Come ridurre l'attrito UX nello sviluppo di prodotti sicuri

Pubblicato: 2022-07-22

Nello sviluppo del prodotto, l'aspetto spesso finisce per ottenere tutta l'attenzione. Un'interfaccia utente piacevole è importante, ma l'esperienza utente è ciò che rende o distrugge il tuo prodotto.

In qualità di product manager, passo la maggior parte del mio tempo a pensare a come ridurre l'attrito durante l'esperienza utente. Con ciò intendo ridurre il numero di passaggi che un utente finale deve intraprendere per raggiungere i propri obiettivi o ridurre la complessità di tali passaggi. Un'app di e-commerce che ti fa passare attraverso tre misure di sicurezza per effettuare un acquisto non funzionerà così come un'app che ne richiede solo una.

Tuttavia, un basso attrito non può andare a scapito della sicurezza per le organizzazioni che conservano i dati sensibili dei clienti, come gli istituti finanziari e le compagnie assicurative.

Poiché la facilità d'uso e la sicurezza dei dati personali sono generalmente in contrasto, trovare il giusto equilibrio può essere complicato. Ecco come farlo.

L'antica battaglia tra sicurezza e convenienza

Per decenni dopo la nascita della carta di credito negli anni '50, gli emittenti diffidenti nei confronti delle frodi hanno richiesto ai commercianti di chiamarli ogni volta che una transazione superava il "limite minimo", l'importo massimo che un titolare di carta poteva addebitare senza pre-autorizzazione. Questo è un sacco di attrito per un consumatore in attesa di acquistare un'auto o un frigorifero nuovi. Di conseguenza, quando fissavano i limiti minimi, le banche e le società di carte di credito hanno dovuto soppesare la loro propensione al rischio rispetto alla tolleranza per i disagi dei loro consumatori.

Un cliente con un limite di credito di $ 10.000 ha probabilmente più valore per una banca e aspettative di servizio più elevate rispetto a uno con un limite di $ 1.000. Potresti decidere di aumentare il limite minimo per questo tipo di clienti per ridurre al minimo l'attrito che sperimentano. Ma cosa succede se quei conti di valore superiore sono anche più vulnerabili alle frodi? Potresti finire per introdurre un livello di rischio che danneggerebbe più i tuoi profitti rispetto alla perdita di alcuni di quei clienti.

L'avanzamento veloce all'era digitale e questa altalena di richieste in competizione permane, anche se con minacce in rapida evoluzione e consumatori meno pazienti. Non esiste una formula esatta per conciliare queste esigenze, quindi i product manager che lavorano su software e applicazioni devono calibrare costantemente la loro UX per mantenere in equilibrio attrito e sicurezza.

Meno frodi non significa sempre più profitto

Nella maggior parte dei software e delle applicazioni sicuri, ci sono due gruppi di clienti che i product manager devono servire:

  1. L'organizzazione che dà la priorità alla massima protezione possibile.
  2. L'utente finale che desidera un'esperienza utente senza interruzioni del prodotto.

Una banca, ad esempio, preferirebbe una protezione al 100% contro le frodi per molte ragioni, tra cui:

  • Soddisfazione del cliente.
  • Riduzione delle perdite di frode.
  • Reputazione del marchio.
  • Minimizzazione degli attacchi informatici.

D'altra parte, l'utente finale ha requisiti contrastanti: desidera un accesso facile e veloce al proprio account. Ciò non accadrà se l'UX della banca è progettata per una protezione dalle frodi al 100%.

Invece, l'utente finale incontrerà un elevato attrito ogni volta che utilizza l'app. Ad esempio, dopo aver inserito una password, l'utente potrebbe dover inserire un codice di autenticazione a due fattori inviato al proprio telefono, seguito da una scansione biometrica o da una verifica CAPTCHA. Il ritardo risultante potrebbe indurre alcuni utenti a ridurre l'utilizzo delle app o, peggio, a cercare una nuova banca. In questo scenario, la banca avrà risparmiato denaro sulle perdite dovute a frode, ma avrà perso denaro sulla base di clienti in diminuzione.

A complicare le cose, utenti finali diversi potrebbero avere soglie diverse per quanto attrito tollereranno prima di cercare un altro fornitore di servizi.

Un'icona che rappresenta una banca è etichettata con il testo "La banca vuole un'app sicura". Un'icona che mostra un telefono cellulare è etichettata con il testo "L'utente desidera un'esperienza senza interruzioni".
Le esigenze del cliente e le preferenze dell'utente sono spesso in contrasto.

Blocca gli obiettivi, i costi e la tolleranza al rischio del cliente

Ora che abbiamo stabilito che tentare di fornire una protezione antifrode al 100% non ha senso per gli affari, dobbiamo determinare cosa lo fa. Partiamo dalle risorse della banca: denaro e persone.

In primo luogo, identificare l'attuale tasso di frode della banca e quante perdite può assorbire. Soppesare anche i risparmi netti che spera di ottenere con questo nuovo prodotto rispetto ai costi di sviluppo e manutenzione. (Potresti scoprire che la protezione dalle frodi costa di più della frode stessa.)

Quindi, scopri quanti casi sospetti e "falsi positivi" il personale della banca può elaborare ogni giorno. I falsi positivi si verificano quando la banca rimuove o limita l'account di un utente a causa di un errore di calcolo del rischio. Questi falsi positivi aumentano l'attrito per l'utente, sottraggono tempo ai dipendenti della banca e possono in definitiva danneggiare la reputazione del marchio.

Puoi iniziare a valutare il tuo prodotto una volta che hai bloccato ciò che la banca può permettersi di spendere o perdere in denaro e lavoro. Con queste informazioni, puoi determinare quali punti dati raccogliere dagli utenti finali per calcolare il loro punteggio di rischio di frode in tempo reale.

Identifica quali dati raccogliere dagli utenti finali

Software e applicazioni sicuri verificano:

  • Chi sei. Questi sono i tuoi comportamenti, che includono cose come le posizioni di accesso o i movimenti del mouse.
  • Cos'hai. Questi sono i dispositivi che ti sono registrati o che usi regolarmente.
  • Cosa sai. Ciò include password, domande di sicurezza, compleanni e altre informazioni personali.

Una volta che il software ha raccolto queste informazioni, i modelli di machine learning utilizzano gli input di ciascuna categoria per assegnare all'utente un profilo di rischio di frode. Sulla base di questo profilo, un'organizzazione può decidere se consentire l'accesso, negare l'accesso, richiedere un'ulteriore autenticazione, limitare la funzionalità o qualsiasi combinazione di queste opzioni.

In qualità di product manager, si è tentati di raccogliere quante più informazioni possibili. Tuttavia, questa non è sempre la migliore pratica. Questo perché più informazioni raccogli da ciascun utente, più tempo e risorse occorrono per calcolare il punteggio di rischio sul back-end. Questo, a sua volta, aumenta il tempo di ritardo per l'utente, cioè più attrito.

Inizia invece con gli indicatori che sembrano essere i più semplici significanti dell'identità di un utente, come posizione, dispositivi noti e password. Quindi, pensa ai modi in cui un attore malintenzionato potrebbe aggirare tali indicatori. I criminali sofisticati potrebbero falsificare la posizione e il dispositivo di un utente e potrebbero avere accesso a password compromesse da fughe di dati o attacchi di malware. Per colmare queste lacune, potresti anche analizzare i movimenti del mouse o verificare se l'utente ha effettuato acquisti simili in passato.

Prima di aggiungere un nuovo indicatore, soppesare il suo impatto sulla prevenzione delle frodi rispetto ai costi iniziali per aggiungerlo al prodotto. Dovresti anche tenere conto dei costi ricorrenti di manodopera e finanziari associati a calcoli e archiviazione dei dati aggiuntivi.

Ricorda che trovare la giusta serie di indicatori è un esercizio per tentativi ed errori. L'unico modo per determinare veramente il vantaggio di ciascun indicatore è sommare e sottrarre ciascuno di essi, monitorando l'impatto di ogni combinazione sul tasso di frode e sull'esperienza utente sia per il cliente che per gli utenti finali.

Incorpora con i clienti per controllare i tuoi indicatori

Sebbene il cliente possa dare la priorità alla riduzione delle frodi, l'usabilità per i propri dipendenti (come gli analisti delle frodi) è importante anche nel back-end. È quindi opportuno assicurarsi che i punti dati che prevedi di raccogliere li aiutino e non li ostacolino.

Un framework di design thinking è un approccio utile ai prodotti che servono due set di utenti. È incentrato sull'uomo piuttosto che sul problema e chiede ai designer di entrare in empatia con gli utenti in modo che possano immaginare le loro esigenze future. Il design thinking può aiutare i product manager a sviluppare un prodotto dinamico che serve interessi concorrenti, in questo caso sicurezza e convenienza.

Investire nella fase dell'empatia significa porre domande e integrarsi nel flusso di lavoro quotidiano del cliente. Ciò ti consente di interagire con le richieste di offerta per prevedere i cambiamenti del mercato e vedere come i dati del cliente si allineano con il panorama delle minacce in tempo reale. Una volta comprese queste sfide strategiche e tattiche, puoi iniziare lo sviluppo.

Pianifica di trascorrere più tempo possibile con il tuo cliente durante le fasi di sviluppo e test. Mentre il feedback ti darà un'idea della lista dei desideri del cliente, lo shadowing ti aiuta a identificare problemi di comunicazione, lacune di conoscenza e difetti di progettazione che non verranno visualizzati nell'auto-segnalazione.

Lo shadowing è abbastanza semplice se sei un product manager interno che condivide lo spazio dell'ufficio con analisti di frode. Se sei un consulente o un lavoratore fuori sede, dovrai organizzare le visite in loco il più spesso possibile. Se il viaggio non è un'opzione, le sessioni virtuali con condivisione dello schermo valgono la pena.

Controlla settimanalmente con gli analisti delle frodi una volta che il tuo prodotto è attivo e funzionante per assicurarti che il design dell'esperienza utente li stia servendo, in particolare quando lanci nuove funzionalità: perché eseguono le attività in un certo ordine? Cosa succede quando fanno clic su un pulsante particolare? Come reagiscono quando ricevono una notifica? Quali cambiamenti stanno notando nel loro lavoro quotidiano?

Raccogli i tuoi dati

La tecnologia di raccolta dati consente alle organizzazioni di sfruttare centinaia di punti dati per verificare l'identità di un utente. Aiuta anche i siti di e-commerce e le app ad adattare l'esperienza di un utente al suo profilo demografico. Un utente che si adatta a un determinato profilo può persino ottenere offerte personalizzate o attivare assistenza automatizzata.

Quindi, come funziona nelle applicazioni di sicurezza?

  • Browser Web: ogni volta che un utente naviga in un sito protetto in un browser, i "collettori" JavaScript incorporati raccolgono informazioni identificative. Ciò potrebbe includere punti dati come posizione, dettagli del dispositivo e movimenti del mouse.
  • App native: le app native sono progettate per una piattaforma di dispositivo specifica, come iOS o Android. Quando si accede a un servizio da un dispositivo mobile, queste app utilizzano kit di sviluppo software (SDK) per raccogliere informazioni identificative, che potrebbero includere tocchi e scorrimenti delle dita invece dei movimenti del mouse.

I tuoi modelli di machine learning assegneranno quindi un punteggio di rischio di frode in base al modello generale formato da questi punti dati. Se il punteggio di rischio è superiore alla media, ha senso introdurre più attrito sotto forma di autenticazione a due fattori o domande di sicurezza. Tuttavia, se troppi utenti stanno attivando passaggi di verifica aggiuntivi, potrebbe essere il momento di riconsiderare la soglia di rischio o la strategia di raccolta dei dati.

Continua a ridurre l'attrito dell'utente finale

Una volta che il tuo prodotto è in esecuzione, tieni traccia dei reclami degli utenti finali registrati con i call center o tramite gli app store per scoprire punti deboli e suggerimenti per il miglioramento. Anche i migliori test pre-lancio non coglieranno ogni punto di attrito e i nuovi sistemi operativi e le versioni dei dispositivi possono causare complicazioni impreviste che rallentano gli utenti finali.

Per le aziende basate sull'e-commerce, i costi di questi rallentamenti sono evidenti. Nel 2022, il Baymard Institute ha stimato che il 17% degli abbandoni evitabili del carrello era dovuto a un processo di pagamento eccessivamente lungo o complicato; un ulteriore 18% degli intervistati ha accusato la mancanza di fiducia nella sicurezza dei dati della propria carta di credito. Baymard stima che il checkout lento e la mancanza di fiducia nella sicurezza del sito siano stati tra una serie di fattori che hanno contribuito a 260 miliardi di dollari di vendite perse negli Stati Uniti e nell'UE. Ciò rappresenta un'incredibile opportunità per i product manager di e-commerce di ripensare le proprie soluzioni per i punti vendita. Ma indipendentemente dal tuo settore, ridurre l'attrito degli utenti e garantire la fiducia nella protezione dei dati dovrebbe essere una pratica continua che può produrre clienti più felici e importanti innovazioni aziendali.

Un grafico a barre che mostra i motivi per cui è possibile evitare l'abbandono del carrello durante il checkout. I valori includono: Costi aggiuntivi troppo elevati, 48%; Creazione account richiesta, 24%; Consegna troppo lenta, 22%; La sicurezza del sito sembra inaffidabile, 18%; Checkout troppo complicato, 17%; Costo totale non chiaro, 16%; Errori del sito web, 13%; Politica di reso troppo rigorosa, 12%; Metodi di pagamento limitati, 9%; Carta in calo, 4%.
Processi di pagamento complicati e mancanza di fiducia nella sicurezza del sito hanno rappresentato il 35% degli abbandoni evitabili del carrello nel 2022.

Ecco due esempi di riuscita riduzione dell'attrito nello sviluppo di prodotti sicuri:

3DS

Alla fine degli anni '90, Visa e Mastercard hanno collaborato per creare il protocollo di sicurezza 3D Secure Payments (3DS). Rilasciato nel 2001, il protocollo originale richiedeva a tutti gli utenti di registrare le proprie carte con 3DS e di accedere a ogni cassa con una password 3DS dedicata. Se un utente non riusciva a ricordare la propria password 3DS, doveva recuperarla o reimpostarla prima di completare l'acquisto. In una versione successiva, gli emittenti di carte avevano la possibilità di sostituire la password statica spesso dimenticata con una password monouso dinamica (OTP). Tuttavia, il passaggio di accesso aggiuntivo ha continuato a ostacolare il processo di pagamento.

Gli sviluppatori di 3DS hanno preso atto di questo attrito persistente e, nel 2016, hanno rilasciato 3DS 2.0, che include un componente SDK che consente alle applicazioni di incorporare l'elemento 3DS nel loro codice. 3DS 2.0 è più adatto alle transazioni mobili e analizza più punti dati per ottenere una valutazione del rischio più accurata. Di conseguenza, solo una piccola percentuale di utenti 3DS 2.0 deve eseguire un passaggio di autenticazione aggiuntivo, spesso sotto forma di OTP.

Immagine che confronta i vecchi e nuovi processi 3DS. Il 3DS originale richiedeva a tutti gli acquirenti di autenticare le proprie identità con password statiche, spesso inserite in una finestra pop-up o in un sito di reindirizzamento. Il processo 3DS 2.0 mostra più passaggi di autenticazione che si verificano automaticamente e in parallelo con il processo di pagamento dell'acquirente, piuttosto che rallentarlo. Questi passaggi di autenticazione includono icone che rappresentano la posizione dell'acquirente, i dispositivi, la cronologia degli acquisti, l'acquisto corrente, il fuso orario e i dati biometrici.
3DS 2.0 utilizza funzionalità di autenticazione passiva che liberano la maggior parte degli acquirenti da passaggi aggiuntivi durante il checkout.

Uber

3DS 2.0 è un esempio di riduzione dell'attrito del prodotto attraverso l'iterazione. Ma puoi anche ridurre l'attrito a livello di settore introducendo prodotti dirompenti.

Il modello di business di Uber si basa sulla sottrazione dell'attrito da una corsa in taxi tradizionale. Con Uber, non devi più aspettare in attesa con un servizio taxi o rovistare nel tuo portafoglio alla fine del tuo viaggio.

Un processo di pagamento senza interruzioni è stato fondamentale per il successo iniziale dell'azienda, ma comportava alcuni rischi. Ogni volta che Uber elabora automaticamente una transazione su una carta di credito memorizzata nella sua app, rischia uno storno di addebito (in cui un titolare della carta contesta una transazione e riceve un rimborso).

Tuttavia, Uber ha calcolato che il costo di questi potenziali chargeback valeva l'opportunità di ottimizzare l'esperienza dell'utente. Se un utente dovesse estrarre una carta di credito o inserire una password ogni volta che chiamava per un passaggio, l'intera attività avrebbe potuto fallire. Invece, Uber ha accettato il rischio per l'attrito e il servizio è decollato.

In entrambi questi esempi, un approccio di gestione del prodotto incentrato sull'utente che ha anche valutato la sicurezza e il rischio ha portato a innovazioni rivoluzionarie e redditizie.

La migliore manutenzione è una buona offesa

Le frodi vogliono essere un passo avanti rispetto ai team di prodotto. Mentre altri tipi di sviluppo possono reagire a requisiti mutevoli, i progetti software sicuri devono anticiparli. Ciò significa che i product manager devono leggere la documentazione del settore e sfruttare i dati di più clienti per imparare dalle passate violazioni della sicurezza e dalle deviazioni riuscite.

Il tuo team di prodotto dovrebbe fornire rapporti regolari sul panorama delle minacce e confrontarli con le esperienze e i requisiti del tuo cliente. Non tutte le nuove minacce garantiranno un aggiornamento del prodotto. Forse il tuo team ha identificato un nuovo tipo di attacco da cui la tua UX non protegge, ma una discussione con il tuo cliente rivela che non è rilevante per il loro ambiente di minaccia: un cliente bancario in Sud Africa potrebbe avere a che fare con un'ondata di Frode di scambio di SIM, mentre un altro a New York potrebbe subire più attacchi da parte di hacker che utilizzano VPN. Nella maggior parte dei casi, proteggere entrambe le banche da entrambi i tipi di frode non sarebbe conveniente e introdurrebbe inutili frizioni UX.

In qualità di product manager, il tuo ruolo richiede l'adeguamento costante delle funzionalità per assicurarti di non scambiare la sicurezza con un'esperienza utente piacevole o viceversa. E mentre avrai bisogno di molti dati per comprendere veramente le esigenze dei tuoi clienti e degli utenti finali, il resto di questo atto di bilanciamento è un misto di tentativi, errori e arte.