Per tre decenni, l'industria dei pagamenti si è basata su una regola fondamentale: Know Your Customer. Banche e processori di pagamenti raccoglievano documenti di identità, verificavano indirizzi, conducevano controlli di background e archiviavano i dati KYC in cartelle di conformità statiche. Una volta approvato, il cliente si muoveva nel sistema con l'assunzione che la valutazione del rischio fosse completa. Questa assunzione è ora obsoleta.
Mastercard ha recentemente articolato un cambio strategico—da KYC (Know Your Customer) a KYA (Know Your Activity)—che riflette una ristrutturazione fondamentale dell'architettura del rischio nei pagamenti. La tesi è semplice: in un mondo dove l'intelligenza artificiale può elaborare dozzine di segnali comportamentali in millisecondi, l'istantanea statica di chi è il cliente importa molto meno della valutazione continua e in tempo reale di quello che sta effettivamente facendo.
Non si tratta semplicemente di un rebranding semantico. Rappresenta uno spostamento nel locus del controllo nell'ecosistema dei pagamenti. Per decenni, i team di compliance hanno operato come portieri alla porta—ammettere o negare l'accesso in base a background e documentazione. Il monitoraggio delle transazioni è arrivato dopo, come controllo secondario. Secondo il modello KYA, il monitoraggio delle transazioni diventa la superficie di controllo primaria. Ogni millisecondo di attività diventa dato; ogni punto di dato diventa segnale di input per la valutazione algoritmica del rischio.
Le implicazioni per l'infrastruttura dei pagamenti più ampia sono profonde. Le piattaforme di emissione di carte, i provider Banking-as-a-Service e le infrastrutture di finanza incorporata ora affrontano un imperativo tecnico e operativo di strumentare i loro flussi di transazioni con analytics comportamentali continue. I dati KYC statici—nome, indirizzo, occupazione, dichiarazione di fonte di fondi—non bastano più come base per decisioni di approvazione in corso. Al contrario, emittenti e acquirenti devono integrare feed di attività in tempo reale in modelli di machine learning che possono riconoscere pattern, anomalie e cambiamenti comportamentali contestuali nel momento.
Le autorità di regolamentazione hanno già iniziato a segnalare questa aspettativa. La guida dell'European Banking Authority su AI e machine learning nei servizi finanziari, e il monitoraggio continuo della Financial Conduct Authority del processo decisionale algoritmico, riflettono un consenso crescente che i controlli di conformità statici sono insufficienti. Fintech e banche tradizionali sono entrambe prese tra pressioni concorrenti: irrigidire la documentazione KYC (un compito sisifico nell'era della frode di identità sintetica) o accettare l'inevitabilità normativa del monitoraggio comportamentale come controllo primario.
L'incentivo economico taglia in entrambi i sensi. Da un lato, il rilevamento del rischio più veloce e accurato significa meno falsi positivi—clienti erroneamente rifiutati o bloccati—e perdite per frode inferiori. Dall'altro, richiede un sostanziale investimento di capitale nell'infrastruttura di dati, nell'addestramento dei modelli e nella validazione continua. Un processore di pagamenti di medie dimensioni o un emittente di carte non può semplicemente attivare un interruttore per KYA. Deve ricostruire da zero i suoi stack di monitoraggio delle transazioni, integrare più fonti di dati, mantenere la spiegabilità per i controlli normativi e gestire lo scostamento dei modelli che inevitabilmente accompagna il processo decisionale algoritmico su larga scala.
Per i BaaS operator e le piattaforme di finanza incorporata, il cambio verso KYA crea sia opportunità che obblighi. Coloro che dispongono già di capacità di transaction intelligence possono stratificare analytics comportamentali come differenziatore competitivo. Coloro che non le hanno affronteranno pressioni per acquisire o collaborare. Il panorama frammentato dei provider BaaS più piccoli—già gravati dai requisiti di proporzionalità secondo PSD2 e regimi equivalenti—affronta la prospettiva di un'altra modernizzazione dell'infrastruttura ad alta intensità di capitale.
Quello che Mastercard sta articolando, in effetti, è che il futuro della conformità nei pagamenti non è un'operazione di verifica di documenti inserita in un motore di elaborazione delle transazioni. È una macchina integrata e continua di valutazione del rischio in cui ogni transazione genera nuove informazioni sul comportamento del cliente, e ogni millisecondo di latenza rappresenta un potenziale divario nel rilevamento. Il profilo del cliente non scompare; diventa una base di riferimento. La transazione stessa diventa il segnale primario.
Le autorità di regolamentazione e gli specialisti della criminalità finanziaria dovrebbero accogliere con favore questo cambio. KYC, come storicamente praticato, è retrospettivo—cattura quello che i clienti hanno detto di sé al momento dell'onboarding, quindi spera che il monitoraggio delle transazioni catturi quello che effettivamente fanno. KYA inverte questa logica: rende il comportamento effettivo il segnale governante, e fa servire l'identità dichiarata del cliente come contesto piuttosto che come comando. Per il rilevamento di frodi e riciclaggio di denaro, questo è un enorme passo avanti.
La domanda ora è l'esecuzione. Possono le reti di pagamento, gli emittenti di carte e i processori distribuire l'infrastruttura di dati, il governo dei modelli e i percorsi di audit necessari per rendere operativo KYA su scala senza creare un panotticon di sorveglianza delle transazioni che eroda le legittime aspettative di privacy? Possono le autorità di regolamentazione stabilire standard chiari per quello che costituisce una valutazione del rischio comportamentale spiegabile e verificabile? E possono i player più piccoli nell'ecosistema—gli innovatori fintech indipendenti e i processori di pagamenti regionali—permettersi il costo dell'infrastruttura per entrare in questo nuovo regime?
L'industria probabilmente non aspetterà risposte perfette. La dichiarazione pubblica di Mastercard sarà letta come permesso e come pressione. Le reti più grandi hanno il capitale e i team di data science per muoversi velocemente. Gli operatori più piccoli si consolideranno o dipenderanno da partner infrastrutturali. La finestra normativa per KYC come segnale di conformità primario si sta chiudendo.
Scritto dall'editor di Codego Press — giornalismo bancario e fintech indipendente fornito da Codego, provider di infrastrutture bancarie europee dal 2012.
Fonti: PYMNTS — Mastercard Sees Data Moving Payments From KYC to KYA · 1 May 2026