Quando navighiamo online disseminiamo dati volontariamente e involontariamente su siti e applicazioni. Fin quando si tratta di mail e password per accedere, ad esempio, a siti di e-commerce agiamo a cuor leggero. Quando, invece, ci chiedono di inserire gli estremi della carta di credito la questione si fa più delicata. Eppure, queste informazioni sono indispensabili per ottenere servizi finanziari e, al tempo stesso, creano valore per le aziende e i clienti. Come facciamo, quindi, a condividerli limitando i rischi? Vediamolo insieme.
Il valore dei dati e la fiducia tra gli istituti finanziari e i clienti
Quando parliamo di istituti finanziari ci riferiamo alle banche (centrali, di investimento, commerciali o al dettaglio), agli istituti di credito, alle associazioni di risparmio e prestito, alle compagnie assicurative e alle società di intermediazione. Sono organizzazioni che i clienti scelgono sulla base della fiducia, consapevoli che il loro rapporto sarà, quasi sempre, continuativo nel tempo. Non solo, gli istituti finanziari gestiscono uno dei beni più preziosi che abbiamo: le transazioni finanziarie.
Per pagare online l’assicurazione, accedere a un mutuo, effettuare un bonifico è necessario condividere con gli istituti finanziari una moltitudine di dati. Da quelli personali e indispensabili, a quelli funzionali alla personalizzazione del servizio. I clienti sono disposti a fornire tali informazioni solo se percepiscono il valore di scambio.
Affinché ciò avvenga, gli istituti finanziari dovranno garantire la massima trasparenza in quanto, il rapporto di fiducia con i clienti, si baserà proprio sulla chiarezza di utilizzo dei dati forniti. È fondamentale per un cliente sapere come, quando e da chi i loro dati verranno utilizzati. Se viene a mancare la trasparenza, o l’istituto finanziario utilizza i dati in modo improprio, cade il rapporto di fiducia e l’impatto sulla credibilità dell’azienda si inclina pesantemente.
Il ruolo del governo e delle autorità di regolamentazione
Quando si parla di dati personali dei clienti raccolti da istituti finanziari si entra in un campo così delicato che necessita dell’intervento delle autorità di regolamentazione. Tale ente ha il compito di verificare i corretti comportamenti in merito alla gestione di tali dati.
Oggi, le principali leggi sulla privacy e i regolamenti internazionali sono il California Consumer Privacy Act e il Telephone Consumer Protection Act negli Stati Uniti, e il General Data Protection Regulation nell’UE.
Grazie a questi regolamenti si può aspirare ad un coordinamento globale relativo all’uso appropriato dei dati dei clienti. In effetti, non è semplice, per gli istituti finanziari che operano a livello mondiale, trattare in maniera diversa i dati provenienti dai clienti di varie nazioni. Per ovviare a questo problema nel GDPR Europeo, ad esempio, si parla di privacy by design e privacy by default (articolo 25). Ovvero, puntando sulle nuove tecnologie disponibili, è obbligatorio strutturare, già in fase di progettazione del sito o delle applicazioni, delle impostazioni che riducano i rischi legati alla tutela dei dati personali.
Gli aspetti su cui focalizzarsi, per rispondere alle esigenze legate al trattamento dei dati privati, si concentrano:
- sulla privacy come impostazione di default e aspetto rilevante in fase di progettazione;
- su funzionalità e flessibilità utili alla personalizzazione dei servizi;
- sulla sicurezza dei dati lungo tutta la transazione legata al prodotto/ servizio
- sul principio di trasparenza;
- sulla centralità dell’utente.
In questo modo, riprendendo gli standard e i protocolli condivisi dalle autorità di regolamentazione i rischi per gli istituti finanziari di incorrere in sanzioni si riducono drasticamente.
Quali sono i dati privati dei clienti utili agli istituti finanziari?
I dati privati che i clienti condividono con gli istituti finanziari non sono solo quelli legati ai dati personali ma rientrano in varie categorie. In un report sull’argomento, Deloitte(1) ne ha identificate 8 che raccolgono in linea di massima le informazioni utili a personalizzare i prodotti/servizi:
- identificazioni tradizionali: ovvero i dati che identificano un utente, come il nome, l’indirizzo, la data di nascita, sesso, razza e numero di previdenza sociale.
- comportamento e azioni: la raccolta delle informazioni legate alle abitudini degli utenti espresse in spazi pubblici o privati, come lo shopping, le transazioni finanziarie, la navigazione online.
- pensieri e sentimenti: scelte e decisioni che i clienti prendono durante la navigazione online. Sono dati molto utilizzati per compilare le psicografiche di marketing.
- immagini: foto scattate dagli utenti o da dispositivi robotici come droni in spazi pubblici o privati.
- luogo e spazio: dati raccolti dalle tecnologie di geolocalizzazione che offrono alle aziende informazioni legate alla posizione geografica di una persona o di una proprietà.
- dati biologici: informazioni legate alle caratteristiche corporee dell’utente ma anche relative alla sua salute fisica e mentale.
- comunicazione personale: mail, estratti conto, polizze assicurative e tutte le comunicazioni che intercorrono tra i clienti e gli istituti finanziari ma anche relative al comportamento dell’utente durante la navigazione sul sito rilevato attraverso l’uso dei cookie.
- privacy di associazione / gruppo: gruppi e sottogruppi a cui il cliente appartiene o si associa, tra cui affiliazioni politiche, hobby personali, gruppi legati al lavoro e gruppi religiosi.
Tutte queste classificazioni contraddistinguono il cliente e, come detto, hanno un notevole valore per le aziende. Perché alle aziende finanziarie (e non) serve raccogliere tutte queste informazioni? Per analizzare i comportamenti di acquisto e personalizzare le offerte. Creare un prodotto/servizio che risponda alle esigenze del cliente significa avere più possibilità di venderlo in un primo momento e fidelizzare il consumatore subito dopo. Una regola che vale per tutti i rapporti commerciali ma che nell’ambito finanziario ha ancora più effetto.
Quali sono i vantaggi della condivisione dei dati privati agli istituti finanziari?
Abbiamo visto, quindi, che la raccolta dei dati dei clienti è un aspetto cruciale per lo sviluppo di servizi più efficienti, a prezzi vantaggiosi e che rispondano con maggiore efficacia alle esigenze del cliente. Non solo, il comportamento di un utente sul sito o sulle app della banca, ad esempio, permette all’istituto finanziario di semplificare le applicazioni e la User Experience. Infine, una corretta previsione basata sui dati migliora la capacità di valutazione della gestione del rischio.
E il cliente che vantaggi ha dalla condivisione? Può beneficiare della possibilità di accedere a servizi sempre aggiornati e che migliorino la sua esperienza di utente. Ma i benefici della condivisione dei dati non riguardano solo il singolo cliente ma possono generare effetti globali.
L’accelerazione digitale, permessa grazie alla raccolta dei dati, è un elemento chiave per l’inclusione finanziaria, ovvero la possibilità per individui e imprese appartenenti a comunità meno servite, di accedere a prodotti e servizi finanziari utili e convenienti. Ottenere servizi come transazioni, pagamenti, risparmi, credito e assicurazioni, forniti in modo responsabile e sostenibile in tutto il mondo, è un fattore abilitante per ben 7 dei 17 obiettivi di sviluppo sostenibile.
Gli istituti finanziari devono fare attenzione a tutelare la privacy dei loro clienti per i dati relativi alla sfera personale, comportamentale e sociale. Condividi il Tweet
Quali sono, invece, i rischi della condivisione dei dati sensibili agli istituti finanziari?
Come ogni azienda che raccoglie e gestisce i dati personali o sensibili degli utenti, anche e soprattutto, gli istituti finanziari sono il bersaglio prediletto dagli hacker informatici. Frodi e furto di identità sono i rischi maggiori ma in realtà anche le attività improprie degli istituti stessi costituiscono un rischio. Vediamo in che senso.
Il furto di identità digitale è una delle minacce più diffuse per quanto riguarda i servizi finanziari. La clonazione della carta di credito, come anche i furti legati ai numeri di carte di identità e codice fiscale sono la conseguenza di disattenzioni o, in alcuni casi, di minor sicurezza di alcuni device come cellulare o tablet.
Gli attacchi arrivano sottoforma di social engineering, ransomware o phising. Tali tecniche permettono di clonare l’identità digitale dell’utente e operare su siti o applicazioni per conto del proprietario. In questo modo si possono effettuare, ad esempio, transazioni economiche, rubare dati delle cartelle sanitarie o accedere a finanziamenti.
Le tecnologie attuali, come l’AI e le relative applicazioni che consentono verifiche periodiche e automatiche, potrebbero ridurre notevolmente questi furti. Peccato che non sempre il loro utilizzo, da parte degli istituti finanziari, è commisurato al livello crescente di rischio. Basti vedere come ogni azienda ha diversi tipi di verifica di accesso all’app della banca. Ad esempio ci sono istituti che chiedono un codice, altri che utilizzano un’OTP e altri ancora che si affidano all’impronta digitale.
Ma come dicevamo, al di là degli attacchi da parte dei criminali informatici esterni, ci sono anche i rischi legati all’uso improprio dei dati del cliente da parte degli istituti finanziari. Un esempio, sono il passaggio dei dati dell’utente a fornitori di terze parti che supportano le operazioni quotidiane vitali per banche. Tali privilegi di accesso possono essere sfruttati per il furto di credenziali e di dati.
A cosa fare attenzione quando scegliamo un istituto finanziario a cui affidiamo i nostri dati?
- Leggere attentamente I termini e le condizioni d’uso dei dati personali e sensibili che condividiamo. Soprattutto le clausole contrattuali, anche se si tratta di un plico di 30 pagine. Più queste informazioni sono trasparenti e specificate nel minimo dettaglio maggiore sarà l’affidabilità dell’istituto finanziario in questione.
- Assicurarsi che il cliente possa aggiornare in tempo reale le preferenze espresse in merito al trattamento dati personali ed esser sicuro che, da quel momento, le nuove scelte siano rispettate. Ad esempio, se non voglio più ricevere gli estratti conto al mio indirizzo di casa devo poter comunicare con la banca e ottenere un cambiamento immediato.
- Controllare che l’ente fornisca un’adeguata protezione ai dati personali e sistemi di verifica efficaci e sempre aggiornati come: token di sicurezza, app di autenticazione certificati, verifiche biometriche.
Come trovare un equilibrio tra opportunità e rischi legati alla condivisione dei dati privati?
Scegliere di non condividere i dati di comportamento oltre che di identificazione tradizionali con gli istituti finanziari è un’opzione non più valutabile. Meno informazioni condividiamo meno servizi otteniamo e maggiori saranno i tempi di completamento di un’operazione. Un banale esempio: se non creo dei profili sull’app della banca a persone o aziende a cui faccio dei bonifici periodici, ogni volta dovrò riscrivere tutte le informazioni sprecando tempo a reperire quei dati e rischiando di fare errori durante la digitazione.
Per raggiungere un equilibrio tra rischi e opportunità è indispensabile che lavorino in sinergia tre attori: i governi, gli istituti finanziari e i clienti.
I governi dovranno verificare che tutti gli istituti finanziari rispettino i principi legati all’uso appropriato dei dati mediante: autorità di vigilanza, formate e dotate di strumenti necessari alla supervisione; adeguare e aggiornate tutele legali e normative.
Gli istituti finanziari dovranno puntare alla trasparenza delle informazioni legate alla privacy, alla sicurezza e all’utilizzo dei dati, per rafforzare la fiducia con i clienti e con le autorità di vigilanza. Inoltre, dovranno assicurarsi una corretta comunicazione con gli utenti in merito alla gestione dei dati sul lungo periodo.
Infine, i clienti dovranno informarsi sulle norme che tutelano i loro dati personali e sensibili emesse dal governo di appartenenza. Al tempo stesso dovranno, anche verificare che gli istituti finanziari a cui si affidano, ne tengano conto nella sezione “Termini e Condizioni”. Inoltre, pretendere dalle aziende scelte per la gestione finanziaria, una totale trasparenza dell’uso dei dati privati e la possibilità di modificarne le preferenze nel tempo.
- Report Deloitte “Riprogettare i programmi di privacy dei clienti per consentire lo scambio di valore“