Cosa non si fa (una buona UX) per la sicurezza.
Il processo di recupero password del portale 3
Le customer journey di prodotti di diverse aziende non sono necessariamente indipendenti. Una customer journey può influenzarne un’altra ed evidenziarne i punti deboli, che altrimenti resterebbero spesso invisibili.
Circa 15 giorni fa la mia banca mi invia una nuova carta di credito dotata, a detta loro, di una soluzione tecnologica che migliora la mia sicurezza. Il vantaggio è che il numero della carta non cambia, mentre la scadenza e il CVV (il numero di sicurezza che si trova sul retro) sì. Ora, fino a 10 anni fa questo non avrebbe creato nessun problema, ma oggi per una persona come me, che ha circa una quindicina di servizi in abbonamento, qualche fastidio l’ha generato. Gli abbonamenti sottoscritti su internet (e non solo) verificano la carta di credito confrontando la corrispondenza tra nome del titolare, numero della carta, scadenza e CVV. In pratica, cambiare uno di questi parametri è come cambiarli tutti. Ho immediatamente dovuto aggiornare le credenziali in Spotify, Apple App Store, Google Play e un’altra decina di servizi.
Un consiglio per il futuro: le banche dovrebbero creare portali per le carte di pagamento in cui sono evidenziati i servizi di sottoscrizione associati, in modo tale che in caso di cambiamento il cliente possa velocemente aggiornare i parametri e inviarli subito ai gestori degli abbonamenti.
Tra l’altro poco giorni fa, su Product Hunt, è comparso Truebill, un servizio che fa qualcosa di simile: una volta inserita la carta di credito identifica le sottoscrizioni presenti online (principalmente SaaS) e facilita la sospensione dell’abbonamento, facendo risparmiare i clienti.
Dopo qualche giorno, ovviamente, sono arrivati i solleciti di tutti i servizi che avevo dimenticato di aggiornare, tra cui il mio abbonamento di 3, l’operatore telefonico. Diciamo che il messaggio che annuncia questo inconveniente non è dei più cordiali: «Gentile cliente il suo metodo di pagamento non risulta valido. Per evitare la sospensione in 5gg segua le istruzioni e clicchi http://segue link». Qualcosa che assomiglia parecchio a una minaccia. La cosa che mi domando, dal momento che ricevo almeno un ventina di chiamate all’anno per offerte commerciali dal medesimo operatore, è perchè non mi abbiano fatto chiamare dal servizio clienti per risolvere il problema rapidamente con un vantaggio per entrambi.
Questo è un mio vecchio pallino: i servizi commerciali e i servizi di post-vendita sono solitamente gestiti da call center indipendenti. Ma se durante l’anno avessi un unico interlocutore che risolve cordialmente e velocemente i miei problemi, probabilmente sarei più cortese e meglio disposto nell’accettare le proposte commerciali. Almeno le ascolterei fino al termine. La prima delle sei leggi di Robert Cialdini relative alla persuasione si basa proprio sul concetto di reciprocità. Se fai un «dono» al cliente, questo avrà difficoltà a disattendere una richiesta cordiale. Il CRM dovrebbe servire anche a questo scopo: eliminare le distonie agli occhi del cliente e creare una relazione.
Il link mi invia ad una pagina in linguaggio burocratico non ottimizzata per il mobile (non web responsive) che mi spiega che il mio pagamento è stato rifiutato perché la carta registrata non è più attiva. Giusto, ma non è colpa mia. Sempre il messaggio in linguaggio burocratico offre due opportunità per modificare i parametri delle carta: chiamare il call center (ma perché devo chiamare io?) o farlo direttamente dal sito. Tutta l’esperienza è iniziata sullo smartphone e vorrei concluderla sullo smartphone. Dalla app non è possibile, ma solamente sul sito ottimizzato per il desktop. Qui nasce un altro problema.
Uno degli aspetti positivi dell’app di 3 è che quando vi si accede dallo smartphone collegati al 3G non richiede autenticazione. Ottima User Experience!! Quando, però, provo ad accedere dal sito web per il desktop mi vengono richieste le credenziali di autenticazione. Corretto! Peccato che non sono solito usare questo touch point per accedere ai servizi e non ricordo la password. Provo a recuperarla: per farlo devo rispondere ad una domanda di sicurezza. Ma perché esistono queste domande? Cosa dovrebbero dimostrare? 3 conosce la mia email personale, ma soprattutto dispone di un canale privilegiato: il mio numero telefonico dove mi scrive per aggiornarmi, per dirmi che mi sospenderanno il servizio e dove mi manda la pubblicità che non ho mai richiesto ma che è quasi impossibile bloccare. Perché non mi può inviare un link per resettare la email via SMS? La domanda di sicurezza che avevo posto è una semplice data di nascita che conosco benissimo, ma non ricordo il formato. Li provo tutti, ma fallisco ogni volta. Non ho modo di recuperare la password. All’ennesimo tentativo il sistema, sempre per la mia sicurezza, blocca l’account e mi chiede di chiamare il call center. Anche in questo caso non posso concludere l’esperienza sul canale prescelto, ma vengo costretto a seguire una customer journey non desiderata.
Chiamo il call center dove risponde un’operatrice cordiale che capisce la situazione. Mi blocca subito e mi evidenzia il problema della carta di credito. Mi dice che si può risolvere al telefono direttamente con lei. Mi pone almeno una decina di domande tra cui il tipo di dispositivo per cui ho sottoscritto l’abbonamento, il periodo in cui l’ho sottoscritto e il documento che ho usato. La sottoscrizione è avvenuta più di due anni prima. Fortunatamente ho una buona memoria, ma non comprendo perché tutte queste domande: per la mia sicurezza, pare. Ma sono io che fornisco i dati della carta. Non penso che qualcuno mi possa rubare l’identità per fornire dati sbagliati o di una carta sottratta a mia insaputa.
Nell’occasione decido di sbloccare l’account e cambiare la password, che mi viene inviata via SMS. Ma perché ora il canale mobile diventa sicuro? La password provvisoria va cambiata. Devo inserirla nuovamente. La mia password personale ha anche un carattere speciale, almeno una lettera maiuscola, almeno una lettera minuscola e almeno un numero. L’ho costruita così per cercare di ottemperare a tutti i requisiti che sono richiesti dai vari fornitori di servizi digitali. 3 mi chiede di non usare i caratteri speciali. Così devo modificarla, con la certezza che la prossima volta che tenterò di accedere non ricorderò la modifica apportata. 3 non è peggio degli altri, che impongono una lunga serie di requisiti. La raccomandazione sarebbe di non porre limitazioni per non obbligare i clienti ad inventare ogni volta (e quindi dimenticare) una password nuova. Se alcuni requisiti fossero irrinunciabili, converrebbe indicare nella fase di login i requisiti minimi, in modo da suggerire all’utente la possibile variazione apportata alla password.
Compilo tutti i campi obbligatori, quelli con l’asterisco. La domanda di sicurezza non dovrebbe esserlo: non ha l’asterisco, ma in realtà se provo a salvare le modifiche un messaggio mi avverte che anche questi campi sono obbligatori. Il messaggio contestuale è un’ottima cosa, ma se ci fossero stati gli asterischi avrei evitato un passaggio di validazione lato server.
La mia battaglia con i sistemi di sicurezza pseudo-sicuri è un argomento caldo con i clienti. Jakob Nielsen e Donald Norman, i padri dell’usabilità, hanno scritto decine di articoli sulla user experience dei sistemi di sicurezza, che a volte diventano un alibi per giustificare le attività di alcuni professionisti. Sistemi di autenticazione complessi non migliorano la sicurezza, ma spingono gli utenti a cercare soluzioni per ricordare le password che, in realtà, peggiorano la sicurezza. Liberano il gestore da alcuni problemi scaricandoli tuttavia sul cliente finale.
Conclusioni
Per la mia sicurezza hanno cambiato la mia carta di credito, mi hanno posto una domanda di sicurezza, bloccato il mio account, fatto una decina di domande personali e obbligato a reimpostare la password. In «soli» due giorni ho risolto il problema e ho ricevuto il messaggio: «Gentile cliente, la tua situazione contabile è stata normalizzata. Ora tutti i pagamenti risultano regolarmente chiusi e il metodo di pagamento fornito attivo.» Ora mi danno del “tu”. Insomma, se sono un buon pagatore, diventiamo amici!
Luca Troisi è Direttore Creativo e Co-Fondatore di Enhancers, pubblica tweet su temi di UX, Lean Start Up e Growth Hacking su Drops from the Future, cura su Pinterest contenuti in ambito UX seguiti da più di 12,200 follower e insegna Interaction Design presso Domus, IED e il corso di Interaction Design per il Mobile.
