Aggiornamento MFA per la gestione dei rischi della Banca Centrale della Malesia
Scopri le modifiche alla policy RMiT in Malesia, perché la BNM richiede un'MFA resistente al phishing e come le passkey aiutano a mantenere la conformità.
Questa pagina è stata tradotta automaticamente. Leggi la versione originale in inglese qui.
Report Passkeys per il banking. Guide pratiche, pattern di distribuzione e KPI per programmi passkey.
- A novembre 2025, la RMiT trasforma le linee guida sull'autenticazione della BNM in un regolamento vincolante che copre tutte le banche autorizzate, gli assicuratori, gli emittenti di moneta elettronica e gli operatori dei sistemi di pagamento in Malesia.
- Gli SMS OTP sono ora esplicitamente non conformi come secondo fattore autonomo. L'MFA deve essere resistente alle intercettazioni e collegata a beneficiario e importo specifici.
- L'associazione del dispositivo (device binding) prevede per impostazione predefinita un solo dispositivo mobile per conto. L'accesso da più dispositivi richiede un consenso esplicito (opt-in) del cliente e un processo di eccezione verificabile.
- Le passkey (FIDO2/WebAuthn) soddisfano contemporaneamente i requisiti di MFA resistente al phishing, autenticazione senza password e associazione del dispositivo, rappresentando il percorso più diretto verso la piena conformità.
- Nel 2024 le banche malesi hanno bloccato oltre 383 milioni di ringgit malesi (oltre 100 milioni di dollari USA) in transazioni fraudolente, guidando il passaggio verso controlli obbligatori resistenti al phishing.
1. Introduzione#
La Bank Negara Malaysia (BNM) ha pubblicato una policy aggiornata Risk Management in Technology (RMiT) a novembre 2025, in sostituzione della versione di giugno 2023. Sebbene l'aggiornamento copra un'ampia gamma di aree di rischio tecnologico, i cambiamenti più significativi riguardano l'autenticazione, l'associazione del dispositivo, l'autenticazione a più fattori e la prevenzione delle frodi. Questa regolamentazione sul banking malese per le istituzioni finanziarie non rappresenta più una best practice o una linea guida, ma è diventata uno standard obbligatorio.
La BNM ha lentamente allontanato gli istituti dagli SMS OTP dal 2023. Il motivo era semplice: i truffatori hanno creato strumenti per intercettare i codici di autenticazione SMS prima che i clienti potessero vederli e gli attacchi di SIM-swap hanno permesso ai criminali di reindirizzare i codici a dispositivi che controllavano. Entro il 2024, le banche malesi hanno bloccato collettivamente oltre 383 milioni di ringgit malesi (oltre 100 milioni di dollari USA) in transazioni fraudolente (secondo il loro rapporto annuale). L'aggiornamento di novembre 2025 prende atto di questi sviluppi e li codifica in una regolamentazione vincolante.
Questo articolo analizza i principali cambiamenti all'autenticazione e all'MFA nell'RMiT aggiornata, spiega il contesto normativo e mostra come le passkey e l'autenticazione resistente al phishing si inseriscono nel quadro della conformità. Risponderemo alle seguenti domande:
-
Cos'è la policy RMiT e a chi si applica?
-
Com'era il panorama dell'autenticazione prima di novembre 2025?
-
Quali sono i cambiamenti più importanti ai requisiti di autenticazione e MFA?
-
In che modo le passkey aiutano le istituzioni finanziarie a conformarsi all'RMiT aggiornata?
Articoli recenti
♟️
Test delle implementazioni passkey (Guida alle passkey per le aziende 5)
🔑
Le 11 più grandi violazioni dei dati in Canada [2026]
🔑
Le 10 più grandi violazioni di dati in Sudafrica [2026]
🔑
Le 10 più grandi violazioni dei dati nel settore finanziario [2026]
🔑
Aggiornamento MFA per la gestione dei rischi della Banca Centrale della Malesia
2. Cos'è la policy Risk Management in Technology (RMiT) della Bank Negara Malaysia (BNM)?#
La policy RMiT è il quadro normativo centrale della BNM che governa il modo in cui le istituzioni finanziarie regolamentate gestiscono i rischi tecnologici. La conformità alla BNM RMiT stabilisce i requisiti per la governance IT, la sicurezza informatica, i servizi digitali, l'utilizzo del cloud e i controlli di autenticazione, con l'obiettivo di mantenere i servizi finanziari disponibili, resilienti e affidabili con l'evolversi dei canali digitali e dei livelli di minaccia.
La policy tratta anche l'utilizzo del cloud come una forma di esternalizzazione, richiedendo agli istituti di mantenere la proprietà e il controllo appropriati sui dati dei clienti e sulle chiavi crittografiche. In pratica, l'RMiT è la base di conformità su cui ogni istituzione finanziaria regolamentata in Malesia deve costruire la propria posizione di rischio tecnologico.
3. Chi deve conformarsi alla policy RMiT?#
I requisiti RMiT si applicano a tutte le istituzioni finanziarie regolamentate dalla BNM. L'ambito di applicazione è ampio e copre non solo le banche tradizionali, ma anche assicuratori, emittenti di moneta elettronica, operatori dei sistemi di pagamento e istituti di rimessa. La seguente tabella riassume le categorie principali:
| Categoria di istituto | Esempi |
|---|---|
| Banche autorizzate | CIMB Bank, Maybank, HSBC Malaysia, Hong Leong Bank, AmBank, Public Bank |
| Banche di investimento autorizzate | CIMB Investment Bank, Affin Hwang, AmInvestment Bank |
| Banche islamiche autorizzate | Bank Islam Malaysia, Bank Muamalat, CIMB Islamic Bank |
| Assicuratori e riassicuratori autorizzati | AIA Berhad, Allianz General, Etiqa General, AXA Affin |
| Operatori takaful e retakaful | AIA PUBLIC Takaful, Etiqa Family Takaful, FWD Takaful |
| Istituti finanziari di sviluppo | Agrobank, Bank Rakyat, BSN, SME Bank, EXIM Bank |
| Emittenti di moneta elettronica approvati | Boost, GrabPay, BigPay, TNG Digital, Kiplepay |
| Operatori dei sistemi di pagamento | Visa, Mastercard, PayNet, UnionPay, JCB, Alipay Connect |
| Acquirer di esercenti registrati | iPay88, Adyen Malaysia, GHL Cardpay, Revenue Monster |
| Istituti di rimessa intermediari | MoneyGram, Western Union, Merchantrade Asia, Tranglo |
In termini pratici: se la tua organizzazione possiede una licenza, una registrazione o un'approvazione BNM per operare nel settore finanziario della Malesia, l'RMiT si applica a te.
Iscriviti al nostro Substack sulle passkey per le ultime novità.
4. Quali erano i requisiti di autenticazione della BNM prima di novembre 2025?#
Prima dell'aggiornamento di novembre 2025, l'RMiT conteneva già requisiti di autenticazione significativi, ma molti si collocavano al livello di linee guida piuttosto che di standard obbligatori. Comprendere la base di partenza aiuta a chiarire quanto sia cambiato.
4.1 Controlli MFA#
-
L'MFA era richiesta per transazioni ad alto rischio, in particolare trasferimenti di fondi aperti a terzi e transazioni di pagamento.
-
Esisteva un'attenzione specifica sulle transazioni superiori a 10.000 ringgit malesi, sebbene la versione del 2023 avesse iniziato a spingere l'MFA per tutte le transazioni digitali.
-
La versione del 2023 incoraggiava esplicitamente a passare a un'autenticazione "resistente all'intercettazione o alla manipolazione", segnalando l'inizio della fine per gli OTP basati su SMS.
-
L'MFA è stata elevata da "Linea guida" (best practice) a "Standard" (obbligatorio) nel 2023.
4.2 Controlli di autenticazione e gestione degli accessi#
-
Gli istituti dovevano applicare il principio del privilegio minimo e rivedere le matrici di accesso almeno una volta all'anno.
-
Gli account privilegiati richiedevano controlli più rigorosi, inclusa l'MFA obbligatoria indipendentemente dal fatto che l'accesso fosse interno o esterno.
-
L'accesso remoto alle reti interne (ad es. tramite VPN) richiedeva l'MFA come standard non negoziabile.
4.3 Controlli dei servizi digitali#
L'Appendice 11 dell'RMiT 2023 era il riferimento chiave per la sicurezza del banking digitale. Richiedeva la firma della transazione (associando l'MFA ai dettagli della transazione come destinatario e importo), l'associazione del dispositivo (collegando l'identità digitale di un utente a un dispositivo attendibile) e contromisure generali contro le frodi.
5. Quali sono i cambiamenti più importanti alla policy BNM RMiT?#
L'aggiornamento di novembre 2025 consolida e rafforza diverse circolari e specifiche precedenti, comprese le specifiche sulle contromisure contro le frodi del 2022 e del 2024. Il risultato è una singola policy completa con requisiti più rigorosi e obbligatori su come le istituzioni autenticano gli utenti e proteggono i servizi digitali. Ci sono cinque aree principali.
5.1 Un solo dispositivo per utente, per impostazione predefinita#
"garantire processi sicuri di associazione e dissociazione per limitare l'autenticazione delle transazioni dei servizi digitali per impostazione predefinita a un singolo dispositivo mobile o dispositivo sicuro per titolare del conto"
— RMiT Appendice 3, paragrafo 3(a)
Questa è una risposta diretta alle frodi di SIM-swap e agli attacchi di appropriazione dell'account (account takeover), in cui i truffatori registrano un nuovo dispositivo su un conto esistente e lo svuotano mentre il dispositivo legittimo rimane attivo. L'impostazione "predefinita" è importante: i clienti possono scegliere di utilizzare più dispositivi, ma devono richiederlo esplicitamente e accettarne i relativi rischi. L'istituto non può rendere il multi-dispositivo l'opzione predefinita.
In pratica, ciò significa che i flussi di onboarding e di autenticazione devono tracciare la registrazione del dispositivo, imporre una singola associazione per impostazione predefinita e mantenere un processo chiaro e verificabile per le eccezioni richieste dal cliente.
5.2 Verifica robusta per le modifiche del numero di telefono#
"la registrazione di un nuovo numero di cellulare o la sostituzione del numero di cellulare esistente viene elaborata solo dopo aver applicato metodi di verifica robusti per confermare l'autenticità del cliente"
— RMiT Appendice 3, paragrafo 3(c)
Molti istituti continuano a elaborare le modifiche del numero di telefono inviando semplicemente un OTP al numero attuale. Questo approccio fallisce se il numero è già stato compromesso o se la SIM è stata scambiata. "Verifica robusta" secondo la BNM significa metodi che vanno oltre il canale da modificare: nuova verifica dell'identità, autenticazione step-up tramite biometria o conferma in filiale per modifiche ad alto rischio.
5.3 Periodi di ripensamento (cooling-off) e limiti di transazione per i nuovi dispositivi#
"applicare una verifica appropriata e un periodo di cooling-off per la prima registrazione di servizi digitali o di un dispositivo sicuro, nonché per transazioni multiple ad alto volume in rapida successione o altri modelli di transazione anomali"
— RMiT Appendice 3, paragrafo 3(e)
Un dispositivo appena registrato non dovrebbe avere immediatamente piene capacità di transazione. Gli istituti devono implementare restrizioni temporali e controlli di velocità che si sbloccano gradualmente man mano che il comportamento del dispositivo e dell'utente stabilisce una cronologia di affidabilità. Se un hacker ottiene l'accesso, di solito cerca di aumentare il limite di trasferimento giornaliero e spostare i soldi immediatamente. Un periodo di cooling-off offre al proprietario legittimo e al team antifrode della banca una finestra di tempo per rilevare e bloccare la sessione.
In combinazione con gli standard di rilevamento delle frodi, che richiedono la profilazione comportamentale in tempo reale e il punteggio di rischio, questo crea un'aspettativa chiara: il livello di autenticazione deve essere consapevole del contesto, non solo delle credenziali.
5.4 Un'MFA più sicura degli SMS non crittografati#
Questo è il requisito di autenticazione più significativo dell'aggiornamento. Si basa su anni di linee guida della BNM e lo trasforma in uno standard vincolante:
"implementazione di tecnologie e canali MFA più sicuri rispetto agli SMS non crittografati ... la soluzione MFA deve resistere alle intercettazioni o alle manipolazioni da parte di terzi durante l'intero processo di autenticazione"
— RMiT Appendice 3, paragrafi 5 e 6
La policy va oltre introducendo l'associazione della transazione (transaction binding):
"il codice di autenticazione deve essere inizializzato e generato localmente da chi paga/invia utilizzando un'MFA ... il codice di autenticazione generato da chi paga/invia deve essere specifico per il beneficiario identificato confermato e per l'importo"
— RMiT Appendice 3, paragrafi 6(c) e 6(d)
Il transaction binding significa che il codice di autenticazione deve essere legato ai dettagli specifici della transazione (destinatario e importo), non solo a una sessione o a un login. Questo affronta direttamente gli attacchi di "reindirizzamento degli OTP", in cui i truffatori manipolano la transazione dopo che l'utente si è già autenticato. Un OTP generato per un pagamento di 500 ringgit malesi al Conto A non può essere riutilizzato per un pagamento di 50.000 ringgit malesi al Conto B.
Per gli istituti che fanno ancora affidamento agli SMS OTP come fattore primario secondario, questo è il segnale più chiaro: il percorso di migrazione non è facoltativo. La tabella sottostante riassume quali metodi MFA si allineano ai nuovi requisiti:
| Metodo MFA | Resistente al phishing? | Conforme RMiT? |
|---|---|---|
| SMS OTP | No | No |
| TOTP (ad es. Google Authenticator) | No | Parziale (solo transitorio) |
| Notifica push | No | Parziale (solo transitorio) |
| OTP in-app con dettagli transazione | Parziale | Sì (se resistente alle intercettazioni) |
| Passkey (FIDO2 / WebAuthn) | Sì | Sì |
| Chiavi di sicurezza hardware (FIDO2) | Sì | Sì |
5.5 Passkey e autenticazione basata su chiavi crittografiche per BNM RMiT#
La BNM richiede inoltre esplicitamente agli istituti di offrire alternative senza password:
"offrire ai propri clienti una robusta autenticazione basata su chiavi crittografiche, come i certificati digitali o sistemi senza password, come alternativa ai metodi di autenticazione basati su password esistenti"
— RMiT Appendice 3, paragrafo 9
Questa è una direttiva chiara verso il passaggio a passkey, autenticazione supportata da hardware o metodi basati su certificati. A differenza dell'aggiornamento MFA, che si concentra sulla sostituzione degli SMS OTP, questo requisito mira direttamente alla password. I due requisiti funzionano in tandem: gli istituti devono superare gli SMS per il secondo fattore e offrire un'alternativa alla password per il primo fattore.
Le passkey sono la soluzione più naturale a tal fine. Una singola credenziale passkey soddisfa contemporaneamente entrambi i requisiti. È un metodo di autenticazione basato su chiavi crittografiche (paragrafo 9), è più sicuro degli SMS non crittografati (paragrafi 5-6) e poiché le passkey associano l'autenticazione all'origine specifica (sito web o app), supportano anche lo scopo dell'associazione della transazione.
6. Riepilogo: prima e dopo l'aggiornamento di novembre 2025#
| Area | Prima di novembre 2025 | Dopo novembre 2025 |
|---|---|---|
| Associazione del dispositivo | Richiesta, ma l'uso di più dispositivi era comune e regolato in modo poco rigido | Un dispositivo per utente per impostazione predefinita; più dispositivi solo su richiesta esplicita del cliente con audit trail |
| Modifiche del numero di telefono | Spesso elaborate con SMS OTP inviato al numero attuale | Richiesta verifica robusta (biometria, visita in filiale o canale indipendente) |
| Registrazione di nuovi dispositivi | L'accesso completo immediato dopo la registrazione era comune | Periodo di cooling-off obbligatorio; limiti di transazione durante la fase di costruzione della fiducia |
| SMS OTP | Sconsigliato, ma tollerato come fattore primario secondario | Esplicitamente non conforme come MFA esclusiva; deve essere sostituito da metodi resistenti alle intercettazioni |
| Associazione della transazione | Richiesta per le transazioni ad alto rischio (in generale) | Il codice di autenticazione deve essere specifico per beneficiario e importo; generato localmente |
7. Contesto regionale: la Malesia non è sola#
L'RMiT aggiornata della Malesia si inserisce in una tendenza regionale più ampia. In tutta la regione Asia-Pacifico, i regolatori finanziari stanno convergendo sullo stesso insieme di requisiti: credenziali associate al dispositivo, MFA resistente al phishing e l'abbandono delle password e degli SMS OTP.
-
Singapore (MAS): La Monetary Authority of Singapore richiede da tempo l'associazione del dispositivo e la firma delle transazioni per il banking digitale e ha progressivamente inasprito le sue linee guida sulla gestione dei rischi tecnologici (TRM) in una direzione molto vicina all'approccio della BNM.
-
India (RBI): La Reserve Bank of India ha spinto per fattori aggiuntivi di autenticazione e per l'autorizzazione specifica della transazione, in particolare per le transazioni con carta non presente (card-not-present) e tramite UPI.
-
Hong Kong (HKMA): Le linee guida sull'e-banking della Hong Kong Monetary Authority richiedono una forte autenticazione del cliente (SCA) e controlli sulla registrazione dei dispositivi per le operazioni ad alto rischio.
-
Vietnam (Banca di Stato del Vietnam): La Circolare 45/2025 richiede alle banche di verificare i dati biometrici dei clienti rispetto al documento d'identità nazionale con chip o a un database nazionale per determinate transazioni di alto valore, introducendo un passaggio di verifica centralizzato.
L'architettura richiesta per la conformità RMiT, che include l'associazione crittografica del dispositivo, le passkey e l'autenticazione a livello di transazione, rappresenta la direzione in cui si sta muovendo l'intera regione. Le istituzioni che investono ora in questa architettura si stanno preparando per una convergenza normativa, non solo per una singola policy nazionale.
8. In che modo Corbado aiuta le istituzioni finanziarie a soddisfare l'RMiT aggiornata#
La piattaforma di Corbado è progettata per affrontare le sfide di autenticazione previste dall'RMiT aggiornata. Ecco come i requisiti chiave si traducono nelle funzionalità di Corbado:
-
MFA resistente al phishing e autenticazione senza password: L'implementazione delle passkey di Corbado offre un percorso diretto verso la conformità ai requisiti BNM per un'MFA più sicura degli SMS non crittografati (paragrafi 5-6) e per un'autenticazione basata su chiavi crittografiche in alternativa alle password (paragrafo 9). Una singola credenziale passkey soddisfa contemporaneamente entrambi i requisiti.
-
Associazione del dispositivo (device binding): Corbado supporta passkey associate al dispositivo e credenziali crittografiche legate a un dispositivo specifico. I flussi di registrazione possono imporre l'impostazione predefinita di un solo dispositivo per utente, con meccanismi chiari per le eccezioni richieste dai clienti, il tutto accompagnato da un audit trail completo.
-
Pronti per gli audit e la conformità: La telemetria, la registrazione degli eventi e le funzionalità di reportistica di Corbado rendono semplice dimostrare che i controlli di autenticazione non sono solo progettati, ma operano in modo efficace. Corbado opera secondo un ISMS certificato ISO 27001 e detiene l'attestazione SOC 2 Type II, allineando la propria postura di sicurezza alle aspettative poste sulle istituzioni finanziarie malesi.
Igor Gjorgjioski
Head of Digital Channels & Platform Enablement, VicRoads
We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.
See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.
Read the case study9. Conclusione#
L'aggiornamento RMiT di novembre 2025 trasforma anni di linee guida BNM sulla sicurezza dell'autenticazione in una regolamentazione vincolante. Gli SMS OTP non sono più conformi come secondo fattore autonomo. L'associazione del dispositivo è obbligatoria per impostazione predefinita. L'autenticazione della transazione deve essere collegata ai dettagli specifici del pagamento. E gli istituti devono offrire alternative alle password basate su chiavi crittografiche.
Per le istituzioni che hanno già iniziato ad abbandonare gli SMS per passare a metodi resistenti al phishing, l'aggiornamento si limita a codificare ciò che stavano già facendo. Per quelle che non lo hanno fatto, il divario tra la pratica attuale e il nuovo standard è significativo, e le tempistiche per la conformità sono ormai fissate.
Le passkey rappresentano il percorso più diretto per soddisfare i requisiti aggiornati. Una singola credenziale passkey soddisfa in un'unica implementazione l'aggiornamento MFA, l'alternativa senza password e i requisiti di associazione del dispositivo. In combinazione con l'autenticazione step-up per le operazioni sensibili e la logica di cooling-off per le nuove registrazioni, questo offre agli istituti un'architettura coerente piuttosto che un insieme frammentato di soluzioni puntuali.
Abbiamo anche risposto alle domande più importanti su questo argomento:
-
Cos'è la policy RMiT e a chi si applica? L'RMiT è il quadro centrale dei rischi tecnologici della BNM, applicabile a tutte le istituzioni finanziarie regolamentate in Malesia, tra cui banche, assicuratori, emittenti di moneta elettronica, operatori di sistemi di pagamento e fornitori di rimesse.
-
Com'era il panorama dell'autenticazione prima di novembre 2025? L'MFA era già obbligatoria per le transazioni ad alto rischio e per gli accessi privilegiati, ma l'SMS OTP era ancora tollerato, le configurazioni multidispositivo erano gestite in modo meno rigido e l'alternativa senza password non era ancora richiesta.
-
Quali sono i cambiamenti più importanti all'autenticazione e all'MFA? Spiccano cinque novità: un solo dispositivo per utente per impostazione predefinita, una verifica robusta per le modifiche al numero di telefono, periodi di cooling-off obbligatori per i nuovi dispositivi, un'MFA più sicura degli SMS con associazione della transazione e il requisito di offrire passkey o autenticazioni basate su chiavi crittografiche.
-
In che modo le passkey aiutano le istituzioni finanziarie a conformarsi? Le passkey soddisfano in una singola implementazione l'aggiornamento MFA, l'alternativa senza password e i requisiti di associazione del dispositivo, pur essendo resistenti ad attacchi di phishing, SIM-swap e intercettazione degli OTP.
Chi siamo
Corbado è la Passkey Intelligence Platform per i team CIAM che gestiscono l'autenticazione consumer su larga scala. Ti aiutiamo a vedere ciò che i log IDP e gli strumenti di analytics generici non mostrano: quali dispositivi, versioni di OS, browser e gestori di credenziali supportano i passkey, perché gli enrollment non si trasformano in login, dove il flusso WebAuthn fallisce e quando un aggiornamento di OS o browser interrompe silenziosamente il login — tutto senza sostituire Okta, Auth0, Ping, Cognito o il tuo IDP interno. Due prodotti: Corbado Observe aggiunge osservabilità per i passkey e qualsiasi altro metodo di login. Corbado Connect introduce passkey gestiti con analytics integrato (insieme al tuo IDP). VicRoads gestisce i passkey per oltre 5M di utenti con Corbado (+80 % di attivazione passkey). Parla con un esperto di Passkey →
Domande frequenti#
Cosa significa 'transaction binding' (associazione della transazione) nel contesto della conformità BNM RMiT?#
Il transaction binding richiede che ogni codice di autenticazione sia generato localmente da chi paga e sia collegato matematicamente allo specifico conto beneficiario e all'importo del pagamento autorizzato. Questo impedisce gli attacchi di reindirizzamento degli OTP, in cui un truffatore manipola i dettagli della transazione dopo che l'utente si è già autenticato. Un codice generato per un pagamento verso un conto non può essere riutilizzato per autorizzare un pagamento o un importo diverso.
Perché l'aggiornamento RMiT 2025 richiede un periodo di ripensamento (cooling-off) dopo che un cliente registra un nuovo dispositivo?#
Il periodo di cooling-off impedisce ai truffatori che ottengono l'accesso a un conto di trasferire immediatamente fondi attraverso un dispositivo appena registrato. La BNM richiede agli istituti di applicare limiti di transazione e restrizioni temporali durante una fase iniziale di costruzione della fiducia per i dispositivi appena registrati. Ciò fornisce sia al legittimo titolare del conto che al team antifrode dell'istituto una finestra di rilevamento prima che le capacità di transazione complete vengano sbloccate.
Come si confronta l'aggiornamento RMiT della Malesia con le normative sull'autenticazione in altri paesi asiatici?#
L'RMiT 2025 della Malesia si allinea a una tendenza regionale dell'Asia-Pacifico in cui la MAS di Singapore, la RBI dell'India, l'HKMA di Hong Kong e la Banca di Stato del Vietnam stanno tutte convergendo su credenziali associate al dispositivo, MFA resistente al phishing ed eliminazione degli SMS OTP. La Circolare 45/2025 del Vietnam richiede specificamente la verifica biometrica rispetto ai documenti d'identità nazionali con chip per le transazioni di alto valore. Gli istituti che investono in un'architettura conforme a RMiT si stanno quindi posizionando per una convergenza normativa regionale, non solo per un singolo requisito nazionale.
Quale verifica richiede ora la BNM RMiT quando un cliente modifica il proprio numero di cellulare registrato?#
L'RMiT aggiornata richiede una verifica robusta prima di elaborare qualsiasi cambio di numero di telefono, andando oltre il semplice invio di un OTP al numero attuale. Gli approcci accettabili includono una nuova verifica dell'identità, un'autenticazione biometrica step-up o una conferma in filiale, garantendo che il canale di verifica sia indipendente da quello che viene sostituito. Ciò affronta direttamente gli attacchi di SIM-swap, in cui un truffatore che controlla già un numero di telefono potrebbe altrimenti auto-autorizzare la modifica.
Prossimo passo: vuoi implementare passkey nella tua banca? È disponibile il nostro report di oltre 90 pagine sulle passkey per il banking.
Ottieni il report
Condividi questo articolo
Articoli correlati
Indice