Sepa cómo Raiffeisen Italia logró la autenticación móvil y el blindaje de aplicaciones móviles en conformidad con la PSD2
Raiffeisen Italia es la organización que engloba a 40 entidades de Raiffeisen Bank en la provincia italiana de Tirol del Sur. Alexander Kiesswetter, el director de tecnologías de la información del sistema de información de Raiffeisen encargado de supervisar los servicios de TI de estos bancos miembro, modernizó el sistema de autenticación de Raiffeisen Italia para lograr su conformidad con la directiva de servicios de pago revisada (PSD2). Como parte de esa iniciativa, Raiffeisen Italia presentó una aplicación móvil autónoma que autentica y protege a los usuarios, diseñada con OneSpan Mobile Security Suite y con la marca blanca de Raiffeisen.
Aunque el principal factor fue la conformidad con la PSD2, la rápida adopción de la banca digital y móvil hizo que para Raiffeisen Italia sea importante ofrecer seguridad robusta y una experiencia de usuario más sencilla. En términos simples, los clientes ya no querían usar la tarjeta bancaria y un token para cada pequeña transacción, sino que preferían autenticarse a través del dispositivo móvil.
“La prioridad para los dispositivos móviles es una parte importante de nuestra estrategia de transformación digital. Por primera vez, teníamos una solución que nos permitía mover servicios completamente al teléfono inteligente sin usar otras herramientas de hardware para la autenticación. Ahora podemos usar no solo el PIN para la autenticación, sino además Face ID y Touch ID”, afirma Alexander Kiesswetter.
Requisitos de conformidad con la PSD2
Como director de tecnologías de la información, Alexander Kiesswetter enfrentaba dos desafíos: la conformidad con la PSD2 y un sistema de autenticación heredado que los clientes encontraban difícil de usar.
La conformidad con la PSD2 es una prioridad clave para las instituciones financieras (IF) a lo largo de Europa. Las IF deben cumplir con los requisitos de autenticación fuerte de clientes y de análisis de riesgo de transacción. Además, Raiffeisen Italia debía cumplir otros dos requisitos de la PSD2:
- Enlace dinámico: para transacciones de pago remotas, la PSD2 requiere que las IF apliquen una autenticación que enlace dinámicamente la transacción a un monto y un pagador específicos. A lo largo del proceso de autenticación, debe protegerse la confidencialidad, la integridad y la autenticidad de la información de pago, y el usuario debe conocer el monto y el pagador.
- Protección de replicación: si un banco opta por usar una aplicación móvil como parte de sus flujos de autenticación, deben tomar medidas para mitigar el riesgo de que un atacante realice acciones de ingeniería inversa en la aplicación para revelar y potencialmente reproducir el secreto de token utilizado para generar un código de autenticación. Por lo tanto, las IF deben proteger el elemento en posesión (en este caso, la aplicación) contra clonaciones.
Además, el banco quería ofrecer una experiencia de autenticación más fácil para los clientes. El problema era que se encontraban en el típico tironeo entre seguridad y facilidad de uso. Y la seguridad se imponía a expensas de la experiencia del cliente. Aunque el sistema de autenticación heredado era muy seguro, los clientes se quejaban de que era engorroso.
“Hasta que empezamos a usar OneSpan, nuestra atención estaba orientada a la seguridad. Por ese motivo, usamos tokens de hardware por separado con tarjetas bancarias, ya que no estábamos convencidos de que una alternativa pudiera darnos la seguridad suficiente”, completó Kiesswetter.
Evaluación y selección
Para Raiffeisen Italia, elegir las mejores tecnologías de su clase a través de los socios de seguridad de TI adecuados, es central para su éxito. Un diseño interno nunca fue una opción, por lo que el director de tecnologías de la información encargó a dos equipos la evaluación de soluciones:
- Para la autenticación, un grupo de técnicos de TI estuvo a cargo de la selección de software.
- Para la seguridad de aplicaciones móviles, el equipo de evaluación incluía al director de seguridad de la información, a un arquitecto de TI y a representantes de los equipos de riesgo y cumplimiento, desarrollo de software y asistencia al cliente
“Durante el proceso de selección, evaluamos a varias compañías. La gran diferencia que observamos entre OneSpan y otros proveedores fue que las soluciones de OneSpan combinaban un alto nivel de seguridad y cumplimiento con un alto nivel de usabilidad”.
DOCUMENTO TÉCNICO
Habilitando el monitoreo de fraude conforme con el PSD2 con la analísis de riesgos de OneSpan
Los nuevos requisitos de la PSD2 exigen que las organizaciones de servicios financieros realicen un seguimiento de las transacciones. Conozca los requisitos específicos y cómo OneSpan Risk Analytics puede ayudarle a cumplir con la normativa en este libro blanco.
Descargar ahoraUna solución doble
Con la biblioteca de API de OneSpan Mobile Security Suite, Raiffeisen Italia agregó la firma de transacción para proporcionar protección contra el fraude las transacciones en línea de los clientes. También integraron el blindaje de aplicaciones móviles para proteger a la aplicación del autenticador móvil.
“Hemos seleccionado las soluciones innovadoras de OneSpan debido a que ofrecen un alto nivel de seguridad y un alto nivel de usabilidad. Tradicionalmente, es muy difícil combinar seguridad y usabilidad. Hasta ahora, siempre hubo que compensar entre ambas. Queríamos innovar y simplificar la experiencia de cliente. Con este proyecto, pudimos lograrlo”, indica Kiesswetter.
La solución OneSpan permitió que el banco alcance la conformidad con los requisitos de la PSD2 para lo siguiente:
- Enlace dinámico: el banco implementó la tecnología Cronto®, que utiliza un criptograma gráfico hecho de puntos de colores para encriptar los detalles de la transacción. Cronto es utilizado por bancos a lo largo de Europa y en todo el mundo, y cumple los requisitos de autenticación y de enlace dinámico de la PSD2 para proteger las transacciones financieras con un mínimo impacto para la experiencia de usuario.
Acceda a un ejemplo de experiencia de firma de transacción >>
- Protección de replicación: como parte de su estrategia de prioridad de dispositivos móviles, Raiffeisen Italia también lanzó una aplicación de banca móvil que autentica y protege a los usuarios. El banco asumió un rol de liderazgo al ser el primero en comercializar en Italia una forma de proteger su aplicación con seguridad de aplicaciones móviles, específicamente el blindaje de aplicaciones móviles con protección de tiempo de ejecución. Esta tecnología protege a una aplicación móvil contra varios tipos de amenazas de tiempo de ejecución. Crea un entorno de ejecución seguro para aplicaciones móviles para permitir que se ejecuten incluso en dispositivos móviles no confiables.
Mire un video de blindaje de aplicaciones móviles >>
Los beneficios
Raiffeisen Italia ha recibido comentarios positivos de los clientes y ha experimentado una alta adopción de la nueva aplicación de autenticación.
“Los clientes perciben a Raiffeisen una vez más como un banco innovador”, afirma el director de tecnologías de la información. “Me han llegado comentarios de que los clientes están muy satisfechos con la nueva funcionalidad. Además, llevamos a cabo un lanzamiento de marketing para la nueva aplicación de autenticación. En el momento del lanzamiento, había mucha demanda y alta activación, todas señales positivas de que el mercado la había aceptado muy bien”.
“Mi recomendación para otros bancos es que comiencen su transformación digital en la primera línea, en el punto de contacto con el cliente. Allí es donde la innovación cobra mayor importancia”.
Este blog es un fragmento del caso de estudio completo de la PSD2 de Raiffeisen Italia titulado Raiffeisen Italia implementa la autenticación móvil y el blindaje de aplicaciones móviles para cumplir con la PSD2 y facilitar el uso.
