quadro meglio definito, pur interrogandosi ancora sui potenziali rischi e benefici.
Gli operatori, senza dubbio interessati al FinTech, procedono in maniera cauta anche per via della percezione di mercato secondo cui tali progetti innovativi comportano un elevato rischio reputazionale, strategico o operativo.
Proprio il Parlamento europeo osserva che la fiducia del pubblico nelle tecnologie interessate è fondamentale per la futura crescita del settore FinTech e nella recente Risoluzione in materia di blockchain del 3 ottobre, invita la Commissione a valutare ed elaborare un quadro giuridico europeo, al fine di risolvere eventuali problemi che potrebbero sorgere in caso di situazioni fraudolente o reati.
Le esigenze di sicurezza e protezione dei dati comportano la necessità di un rafforzamento dei controlli sul software o sui processi, l’upgrade dei framework di IT Risk Management, l’adozione di procedure di privacy by design e lo svolgimento delle opportune valutazioni d’impatto, conseguentemente facendo lievitare gli investimenti necessari.
Il trade-off esistente tra la facilità d’uso per il cliente e il probabile incremento dei rischi di frode è considerato un fattore ostativo all’adozione di soluzioni FinTech, eppure, a ben vedere proprio la digitalizzazione delle infrastrutture e l’implementazione di nuove tecnologie potrebbero offrire una soluzione per mitigare i rischi informatici e limitare le vulnerabilità dettate dal fattore umano.
Le soluzioni tecnologiche per contrastare le frodi
In base alle risultanze del Global Economic and Fraud Survey 2018 di PwC, il 23% delle aziende italiane dichiara di aver subito reati economico finanziari negli ultimi 24 mesi e nel solo 2017 sono state scoperte oltre 26.600 frodi creditizie, per una perdita di oltre 153 milioni di euro, con una crescita preoccupante tra gli under 30 (+9,3%) e le donne, secondo quanto emerge dal report dell’Osservatorio CRIF – Mister Credit.
Secondo i dati, il prestito finalizzato risulta essere la tipologia di finanziamento maggiormente esposta alle frodi, perpetrate tramite il furto d’identità.
La riservatezza dei documenti d’identità è messa a repentaglio dal proliferare di tecniche sempre più raffinate e articolate per commettere azioni fraudolente e dalla scarsa privacy awareness dei consumatori, che condividono con poca accortezza i propri dati personali.
Risulta pertanto di fondamentale importanza innovare i meccanismi e i sistemi antifrode anche attraverso tecnologie evolute, al fine di intercettare i tentativi di furto d’identità per prevenire il rischio ed evitare di incorrere nelle insidiose conseguenze negative ulteriori: oltre alla perdita economica infatti le frodi possono comportare ispezioni o addirittura sanzioni delle autorità e deteriorare le relazioni con clienti, partners e fornitori, con un potenziale impatto reputazionale e ricadute immediate sulla fiducia da parte dei mercati.
In tal senso, anche le tecnologie di fraud prevention, detection e governance diventano sempre più articolate e raffinate. Grazie all’Intelligenza Artificiale e al Deep Learning ad esempio, oggi è possibile:
- scovare pattern nascosti grazie a tecniche di data augmentation in grado di scoprire nuovi significati nei dati stessi e di trarne da fonti esterne quali banche dati e social networks;
- individuare prassi comportamentali ricorrenti nei soggetti frodatori tramite strumenti di Behavioral Analytics;
- identificare potenziali documenti di identità falsificati, tramite analisi dei connotati facciali dei soggetti a rischio.
Affiancando i meccanismi già in uso, che identificano le frodi tramite regole deterministiche di monitoraggio basate su eventi passati, la moltitudine di Big Data raccolti viene analizzata in tempo reale tramite algoritmi predittivi basati su sistemi di cognitive computing in grado di individuare le deviazioni dai pattern abituali di comportamento intercettando una varietà maggiore di attacchi e rilevando velocemente nuovi fenomeni di frode.
Soluzioni possibili per il dilemma del dato biometrico
Elemento ricorrente delle frodi creditizie è il furto d’identità: durante il processo di contrattualizzazione, i frodatori forniscono documenti con dati anagrafici reali riferiti a terzi ignari la cui identità viene illecitamente utilizzata sostituendo l’immagine facciale presente sui documenti con la propria.
Questa pratica può essere contrastata grazie all’impiego di sistemi in grado di identificare e riconoscere le immagini facciali dei frodatori seriali, che utilizzano la propria immagine falsificando molteplici documenti di identità per ottenere finanziamenti da operatori diversi o presso filiali diverse dello stesso operatore.
Tuttavia l’utilizzo di tali sistemi può comportare il trattamento di dati biometrici, rispetto ai quali il GDPR prevede un apposito divieto (con alcune eccezioni), in quanto recano informazioni uniche sulla persona da cui sono estratti per via della loro capacità identificativa connessa a caratteristiche personalissime e difficilmente modificabili o occultabili. Pertanto l’utilizzo dei dati biometrici nel contesto descritto, non potendosi basare sul legittimo interesse, renderebbe necessario l’ottenimento di uno specifico consenso da parte dell’interessato, che per ovvie ragioni sarebbe scarsamente incline a concederlo.
Con specifico riguardo alla tecnologia di facial recognition, occorre tuttavia rilevare che, come precisato al considerando 51 del GDPR, il trattamento dell’immagine facciale rientra nella definizione di dati biometrici soltanto quando effettuato attraverso un dispositivo tecnico specifico che consente l’identificazione univoca o l’autenticazione di una persona fisica.
Difatti come previsto dal Gruppo di Lavoro ex.art 29 nell’ Opinion 4/2007 occorre operare una distinzione tra dati biometrici (come un’impronta digitale) e fonti da cui i dati biometrici sono semplicemente estratti (come un dito): se un soggetto posta una sua foto, video o registrazione vocale sui social media non si verifica il trattamento di dati biometrici, ma tale file non può essere ulteriormente trattato per derivarne un modello biometrico senza una specifica base legale (ad esempio se l’interessato presta il consenso affinché la sua immagine facciale venga processata tramite un algoritmo per taggarlo automaticamente in tutte le foto in cui compare).
Contrastare le frodi senza violare il GDPR
Esiste però una soluzione per contrastare le frodi efficacemente ed in conformità con il GDPR: grazie ad una commistione di argomentazioni giuridiche nelle opportune valutazioni d’impatto privacy e alla predisposizione di apparati tecnologici con un approccio privacy by design, è possibile effettuare un confronto delle immagini facciali che non comporti l’identificazione univoca dei soggetti. Come precisato dal Garante infatti, il presupposto perché il trattamento delle immagini possa essere qualificato come trattamento biometrico è che i confronti finalizzati al riconoscimento dell’individuo siano automatizzati mediante l’ausilio di appositi strumenti software o hardware. Tramite la predisposizione di algoritmi per il raffronto tra le immagini e la previsione di interventi umani ad hoc in grado di non rallentare i processi è pertanto possibile aumentare il tasso di riconoscimento dei frodatori seriali, senza doverne raccogliere il consenso ed in conformità con i requisiti di legge.
Auspicabilmente il legislatore europeo interverrà a breve per introdurre un quadro giuridico in grado di eliminare gli ostacoli allo sviluppo del settore FinTech, nel frattempo però soluzioni innovative valide possono permettere agli operatori di investire nello sviluppo di servizi finanziari garantendo la sicurezza dei dati personali.
