Contrasto del riciclaggio per gli intermediari finanziari tra Regulation e Big Data. Alcune riflessioni
a cura di Michele Bonollo e Bruno Martorana

Articolo

Giu 08 2019
Contrasto del riciclaggio per gli intermediari finanziari tra Regulation e Big Data. Alcune riflessioni a cura di Michele Bonollo e Bruno Martorana

Executive summary

A seguito di inchieste condotte dalla magistratura, nei mesi scorsi gli organi di informazione hanno dato ampio risalto al tema dell’antiriciclaggio. Tali inchieste hanno evidenziato aspetti di mala gestio, negligenza nei processi di controllo, inefficienza e, nei casi più gravi, anche la presenza di elementi di dolo nella condotta di alcuni intermediari. Senza entrare nel merito di tali vicende, in questo breve commento si cerca di esaminare come, ancora oggi, l´applicazione concreta di alcuni aspetti della normativa antiriciclaggio non sia affatto semplice, sebbene siano trascorsi diversi anni dalla sua entrata in vigore.

Gli eventi recenti

Come anticipato in premessa, denunce, inchieste della magistratura e sanzioni irrogate dall´Autorità di Vigilanza in merito alla non adeguatezza dei controlli in materia di antiriciclaggio nei confronti di alcuni intermediari hanno avuto vasta rilevanza negli organi d´informazione sia tradizionali che via web. Si pensi ad esempio (i) al risalto mediatico subito dalla succursale italiana di ING Bank[1], successivo alle verifiche ispettive condotte dall´Autorità di Vigilanza e (ii) alle “significative carenze in tutti i comparti rilevanti a fini antiriciclaggio” ed alle “falle nel sistema informatico Gianos[2]” riferibili a Ubi Banca, che sarebbero emerse a seguito di indagini ispettive mirate da parte dell´Autorità di Vigilanza di settore.

Va detto altresì che, negli ultimi anni, generali carenze nell´applicazione della normativa antiriciclaggio e nell´adeguatezza dei controlli in materia di antiriciclaggio hanno dato luogo a sanzioni erogate dalla Banca d´Italia nei confronti di numerosi intermediari, anche di piccole e medie dimensioni.

Appare quindi spontaneo chiedersi come mai vi sia una così frequente e generalizzata non ottemperanza alla normativa antiriciclaggio da parte degli intermediari e se sia veramente cosi, considerata la crescente attenzione posta dalle banche sui temi di compliance che peraltro hanno generato e generano importanti costi. Si tratterebbe dunque di carenze soggettive da trattare caso per caso? O potrebbero ravvisarsi anche difficoltà sistemiche oggettive? Sarebbero quindi possibili margini di miglioramento?

Le operazioni c.d. anomale e la difficoltà della loro individuazione.

Senza alcuna pretesa di riuscire a rispondere esaustivamente a domande così complesse, cerchiamo di partire da alcuni dati statistici pubblicati dalla stessa Autorità di Vigilanza e relativi alle segnalazioni di operazioni sospette (S.o.s.), pervenute dal sistema bancario italiano e non, all´Unità di informazione finanziaria (UIF). Si comprenderà sin da subito che, a livello sistemico, i numeri in questione sono rilevantissimi.

Alcuni dati essenziali. Nel corso del 2017 sono pervenute alla UIF n. 93.217 segnalazioni di operazioni sospette (numeriche che hanno rappresentato un forte trend di crescita rispetto al passato. Si pensi ad esempio che nel 2013 la UIF aveva registrato circa 64.000 segnalazioni). Di queste oltre 93.000 segnalazioni, la UIF ha trasmesso agli Organi investigativi oltre 47.000 evidenze, pari quindi al 51% di quelle ricevute.  Di seguito un cartogramma con la densità di segnalazioni, tratto dai quaderni di antiriciclaggio riferiti al 2017 pubblicati da Banca d’Italia.

Proprio di recente, anche con riferimento a queste tematiche, è stato pubblicato un documento dalla Uif intitolato “l’impatto delle ispezioni antiriciclaggio sull’attività di segnalazione di operazioni sospette da parte delle banche: un’analisi empirica del caso italiano”[3] da cui è possibile dedurre alcune considerazioni. Un documento che se da un lato ha rappresentato fatti già noti al sistema bancario, dall´altro ha avuto il pregio di consolidare tali considerazioni estendendone la portata ad un pubblico più vasto. In questa valutazione empirica si rappresenta infatti che (i) le ispezioni inducono un aumento delle segnalazioni di operazioni sospette inviate dalle banche nel trimestre successivo all´ispezione e che (ii) l´impianto normativo antiriciclaggio (principalmente con riferimento alla fonte legislativa di livello primario) porta con sé un´asimmetria del sistema sanzionatorio riferibile al fatto che le sanzioni possono colpire l´eventuale omissione di segnalazione di operazione sospetta ma non l´invio eccessivo di report infondati. Tale circostanza potrebbe favorire, almeno in astratto, una interpretazione da parte delle banche (e dei soggetti obbligati in generale) che porterebbe a sovra segnalare a scopo cautelativo (generando così il c.d. effetto “al lupo al lupo”). Ciò rappresenta chiaramente una minaccia all´efficacia del sistema.

In questa ottica, se da un lato va considerato che la segnalazione di operazione sospetta è di per sé affetta da un margine di discrezionalità del segnalante (che cerca di essere minimizzato anche grazie all´emanazione dei puntuali indicatori e schemi di anomalia dalle Autorità di Vigilanza), dall´altro la questione della segnalazione c.d. a scopo cautelativo ha a che fare con tematiche di alto livello come principi etici, costi aziendali e sociali, insomma le logiche di trade off.  

Sempre in tale ambito vanno considerati anche i sistemi di detection delle operazioni anomale di cui deve dotarsi ogni intermediario. Si tratta, in estrema sintesi, di processi strutturati che iniziano con la raccolta e la messa in evidenza di tutte quelle operazioni della clientela che per importo, caratteristiche del cliente, frequenza, controparte, paese della controparte (etc…) possono, almeno in astratto, determinare un rischio potenziale di riciclaggio più elevato[4].

Di fronte a tali evidenze, la Banca (o l´intermediario in generale) è costretta a domandarsi se l´operazione rilevata[5] debba confluire o meno in una segnalazione di operazione sospetta. Ne deriva che anche tali sistemi di detection, a seconda di come essi vengono tarati, possono far parte delle cause per cui il numero delle segnalazioni di operazioni sospette (cautelative o meno) continua a crescere.

Nei processi delle banche e/o nei software da queste utilizzate, sembra riscontrarsi una mera replica della lista degli indicatori di anomalia tradotti in algoritmi statici, senza uno sforzo per un framework globale e robusto.

Ma allora, come fare a generare meno evidenze (siano esse interne all´intermediario e al suo sistema di detection o che sfocino in vere e proprie segnalazioni di operazioni sospette indirizzate alla Uif) e di maggiore qualità?

Per affrontare il problema cerchiamo di fare un parallelismo con quello che ancora oggi é il core business del settore bancario tradizionale: la concessione del credito.

In particolare, se la banca ha un sistema di rating su scala 1 a 10 (con 1 la classe di rating migliore) a quale livello di rating va rifiutata la richiesta di nuova erogazione?Se un cliente ha rating non buono, supponiamo 7, si gestisce il tutto nel pricing (o aumentando le richieste di garanzia), cioè applicando un tasso elevato al prestito, o meglio rifiutare, con il rischio di perdere buoni margini? Certamente, in questo ambito, le risposte dipendono dal risk profile, ma nell´antiriciclaggio, al di là degli aspetti di compliance normativa, c’è un problema in più che appare insormontabile e cioè la difficoltà (o forse l´impossibilità) di condurre un backtesting. Ci spieghiamo meglio:

  • Nell’ambito del rischio di credito, ad esempio, il backtesting consiste nel confrontare i rating (e le PD) a 1 anno con i tassi di ingresso in default o in sofferenza dei clienti dopo 1 anno dalla misura del rating. Così facendo si ottiene una verifica ex-post della qualità dei modelli, ed ex-ante i modelli vengono calibrati per la migliore predittività possibile;
  • Nell´ambito del rischio di mercato, quando si calcola il VaR di un portafoglio con orizzonte 1 giorno, lo si confronta con le perdite e i profitti di giornata, cioè se le perdite superano la massima perdita espressa dal VaR supponiamo al livello 99%. Ci si aspetta quindi che su una opportuna lunga finestra temporale le perdite siano superiori al VaR con frequenza non troppo lontana da 1%. Come utile esempio, la normativa di Basilea sui rischi di mercato e i modelli interni di misurazione, considera ottimo un modello che su 250 giornate abbia, al più, 4 eventi di perdita maggiore del VaR.

In antiriciclaggio, queste fasi ci sembrano di difficile applicazione. Non c’è né un evento ex-post contro cui effettuare il backtesting, né la possibilità di calibrazione dei modelli. Molto spesso, infatti, l´avvio di indagini da parte della magistratura, l´esecuzione di sequestri o provvedimenti di altro genere, divengono noti all´intermediario solo dopo diverso tempo (senza considerare che si tratta di eventi non così frequenti per cui risulta ancor più difficile affidare alla statistica la costruzione di robusti modelli). Ad esempio, con riferimento ai dati richiamati dalla stessa UIF si riscontrano 661 acquisizioni di SOS su 47.000 nel II semestre 2017 da parte della magistratura. Ciò equivale ad un tasso di circa 1.25% che rappresenta un evento raro, paragonabile al tasso di default. Il problema è che a differenza dell’ambito del credito per ovvie ragioni la banca stessa che dovrebbe calibrare i modelli innestati nei sistemi informatici non sa quali siano questi eventi, se non appunto in casi conclamati pubblici, per cui ogni backtesting, appare, in sostanza, precluso.

Ed allora cosa fanno quindi la maggior parte degli intermediari nelle prassi riscontrate dalla Uif? Un po’ per i rischi sanzionatori e reputazionali a carico degli organi aziendali, dei delegati alla segnalazione di operazioni sospette e dei responsabili di primo livello, si attengono ai talvolta rigidi processi interni, alla mera applicazione dei vari schemi di anomalia, e con una buona dose di prudenza sommergono la Uif di segnalazioni, anche quando palesemente riscontrano un rischio bassissimo o nullo.

Qualità dei software in uso agli intermediari. Big Data & Analytics

Riprendiamo il tema delle “falle” nei sistemi informativi descritti in premessa. Un primo punto da ricordare è che le proprietà che un software dovrebbe soddisfare son ormai ben note, e sono per esempio declinate in modo organico anche in alcuni framework normativi, quali il cosiddetto RDARR, risk data aggregation and risk reporting.

Tra tali auspicate proprietà, si ricorda:

  • profilazione, cioè assegnazione di grants ben diversificate agli utenti, in modo che non sia facile, grazie a un meccanismo di contrapposizione di interessi, che via siano “super utenti” fuori controllo;
  • auditability, cioè la tracciatura di tutte le attività effettuate sui dati (ad esempio: inserimento, modifica, cancellazione). Questo si ottiene se il sistema consente di gestire i “log” e anche impostarne il livello di dettaglio, (cosiddetta verbosity). Così facendo si può per esempio “versionare” gli stati del dato, cioè memorizzarne tutti i valori assunti (chi lo ha modificato e quando lo ha fatto);
  • roll back, cioè potere ripristinare i sistemi a una data passata per potere rieseguire i processi in quella stessa data;
  • providing e deproviding, un processo di assegnazione delle utenze e dei profili efficace, e la cessazione delle utenze o modifica a seguito, ad esempio, di cambio di ruolo o di ufficio dell´utente;
  • intermediazione nell’accesso ai dati. Si tratta cioè di porre tra l’utente e i dati (tabelle del database) le opportune interfacce e maschere grafiche (dette GUI), così da impedire che si possa con strumenti informatici quali le query accedere direttamente alle tabelle per effettuare modifiche e cancellazioni.

Riguardo agli eventi richiamati nel primo paragrafo, non si può certo dire in questa sede cosa sia avvenuto. Di certo sembra che i sistemi software utilizzati non avessero all’epoca tutte le necessarie proprietà ed è altrettanto vero che in caso di collusioni di un numero alto di soggetti con logiche fraudolente il sistema informatico non può essere resiliente a qualunque manipolazione.

Ma il vero problema è a nostro parere un altro, se pensiamo alle sfide poste dalle attività di antiriciclaggio nell’intercettare potenziali operazioni sospette. All’avvio degli obblighi normativi, il sistema bancario italiano si è adagiato in modo forse eccessivamente rigido su pochi o forse su un solo sistema software quando, al contrario, una più aperta concorrenza avrebbe stimolato una più rapida ed efficace evoluzione degli strumenti. Basti pensare che anche in altri elementi vitali del sistema informativo delle banche italiane, come a puro titolo di esempio i sistemi di position keeping della finanza o i sistemi di predisposizione dei flussi di vigilanza, vi sono almeno 3-4 soluzioni di mercato in forte competizione che determinano miglioramenti continui[6].

Invece un po’ per questo motivo e anche per le ragioni illustrate nella sezione precedente ci si è adagiati sulla mera ripetizione degli schemi di anomalia, trasformati in “warning” del sistema informatico.

A pensarci bene l´AUI (archivio unico informatico), database core dell´antiriciclaggio, è un archivio multidimensionale che contempla numerosissimi dati riferibili alle operazioni, al cliente ed alla sua controparte, al settore di attività della clientela e a quello geografico. Visti nel tempo, si tratta di serie storiche caratterizzate da intensità, frequenza, ecc. per un totale di molte decine di variabili (“campi”). Il flusso AUI di una banca, in pratica, costituisce da solo un esempio di big data nella sua moltiplicazione di casi (operazioni) e variabili.

Ecco, senza mettere in gioco termini abusati quali machine learning e artificial intelligence, riteniamo che la strada corretta possa essere quella di investire in logiche e strumenti di data mining e discovery, cioè strumenti con efficaci funzioni algoritmiche e di visualizzazione che consentono una rapida e più efficace esplorazione dei dati stessi, una costruzione più dinamica e meno spoglia di semafori di warning, nonché una maggiore aggregazione di dati in modo da consentire analisi e ricerca di potenziali fenomeni “nascosti” nei dati.

Sembra che, negli ultimi 3-4 anni, alcune realtà di grandi dimensioni si siano finalmente mosse in questa direzione. Certo serve anche una evoluzione di prospettiva e/o di skills anche nelle funzioni di compliance e antiriciclaggio, spesso abituate a un approccio istruttorio sui singoli casi e meno ad un´analisi massiva dei dati. Questa prospettiva potrebbe, anzi, dovrebbe, coesistere con un approccio orientato all´analisi dei singoli casi. Se ciò mancasse del tutto probabilmente si perderebbe quella parte della visione logico/giuridica dei fenomeni sottostanti e delle finalità a cui tende la normativa.

Si auspica, insomma, che queste due anime analitiche possano coesistere e lavorare sempre più a stretto contatto, poiché ad oggi a giudicare dai numeri pubblicati dalla Uif, il sistema delle segnalazioni sembra migliorabile.

Riferimenti

i) Banca d’Italia (2017), Quaderni dell’antiriciclaggio dell’Unità di Informazione Finanziaria;

ii) Banca d’Italia (2019), Provvedimento sanzionatorio n.144 7.3.2019;

iii) Borzi N. (2019), “Il software Gianos e le falle nel sistema antiriciclaggio UBI”;

iv) BCBS (2013), “risk data aggregation and reporting”, paper 239;

v) Pierpaolo Fratangelo, Maria Pia Peluso, Banca d´Italia, Le nuove norme antiriciclaggio: i presidi aziendali alla prova del rischio di riciclaggio. Bancaria Editrice 3-2019;

vi) Marco Stellin, La nuova sfida della funzione antiriciclaggio: il collegamento fra rischio di riciclaggio e Risk Appetite Framework;

vii) Luciano Murtas, Intermediari assicurativi di fronte a nuovi adempimenti antiriciclaggio (Diritto24.it);

Siti web consultati:

https://valori.it/il-softaaware-gianos-e-le-falle-nel-sistema-antiriciclaggio-ubi/

http://www.ilgiornale.it/news/ecco-funziona-gianos-sentinella-dell-antiriciclaggio.html

https://www.repubblica.it/economia/2019/03/16/news/ing_stop_operazioni_bankitalia-221756978/

https://www.ilsole24ore.com/art/norme-e-tributi/2017-08-21/vincolo-segnalazione-se-c-e-sproporzione-il-reddito-e-flussi–211135.shtml?uuid=AEazmfFC

https://www.diritto24.ilsole24ore.com/art/dirittoCivile/2019-05-15/intermediari-assicurativi-fronte-nuovi-adempimenti-antiriciclaggio-094634.php


[1] Cfr. per tutti: https://www.repubblica.it/economia/2019/03/16/news/ing_stop_operazioni_bankitalia-221756978/

[2] Cfr. Per tutti: https://valori.it/il-software-gianos-e-le-falle-nel-sistema-antiriciclaggio-ubi/

[3] Lo studio della UIF pubblicato sulla pagina web: http://uif.bancaditalia.it/pubblicazioni/quaderni/2019/quaderno-12-2019/Effetto_ispezioni_estratto_in_italiano_web.pdf utilizza i dati delle ispezioni antiriciclaggio svolte dalla Vigilanza e dalla UIF nel biennio 2012-2013, incrociati con i flussi di segnalazioni di operazioni sospette trasmessi dalle singole banche (ispezionate e non) e con le statistiche sull’attività operativa degli intermediari fornite dai dati antiriciclaggio ‘aggregati’ (SARA).

[4] I fattori che vengono presi in considerazione per la determinazione di una c.d. operazione anomala (che dovrà poi essere evidenziata alla banca) fanno riferimento, tra le altre cose, ai comportamenti enucleati all´interno dei singoli schemi di anomalia pubblicati tempo per tempo dalla UIF nonché al Provvedimento n. 616 del 24 agosto 2010 emanato dalla Banca d`Italia.  

[5] Che certamente deve essere corroborata da un ragionamento complesso e deve dar luogo ad un´analisi approfondita che unisca tutti i necessari elementi soggettivi e oggettivi.

[6]Le nuove tecnologie possono rendere più efficienti ed efficaci i controlli tanto nella fase di acquisizione del cliente che in quella di monitoraggio. Strumenti di controllo biometrico, tecniche di elaborazione massiva dei dati o sistemi di intelligenza artificiale possono, infatti, garantire una piú estesa capacità di captazione delle informazioni rilevanti, ma anche una migliore reattività agli stimoli che possono derivare dalla valutazione di queste attività” (cfr. Pierpaolo Fratangelo, Maria Pia Peluso in Le nuove norme antiriciclaggio: i presidi aziendali alla prova del rischio di riciclaggio. Bancaria editrice 3/2019)

Il termometro dei mercati finanziari (31 maggio 2019)
a cura di Emilio Barucci e Daniele Marazzina

Termometro

Giu 01 2019
Il termometro dei mercati finanziari (31 maggio 2019) a cura di Emilio Barucci e Daniele Marazzina

L’iniziativa di Finriskalert.it “Il termometro dei mercati finanziari” vuole presentare un indicatore settimanale sul grado di turbolenza/tensione dei mercati finanziari, con particolare attenzione all’Italia.

Significato degli indicatori

  • Rendimento borsa italiana: rendimento settimanale dell’indice della borsa italiana FTSEMIB;
  • Volatilità implicita borsa italiana: volatilità implicita calcolata considerando le opzioni at-the-money sul FTSEMIB a 3 mesi;
  • Future borsa italiana: valore del future sul FTSEMIB;
  • CDS principali banche 10Ysub: CDS medio delle obbligazioni subordinate a 10 anni delle principali banche italiane (Unicredit, Intesa San Paolo, MPS, Banco BPM);
  • Tasso di interesse ITA 2Y: tasso di interesse costruito sulla curva dei BTP con scadenza a due anni;
  • Spread ITA 10Y/2Y : differenza del tasso di interesse dei BTP a 10 anni e a 2 anni;
  • Rendimento borsa europea: rendimento settimanale dell’indice delle borse europee Eurostoxx;
  • Volatilità implicita borsa europea: volatilità implicita calcolata sulle opzioni at-the-money sull’indice Eurostoxx a scadenza 3 mesi;
  • Rendimento borsa ITA/Europa: differenza tra il rendimento settimanale della borsa italiana e quello delle borse europee, calcolato sugli indici FTSEMIB e Eurostoxx;
  • Spread ITA/GER: differenza tra i tassi di interesse italiani e tedeschi a 10 anni;
  • Spread EU/GER: differenza media tra i tassi di interesse dei principali paesi europei (Francia, Belgio, Spagna, Italia, Olanda) e quelli tedeschi a 10 anni;
  • Euro/dollaro: tasso di cambio euro/dollaro;
  • Spread US/GER 10Y: spread tra i tassi di interesse degli Stati Uniti e quelli tedeschi con scadenza 10 anni;
  • Prezzo Oro: quotazione dell’oro (in USD)
  • Spread 10Y/2Y Euro Swap Curve: differenza del tasso della curva EURO ZONE IRS 3M a 10Y e 2Y;
  • Euribor 6M: tasso euribor a 6 mesi.

I colori sono assegnati in un’ottica VaR: se il valore riportato è superiore (inferiore) al quantile al 15%, il colore utilizzato è l’arancione. Se il valore riportato è superiore (inferiore) al quantile al 5% il colore utilizzato è il rosso. La banda (verso l’alto o verso il basso) viene selezionata, a seconda dell’indicatore, nella direzione dell’instabilità del mercato. I quantili vengono ricostruiti prendendo la serie storica di un anno di osservazioni: ad esempio, un valore in una casella rossa significa che appartiene al 5% dei valori meno positivi riscontrati nell’ultimo anno. Per le prime tre voci della sezione “Politica Monetaria”, le bande per definire il colore sono simmetriche (valori in positivo e in negativo). I dati riportati provengono dal database Thomson Reuters. Infine, la tendenza mostra la dinamica in atto e viene rappresentata dalle frecce: ↑,↓, ↔  indicano rispettivamente miglioramento, peggioramento, stabilità rispetto alla rilevazione precedente.

Disclaimer: Le informazioni contenute in questa pagina sono esclusivamente a scopo informativo e per uso personale. Le informazioni possono essere modificate da finriskalert.it in qualsiasi momento e senza preavviso. Finriskalert.it non può fornire alcuna garanzia in merito all’affidabilità, completezza, esattezza ed attualità dei dati riportati e, pertanto, non assume alcuna responsabilità per qualsiasi danno legato all’uso, proprio o improprio delle informazioni contenute in questa pagina. I contenuti presenti in questa pagina non devono in alcun modo essere intesi come consigli finanziari, economici, giuridici, fiscali o di altra natura e nessuna decisione d’investimento o qualsiasi altra decisione deve essere presa unicamente sulla base di questi dati.

The role of financial institutions in the context of digital identity
a cura di Deloitte

Articolo

Mag 29 2019
The role of financial institutions in the context of digital identity a cura di Deloitte

During the last few years, many of our daily activities went through drastic changes due to the growing digitalisation.  Nowadays, the way we interact with each other, perform errands, participate to civil society, and, of course, the way we do business is very different compared to ten or even five years ago.

If one has to pick the most impacted sectors, retail and finance (especially in relation to digital payments) are probably the ones to look at. Think, for instance, to the online shopping business. A decade ago, consumers considered buying online a futuristic and, most likely, not reliable feat[i]. Today, many people will happily ditch their local store in favour of online shopping platforms (or online enabled shopping experiences) when confronted with a better offer[ii].

The current environment originated from a number of factors. First, we have to consider the change in the cultural background of the people. The new generations (like Millennials and Generation Z) are well versed in technology and most of their daily living revolves around it[iii]. Second, the massive and widespread penetration of mobile devices enabled seamless and user-friendly experiences. A growing number of people is now used to this kind of user experience, and they do expect it from the services they buy. Third, there is a mounting regulatory pressure in the financial sector, with particular regard to the Eurozone. Regulatory evolution and the subsequent requirements arising from the new Payment Services Directive (also known as PSD2) are pushing for a more open digital financial market. In particular, when looked in the context of other norms, such as eIDAS, the General Data Protection Regulation (GDPR) and the Network and Information System Directive (NIS Directive), it appears clearly that the European regulators are accelerating toward a Single Digital Market, which will bring many changes to the financial sector as well[iv].

As already said, in the context of the wider financial sector the area that registers the highest degree of change is that of payment. Some non-financial players have indeed entered this market with a number of Fintech solutions that seem to be widely appreciated by the public. International brands like Apple and Samsung introduced their smart payment services[v], along with local start-ups (like the Italian Satispay), which are enjoying a roaring growth as well[vi]. This indicates that the users are not only ready, but also eager to adopt smart payment solutions and drop traditional payment methods like credit cards and money transfers[vii]. In this scenario, traditional players such as banks and insurance companies are still relatively lagging behind. One of the solutions to bridge the gap between expectations and service offering might be to foster the adoption of digital identity solutions and to leverage their full potential.

The concept of digital identity carries a number of benefits for both users and companies. In 2018, the International Telecommunication Union published a document that contains a non-exhaustive list of the most prominent ones such as improving the convenience of users, improving service delivery, lowering the cost of service delivery, creating new revenues opportunities, and enhancing security[viii].

Even though the topic of digital identity is now prominent in many debates about future technologies and digitalisation, it is a relatively dated concept. The idea of digitising identities is old as the internet, if not as old as the concept of computer itself. Throughout the years, this concept grew steadily, following the evolution of the technological environment. The boom of social media drastically moved forward the notion that users online should be somehow identified, although the real pioneer in this field was the Estonian Government, which in 2002 established the first national digital identity scheme in the world[ix].

But what are, precisely, the benefits for the financial sector, and why is digital identity so important? To answer this question, we have to consider what lies at the heart of every financial transaction (not involving cash), which is trust. Users literally entrust financial institutions with their money and to intermediate for them in interacting with other users. Users feel confident in doing so because financial institutions built a solid reputation around their capabilities to prove the validity of financial transactions[x]. Financial institutions are, in the end, providers of trust and some major players in the financial arena, like Mastercard, decided to use this concept to spearhead their entrance in the digital identity arena[xi].

In the day-to-day context of cash-transactions, users do not necessarily need an intermediary to guarantee the validity of the transaction. Everything is performed face-to-face. However, following the significant increase in non-cash payments and non-cash transactions[xii] due to the introduction of digital channels, the landscape has changed. Merchants, in particular, need to verify the identity of person buying their goods with a high level of confidence. This is exactly where financial institutions can play a prominent role.

Compared to other players in the field of identity, financial institutions have clear advantages. As their traditional business already require them to verify the identity of their customer with a high level of assurance, they have the means to translate such a level of assurance into a “commodified trust”. This is something that other companies such as the Fintech companies described above, or social media juggernauts like Facebook and Google, cannot (yet) do. Consider the following example. John Doe wants to buy a bottle of wine from the website of his local liquor store. The shop needs to verify the age of John before performing the payment. Now, both the identity provided by a bank and that provided by other companies indicate the age of John. However, it is more likely that the identity issued by the bank will have a higher level of assurance, since the identity enrolment procedures for banks are stricter and usually involve the verification of nationally-issued IDs. Hence, the shop can have more confidence that John has reached the legal age for drinking alcohol and sell him the desired goods.

Financial institutions, though, are not the only players capable of providing high level of assurance for identities. There is at least one other category, this being national authorities. Most likely, a national authority will have the means to provide for the highest level of assurance an identity can have. However, even when compared to these national actors, financial institutions still have the upper hand. Indeed, even though national digital identity schemes might be extremely reliable (in terms of level of assurance), they are very often limited to a specific country. Cross border digital identity systems are rare and complex to be implemented. On top of the already intricate technical issues, national authorities willing to make their systems interoperable have to face legal and political obstacles. Some supranational authorities are trying to work out the problem, such as the EU with the eIDAS regulation[xiii] and the STORK project[xiv]. However, a real global digital identity initiative is still far from becoming a reality. These constraints apply to financial institutions as well. However, it will be relatively easier for them to establish international identity schemes trough global partnerships with other actors. The flexibility granted by the B2B model enables them to build real international networks their customers can rely upon.

Lastly, an additional yet crucial element makes financial institutions a potential candidate to implement digital identity schemes. One of the key success factor for digital identity is to reach critical mass in a two-sided market. End-users will enrol in the digital identity scheme only if there is a clear value in doing it. The value comes from the participation of service providers to the digital identity schemes. However, service providers will not invest resources if there is no certainty about the share of users they can target (i.e. the name of end-users in the digital identity scheme). Since financial institutions are already well positioned in this two-sided market, they can act as intermediaries. By offering digital identity services to both of the sides, they can ease the matching of demand and supply.

As described, digital identity is becoming pivotal in the context of digital payments and transactions and financial institutions have all the characteristics to become the go-to solutions. In some countries, such as Canada[xv] and Sweden[xvi], financial institutions already play the role of main digital identity provider. However, this should be seen as a starting point. Providing digital identities with a high level of assurance can become the bedrock for new services and new offerings to the clients. For instance, financial institutions can collaborate with operators in other fields (such as e-mobility, e-health, e-government, etc.) to create a really integrated and seamless holistic experience, and promoting the advantages of digital identity beyond the mere financial sector.

AUTHORS

Andrea Rigoni – Partner Deloitte Risk Advisory

Alessandro Ortalda – Senior Consultant Deloitte Risk Advisory

[i]  Data shows that it was not until 2017 that the e-commerce share of total global retail sales surpassed the 10%. https://www.statista.com/statistics/534123/e-commerce-share-of-retail-sales-worldwide/

[ii]  See, for instance, a comparison of purchases from online and physical stores on Black Friday in Australia in 2017 and 2018. https://www.statista.com/statistics/943803/black-friday-purchases-online-physical-stores-australia/

[iii] https://www.inc.com/ryan-jenkins/how-to-secure-millennial-spending-with-mobile-payments.html

[iv] https://ec.europa.eu/transparency/regdoc/rep/1/2018/EN/COM-2018-772-F1-EN-MAIN-PART-1.PDF

[v] https://www.auriemma.group/apple-pay-makes-up-77-of-mobile-payments-among-debit-card-users/

[vi] https://www.ilsole24ore.com/art/finanza-e-mercati/2018-08-10/pagamenti-digitali-satispay-si-allea-cse-ed-entra-30mila-pos-173750.shtml?uuid=AE4SduZF

[vii] https://ricerca.repubblica.it/repubblica/archivio/repubblica/2019/01/14/satispay-arriva-a-quota-mezzo-milione-di-clientiAffari_e_Finanza22.html

[viii] https://www.itu.int/en/ITU-D/ICT-Applications/Documents/Guides/ITU_eID4D_DIGITAL%20IDENTITY_ROAD_MAP_GUIDE_FINAL_Under%20Review_Until-05-10-2018.pdf

[ix] https://e-estonia.com/

[x] https://www.linkedin.com/pulse/why-financial-institutions-fis-drive-digital-id-rob-galaski/

[xi] https://www.mastercard.us/content/dam/mccom/en-us/issuers/digital-identity/digital-identity-restoring-trust-in-a-digital-world-final-share-corrected.pdf

[xii] https://cashessentials.org/app/uploads/2018/07/2018-world-cash-report.pdf

[xiii] https://ec.europa.eu/digital-single-market/en/trust-services-and-eid

[xiv] https://ec.europa.eu/digital-single-market/en/content/stork-take-your-e-identity-you-everywhere-eu

[xv] https://securekeyconcierge.com/

[xvi] https://www.bankid.com/en/om-bankid/detta-ar-bankid lock