Le mDL ISO 18013-7 nell'onboarding bancario e nel KYC (2025)

Per anni, l'onboarding bancario da remoto si è basato su macchinosi processi Know Your Customer (KYC) che di solito richiedono agli utenti di scansionare un documento d'identità fisico o una patente di guida, spesso in combinazione con un controllo di vitalità (liveness check) o una videochiamata dal vivo. Questo metodo presenta un'elevata frizione ed è esposto a nuove vulnerabilità di sicurezza basate sull'IA.

Tuttavia, è in atto un cambiamento epocale. Nei prossimi anni, questi processi obsoleti saranno sostituiti da credenziali digitali sicure e incentrate sull'utente. Al centro di questa trasformazione c'è la patente di guida mobile (mDL), che ha già iniziato a diffondersi in diverse regioni. Lo standard ISO/IEC 18013-7 è l'elemento chiave che abilita tutto ciò, fornendo un framework sicuro per presentare questi documenti d'identità digitali online.

Mentre il nostro precedente articolo sull'API per le credenziali digitali (2025): Chrome & Safari ha trattato la tecnologia in senso più ampio, questa analisi si concentra specificamente su come le mDL conformi allo standard ISO 18013-7 vengono adottate nel settore bancario. Esamineremo lo stato attuale e iniziale in tre mercati chiave, Stati Uniti, Australia ed Europa, per capire come gli istituti finanziari stiano passando dai primi progetti pilota ai primi sistemi live in produzione.

Negli Stati Uniti, l'adozione delle patenti di guida mobili per il KYC da remoto sta passando da progetti pilota guidati dal governo a piani di implementazione concreti da parte dei principali istituti finanziari. Una tappa fondamentale è stata la pubblicazione ufficiale dello standard ISO/IEC 18013-7 il 7 ottobre 2024, che definisce il protocollo per presentare in modo sicuro una mDL su Internet.

Sebbene a metà del 2025 nessuna banca abbia ancora lanciato un processo di onboarding online su larga scala basato su mDL, le fondamenta si stanno consolidando. Uno sviluppo importante è la funzionalità di Apple "Verify with Wallet on the Web", annunciata alla WWDC 2025 insieme a progressi simili sul browser Chrome di Google. Questa funzionalità consentirà agli utenti di condividere le informazioni di identità verificate dalle mDL emesse dagli stati e archiviate nell'Apple Wallet o in Wallet di terze parti direttamente con i siti web, rappresentando un catalizzatore significativo per l'adozione di massa.

Di seguito è riportato un riepilogo delle iniziative chiave negli Stati Uniti:

L'annuncio di Apple ha menzionato un'ampia gamma di partner di lancio, inclusi gli istituti finanziari U.S. Bank e Chime, e altri servizi come Turo e Uber Eats. Ciò indica che, verso la fine del 2025, ci si aspetta che i loro clienti siano tra i primi a utilizzare l'ID digitale dell'iPhone invece di caricare documenti fisici. L'iniziativa è supportata anche dalle agenzie della motorizzazione degli stati di Arizona, Georgia e Maryland. Oltre all'ecosistema Apple, il National Cybersecurity Center of Excellence (NCCoE) degli Stati Uniti prosegue il suo progetto per costruire un'architettura di riferimento per accelerare l'adozione delle mDL per la verifica dell'identità online.

L'Australia è stata un pioniere a livello globale nell'introduzione delle patenti di guida digitali (DDL) a livello statale. L'autorità di regolamentazione finanziaria, AUSTRAC, ha dato la sua approvazione già nel 2019 affinché le banche potessero accettare questi ID digitali per scopi di KYC. Tuttavia, il mercato è in una fase di transizione, passando da controlli online manuali all'esplorazione di piattaforme di identità digitale più integrate.

Molte banche si affidano ancora al classico metodo ad alta frizione per il KYC online: richiedere ai clienti di scattare e caricare foto della loro patente di guida fisica, spesso abbinato a un controllo di "vitalità" (liveness check) in cui l'utente si scatta un selfie o registra un breve video. Andando oltre, alcuni istituti hanno implementato soluzioni intermedie. Ad esempio, il sistema eVerify di ANZ Bank digitalizza parte del processo, consentendo ai clienti di verificare la propria identità inserendo manualmente online il loro numero di patente (Driver Licence Card Number - DLCN), che viene poi controllato con un database governativo. Sebbene sia più snello del caricamento di foto, questo non costituisce ancora una verifica mDL completamente automatizzata in cui i dati vengono scambiati in modo sicuro e istantaneo con un solo tocco.

Sebbene il quadro normativo sia in vigore, uno scambio di dati fluido e basato su API secondo lo standard ISO 18013-7 non è ancora una pratica standard tra le principali banche. Il settore è pronto per questo cambiamento man mano che i framework nazionali di identità digitale maturano e sempre più stati evolvono le loro DDL per essere pienamente conformi a un futuro standard online.

A differenza dell'adozione guidata dal mercato negli Stati Uniti e in Australia, l'Unione Europea sta perseguendo una strategia "push" di tipo top-down. Attraverso un regolamento noto come eIDAS 2.0, l'UE sta imponendo la creazione di un mercato unico e interoperabile per l'identità digitale. La pietra angolare di questa iniziativa è l'EU Digital Identity (EUDI) Wallet, un'app mobile che ogni stato membro dovrà offrire ai propri cittadini entro il 2026/2027. Questo wallet è progettato per contenere un'ampia gamma di credenziali digitali verificate, come diplomi di studio, titoli di viaggio e certificazioni professionali.

Per il settore bancario e le industrie regolamentate, due credenziali all'interno del wallet sono particolarmente interessanti: i Dati di Identificazione della Persona (PID), che fungono da ID digitale nazionale ufficiale, e la Patente di Guida Mobile (mDL). Sebbene svolgano funzioni diverse, l'architettura tecnica per entrambe si basa sulla serie di standard ISO, rendendo il formato mDL discusso in questo articolo un componente centrale del framework di identità dell'UE. Il wallet consentirà alle persone di condividere questi attributi verificati dal governo con banche e altre aziende private in modo sicuro e controllato dall'utente.

Questo mandato normativo viene definito attivamente attraverso diversi progetti pilota su larga scala (Large-Scale Pilots - LSP) avviati nel 2023 per testare casi d'uso reali nel settore bancario e dei pagamenti. Questi progetti pilota coinvolgono centinaia di entità pubbliche e private, inclusi i principali istituti finanziari. Per le industrie regolamentate come quella bancaria, la partecipazione è obbligatoria. Il regolamento richiede loro di accettare l'EUDI Wallet per l'identificazione del cliente e l'autenticazione forte del cliente (SCA) entro il 2027.

Di seguito è riportato un riepilogo delle iniziative chiave che guidano l'adozione di mDL e ID digitali nel settore bancario europeo:

Questo mandato normativo renderà di fatto la verifica dell'identità ad alta affidabilità una commodity. Quando un processo aziendale fondamentale come il KYC diventa un servizio universale supportato dal governo, il focus competitivo si sposterà da come una banca verifica un'identità a cosa fa con quell'identità attendibile. Le banche in grado di sfruttare gli attributi verificati del wallet per offrire servizi superiori, come l'approvazione istantanea di prestiti o pagamenti transfrontalieri fluidi, otterranno un vantaggio competitivo. L'EUDI Wallet non è solo un esercizio di conformità; è un cambiamento di mercato che costringe ogni istituto finanziario in Europa a prepararsi per la prossima generazione di servizi bancari digitali.

L'era del KYC ad alta frizione, che costringe i clienti a scansionare documenti fisici ed eseguire controlli di vitalità, si sta avvicinando alla fine. Come abbiamo visto in questo articolo, la transizione verso una verifica dell'ID digitale sicura e con un solo tocco è già a buon punto, ma il percorso di adozione varia in modo significativo nel mondo. Negli Stati Uniti, la spinta è guidata dal mercato, con giganti tecnologici come Apple che collaborano con banche all'avanguardia come U.S. Bank e Chime. In Australia, un ambiente normativo progressista ha preparato il terreno, ma l'adozione è più graduale mentre il mercato passa dai controlli manuali a reti di ID digitali veramente integrate. Nel frattempo, l'Unione Europea sta perseguendo un potente mandato top-down, obbligando per legge l'intero settore bancario ad adottare l'EUDI Wallet e le relative credenziali conformi allo standard ISO.

Nonostante queste diverse strategie, sta emergendo una base tecnica comune: lo standard ISO/IEC 18013-7. Che sia guidato dalla domanda di mercato o da un mandato normativo, sta diventando il modello globale per la condivisione sicura dell'identità online. La traiettoria è chiara. Entro la fine del 2025 e nel corso del 2026, la prima ondata di flussi di onboarding conformi allo standard ISO diventerà probabilmente operativa, trasformando l'esperienza utente e migliorando la sicurezza attraverso la verifica crittografica dei dati. In definitiva, l'adozione dello standard ISO 18013-7 rappresenta un cambiamento globale verso un'economia digitale più sicura, privata ed efficiente, in cui l'identità verificata non è più una barriera, ma un facilitatore di fiducia senza interruzioni.