Negli ultimi anni, la fiducia digitale si è spostata dal livello delle app a quello della rete. L’autenticazione digitale, un tempo basata su password e codici temporanei, sta evolvendo verso modelli che sfruttano direttamente le capacità del network per certificare in tempo reale l’identità di un utente.
È il principio alla base dell’iniziativa GSMA Open Gateway, discussa nel confronto internazionale organizzato da GSMA “Dial M for Monetise”, dove operatori mobili e partner tecnologici hanno condiviso esperienze e risultati concreti sul campo.
Indice degli argomenti
Dalla password all’identità di rete
Per decenni, l’autenticazione si è basata su metodi manuali: password, OTP via SMS, app di verifica. Strumenti utili ma spesso fragili, esposti a furti di credenziali e phishing. Oggi, le API di rete offrono una prospettiva diversa: la rete stessa può diventare un elemento di verifica.
Attraverso standard come Number Verification, le Telco consentono a un servizio digitale di controllare automaticamente che un dispositivo e il numero telefonico associato coincidano, senza richiedere alcuna azione all’utente. È un meccanismo invisibile, ma potente, perché riduce i margini di errore e gli attacchi di social engineering.
Come ha spiegato Leonardo Siqueira, responsabile Data Monetization e Mobile Ads di TIM Brasil, la sfida è migliorare la sicurezza e, allo stesso tempo, semplificare l’esperienza utente: «Il processo tradizionale di autenticazione richiedeva in media venti secondi. Con l’API di Number Verification lo abbiamo ridotto a meno di dieci».
Il risultato è un doppio vantaggio: meno tempo per l’utente, meno vulnerabilità per l’azienda.
L’esperimento di TIM Brasil
Con la nuova API — secondo Siqueira — TIM Brasil ha gestito oltre quattro milioni di autenticazioni in poco più di un anno, raggiungendo un tasso di verifica «vicino al 100%».
La riduzione dei tempi e l’assenza di passaggi manuali hanno eliminato buona parte delle criticità tipiche dei processi OTP, dove un errore di digitazione o un ritardo nella ricezione del messaggio possono bloccare l’accesso.
Il nuovo approccio non si limita a velocizzare il login, ma rimuove la necessità stessa di chiedere all’utente di intervenire. L’API funziona in background, anche se il dispositivo è connesso via Wi-Fi, e in caso di necessità utilizza un fallback via SMS. È un esempio di integrazione ibrida: sicurezza automatizzata senza rinunciare alla compatibilità con i canali tradizionali.
Siqueira ha definito questo modello «frictionless», ossia senza attrito, perché evita che la sicurezza diventi un ostacolo alla user experience. Il principio è semplice: un’autenticazione digitale efficace è quella che non si vede.
Sicurezza e user experience, due facce della stessa fiducia
Il valore strategico delle API non risiede solo nella protezione dal rischio, ma nella qualità dell’esperienza utente. Gli utenti non vogliono più gestire token o codici: vogliono accedere in modo immediato e sicuro.
Nel settore finanziario e nei servizi digitali, la possibilità di eliminare passaggi manuali può fare la differenza tra un login completato e un cliente perso. Per questo le API di rete stanno diventando parte integrante della progettazione dei percorsi digitali.
Secondo Siqueira, «il vantaggio principale è la combinazione tra velocità e affidabilità». L’API di Number Verification ha permesso di superare uno dei limiti storici della sicurezza mobile: il compromesso tra protezione e semplicità d’uso.
La lezione per gli altri operatori è chiara: la sicurezza deve diventare una componente nativa del servizio, non un’azione aggiuntiva richiesta all’utente.
Dalla sicurezza individuale al valore di sistema
L’evoluzione dell’autenticazione digitale non riguarda solo i singoli operatori. In Brasile, la collaborazione tra TIM, Claro e Vivo ha permesso di unificare gli standard tecnici e commerciali delle API, rendendole disponibili a imprese e istituzioni in un’unica forma.
Ageu Dantas, Head of Data Analytics and Messaging di Claro, ha spiegato che «la crescita reale è arrivata quando le API sono passate dai test alla produzione, diventando parte della customer journey di banche e fintech».
Questo passaggio — dall’innovazione sperimentale alla distribuzione commerciale — segna l’inizio di un nuovo modello economico: le Telco non forniscono solo connettività, ma anche sicurezza integrata come servizio.
Le API di autenticazione, unite a quelle di controllo dell’identità o del dispositivo, permettono alle aziende di costruire processi antifrode direttamente basati sulla rete mobile, riducendo i costi di verifica e le esposizioni ai rischi.
Per gli operatori, significa trasformare la fiducia in valore condiviso. Dantas lo definisce un punto di svolta: «Le imprese vogliono una singola API standard, non tre integrazioni diverse».
Standard e interoperabilità come garanzia di fiducia
Alla base di questo nuovo modello di sicurezza c’è la standardizzazione. L’iniziativa Open Gateway, promossa da GSMA, si fonda sul framework tecnico CAMARA, che stabilisce le regole comuni per la creazione e l’uso delle API di rete.
Come ha ricordato Viktorija Radman, Telecom Business Global Director di Infobip, «la certificazione e la standardizzazione sono essenziali: senza un linguaggio comune, ogni operatore offrirebbe una versione diversa della stessa API, rendendo impossibile la scalabilità».
La standardizzazione non è solo un tema tecnico. Definisce anche un modello di fiducia industriale. Gli operatori condividono parametri di sicurezza, SLA e modalità di osservazione del traffico, garantendo alle imprese una qualità prevedibile e verificabile del servizio.
Verso una nuova infrastruttura di autenticazione digitale
La trasformazione non si ferma alle API di Number Verification. Nei piani di GSMA e dei suoi partner, il modello verrà esteso a funzioni come KYC Match, Device Location e Quality on Demand, abilitando nuove applicazioni in settori che vanno dalla finanza alla logistica.
Raman Mistry, Channel Partner Lead di GSMA, ha confermato che il programma ha già raccolto «decine di casi d’uso commerciali basati su API standard CAMARA».
L’obiettivo è costruire un ecosistema in cui l’autenticazione digitale sia una capacità distribuita: ogni operatore partecipa a una rete di fiducia globale, in grado di verificare identità, dispositivi e connessioni con la stessa affidabilità, ovunque.
In questa prospettiva, la sicurezza non è più un servizio separato, ma un’infrastruttura. Una base comune su cui costruire esperienze digitali più sicure, più semplici e più umane.
