Fraude online: os desafios da banca

A fraude relacionada com os pagamentos, nomeadamente os online, está na ordem do dia. É uma preocupação cada vez mais premente não só das instituições financeiras, mas também dos consumidores, do mercado em geral e, inclusive, do regulador.

A 6 de Junho o SAS organiza, em Lisboa, um encontro sobre o tema no programa consta um dos especialista nas matéria: Sundeep Tengur, especialista em fraude bancária e crime financeiro, no SAS EMEA/AP . O Business Analytics conversou com ele que nos explicou os desafios da banca, a forma como as instituições financeiras podem e devem utilizar as ferramentas tecnológicas existentes como forma de combater e antecipar-se à fraude e ainda a importância de ter uma regulamentação adequada.

Quais são os principais desafios, nos dias de hoje, para as instituições financeiras?

Há muitos desafios que as instituições financeiras enfrentam actualmente e acredito que o maior é a incapacidade de lidar com o inesperado. Nos últimos 18 meses assistimos a vários ataques, desde esquemas organizados de engenharia social, extensas quebras de dados, ataques de ransoware, assim como um aumento do número de ataques de fraude cibernéticos dirigidos a organizações financeiras.

À medida que o número de vectores de ataque aumenta e o modus operandi dos fraudadores torna-se cada vez mais sofisticado, as defesas de fraude tradicionais são, muitas vezes, incapazes de proporcionar a protecção adequada. Para agravar ainda mais este problema, o ritmo a que os pagamentos são hoje efectuados é igualmente um desafio para os bancos.

O desafio também reside no facto de que o cenário das fraudes está em constante mudança. Embora as técnicas de fraude mais recentes, como o cyber, estejam actualmente em foco, também vemos um comportamento cíclico com as técnicas tradicionais a serem reutilizadas, tal como a fraude assente em engenharia social, para testar, constantemente, as defesas do banco. Os fraudadores também estão a ficar mais organizados, operando através de fronteiras nacionais e usando a dark web como plataforma para comunicar e planear os seus ataques.

Eles escondem-se habilmente atrás de redes complexas onde empregam “mulas” para fazer as suas licitações. Estas redes combinam actividade fraudulenta com transacções legítimas e são, normalmente, difíceis de detectar sem técnicas de detenção inteligentes, baseadas em rede.

Com as directivas oriundas do Payments Services Directive 2 (PSD2) as organizações estão a ser compelidas a consolidarem as suas defesas de fraude, aplicando a detecção em tempo real, autenticação multi-factor e aplicando técnicas melhoradas, como forma de prevenir perdas de fundos para actores fraudadores.

A criação de legislação mundial poderia ser uma solução para lidar com a fraude online?

Acredito que a indústria está lentamente a gravitar para a regulamentação da regulação da fraude, como parte de uma estrutura de gestão de risco mais ampla. No entanto, o ritmo a que esta tendência está a progredir é, na minha opinião, demasiado lento quando comprado com a velocidade dos ataques de crimes financeiros. Por muito tempo a fraude foi vista como um custo operacional. Mas isto está a mudar. Os reguladores estão a começar a perceber que há um impacto social mais amplo por trás da fraude. Vimos relatórios da imprensa de trabalhadores enganadas, “forçadas” a dar largas somas de dinheiro, idosos que perderam as suas economias de uma vida e famílias jovens que perderam as suas casas. Regulamentos como o PSD2 trazem vários temas relevantes, no combate à fraude, para o centro das atenções, tais como a autenticação multi-factor e o aumento da protecção ao consumidor. No entanto, estes subprodutos de um regulamento destinado a democratizar o acesso aos pagamentos não são suficientes. Precisamos, efectivamente, de um regulamento anti-fraude dedicado e de pleno direito para proteger os consumidores nas suas vidas diárias.

Para complementar este quadro regulamentar proposto, também precisamos que as organizações façam a sua arte. A regulação por si só não resolve, por completo, o problema. Precisamos de uma mudança de mentalidade na indústria e os líderes empresariais devem impor uma cultura, dentro das suas organizações, de tolerância zero face à fraude e outras formas de crime financeiro. Não deve haver apenas políticas, mas a aplicação das mesmas deve estar relacionada com a forma como o negócio é realizado no dia-a-dia, quer com o público interno como externo. Com este aumento do foco do governo e o escrutínio regulatório sobre o crime financeiro, as empresas descobriram que que as arestas devem ser expostas e sujeitas a sanções financeiras. Para as organizações de pequeno e média dimensão o dano reputacional associado pode prejudicar a sua capacidade de existir no futuro, eliminando, assim, o status quo como uma opção.

Como pode a tecnologia ajudar as instituições financeiras a superar a fraude online?

A tecnologia pode ser um grande recurso no combate ao crime financeiro. Para começar, a tecnologia pode ajudar as empresas a lidar com os enormes volumes de dados transaccionais e a encontrar inconsistências, indicativas de fraude. O que seria quase impossível para qualquer organização de média e grande dimensão sem o recurso a plataformas tecnológicas robustas, “equipadas” com análise de dados em capacidades de transmissão de dados em tempo real. A tecnologia também pode ajudar as empresas a focar em casos efectivamente fraudulentos, conseguindo optimizar os custos e os recursos humanos. No entanto, isto é o que se esperaria de qualquer solução, decente, de fraude. Creio que, hoje, a tecnologia deveria capacitar as empresas de forma a terem uma vantagem sobre os fraudadores. A solução passa por usar a tecnologia como forma de evoluir para um modelo de detecção reactiva e abraçar uma abordagem proactiva, com exploração de dados, ajuste estatístico de cenários e análise preditiva. Alguns bancos estão a adoptar esta abordagem e, com a ajuda do SAS, estão a configurar ambientes de “laboratórios de dados” para capacitar os seus cientistas de dados com ferramentas exploratórias “poderosas”. Está comprovado que esta abordagem produz resultados, dado que estas organizações são capazes de detectar os primeiros sinais de fraude e deter os incidentes antes de estes se transformarem em ataques de fraude.

Mais dados significam mais ataques? O que as instituições financeiras devem fazer?

Sim, mais dados pode significar mais riscos, mas também pode significar ter uma arma inestimável para combater a fraude!

Embora ter mais dados possa adicionar complexidade, e geralmente requer esforço em transformá-los num formato utilizável, também significa ter o “combustível” de qualquer mecanismo de detecção de fraude ou modelo preditivo. As instituições financeiras não devem ter medo de usar estes novos activos de dados. Muitas vezes podem oferecer um valor acrescentado significativo na luta contra a fraude ao oferecerem uma nova inteligência accionável ou disponibilizando uma visão mais profunda/detalhada. Na banca estamos a começar a ver o uso destes novos activos de dados, anteriormente considerados como dados marginais, tornando-se parte do modelo standard de detecção para a fraude online. Exemplos comuns incluem o uso de informações disponibilizadas por dispositivos, comportamento de navegação ou inícios de sessão para a detecção de fraude online.

No entanto, uma palavra de cautela – simplesmente lançar mais dados no sistema não é a solução. As organizações devem começar a aprimorar a qualidade dos seus dados, como parte de uma estratégia mais alargada de gestão de dados, assim como o agrupamento e a ligação entre diferentes tipos de dados que entram na empresa. A resolução da entidade também é um requisito fundamental para garantir que não há duplicação de dados e providenciar uma visão única do cliente, antes de ser aplicada qualquer forma lógica de detecção. Considero que o uso de analíticas avançadas nesses novos activos de dados é muitas vezes subestimado, mas pode render um valor significativo para as organizações que desejem adoptar uma abordagem superior de monitorização e detecção.

Qual será o impacto do novo regulamento europeu – PSD2 – na luta contra a fraude online?

Quanto a todos os novos regulamentos há muito foco e, até certo nível, também algum nível de incerteza em relação ao que será o cenário financeiro pós PSD2. Primeiro vamos ter em mente que o PSD2 não é um regulamento sobre fraude por direito próprio, mas que estipula algumas boas medidas que ajudam a mitigar a fraude relacionada com pagamentos. Uma das mudanças trazidas pelo PSD2 reside na introdução de novos players, nomeadamente AISPs e PISPs e, quanto a todos os novos participantes, há um novo elemento de risco relacionado com a segurança. O padrão de comportamento normal destas novas entidades e consumidores, que usam os seus serviços, não será conhecido até sejam recolhidos dados históricos suficientes para a criação do perfil de cliente. Gostaria de ver estes novos participantes e os players tradicionais a trabalharem em conjunto no combate à fraude, mantendo uma abordagem centrada no cliente.

O regulamento também estipula a necessidade para a autenticação a dois factores, que foi, até aqui, amplamente adoptada pela indústria. Isto providencia uma linha regulatória formalizada forte. Mas as organizações precisam de ser pragmáticas e de terem em consideração a experiência do consumidor, e evitarem fricções, oferecendo uma autenticação adoptiva, baseada no risco, como forma de garantir que os clientes “genuínos” não sejam afectados indevidamente.


Sundeep Tengur
Banking Fraud & Financial Crime Specialist, SAS EMEA/AP

 

 

 

Fraude em Pagamentos Online
6 de Junho | 8:30h
SAS Portugal (Amoreiras Square)
Informações e Inscrição AQUI

 

Deixar uma resposta