Per le organizzazioni regolamentate

La compliance inizia
dove finisce l'MFA.

La Strong Customer Authentication (SCA) prova che è stata presentata una credenziale. Non prova che la voce al telefono sia quella del titolare. Hongi colma questa lacuna per banche, assicurazioni e qualsiasi organizzazione in cui l'impersonificazione ha un prezzo.

Parla con il team Vedi la mappa regolatoria →
  • $3B
    perdite annue da BEC e frode del CEO
    FBI IC3 2024
  • €40M
    perdite belghe da phishing e vishing
    Febelfin 2024
  • Dec 2027
    scadenza di accettazione EUDI Wallet
    Regulation (EU) 2024/1183
  • 80%+
    ingegneria sociale potenziata dall'IA
    ENISA Threat Landscape 2025

Il gap di compliance.

La SCA copre le estremità dell'interazione con il cliente: il login e la firma della transazione. Tutto ciò che accade in mezzo, la telefonata, la sessione video, lo scambio email, non ha alcuna prova di identità in tempo reale. È in quel centro che vivono vishing, video deepfake e frode del CEO.

coperto dalla SCA
lacuna che Hongi colma

La mappa regolatoria.

Otto framework che toccano l'assurance d'identità nei canali che Hongi presidia. Per ciascuno, dove si colloca Hongi e cosa fa, con la fonte primaria.

  1. 2019 PSD2 RTS-SCA in vigore
  2. 2024 EBA fraud reporting linee guida aggiornate
  3. Oct 2024 NIS2 recepita
  4. Jan 2025 DORA in vigore
  5. Dec 2027 EUDI Wallet accettazione obbligatoria
Regolamenti fondamentali 3
EU in vigore dal 2019
PSD2 · RTS on SCA
Regolamento Delegato (UE) 2018/389
Ambito

Autenticazione forte del cliente: almeno due fra conoscenza, possesso, inerenza; vincolo alla transazione.

Dove si colloca Hongi

Hongi è un fattore di possesso complementare e fuori banda per la conversazione che ruota attorno all'autorizzazione del pagamento. Non sostituisce la SCA; difende dall'ingegneria sociale che aggira un flusso SCA per il resto valido (transazioni indotte da frode, impersonificazione del consulente).

Fonte primaria →
EU in vigore da Jan 2025
DORA
Regolamento (UE) 2022/2554
Ambito

Resilienza operativa digitale per il settore finanziario. Art. 9 (protezione e prevenzione), Art. 17-19 (segnalazione di incidenti ICT). In vigore dal 17 gennaio 2025.

Dove si colloca Hongi

Riduce la superficie di attacco dell'ingegneria sociale che innesca gli incidenti ICT. Il registro di audit opzionale (albero di Merkle degli hash di pairing, senza identità) sostiene la ricostruzione post-incidente senza trattenere dati personali.

Fonte primaria →
EU obbligatorio Dec 2027
eIDAS-2 · EUDI Wallet
Regolamento (UE) 2024/1183
Ambito

Accettazione obbligatoria dell'EU Digital Identity Wallet da parte delle parti facenti affidamento da dicembre 2027 (Art. 5f). Prove crittografiche di identità robuste.

Dove si colloca Hongi

Hongi è il verificatore in tempo reale del canale umano accanto a EUDI: EUDI prova che una credenziale è stata presentata, Hongi prova che la voce al telefono appartiene al titolare della credenziale. Due problemi ortogonali, un'unica architettura.

Fonte primaria →
Framework di supporto 5
EBA Guidelines · fraud reporting
EBA/GL/2018/05 (aggiornato 2024)
EU

Un riscontro Hongi fallito durante una chiamata banca-cliente è un segnale pulito e leggibile dalla macchina che può alimentare la segnalazione delle frodi (frode del CEO, vishing) dove l'attuale schema di frode su carta sotto-riporta.

aggiornato 2024 Fonte primaria →
NBB · ICT-veiligheid
Linee guida prudenziali della Banca Nazionale del Belgio + attuazione DORA
BE

Strato operativo di assurance d'identità per le interazioni remote banca-cliente e interne alla banca, coerente con la cornice NBB di governance dei servizi supportati dall'ICT.

attivo Fonte primaria →
GDPR · privacy by design
Regolamento (UE) 2016/679, Art. 25
EU

Niente nome, niente numero di telefono, niente email, niente rubrica, niente storia delle codeword, niente analytics. La chiave condivisa vive sui due dispositivi accoppiati; il server inoltra solo un cifrato opaco. In una violazione c'è quasi nulla da trafugare.

in vigore dal 2018 Fonte primaria →
NIS2
Direttiva (UE) 2022/2555
EU

Aggiunge uno strato di assurance d'identità al controllo degli accessi per interazioni remote ad alto rischio (approvazione di transazioni, risposta a violazioni, onboarding fornitori) non coperte dall'MFA su canale testuale.

recepita 2024 Fonte primaria →
NIST SP 800-63-4 + ENISA TL 2025
NIST Digital Identity Guidelines, luglio 2025 · ENISA Threat Landscape 2025
GLOBAL

Si rivolge direttamente alla minaccia che ENISA pone al primo posto. Integra i livelli di assurance di autenticazione del NIST con un'attestazione di canale umano a livello di sessione, agnostica al meccanismo (telefono, video, di persona).

standard di settore Fonte primaria →

Dove emerge nelle operazioni.

Sulla roadmap B2B vedi roadmap →

Sei scenari operativi tra flussi rivolti al cliente e interni. Le meccaniche descritte di seguito richiedono pairing organizzativo e registri di audit che sono nella nostra roadmap B2B attiva, ancora non consegnati. I primi pilot con banche partono in Q4 2026. Una sola verifica mancata in uno di questi scenari ha una coda nota a sei cifre.

01
€40M
phishing e vishing belga · Febelfin 2024

Chiamate in uscita dalla banca verso il cliente

PSD2 RTS-SCAEBA fraud reporting
Senza Hongi

I clienti non riescono a distinguere un consulente vero da un truffatore vishing con il contesto giusto.

Con Hongi

La codeword del cliente deve coincidere con quella del consulente. Nessun match, nessuna conversazione.

02
$25.6M
una sola videochiamata deepfake · Arup 2024

Sessioni video di onboarding del cliente

eIDAS-2GDPRKYC/AML
Senza Hongi

Gli scambi di volto in deepfake colpiscono il KYC remoto. Il volto a schermo può non corrispondere al documento caricato.

Con Hongi

Entrambe le parti leggono codeword corrispondenti davanti alla camera prima della revisione KYC. Attestato in sessione.

03
$3B
perdite annue da BEC · FBI IC3 2024

Verifica interna (BEC / frode del CEO)

DORANIS2
Senza Hongi

Richiesta urgente di bonifico del CEO, firme corrette, voce convincente. Il denaro parte.

Con Hongi

Controllo codeword in tempo reale prima di qualsiasi pagamento inusuale. Un solo pairing chiude la falla.

04
4h+
finestra di segnalazione incidenti DORA

Risposta agli incidenti

DORA Art. 17-19NIS2
Senza Hongi

Gli attaccanti sfruttano il caos dell'incidente: finta IT, finto supporto, finti vendor IR.

Con Hongi

Ogni chiamata interna passa per un controllo codeword. Nessun match, nessuna istruzione eseguita.

05
€100k+
soglia tipica del bonifico di alto valore

Conferma di transazioni di alto valore

PSD2 RTS-SCAEBA fraud reporting
Senza Hongi

Bonifico da €100k+ autorizzato al telefono senza prova fuori banda che il cliente sia autentico.

Con Hongi

Il cliente legge ad alta voce la propria codeword corrente. Il consulente conferma il match. Il pagamento prosegue attestato.

06
avg €40k
per incidente di frode su fatture fornitore

KYB del fornitore

DORA supply-chainNIS2
Senza Hongi

Le chiamate dei fornitori hanno identità debole. La frode su fatture si appoggia su quella lacuna.

Con Hongi

Pairing al KYB. Da quel momento ogni chiamata del fornitore è verificata da Hongi. Niente supposizioni.

Architettura sotto la lente del DPO.

Il vostro DPO può auditare un deployment di Hongi in un solo pomeriggio. Di seguito tutto ciò che conserviamo su un server quando un'organizzazione adotta Hongi per personale e clienti.

  • Token push per dispositivo. Identificatori opachi emessi da APNs/FCM. Nessuna mappatura a un nome umano. Necessari solo per il percorso di notifica silenziosa; non utilizzati per la verifica routinaria delle codeword (che è totalmente offline).
  • Registro di audit opzionale degli hash di pairing. Per i deployment B2B che richiedono tracciabilità ai sensi dell'art. 17 di DORA o delle linee guida NBB, Hongi può aggiungere un log a forma di albero di Merkle degli hash di pairing (senza identità, senza codeword). Verificabile tramite prova di Merkle. Nessuna chain pubblica.
  • Metadati di pagamento della mancia. Pertinente solo al prodotto consumer, non al B2B. Instradato tramite Stripe. Hongi vede solo che è avvenuta una mancia e il suo importo; nulla che la riconduca a un utente.

Ciò che non conserviamo: nomi, numeri di telefono, email, rubriche, storia delle codeword, registri delle chiamate, posizione, trascrizioni, biometrie, identificatori pubblicitari. La chiave di verifica tra due dispositivi accoppiati vive solo su quei due dispositivi, derivata localmente.

Prossimo passo

Prenota una conversazione pilota di 30 minuti.

Il team Hongi si siede con i vostri responsabili compliance, frodi e IT e percorre il caso d'uso a maggior impatto. Se c'è incastro, avviamo un pilot gratuito di 6 mesi con fino a 500 clienti o dipendenti. Nessun acquisto, nessuna licenza, nessuna esposizione.

Scrivi direttamente ai fondatori Leggi prima le FAQ →

Hongi (Lovit BV) · Vlaanderen, Belgio · info@hongi.io