Como a Raiffeisen Itália conseguia a conformidade à PSD2 por meio da autenticação em dispositivos móveis e da blindagem de aplicativo móvel
Raiffeisen Itália é uma organização que controla 40 entidades do Banco Raiffeisen na província italiana de Bolzano. Monitorando os serviços de TI desses bancos membros, o CIO de Sistemas de Informação da Raiffeisen, Alexander Kiesswetter, modernizou o sistema de autenticação da Raiffeisen Itália para cumprir com a Diretiva de Serviços de Pagamento (PSD2) revisada. Como parte da iniciativa, a Raiffeisen Itália apresentou um aplicativo móvel autônomo que autentica e protege usuários – elaborado usando a OneSpan Mobile Security Suite e com o white label da marca Raiffeisen.
Embora a conformidade com a PSD2 tenha sido o impulso principal, a adoção rápida de serviços bancários móveis e digitais tornou importante que a Raiffeisen Itália oferecesse segurança forte e uma experiência de usuário mais fácil. Simplificando, os clientes não querem mais puxar seu cartão de crédito e usar o token de hardware para cada transação pequena — preferindo, em vez disso, autenticar pelo dispositivo móvel.
“A prioridade aos dispositivos móveis é uma parte importante de nossa estratégia de transformação digital. Pela primeira vez, temos uma solução que nos permite mover todos os nossos serviços para o smartphone sem utilizar outras ferramentas de hardware para autenticação. Agora, é possível usar não apenas o PIN para autenticação, mas o Face ID e o Touch ID”, diz Alexander Kiesswetter.
Requisitos de conformidade à diretiva PSD2
Como CIO, Alexander Kiesswetter tinha dois desafios: conformidade à PSD2 e um sistema de autenticação legado que os clientes achavam difícil de usar.
A conformidade à PSD2 é uma prioridade principal para instituições financeiras (IFs) em toda a Europa. As IFs precisam estar em conformidade com os requisitos relacionados à Autenticação Forte de Clientes e com a Análise de Risco de Transações. Além disso, a Raiffeisen Itália precisa atender a outros dois requisitos da PSD2:
- Vinculação Dinâmica: para transações de pagamento remotas, a PSD2 exige que as IFs apliquem uma autenticação que vincule dinamicamente a transação a um montante e a um pagador específicos. Por meio do processo de autenticação, a confidencialidade, a integridade e a autenticidade das informações de pagamento precisam ser protegidas. O usuário deve ter ciência do montante e do pagador.
- Proteção da Replicação: se um banco escolher usar um aplicativo móvel como parte de seus fluxos de autenticação, ele precisa agir no sentido de reduzir o risco de alguém realizar engenharia reversa no aplicativo para revelar e reproduzir potencialmente o segredo do token usado para gerar um código de autenticação. Portanto, as IFs têm de proteger o elemento de posse (nesse caso, o aplicativo) contra a clonagem.
Além disso, o banco queria fornecer uma experiência de autenticação mais fácil para os clientes. O problema estava no fato de se encontrar em um cabo-de-guerra convencional entre a segurança e a facilidade de uso — com a segurança vencendo às custas da experiência do cliente. Embora seu sistema de autenticação legado fosse muito seguro, os clientes reclamavam de que era muito pesado.
“Até começarmos a usar o OneSpan, nossa atenção estava concentrada na segurança. Por isso, usamos tokens de hardware separados com cartões do banco. Não estávamos convencidos ainda de que uma alternativa nos daria segurança suficiente”, diz Kiesswetter.
Avaliação e seleção
Para a Raiffeisen Itália, escolher as melhores tecnologias por meio da rede certa de parceiros de segurança em TI é fundamental para o sucesso. Como fazer a solução internamente nunca foi uma opção, o CIO solicitou a duas equipes que avaliassem soluções:
- Para a autenticação, um grupo de técnicos em TI fez a seleção de software.
- Para a segurança de aplicativo móvel, a equipe de avaliação incluiu o CISO, um Arquiteto de TI, e representantes das equipes de risco e conformidade, desenvolvimento de software e suporte ao cliente.
“Durante o processo de seleção, avaliamos diversas empresas. A grande diferença que vimos entre a OneSpan e outros fornecedores estava no fato de que as soluções da OneSpan combinavam um alto nível de segurança e conformidade com um alto nível de usabilidade”.
RELATÓRIO BRANCO
Habilitando o monitoramento de fraudes em conformidade à PSD2 com Análise de Risco OneSpan
Os novos requisitos do PSD2 exigem que as organizações de serviços financeiros realizem o monitoramento de transações. Aprenda os requisitos específicos e como o OneSpan Risk Analytics pode mantê-lo em conformidade neste white paper.
Baixar AgoraUma solução dupla
Ao usar a biblioteca de APIs da OneSpan Mobile Security Suite, a Raiffeisen Itália adicionou a validação de transação para proteger as transações online dos clientes contra fraudes. A empresa também integrou a blindagem de aplicativo móvel para proteger seu aplicativo autenticador móvel.
“Selecionamos as soluções inovadoras da OneSpan porque elas forneciam um alto nível de segurança e de usabilidade. Tradicionalmente, é muito difícil combinar segurança e usabilidade – até agora, o que se ganhava em um, se perdia em outro. Queríamos inovar e simplificar a experiência do cliente. Com esse projeto, conseguimos fazer isso”, afirma Kiesswetter.
A solução da OneSpan permitiu que o banco ficasse em conformidade com os requisitos da PSD2 relativos a:
- Vinculação Dinâmica: o banco implementou a tecnologia Cronto®, que usa um criptograma gráfico feito de pontos coloridos para criptografar detalhes da transação. Usado por bancos em toda a Europa e no mundo, o Cronto atende aos requisitos de autenticação e vinculação dinâmica da PSD2 para proteger transações financeiras com impacto mínimo à experiência de usuário.
Veja um exemplo de experiência de validação de transação >>
- Proteção da Replicação: como parte de sua iniciativa que privilegia o uso de dispositivos móveis, a Raiffeisen Itália lançou um aplicativo de serviços bancários para dispositivos móveis que autentica e protege os usuários. O banco assumiu uma posição de liderança, sendo o primeiro no mercado da Itália a proteger seu aplicativo com segurança de aplicativo móvel – especificamente, a blindagem de aplicativo móvel com proteção em tempo de execução. Esta tecnologia protege um aplicativo móvel contra diversos tipos de ameaças de tempo de execução. Ela cria ambientes de execução segura para aplicativos móveis, permitindo que eles sejam executados mesmo em dispositivos móveis não confiáveis.
Assista a um vídeo sobre blindagem de aplicativo móvel >>
Os Benefícios
A Raiffeisen Itália recebeu feedback positivo dos clientes e experimentou uma alta taxa de adesão ao novo aplicativo de autenticação.
“Os clientes perceberam a Raiffeisen novamente como um banco inovador”, diz o CIO. “O feedback que recebi foi de que os clientes estavam muito satisfeitos com a nova funcionalidade. Também fizemos um lançamento de marketing para o novo aplicativo de autenticação. Quando o lançamos, havia muita demanda e alta taxa de ativação, todos eles sendo sinais positivos do mercado de que o aplicativo tinha sido muito bem aceito.”
“Meu conselho a outros bancos é começar sua transformação digital pelas linhas de frente, no ponto de contato com o cliente. É lá que a inovação é mais importante.”
Este blog é um excerto do caso de estudo completo da Raiffeisen Itália para a PSD2, chamado A Raiffeisen Itália Implementa a Autenticação em Dispositivos Móveis e a Blindagem de Aplicativo Móvel para a Conformidade com a PSD2 e a Facilidade de Uso.
