Per creare un account, l'utente deve fornire una combinazione di indirizzo email, numero di telefono e nome. Tuttavia, dato che queste informazioni possono essere inventate in pochi secondi, non forniscono molti dati utili sull'identità effettiva dell'utente. Altri dati sono molto più rilevanti: il dispositivo utilizzato dall'utente, la rete da cui proviene, il percorso seguito nel modulo di registrazione e altro ancora.
L'assegnazione di un punteggio di rischio dell'identità è il processo di sicurezza informatica che attribuisce un livello di rischio a un'identità e trasforma questi segnali aggiuntivi in una decisione. Di seguito spiegheremo che cos'è l'assegnazione di un punteggio di rischio dell'identità, perché le regole statiche non riescono a rilevare i moderni modelli di uso improprio e come valutare e gestire un sistema di punteggio una volta implementato.
In evidenza
L'assegnazione di un punteggio di rischio dell'identità valuta simultaneamente decine di segnali anziché basarsi su un singolo attributo. Questo rende molto più difficile per i malintenzionati aggirarlo rispetto ai set di regole statiche.
L'attivazione delle prove gratuite, il riscatto delle promozioni e gli accessi sono alcuni dei contesti a maggior valore in cui applicare il punteggio di rischio.
I team dovrebbero sempre utilizzare una regolazione continua delle soglie e cicli di feedback durante l'implementazione di una piattaforma di punteggio.
Che cos'è l'assegnazione del punteggio di rischio dell'identità
L'assegnazione del punteggio di rischio dell'identità attribuisce un valore di rischio numerico o categoriale a un tentativo di identità sulla base del peso aggregato dei segnali presenti in quel momento. Anziché concentrarsi sul fatto che l'email dell'utente sia realmente valida, valuta se il tentativo nel suo insieme sia coerente con quello di un utente legittimo.
Segnali che alimentano tipicamente l'analisi delle identità
Nessun singolo dato è sufficiente per stabilire se una registrazione sia legittima. Le piattaforme di analisi dell'identità e assegnazione del punteggio di rischio aggregano segnali provenienti da cinque categorie distinte:
Segnali del dispositivo
L'impronta di un dispositivo aggrega versione del browser, caratteri installati, risoluzione dello schermo e specifiche hardware in un identificatore pseudonimo che persiste tra sessioni diverse. Questo significa che un dispositivo associato a precedenti frodi o a usi impropri viene segnalato anche quando cambiano le credenziali dell'account. Le piattaforme cercano anche segnali di automazione, come browser headless, API previste mancanti o combinazioni di attributi che non compaiono nei dispositivi reali dei consumatori.
Segnali di rete
La reputazione dell'indirizzo IP conta più dell'indirizzo IP stesso, ad esempio, se è associato a un datacenter, a un noto provider VPN, a nodi di uscita Tor o a una rete di proxy residenziali utilizzata dai criminali per imitare il normale traffico dei consumatori. Anche la velocità a livello di rete, ad esempio 50 registrazioni dalla stessa sottorete in un'ora, rappresenta di per sé un segnale di attività fraudolenta.
Dati biometrici comportamentali
La cadenza di digitazione, i movimenti del mouse, il tempo trascorso su ciascun campo e il fatto che un utente copi e incolli oppure digiti manualmente la propria email producono tutti schemi misurabili. I bot e gli strumenti automatizzati generano firme statisticamente diverse rispetto agli esseri umani, e per i malintenzionati resta un problema tecnico continuo riuscire a rendere naturali questi schemi.
Segnali degli attributi di identità
L'età dell'email, la reputazione del dominio, il fatto che l'indirizzo corrisponda a modelli di email temporanee e il tipo di numero di telefono (ad esempio, VoIP o assegnato da un operatore) sono segnali deboli se considerati singolarmente, ma diventano significativi in combinazione con altri.
Collegamento tra account
Se cinque account condividono la stessa impronta del dispositivo oppure 20 account sono stati creati dallo stesso intervallo di indirizzi IP in una settimana, questi collegamenti rappresentano segnali rilevanti. Una piattaforma con ampia copertura su molte attività può rilevare schemi che nessun singolo operatore riuscirebbe mai a vedere autonomamente.
Limiti delle regole statiche rispetto al punteggio di rischio dell'identità
Le regole statiche sono obiettivi fissi. I malintenzionati passano a proxy residenziali quando gli indirizzi IP dei datacenter vengono bloccati, utilizzano domini personalizzati quando scattano le regole sulle email temporanee e distribuiscono il traffico su più IP quando entrano in vigore i limiti di velocità.
Ecco come il punteggio di rischio affronta questi limiti:
Decisioni binarie applicate a distribuzioni continue
Il traffico reale si colloca lungo uno spettro compreso tra legittimo e fraudolento e l'area di sovrapposizione è ampia. Un utente VPN con una cronologia pulita e un comportamento normale è diverso da un utente VPN che utilizza un proxy residenziale segnalato, presenta schemi di digitazione simili a quelli di un bot e usa un indirizzo email creato tre minuti prima. Una regola statica non può rappresentare questa differenza, mentre un punteggio sì.
Adattamento dei malintenzionati
Quando gli attori fraudolenti cambiano tattiche, un sistema basato su regole non se ne accorge finché qualcuno non scrive una nuova regola. Un sistema di punteggio addestrato sui modelli comportamentali può rilevare la nuova tattica come un'anomalia rispetto alla propria base di traffico legittimo, spesso prima ancora che venga esplicitamente classificata.
La zona grigia
Molti sistemi di produzione utilizzano regole rigide per segnali che comportano un'esclusione immediata, come infrastrutture malware note o corrispondenze con elenchi di sanzioni, e il punteggio di rischio per tutti gli altri casi.
Contesti in cui il punteggio di rischio dell'identità è rilevante
I modelli di uso improprio seguono gli utenti durante tutto il loro ciclo di vita sulla piattaforma. Il punteggio di rischio viene applicato in ciascuno dei seguenti punti, nei quali l'identità viene dichiarata o potenzialmente sfruttata in modo improprio.
Creazione dell'account
Alcuni obiettivi evidenti di uso improprio sono lo sfruttamento dei piani gratuiti, la creazione di reti di credenziali, gli account per recensioni false e l'uso improprio delle promozioni. Un punteggio assegnato alla registrazione rappresenta la prima, e talvolta unica, opportunità per intercettare questi casi prima dell'attivazione dell'account.
Attivazione della prova gratuita
L'uso improprio delle prove gratuite segue uno schema prevedibile: creare un account, attivare una prova gratuita, esaurirla e creare un nuovo account. L'assegnazione del punteggio al momento dell'attivazione della prova gratuita, oltre che durante la registrazione, consente di individuare utenti che hanno già superato lo screening iniziale.
Riscatto di promozioni e programmi di segnalazione
L'uso improprio delle promozioni segue determinati schemi infrastrutturali. L'assegnazione del punteggio nel momento del riscatto consente di individuare account che hanno superato il controllo in fase di registrazione ma che ora mostrano comportamenti associati a usi impropri.
Accesso
L'acquisizione non autorizzata di account rappresenta un modello di minaccia diverso rispetto alla frode legata ai nuovi account, ma i segnali si sovrappongono. I tentativi di accesso anomali richiedono un proprio livello di punteggio.
Alcune piattaforme assegnano punteggi in modo continuo durante una sessione. Un utente che supera il punteggio in fase di registrazione ma poi tenta chiamate API ad alta velocità, esportazioni massive di dati o ripetuti errori di pagamento viene nuovamente valutato sulla base di questo comportamento. Stripe Radar assegna un punteggio alle transazioni utilizzando segnali provenienti dall'intera rete Stripe, ottenendo così visibilità su schemi che le singole attività non possono rilevare autonomamente. Per le attività che sviluppano sistemi di protezione della registrazione collegati ai pagamenti Stripe, questo livello di punteggio nella fase di pagamento agisce come misura di sicurezza contro le frodi che superano gli screening precedenti.
Valutazione di una piattaforma di punteggio di rischio dell'identità
Le differenze tra i fornitori non sono sempre evidenti dalle loro pagine di marketing. Scegliere la piattaforma sbagliata può bloccare utenti legittimi oppure consentire usi impropri.
Ecco cosa ricercare in una piattaforma di punteggio di rischio:
Copertura e aggiornamento dei segnali
Verifica quanti tipi di segnali la piattaforma acquisisce e quanto siano aggiornati i suoi dati reputazionali. Una piattaforma con dati reputazionali IP obsoleti o una copertura limitata del rilevamento dell'impronta digitale del dispositivo produrrà punteggi che non riescono a rilevare i moderni modelli di attacco. Chiedi ai fornitori dettagli specifici sulle loro capacità di rilevamento dei proxy residenziali e di biometria comportamentale: sono aree in cui le piattaforme differiscono notevolmente.
Prestazioni in tempo reale
Il punteggio di rischio dell'identità al momento della registrazione deve restituire un risultato prima che l'utente si aspetti una risposta. Una latenza superiore a poche centinaia di millisecondi inizia a influire sulla conversione. Richiedi valori reali di latenza al 99º percentile.
Accuratezza e tassi di falsi positivi
Un sistema che blocca il 95% delle frodi ma rifiuta erroneamente il 3% degli utenti legittimi potrebbe avere un impatto netto negativo, a seconda della tua attività. I tassi di falsi positivi devono essere misurati rispetto al tuo specifico profilo di traffico. Quando il sistema segnala un account, dovrebbe essere in grado di indicarti quali segnali hanno determinato la decisione.
Opzioni di integrazione
Verifica se la piattaforma dispone di integrazioni predefinite con il tuo stack e offre un'API in tempo reale compatibile con il tuo flusso di registrazione. Valuta anche come gestisce le decisioni che devono essere reintegrate nei tuoi sistemi di autenticazione o di pagamento.
Strumenti operativi
Il sistema di punteggio deve includere dashboard che mostrino la distribuzione dei punteggi, strumenti per esaminare gli account segnalati, la possibilità di modificare le soglie e meccanismi di feedback che consentano alle decisioni della revisione manuale di migliorare il modello. Le piattaforme che non investono in questa infrastruttura diventano meno efficienti nel tempo.
Come gestire e calibrare un sistema di punteggio di rischio identità nel tempo
L'implementazione di una piattaforma di analisi dell'identità e assegnazione del punteggio di rischio rappresenta l'inizio di un processo continuo. Ecco che cosa devi sapere fin dall'inizio:
Ecco cosa devi sapere fin dall'inizio:
Impostare le soglie in base alla tolleranza al rischio.
Molte piattaforme vengono fornite con soglie di punteggio predefinite che attivano blocchi, verifiche aggiuntive o approvazioni. Queste impostazioni predefinite sono calibrate per il cliente medio, quindi probabilmente richiederanno modifiche. Esegui il sistema in modalità shadow ed esamina la distribuzione dei punteggi rispetto ai risultati già noti. Questo ti permette di capire dove dovrebbero effettivamente trovarsi le tue soglie.
Monitorare le variazioni nel tempo
Il comportamento dei malintenzionati cambia, così come quello degli utenti legittimi, soprattutto quando fai l'ingresso in nuovi mercati, modifichi il prodotto o lanci una campagna che attira traffico non usuale. Distribuzioni dei punteggi che cambiano senza una corrispondente variazione nei tassi effettivi di frode rappresentano un segnale che qualcosa è cambiato e deve essere analizzato.
Creare cicli di feedback
Il punteggio è una previsione, ma i risultati effettivi rappresentano la realtà. Le piattaforme che possono acquisire feedback e adattare i propri modelli diventano misurabilmente più accurate nel tempo rispetto a quelle che non possono farlo.
Riesaminare le soglie regolarmente
I team spesso impostano le soglie durante l'attivazione e poi non le rivedono per mesi. Nel frattempo, i tassi di frode cambiano, cambiano le superfici del prodotto e la soglia calibrata per il profilo di traffico dell'anno precedente ora può essere troppo aggressiva o troppo permissiva. Definisci una frequenza di revisione che analizzi le prestazioni dei punteggi rispetto ai risultati ottenuti e apporta le modifiche necessarie.
In che modo Stripe Radar può essere d'aiuto
Stripe Radar è in grado di prevenire le frodi sfruttando modelli di IA addestrati con i dati della rete globale di Stripe. Questi modelli vengono costantemente aggiornati in base alle ultime tendenze, proteggendo continuamente la tua attività da sistemi di frode in continua evoluzione.
Stripe offre anche Radar for Fraud Teams, con cui gli utenti possono aggiungere regole personalizzate per gestire scenari di frode specifici e accedere a funzioni avanzate di analisi delle frodi.
Con Radar puoi:
Prevenire le perdite dovute a frodi: Stripe elabora oltre 1.000 miliardi di USD di pagamenti all'anno. Questa portata consente a Radar di individuare e prevenire con precisione le frodi, consentendoti di risparmiare denaro.
Aumentare i ricavi: i modelli IA di Radar sono addestrati su dati reali relativi a contestazioni, informazioni sui clienti, dati di navigazione e altro. Ciò consente a Radar di identificare le transazioni rischiose e ridurre i falsi positivi, aumentando i tuoi ricavi.
Risparmiare tempo: Radar è integrato in Stripe e non richiede alcuna riga di codice per essere configurato. Puoi anche monitorare le tue prestazioni antifrode, scrivere regole e altro in un'unica piattaforma, aumentando l'efficienza.
Scopri di più su Stripe Radar, oppure inizia oggi stesso.
I contenuti di questo articolo hanno uno scopo puramente informativo e formativo e non devono essere intesi come consulenza legale o fiscale. Stripe non garantisce l'accuratezza, la completezza, l'adeguatezza o l'attualità delle informazioni contenute nell'articolo. Per assistenza sulla tua situazione specifica, rivolgiti a un avvocato o a un commercialista competente e abilitato all'esercizio della professione nella tua giurisdizione.