Oggi in Europa solo il 13% dei pagamenti sono "instant", quindi l'idea dell'Unione Europea era: "rimettiamo l'Europa al centro di questo tipo di strumento perché l'obiettivo è quello di avere un'economia più forte e più sviluppata".

Per far questo però l'utente deve essere rassicurato anche sul fatto che questa velocità non comporta una perdita in termini di affidabilità sui pagamenti ed ecco perché una delle misure fondamentali è proprio quella del VoP (Verification of Payee).

Salve a tutti, siete all'ascolto di INSiDER - Dentro la Tecnologia, un podcast di Digital People e io sono il vostro host, Davide Fasoli.

Nell'ultima puntata dell'anno, in questo periodo di shopping, parleremo con Sis ID di come l'Europa stia affrontando la sfida della sicurezza nei pagamenti istantanei attraverso nuove normative e sistemi di verifica dell'identità del beneficiario.

Prima di passare alle notizie che più ci hanno colpito questa settimana, vi ricordo che potete seguirci su Instagram a @dentrolatecnologia, iscrivervi alla newsletter e ascoltare un nuovo episodio ogni sabato mattina, su Spotify, Apple Podcast, YouTube Music oppure direttamente sul nostro sito.

Nella puntata: "Perché le previsioni del tempo sono sempre sbagliate?" avevamo approfondito come funzionano ad oggi i sistemi meteorologici, spiegando come sia molto difficile analizzare ed elaborare i dati raccolti dalle varie stazioni e produrre delle previsioni accurate.

Ad oggi infatti vengono utilizzati principalmente algoritmi matematici, con modelli IA che stanno lentamente prendendo sempre più piede, soprattutto come supporto ai modelli esistenti.

Uno di questi è stato recentemente presentato dall'Accademia Cinese delle Scienze Meteorologiche, ossia "Fengyuan V1.0", in grado di generare previsioni più veloci e accurate rispetto ai sistemi attuali utilizzando i dati di osservazione delle stazioni meteorologiche.

La particolarità di questo modello è che si inserisce in quella che è ormai una corsa ai sistemi IA per le previsioni del tempo, con diverse aziende che, ciclicamente, presentano un proprio modello, a partire da Google e Nvidia. Tuttavia a differenza di queste ultime aziende, l'intelligenza artificiale cinese, seguendo la stessa filosofia di altri modelli come DeepSeek,

è completamente open source, permettendo quindi ad altre aziende di utilizzarla e portando quindi a uno sviluppo collaborativo e di conseguenza più rapido ed efficiente.

Natura Resources, azienda statunitense specializzata in reattori nucleari avanzati, sta accelerando il proprio programma industriale con l'obiettivo di mettere in funzione il primo reattore di quarta generazione negli Stati Uniti entro il 2026.

Il progetto si sviluppa a partire dal reattore sperimentale MSR-1, da 1 megawatt, che ha ottenuto l'autorizzazione dalla Nuclear Regulatory Commission nel settembre 2024.

Questa unità dimostrativa rappresenta il fulcro per il successivo modello commerciale MSR-100, da 100 megawatt, progettato per competere economicamente con il gas naturale e le altre fonti energetiche.

La tecnologia si basa sul reattore a sali fusi a combustibile liquido, noto come LF-MSR, il quale è in grado di operare ad alte temperature ma a bassa pressione, garantendo maggior sicurezza.

Il sistema garantirà il riutilizzo di combustibile riciclato e la produzione di isotopi medicali, mentre la modularità potrà ridurre tempi e costi di produzione.

Negli ultimi anni i raggiri finanziari hanno raggiunto dimensioni senza precedenti, con furti di miliardi di euro sottratti attraverso frodi informatiche, inganni o truffe online.

È dunque chiaro come siano necessari degli strumenti e dei nuovi standard per verificare l'identità dei beneficiari prima di effettuare i pagamenti.

Per parlare di frodi e sicurezza informatica, dunque, siamo in compagnia di Anna Ongaro, Country Manager per l'Italia di Sis ID, parte della multinazionale Eftsure.

Benvenuta Anna.

Grazie, buongiorno.

Sis ID si occupa di quelle tematiche che riguardano la lotta alle frodi nei pagamenti digitali.

Partendo quindi dalla vostra prospettiva ed esperienza sul campo, quali sono oggi le tipologie di truffa più comuni e sofisticate che minacciano, da una parte i cittadini e dall'altra anche le aziende?

Ma Davide, per i cittadini le frodi più diffuse sono ancora il phishing e le truffe essenzialmente legate ai pagamenti online, quindi email, SMS, siti falsi che imitano quelli ufficiali per rubare i dati bancari o le credenziali.

Per l'azienda invece lo scenario è un po' più complesso.

Le frodi più gravi sono quelle che si basano sull'usurpazione dell'identità dell'interlocutore.

Si tratti di un fornitore, di un cliente, di un dipendente o anche un manager dell'azienda, mi riferisco alla famosa "CEO fraud" che spesso trova spazio nei giornali perché è tra le più eclatanti.

Tutte queste sono le cosiddette "APP fraud" dove purtroppo è la vittima stessa ad autorizzare il pagamento, perché è convinta di interagire con una persona legittima.

Oggi purtroppo il social engineering e i deepfake sono strumenti potentissimi nelle mani di organizzazioni criminali che di fatto fanno della frode il proprio core business e che appunto possono contare su strumenti tecnologici avanzati.

A tal proposito ti do un dato che io trovo piuttosto impressionante: prima dell'avvento dell'intelligenza artificiale questi tentativi di frode già crescevano di un 300% anno su anno, oggi con l'utilizzo di questi strumenti parliamo di un 1200% anno su anno.

Ok molto interessante. Quindi sono questi dei casi in cui praticamente l'utente o il lavoratore viene indotto in errore eattraverso l'utilizzo di strumenti informatici visto che citavi dei fake strumenti informatici sempre più efficaci e capaci di manipolare appunto la percezione della realtà. E questo può avvenire immagino attraverso una videochiamata, una

chiamata in cui si convince appunto questo utente a fare un pagamento che in realtà è non dovuto.

Esattamente e oggi i deepfake permettono un'interazione offline, nel senso non interattiva, ma le tendenze che vediamo porteranno alla capacità di interagire direttamente poi con la vittima.

E poi senza parlare di tecnologie estremamente sofisticate come queste, penso anche la stessa intelligenza artificiale generativa è in grado di creare delle mail di phishing che rispetto a un tempo sono estremamente più credibili, personalizzate sul singolo utente e quindi appunto anche lì il rischio è estremamente più elevato.

Sì, perché oggi noi tutti sia come individui ma anche come aziende lasciamo online una grande quantità di informazioni e quindi le organizzazioni criminali quando sferrano un attacco, in realtà lo sferrano dopo aver creato uno schema fraudolento pressoché perfetto e molto difficile per la vittima rendersi conto che sta interagendo non con il corretto

interlocutore ma con il frodatore.

Ok e parliamo da questo punto di vista di quelle che possono essere le risposte a queste minacce, a queste frodi, a queste truffe che ogni giorno, appunto come hai detto, aumentano sempre di più e abbiamo visto di recente l'Unione Europea ha risposto con il nuovo Instant Payment Regulation. Ci parli di questa normativa? Di che cosa si occupa?

Sì, devo dire che l'Unione Europea ha lavorato molto molto bene in questa direzione, soprattutto per il mercato consumer, cioè è importante sottolineare il fatto che l'IPR, l'Instant Payment Regulation, è stato pensato per gli individui e solo in un secondo momento per le aziende, perché in realtà queste potrebbero subire

ripercussioni significative sui propri workflow di pagamento.

Faccio un passo indietro, che cos'è l'Instant Payment Regulation? Essenzialmente l'obiettivo dell'Unione Europea è di aumentare l'offerta di pagamenti istantanei da parte di tutti gli attori europei, i PSP, quindi banche e qualsiasi altro tipo di attore di questo mercato. Con questo obiettivo principale in mente ha affiancato l'obbligo

da parte delle banche e di tutti i PSP di mettere a disposizione la VoP, quindi Verification of Payee, ovvero la verifica del beneficiario, che è un sistema che permette di controllare in tempo reale che il nome e l'IBAN del destinatario del pagamento corrispondano davvero al titolare del conto. Quindi, in pratica, prima che il bonifico venga eseguito il sistema avvisa

l'utente se i dati coincidono o meno. Questo è un meccanismo teoricamente perfetto, sulla carta, i primi anni soffrirà inevitabilmente di alcune lacune strutturali e tecnologiche, ma soprattutto per il mercato consumer è un'ottima iniziativa.

Ok perché quindi da una parte c'è l'esigenza di avere dei pagamenti sempre più rapidi, pensiamo al bonifico istantaneo, però a volte ci si dimentica di quali sono i rischi di trasferimenti di denaro di questo tipo appunto istantaneo e quindi dopo non c'è più la possibilità di ritirare il bonifico

stesso quindi da una parte i vantaggi però dall'altra bisogna strutturare, creare un sistema che garantisca la sicurezza soprattutto alla luce di queste frodi che potrebbero avvantaggiarsi di strumenti così efficienti.

Sì, esattamente. Da un lato, qual è l'intento dell'Unione Europea? Quello di aumentare la quantità di bonifici istantanei e di pagamenti in generale istantanei per il mercato consumer.

Perché, Davide, se pensi, oggi in Europa solo il 13% dei pagamenti sono "instant". Perché? Perché il 30% delle banche europee addirittura non offrono del tutto questa opzione, molte altre le offrono a pagamento e quindi gli utenti fino ad oggi non l'hanno ancora utilizzata massivamente. Questo cosa comporta per l'Unione Europea? Comporta che ci siano 200 miliardi

di euro in transito ogni giorno, in camera di compensazione e non riversati sull'economia reale. Inoltre, se pensi a quali sono gli strumenti di pagamento instant, pensi a Apple Pay, Google Pay, PayPal, che sono tutti strumenti che non sono certo europei. Quindi l'idea dell'Unione Europea era rimettiamo l'Europa al centro di questo tipo di strumento perché

l'obiettivo è quello di avere un'economia più forte e più sviluppata, ed eurocentrica naturalmente. Per far questo, però, l'utente deve essere rassicurato anche sul fatto che questa velocità non comporta una perdita in termini di affidabilità sui pagamenti ed ecco perché una delle misure fondamentali è proprio quella della VoP.

Ok e dal punto di vista tecnologico, quindi, come si realizza concretamente il sistema appunto di verifica del beneficiario, nel caso appunto di un bonifico istantaneo, che però allo stesso tempo sia infallibile ecco?

Sì, cerco di essere un po' più tecnica senza esserlo, nel senso che essenzialmente cosa succederà? La banca del pagatore deve inviare una richiesta alla banca del ricevente sulla bontà delle coordinate bancarie del destinatario del pagamento e appunto la banca ricevente deve rinviare la risposta alla banca che pone la domanda.

Per fare questo, quindi per mettere in piedi questo meccanismo di comunicazione tra banche completamente diverse, che possono essere su paesi completamente diversi, ci si affida ai cosiddetti "RVM", quindi i Routing and Verification Mechanism.

Ogni volta che un'azienda o un cittadino invia una richiesta di verifica per controllare che il nome del beneficiario è libero, coincidono, l'RVM si occupa di instradare la richiesta verso la banca corretta, di ricevere la risposta e riportarla indietro al richiedente.

Tutto questo deve avvenire in tempo reale senza rallentare il pagamento perché poi ricordiamo che l'instant payment prevede che tutto questo avvenga entro 10 secondi.

Per far questo il sistema a cosa si appoggia? Si appoggia a una directory centrale che conosce tutti i PSP partecipanti, quindi le banche e tutti gli altri attori, delle API sicure standardizzate, degli algoritmi di matching di dati, delle infrastrutture ridondanti e distribuite per garantire una latenza bassissima e la massima affidabilità.

Quindi è grazie a questi RVM che è possibile combinare la velocità con la sicurezza.

Quindi la richiesta non passa mai inosservata, viene controllata da fonti affidabili e il sistema può scalare anche quando il volume delle transazioni è molto alto.

Naturalmente tutto questo richiede collaborazione tra banche e provider tecnologici e un'infrastruttura costantemente aggiornata, perché di fatto la sicurezza dipende dalla qualità dei dati e dalla capacità del sistema di rispondere in modo affidabile e qui sta anche la grande sfida tecnologica di VoP.

Ok e questo approccio questo sistema tecnologico è stato messo o verrà messo in atto o era già in atto come... cioè è una cosa nuova oppure c'è già da tempo?

In realtà il VoP come sistema non è una novità apportata dall'Unione Europea, ci sono già diversi schemi VoP su diversi paesi europei e non.

Qual è il tema principale? È che queste iniziative sono iniziative private, in Italia ad esempio abbiamo un consorzio bancario, ne abbiamo uno anche in Francia, ne abbiamo uno in Belgio e così via, ma sono tutte iniziative private e che sono valide solo nel paese di riferimento.

La differenza nella natura rispetto alla VoP è che VoP è un regolamento europeo a cui tutti i PSP si devono adeguare e è un meccanismo che prevederà di fare queste verifiche all'interno dell'Unione Europea.

In realtà noi come Sis ID di fatto mettiamo insieme tutte le diverse VoP di tutti i diversi paesi e per questo integreremo anche la VoP europea, ma anche al di fuori dell'Europa e quindi abbiamo un sistema che permette di fare questo tipo di verifiche utilizzando più database in tutto il mondo.

Quindi non è di per sé una novità, ma la novità è che sia stata resa obbligatoria e che tutte le banche europee prima o dopo si dovranno adeguare.

Sì, quindi è una novità normativa nel senso che questo uniforma il tutto e quindi tutti sono poi obbligati a rispondere appunto a questi requisiti che è appena descritto.

Sì, anche se poi molto spesso il "diavolo fa le pentole ma non i coperchi", ad oggi ancora è stato definito il regolamento, ma le penali sono state lasciate ai singoli stati. Questo significa che non c'è uniformità nelle penalità verso quelle banche che non saranno pronte e magari non lo saranno anche nei successivi mesi o anni. Abbiamo visto questo problema anche

in altri paesi federali.

Sì sì assolutamente lì poi magari può essere anche... appunto tornando al tema del singolo cittadino il singolo utente che vede il vantaggio di utilizzare sistemi istantanei e sicuri e quindi può fare pressione anche su determinate banche che non si adeguano ecco quella può essere...

Certo.

...un'alternativa. Citavi anche API, poi un altro tema è la modularità, l'integrazione con standard globali come lo SWIFT. Ci parli anche di questi aspetti, senza entrare troppo nel tecnicismo però, perché anche questi elementi sono così cruciali per questa integrazione?

Sì, sono elementi fondamentali perché permettono alle soluzioni di essere flessibili e interoperabili.

Cosa voglio dire con questo? Le aziende non vogliono cambiare i loro sistemi per integrare una nuova tecnologia, vogliono qualcosa che si colleghi facilmente agli strumenti già esistenti, quindi i loro ERP (Enterprise Resource Planning), i TMS (Transportation Management System) o le piattaforme bancarie.

Quindi le API permettono proprio questo, la modularità consente di adattare la soluzione alle esigenze di ciascuna impresa e poi l'allineamento con standard come SWIFT assicura che la tecnologia funzioni anche a livello internazionale, dando maggiore affidabilità e fiducia agli attori finanziari.

E il fatto che le banche non vogliano appunto cambiare i loro sistemi dipende da una questione legata alla complessità intrinseca che possono avere, è una questione di costi, ecco qual è il motivo?

Più che le banche le aziende di per sé che hanno bisogno di questo tipo di tecnologia per applicare questi standard globali.

Allora, in realtà queste tecnologie non sono particolarmente complesse da un punto di vista tecnico il vero ostacolo è più che altro la mancanza di comprensione del rapporto costo-beneficio cioè molte aziende purtroppo percepiscono il valore dell'investimento su questo tipo di tecnologie finché non subiscono una frode... e ti dirò di più...

sorprendentemente in alcuni settori dove i margini sono piuttosto alti questo accade anche se hanno subito un evento fraudolento.

Un altro fattore importante poi è, quanto meno che vedo io nella mia esperienza quotidiana, è la resistenza verso la "digital transformation" in ambito finance.

Perché? Perché implementare questi sistemi significa a volte modificare dei processi consolidati, fare uno sforzo iniziale per adeguarsi e a volte questo spaventa e frena le organizzazioni più pachidermiche o più tradizionali.

Ok e quindi se dovessimo guardare anche più avanti come vedete il futuro appunto della sicurezza dei pagamenti? Perché se penso a un aspetto... questo tema che abbiamo trattato è molto importante e garantisce una maggior sicurezza... però appunto anche allo stesso modo le frodi informatiche si sviluppano di pari

passo e proseguono e si rendono sempre più complesse quindi come vedete il futuro di questo settore?

Penso che stiamo andando verso un modello basato su prevenzione e quindi cultura e sulla collaborazione.

Le soluzioni del futuro dovranno necessariamente combinare intelligenza artificiale, analisi comportamentale ma anche condivisione sicura dei dati tra attori fidati.

La vera forza secondo me sarà nella comunità, quindi una comunità di banche, imprese e fornitori di tecnologia che cooperano insieme per rendere i pagamenti più sicuri, che poi in realtà è la visione che guida Sis ID sin dall'inizio della nostra avventura.

Quindi l'idea che sta alla base è quella di costruire una rete di fiducia per proteggere le imprese e i cittadini dal rischio di frode tutti insieme, tutti gli attori coinvolti insieme.

Sì, perché un altro aspetto può essere quello del, hai detto, dwi trasferimento di informazioni sicure.

Penso anche le stesse... i dati di un conto corrente possono essere di per sé sicuri, ma se un terzo si interpone nel momento dello scambio di queste informazioni, poi il pagamento comunque viene verificato, però verrà inviato ad una terza persona e non all'effettivo destinatario.

Esatto, esatto. Quindi l'idea di... è un po', permettimi il paragono, è quella di costruire una sorta di Waze della frode in cui tutti gli utilizzatori sono coinvolti e partecipano a una soluzione di feedback mutualizzato.

E poi anche l'aspetto umano è importantissimo ecco il rischio che... il fattore umano possa incidere su la sicurezza di un pagamento ecco. Abbiamo visto... dicevamo all'inizio che i rischi sono tanti sia nell'ambito degli utenti singoli sia in ambito di aziendali quindi anche la formazione del personale è molto importante.

Quella è fondamentale e non ci sono strumenti tecnologici che possano rimpiazzarla.

La cultura, come in tutte le vicende umane, è l'arma più forte che abbiamo e quindi anche per questo è importante che si parli di questi temi in maniera quotidiana.

Va bene allora grazie Anna perché abbiamo avuto occasione di approfondire un tema molto attuale e che indirettamente ma soprattutto direttamente ci tocca a tutti e quindi era importante capire qual era lo stato dell'arte tecnologico contro le frodi finanziarie.

Alla prossima.

Grazie a te Davide, buona giornata.

E così si conclude questa puntata di INSiDER - Dentro la Tecnologia, io ringrazio come sempre la redazione e in special modo Matteo Gallo e Luca Martinelli che ogni sabato mattina ci permettono di pubblicare un nuovo episodio.

Per qualsiasi tipo di domanda o suggerimento scriveteci a redazione@dentrolatecnologia.it, seguiteci su Instagram a @dentrolatecnologia dove durante la settimana pubblichiamo notizie e approfondimenti.

In qualsiasi caso nella descrizione della puntata troverete tutti i nostri social.

Se trovate interessante il podcast condividetelo che per noi è un ottimo modo per crescere e non dimenticate di farci pubblicità.

Noi ci sentiamo la settimana prossima.