Caller authentication vs. engångslösenord

När företag interagerar med kunder vill de generellt ha så lite friktion som möjligt.

Detta gäller särskilt för callcenter, där ökad kundnöjdhet och kortare samtalstider ofta är tydliga mål.

Men att eliminera all friktion i ett samtal skulle tekniskt sett kräva att man hoppar över all form av identitetsverifiering. Det är uppenbart en dålig idé vid känsliga eller högrisk­samtal.

Så den verkliga frågan är: Hur hittar man balansen mellan friktion och förtroende?

Låt oss se varför autentisering av kund med e-legitimation kan vara svaret.

Varför callcenter försöker minska friktion

En handläggares uppgift är att lösa kundens problem så snabbt och effektivt som möjligt.

Därför är det ingen överraskning att många KPI:er och mätetal för callcenter fokuserar på att minska hanteringstid och öka kundnöjdheten.

Här är bara några exempel:

• Average Handling Time (AHT): Hur lång tid tar det för handläggarna att hantera ett kundsamtal?
• Cost Per Call (CPC) Vad kostar ett genomsnittligt kundsamtal företaget?
• Customer Effort Score (CES): Hur mycket ansträngning kräver samtalet från kunden?
• Customer Satisfaction  (CSAT): Hur nöjd är kunden med interaktionen?

Dessa mätetal skapar ett tydligt tryck på callcenters att hålla samtalen korta och göra de så friktionsfria som möjligt för kunder.

Problemet med noll friktion

Om man tar det till sin spets kan arbetet med att minimera friktionen motverka ansträngningarna för att minska bedrägerier och hålla samtal säkra.

Ett callcenter kan frestas att bara göra en minimal verifiering av kundens identitet eller sluta helt. Det är ju trots allt så att ställa säkerhetsfrågor till kunderna eller be kunden hämta en engångskod från inkorgen påverkar mätetal som samtalstid och kundinsats negativt.

Men identitetsverifiering är inte ett valfritt steg. Det är avgörande för att säkerställa att den som ringer är den de utger sig för att vara. I vissa fall är stark verifiering också ett lagkrav enligt KYC-regler.

Kort sagt, att ta bort all friktion bör sällan vara din enda prioritet.

Så hur mycket friktion är då acceptabelt?

Tydlig friktion = acceptabel friktion

Sanningen är att kunder ofta accepterar viss friktion, så länge de förstår nyttan och varför den finns.

Faktum är att många förväntar sig nog en viss grad av friktion vid identitetsverifiering. De vet att alternativet är att en bedragare får enkel tillgång till konton, ekonomi eller känslig personlig information.

Ur det perspektivet bidrar friktion till ökat förtroende.

Som den här artikeln i CX Today uttrycker det:

"Den verkliga avvägningen är inte friktion vs. upplevelse. Det är skada vs. förtroende."

Målet inte är att ta bort all friktion, utan att tydliggöra varför den finns och hur det bygger förtroende för båda parter i samtalet. Artikeln kallar detta för "legible friction" och menar att det är ett mycket bättre mål än "zero friction.".

Med detta i åtanke måste du hitta rätt balans mellan säkerhet, förtroende och friktion.

Och autentisering av kund med e-legitimation kan vara rätt sätt att uppnå just det.

Autentisering av kund med e-legitimation: det bästa av två världar

Det finns många olika sätt att verifiera en kunds identitet.

I de flesta fall finns det en naturlig avvägning mellan kundupplevelse, verifieringshastighet och säkerhetsnivå.

Att be någon uppge sitt personnummer är tillexempel enkelt och snabbt, men mycket osäkert. Personnummer läcker ofta och kan avlyssnas eller exponeras på många sätt. Därför är personnummer bra för att identifiera en kund men inte för att verifiera.

Engångslösenord är å andra sidan säkrare, men kunden måste först vänta på att ett lösenord ska dyka upp via SMS eller e-post, leta upp det och ange det under samtalet. Det påverkar både hastigheten och användarupplevelsen.

Autentisering av kund med e-legitimationer fungerar annorlunda: Den gör det möjligt för företag att verifiera kunden säkert med liten extra friktion.

Metoden bygger på nationella e-legitimationsappar som de flesta medborgare redan använder regelbundet.

Processen är enkel:

1. Handläggaren initierar autentiseringsförfrågan.
2. Kunden får förfrågan i sin e-legitimationsapp och verifierar sig på sin enhet.
3. Handläggaren ser den verifierade statusen och samtalet fortsätter.

Det är ett välbekant, enkelt och robust flöde.

Även fast det inte är helt friktionsfritt, erbjuder autentisering av uppringare med e-legitimation förmodligen den bästa balansen mellan förtroende och friktion:

Röstbiometri är en nära tvåa, men blir alltmer sårbar för AI deepfakes och kräver mer ansträngning att implementera.

Autentisering med e-legitimation är också den enda verifieringsmetoden som låter företag verifiera helt nya uppringare eftersom den inte bygger på befintliga kunduppgifter.

Om målet är tydlig friktion istället för noll friktion, ger autentisering av kund med e-legitimation dig verkligen det bästa av två världar.

Handläggarna på callcentret behöver veta vem som finns på andra sidan linjen.

Därför ber företag vanligtvis den som ringer att identifiera sig.

För att göra detta kan en person bli ombedd att uppge sitt personnummer eller att svara på en säkerhetsfråga.

Problemet är att även om många av dessa metoder kan hjälpa till att identifiera personen, är de sällan tillräckliga för att verifiera identiteten.

För att förstå varför, låt oss ta en närmare titt på skillnaden mellan identifiering och verifiering.

Vad är identifiering?

Identifiering handlar om att matcha en person med en befintlig kund.

Den besvarar frågan: "Vilken kund är detta?"

I ett callcenter kan en handläggare be den som ringer om en identifierare som gör det möjligt att ta fram kundens uppgifter: en e-postadress, de fyra sista siffrorna i ett kreditkort, ett kund-ID och så vidare.

Detta fungerar för att snabbt hitta rätt kund, men säkerställer inte för handläggaren om att den som ringer faktiskt är den kunden. Det beror på att information som används för identifiering, inklusive svar på säkerhetsfrågor, kan höras, delas av misstag eller stjälas.

Därför kan vem som helst använda till exempel ditt personnummer för att utge sig för att vara du i ett samtal.

Det är ofta precis så identitetsbedrägerier fungerar.

Och det är just därför som verifiering är så viktigt.

Vad är verifiering?

Verifiering innebär att man bekräftar att den som ringer faktiskt är den identifierade kunden.

Processen förlitar sig på metoder som är mindre känsliga för exponering, till exempel engångslösenord eller röstbiometri.

Den som ringer måste bevisa att de är den de utger sig för att vara, utöver att bara känna till rätt uppgifter om kunden.

Ett av de mest tillförlitliga sätten att göra detta är att låta den som ringer autentisera sig med sin nationella e-legitimation via en app på sin enhet.

Jämfört med andra verifieringsmetoder ger e-legitimationsbaserad autentisering av kund den bästa kombinationen av säkerhet, motståndskraft mot bedrägerier och användarupplevelse.

Varför förväxlas de ofta?

De två begreppen blandas ofta ihop eftersom kunskapsbaserad autentisering historiskt sett har ansetts som ett acceptabelt sätt att verifiera någons identitet.

Därför finns det fortfarande företag som förlitar sig på säkerhetsfrågor eller nationella ID för att verifiera den som ringer.

Men tiderna förändras, och kunskapsbaserad autentisering i sig själv är inte längre tillförlitlig som den enda metod för verifiering. I praktiken kombineras den ofta med andra verifieringsmetoder i det som kallas multifaktorautentisering.

Här är ett enkelt test: Kan någon annan enkelt uppge samma information istället för den faktiska kunden? Om svaret är ja, handlar det om identifiering. Men om steget också kräver något som kunden har eller är, handlar det om verifiering.

Varför skillnaden är viktig

Om din organisation fortfarande behandlar identifiering som verifiering riskerar du att ge vem som helst med rätt information tillgång till någon annans konto och känsliga uppgifter.

Bedrägerier är redan på en rekordhög nivå och AI förvärrar situationen ytterligare. Därför blir det allt svårare att försvara att låta identifiering ersätta verifiering.

Lösningen är inte att helt sluta använda nationella ID-kort eller andra kundidentifierare. De är fortfarande användbara för att matcha den som ringer med rätt kunduppgifter.

Men du bör alltid komplettera identifieringen med ett extra verifieringssteg.

Inte nog med att sådana åtgärder ofta krävs enligt lag, du är också skyldig dina kunder att införa säkra metoder för att verifiera en uppringares identitet, till exempel med autentisering av kund med e-legitimation.

Hur passar "autentisering" in i bilden?

"Verifiering" och "autentisering" används ofta som synonymer för att beskriva steget där man bekräftar någons identitet.

Om man vill vara noggrann så finns det en liten skillnad mellan de två: Verifiering är oftast en engångshändelse som sker när en kund först registrerar ett konto. Autentisering är ett återkommande steg som sker varje gång en användare loggar in för att få tillgång till en tjänst.

Men i samband med ett telefonsamtal är skillnaden mest semantisk: Handläggaren kommer alltid att behöva bekräfta vem det är som ringer, oavsett om du kallar det verifiering eller autentisering.

Den viktiga slutsatsen är att identifiering av en kund inte automatiskt är detsamma som verifiering (eller autentisering). Verifiering kräver mer robusta och säkra metoder.

I framtiden kan danskarna som till exempel ringer till sin läkare eller försäkringsbolag få frågan om de vill använda MobilePay för att verifiera sin identitet.

Det blir möjligt eftersom Idura lanserar en ny lösning som gör det möjligt för företag att verifiera kundernas identitet direkt i MobilePay eller MitID under ett telefonsamtal.

Idag blir många fortfarande ombedda att uppge information som adress, födelsedatum eller tidigare betalningar när de kontaktar kundtjänst. Men de metoderna har blivit mindre säkra.

Idag gör Artificiell intelligens det möjligt att efterlikna mänskliga röster och personlig information kan läckas eller köpas online. Det innebär att bedragare i princip kan ringa till ett företag och låtsas vara en kund.

Med den nya lösningen kan företaget skicka ett meddelande till kundens mobiltelefonen där kunden bekräftar sin identitet direkt i MobilePay. Mobilepay används av cirka 4,7 miljoner danskar.

"Varje dag använder tusentals danskar MobilePay för att det är ett enkelt och smidigt sätt att betala. Vi har valt att göra MobilePay tillgängligt för Caller authentication eftersom det är ett säkert sätt att identifiera sig på. Säkerheten i MobilePay är hög och det är omöjligt för kriminella att utge sig för att vara en MobilePay-användare utan att ha kontroll över både telefonen och användaren. Därför är det naturligt att använda MobilePay för att verifiera sin identitet när man pratar med ett företag", säger Jeanette Hertzum, Country Manager på MobilePay.

MitID kan också användas
För många danskar kommer MobilePay att vara det enklaste sättet att verifiera sin identitet under ett samtal eftersom appen kan skicka en notis direkt till telefonen.

Det kommer också att vara möjligt att använda MitID. Då måste användaren själv öppna MitID-appen och godkänna förfrågan. Det kan vara svårare för många mitt i ett samtal. 

Anledningen är att MitID av säkerhetsskäl inte använder notiser. Det finns en risk att en användare får en notis och godkänner en identitetsförfrågan utan att vara uppmärksam, även när personen inte är i kontakt med kundservice. 

Brist på användarvänlighet kan vara en utmaning för vissa danskar. En ny undersökning från Ældre Sagen i februari visar att nästan en tredjedel av danskarna, särskilt äldre, fortfarande upplever problem med digitala självbetjäningslösningar som MitID.

Samtidigt kommer MitID fortsättningsvis att vara lösningen som används i situationer med högre säkerhetskrav, till exempel om en bankkund behöver godkänna ett lån eller liknande.

Snabb etablering väntas
Lösningen har redan lanserats i Norge och bygger på erfarenheter från Sverige där digital identifiering i telefonsamtal används i stor utsträckning av banker, försäkringsbolag, myndigheter och stora serviceorganisationer.

Iduras VD förväntar sig att lösningen snabbt får genomslag i Danmark.

"I Sverige är det standard i de flesta callcenters idag. I det danska näringslivet finns en tydlig oro för att artificiell intelligens ska kunna efterlikna människors röster. Därför förväntar vi oss att de flesta större företag med kundservicecenter kommer att använda lösningen inom några år", säger Niels Flensted-Jensen.

I Danmark har liknande lösningar hittills krävt stora specialanpassade integrationer och individuella utvecklingsprojekt. Med Iduras lansering finns tekniken nu för första gången tillgänglig som en standardiserad mjukvarulösning, se hur i videon: