La soluzione di Ping Identity: Strong Authentication basata su rischio, analisi di contesto, device e comportamento.
Introduzione
Nel contesto bancario attuale, la sicurezza delle transazioni digitali è una priorità assoluta. Le frodi informatiche rappresentano una minaccia crescente sia per le istituzioni finanziarie sia per i clienti, con tecniche sempre più sofisticate che mettono a rischio dati sensibili e patrimoni. In questo scenario, l’adozione dell’autenticazione multifattore (MFA) è diventata uno standard di riferimento; tuttavia, le architetture MFA tradizionali basate su OTP, SMS o semplici notifiche push mostrano limiti strutturali di fronte alle moderne strategie di attacco. Tecniche come Adversary in the Middle (AiTM) e phishing con reverse proxy consentono agli attaccanti di intercettare in tempo reale credenziali, codici MFA e token di sessione post autenticazione, ottenendo accesso completo agli account senza ulteriori interazioni dell’utente. A questi si aggiungono attacchi di MFA fatigue (push bombing), SIM swap e token hijacking, che sfruttano fattori “phishable” e comportamenti umani prevedibili. Il risultato è che, anche in presenza di MFA, l’account takeover rimane una minaccia concreta se i controlli di autenticazione non sono adattivi, contestuali e resistenti al phishing.
Cos’è l’MFA adattivo?
In risposta a questo scenario, si rende necessaria un’evoluzione dell’autenticazione verso modelli di MFA adattivo e risk based, in cui il fattore di autenticazione non è statico ma dinamicamente orchestrato in funzione del rischio contestuale della singola transazione. L’MFA adattivo integra in tempo reale segnali eterogenei come profilo comportamentale dell’utente, fingerprint del dispositivo, caratteristiche della rete (IP reputation, ASN, geolocalizzazione), stato della sessione, continuità del contesto e integrità del canale, per calcolare un risk score continuo lungo l’intero ciclo di vita della sessione. In presenza di indicatori anomali (token replay, cambio improvviso di device, proxy sospetti, pattern tipici di AiTM), il sistema è in grado di effettuare un’azione di step up selettivo, richiedendo fattori phishing resistant, vincolati crittograficamente al dominio e al dispositivo, oppure di bloccare la sessione prima che l’accesso venga sfruttato. In questo modello, l’autenticazione non è più un evento puntuale ma un processo continuo di verifica dell’identità, progettato per prevenire l’account takeover anche quando le credenziali e i fattori statici risultano tecnicamente compromessi.
Dalla sessione al bonifico: l’MFA adattivo contro l’escalation fraudolenta
Nel contesto bancario, l’MFA adattivo consente di applicare controlli di sicurezza granulari e progressivi lungo l’intero percorso dell’utente, differenziando nettamente il livello di protezione tra accesso e operazioni dispositive. Un primo login a basso rischio (utente abituale, dispositivo già registrato, continuità di rete e comportamento coerente) può essere autorizzato con un fattore forte ma a frizione minima, mentre la stessa sessione viene costantemente rivalutata tramite continuous risk assessment. In caso di transazione critica (es. inserimento di un bonifico, incremento dell’importo, modifica dell’IBAN beneficiario o variazione dei limiti operativi), il sistema ricalcola il rischio considerando indicatori specifici di frode bancaria. Al superamento di soglie dinamiche, l’MFA adattivo applica uno step up mirato oppure attiva meccanismi di interdizione preventiva, come la sospensione dell’operazione e la revoca della sessione. In presenza di pattern tipici di frodi di escalation — ad esempio una catena login legittimo → presa di controllo silente → modifica beneficiario → bonifico immediato — l’autenticazione diventa un controllo transazionale, integrato nei motori antifrode, capace di interrompere la kill chain anche quando le credenziali e l’MFA tradizionale risultano formalmente validi.
Ping Identity: la soluzione basata su rischio
Tra le soluzioni leader di mercato, Ping Identity si colloca come piattaforma progettata per implementare modelli di autenticazione adattiva, continua e phishing resistant, integrati nei flussi transazionali ad alto rischio tipici del settore bancario. La piattaforma consente di orchestrare autenticazione, autorizzazione e gestione della sessione come controlli dinamici di rischio, superando il paradigma dell’MFA statico e puntuale. La stretta integrazione con meccanismi phishing resistant (es. FIDO2/WebAuthn), session binding, e continuous access evaluation permette di neutralizzare vettori avanzati come AiTM, token replay e takeover post autenticazione, interrompendo la fraud kill chain prima che si traduca in perdita economica. In questo modo, l’identità diventa un controllo di sicurezza attivo e contestuale, allineato ai requisiti di resilienza operativa e riduzione delle frodi richiesti alle moderne istituzioni finanziarie.
Vantaggi per banche e clienti
- Riduzione delle frodi fino al 40%, su specifici vettori di attacco
L’adozione di controlli risk based e adattivi (autenticazione continua, behavioral analysis, device binding) consente di interrompere l’account takeover e le frodi transazionali nelle fasi di escalation, riducendo fino al 40% le attività fraudolente intercettate rispetto a controlli statici.
- Esperienza utente ottimizzata senza compromessi di sicurezza
L’MFA adattivo riduce drasticamente le challenge inutili, intervenendo solo quando il rischio contestuale supera soglie dinamiche. Questo approccio limita il fenomeno di MFA fatigue, migliora la continuità dei flussi digitali e mantiene elevata l’adozione dei canali digitali senza introdurre attrito sistematico
- Allineamento ai requisiti regolatori e di resilienza operativa
L’uso di autenticazione adattiva e phishing resistant supporta in modo diretto i requisiti di DORA, PSD2/PSD3, NIS2 e GDPR, introducendo controlli proporzionati al rischio, tracciabilità delle decisioni di accesso e capacità di risposta preventiva alle minacce identitarie
Conclusioni
L’adozione di un sistema di autenticazione MFA adattivo come quello di Ping Identity consente alle banche di trasformare l’identità digitale in un controllo di rischio continuo, esteso dal login alle operazioni dispositive. Grazie alla valutazione contestuale in tempo reale, a fattori phishing resistant e alla protezione della sessione, la piattaforma permette di intercettare e bloccare le principali dinamiche di account takeover ed escalation fraudolenta senza compromettere l’esperienza degli utenti legittimi. In linea con le evidenze di settore, questo approccio consente riduzioni fino a ~40% delle frodi o dei falsi positivi rispetto a modelli MFA statici, rafforzando al contempo resilienza operativa, compliance normativa e fiducia del cliente.
Consulta la nostra pagina: https://bludis.it/prodotto/ping-identity/ e contattaci per maggiori informazioni. Invia una e-mail a marketing@bludis.it
