Orange Money Rumänien: Wie wir unserer mobilen Erfahrung eine risikobasierte Authentifizierung hinzugefügt haben

Jeannine Mulliner, 13. Januar 2021

Wir nehmen regelmäßig an Branchenveranstaltungen und Präsentationen zu Themen wie Betrugsprävention, Authentifizierung und Best Practices für die Sicherheit mobiler Apps teil. Wenn Sie die Präsentation von Orange Money Romania und OneSpan mit dem Titel verpasst haben Intelligente adaptive Authentifizierung als Lösung zur Bereitstellung von PSD2-Konformität, zur Verbesserung der Benutzererfahrung und zur Verbesserung der Sicherheit für Orange Money-Kunden beim Der Hack Summit 2020 Hier ist die 10-minütige Zusammenfassung.

Die Orange Group ist weltweit führend bei Telekommunikationsdiensten. Zu den Tochterunternehmen zählen Orange Money und Orange Bank, die Mobile-Banking-Dienstleistungen für den Telekommunikationskundenstamm der Gruppe anbieten.

In Rumänien wurde Orange Money im November 2016 als von der rumänischen Nationalbank zugelassenes E-Geld-Institut (EMI) eingeführt. Orange Money gehört dem größten Telekommunikationsbetreiber in Rumänien und kann IBAN-Konten für Privatkunden bereitstellen, Kredite vergeben, Zahlungsdienste anbieten und vieles mehr. Im Wesentlichen bieten sie fast alle Dienstleistungen einer traditionellen Bank an. Ein eMoney-Institut verfügt jedoch nicht über eine Banklizenz der Europäischen Zentralbank.

Mit der Orange Money-App können Kunden über eine virtuelle Orange Money- oder virtuelle VISA-Debitkarte Geld überweisen, Rechnungen bezahlen, Fremdwährungen kaufen und auf ihren Mobilgeräten einkaufen. Sie können kontaktlose mobile Zahlungen an der Verkaufsstelle tätigen, indem sie ihr Bankkonto mit Google Pay oder Apple Pay verknüpfen. Physische Debitkarten können auch für Bargeldabhebungen an Geldautomaten ausgestellt werden.

Bis zum dritten Quartal 2020 hatte Orange Money Romania 245.000 Kunden. Als reine mobile Bank ist die Aufrechterhaltung des digitalen Vertrauens ohne Beeinträchtigung der Benutzererfahrung der Schlüssel zum Wachstum. Daher stehen eine starke Kundenauthentifizierung (SCA) und Betrugsprävention an erster Stelle.

„Als reine Mobilbank gibt es keine anderen Kanäle, wenn der Zugangskanal zum Kundenkonto beeinträchtigt ist. Und als relativ junges Unternehmen ist es sehr kompliziert, den Kunden davon zu überzeugen, dass er Ihnen ein anderes Mal vertrauen sollte, wenn Sie einen Sicherheitsfehler machen “, sagt Mircea Spinei, Leiterin Zahlungen und Transaktionen bei Orange Money Romania.

Die Orange Money App wird im Google Play Store mit 4,4 und im Apple Store mit 4,7 bewertet. Für Orange Money ist es entscheidend, Innovationen zu entwickeln und ein hohes Maß an Kundenzufriedenheit aufrechtzuerhalten, während gleichzeitig die Betrugsbekämpfung und die Einhaltung von PSD2 gestärkt werden.

Die Herausforderung: PSD2-konformer Betrugsschutz mit minimaler Reibung

Orange Money Rumänien musste die bereits PSD2-konforme Sicherheitstechnologie ersetzen, die sie selbst entwickelt und in ihre mobile Geld-App eingebettet hatten. Die neue Lösung konnte jedoch die Benutzererfahrung nicht unnötig reibungslos gestalten.

Um auf die neueste Sicherheit zu aktualisieren, musste die Lösung weiterhin PSD2-kompatibel sein und daher:

  • Bereitstellung einer Zwei-Faktor-Authentifizierung (2FA)
  • Generieren Sie für jede Finanztransaktion einen eindeutigen Autorisierungscode
  • Führen Sie eine Transaktionsüberwachung in Echtzeit durch

„PSD2 bringt viele Sicherheitsanforderungen mit sich, die, wenn sie nicht ordnungsgemäß implementiert werden, das Kundenerlebnis reibungslos gestalten können. Dies wollten wir im Mobile-Banking-Umfeld nicht tun. “

Sollte Orange Money bauen oder kaufen?

Um die Sicherheit ihrer mobilen App zu verbessern, hat das Team in Rumänien drei Optionen in Betracht gezogen:

  • Aktualisieren Sie die vorhandene Lösung
  • Entwickeln Sie intern eine neue Lösung, die sicherer und moderner ist
  • Integrieren Sie eine speziell entwickelte Lösung von Drittanbietern

Sie untersuchten die Vor- und Nachteile der einzelnen Unternehmen, um den besten Weg in Bezug auf Kosten, Qualität und Lieferzeit zu ermitteln.

„Wenn wir die vorhandene Lösung aktualisieren wollten, hätten wir das gleiche Kundenerlebnis beibehalten können. Die Kosten wären gering und die Implementierung schnell. Das Problem ist, dass wir von keiner neuen Technologie hätten profitieren können, da wir die Lösung komplett überarbeiten würden. Und obwohl wir spezialisierte Betrugsanalysten haben, verfügen wir nicht über das gleiche Fachwissen wie ein Unternehmen, das nur Bankensicherheit bietet “, sagt Mircea Spinei.  

„Wenn wir für Option zwei intern eine neue Lösung entwickeln wollten, hätten wir wahrscheinlich das gleiche Kundenerlebnis beibehalten können. Die Kosten wären immer noch relativ niedrig gewesen, da wir unsere eigenen Ressourcen verwenden würden. Und wir hätten neue Technologien eingesetzt, was eine Verbesserung war. Das Problem war wiederum, dass wir nicht von der Expertise eines Bankensicherheitsanbieters profitiert hätten. Und die Implementierungszeit wäre erheblich länger gewesen. “

„Die dritte Option war die Integration einer Drittanbieterlösung. Dies hatte mehrere Vorteile. Die Gesamterfahrung, die der Anbieter mitbringt, zusammen mit einer relativ schnellen Implementierung, da diese in der Cloud gehostet würde. Die Verwendung des SDK des Anbieters bedeutete außerdem, dass wir uns nicht von Null entwickeln mussten. Natürlich mussten wir dies gegen die höheren Kosten und möglichen Änderungen des Kundenerlebnisses abwägen. “

Die Lösung: Risikobasierte Authentifizierung in der Cloud

Orange Money hat OneSpan's ausgewählt Intelligente adaptive Authentifizierung (IAA) Lösung. Intelligent Adaptive Authentication ist eine API-basierte, PSD2 SCA-kompatible Lösung, die auf der Trusted Identity Platform von OneSpan basiert und Betrugsprävention in Echtzeit durch eine Kombination aus orchestrierter MFA- und maschinell lernbasierter Risikoanalyse ermöglicht. In der Präsentation erklärt OneSpan-Experte Michal Wawrzynski die Lösung im Detail. Zusammenfassend besteht es aus:

  • OneSpan Risk Analytics :: Dies ist die Risikomaschine, die das Rückgrat der IAA-Lösung bildet. Für das Transaktionsrisikomanagement werden alle mit einer Transaktion verbundenen Kontextdaten ausgewertet, um eine Betrugsbewertung in Echtzeit zu ermitteln. Diese Punktzahl steuert den Authentifizierungsworkflow.
  • OneSpan Cloud-Authentifizierung :: Auf diese Weise kann die Orange Money-App starke Authentifizierungsfunktionen wie Biometrie und Software-Token für Einmalpasscodes (OTP) nutzen. Es stellt die Multi-Faktor-Authentifizierung (MFA) sicher.
  • OneSpan Mobile Security Suite :: Dies ist ein Menü mit mobilen Sicherheits-SDKs. Zu den Funktionen, die Orange Money verwendet, gehören Datensammler für mobile Geräte, die mobile Daten erfassen und an die Risk Engine weiterleiten. Dies gibt Organisationen wie Orange Money Zugriff auf Kontextdaten und Sichtbarkeit, die sie anderswo nicht erreichen könnten. OneSpan Mobile Security Suite ermöglicht auch die Authentifizierungs-Orchestrierung auf dem Telefon des Clients.

All dies zusammen bietet eine erweiterte risikobasierte Authentifizierung - die Möglichkeit, eine enorme Datenmenge vom Mobiltelefon des Benutzers zu erfassen, diese dann in Echtzeit zu analysieren und die Authentifizierung basierend auf der Risikobewertung dynamisch anzupassen.

Intelligent Adaptive Authentication

„Immer wenn der Benutzer eine Transaktion ausführt, besteht eine Interaktion mit unserem Kernbank- und Zahlungssystem, das OneSpan zur intelligenten adaptiven Authentifizierung aufruft. Im Wesentlichen heißt es bei OneSpan: „Dies ist der Kontext. Dies ist die Transaktion. Dies ist der Benutzer. Wie sollen wir sie authentifizieren? '

Der Kunde wird dann je nach dem mit der Transaktion verbundenen Risiko nach seiner PIN- oder Fingerabdruckauthentifizierung gefragt. Wenn das Risiko einer Transaktion bei IAA gering ist, muss sich der Kunde möglicherweise überhaupt nicht authentifizieren. Dies ermöglicht eine nahtlose Authentifizierung, wenn Benutzer Transaktionen von ihrem vertrauenswürdigen Gerät, dem üblichen Standort und dem normalen Verhaltensmuster durchführen.

„Derzeit haben wir noch keine PSD2-SCA-Ausnahmen implementiert. Wir verwenden ständig 2FA, weil wir den Teil der künstlichen Intelligenz und des maschinellen Lernens der OneSpan Intelligent Adaptive Authentication-Lösung trainieren möchten. Wir möchten uns auch mit der neuen Art der Authentifizierung und Autorisierung von Transaktionen vertraut machen. Wir planen jedoch, in Zukunft PSD2-Ausnahmen einzuführen “, sagt Mircea Spinei.

Integration und Go-Live

Um das Projekt zu starten, schickte OneSpan ein Team nach Rumänien, um die IT-, Betrugsbekämpfungs- und Geschäftsteams von Orange Money zu schulen. OneSpan stellte die SDKs für Android und iOS zur Verfügung, und die Teams arbeiteten zusammen, um die Lösung in der technischen Infrastruktur von Orange Money sowie in ihren Betrugsbekämpfungsprozessen zu implementieren.

„Für die Inbetriebnahme haben wir zuerst die UAT-Phase (User Acceptance Testing) durchgeführt. Dann haben wir eine Beta für unsere Beta-Tester-Kunden gestartet. Wir haben seitdem einige ihrer Rückmeldungen umgesetzt, was sehr hilfreich war. Dann stellen wir die Anwendung in den Store und lassen die Kunden in ihrem eigenen Tempo upgraden. Nach einem Monat Live-Betrieb hatten 99% unserer aktiven Benutzer mobiler Anwendungen auf die neue Sicherheitslösung aktualisiert.

„Für diejenigen im Bankwesen haben Sie wahrscheinlich die Veränderung in der Art und Weise bemerkt, wie Benutzer sich bei ihrer Bank authentifizieren. Einige setzen ein Soft-Token in ihre mobile App ein, und bei den meisten Banken kann die Migration von der Nur-Passwort-Authentifizierung und SMS-Authentifizierung zur Softwareauthentifizierung schmerzhaft sein. Eine Reihe von Benutzern wird sich an das Callcenter wenden. Während wir uns darauf vorbereiteten, half unsere Implementierung mit OneSpan unseren Kunden, sich selbst zu bedienen. Wir hatten keinen großen Anstieg im Call Center. “

Key Takeaways von Orange Money Rumänien

Die Präsentation von Orange Money behandelt viele zusätzliche Details, die in diesem Blog nicht enthalten sind. Daher empfehlen wir Finanzdienstleistern, diese zu beobachten die vollständige Präsentation . Zusammenfassend gibt es drei wichtige Erkenntnisse aus der Erfahrung von Orange Money:

1. Der Wert der Wolke: Bei OneSpan ist ein starker Anstieg der Cloud-Bereitstellungen zu verzeichnen, beispielsweise bei Orange Money. Dies ergänzt die Forschungsergebnisse im neuen Bericht der Aite Group, Neobanken: Der holprige Weg zur Profitabilität . Laut Aite „treiben mehrere Faktoren die Präferenz für gehostete / Cloud-basierte Technologielösungen für Neobanken voran:

  • Schnellere Bereitstellung / schnelle Markteinführung
  • Strom Gesamtbetriebskosten
  • Weniger Personalaufwand
  • Mehr Zeit, um sich auf Bankaktivitäten und Kundenakquise zu konzentrieren. Die Technologiepriorität konzentriert sich eher auf die Differenzierung des Kundenerlebnisses als auf die Infrastruktur
  • Geringere regulatorische Belastung durch den Einsatz traditioneller Technologieanbieter, die bereits mit der Finanzdienstleistungsbranche kompatibel sind
  • Höhere Geschäftskontinuität durch vom Anbieter betriebene Backup-Rechenzentren “

2. Der Wert einer schrittweisen Umstellung auf eine komplexere Authentifizierung: Während Finanzinstitute ihre Authentifizierungsstrategien neu bewerten, um Betrugsprävention, Einhaltung gesetzlicher Vorschriften und Kundenerfahrung in Einklang zu bringen, migrieren sie von der einfachen Authentifizierung (unter Verwendung individueller Authentifizierungsmodalitäten wie Kennwörter oder SMS) zu komplexeren Ansätzen, bei denen die Authentifizierung durch Betrugsbekämpfung koordiniert wird Regeln und schließlich maschinelles Lernen. Dies ist die bewährte Methode, die Orange Money Romania befolgt: Machen Sie sich zunächst mit Betrugsregeln vertraut, um die adaptive Authentifizierung basierend auf dem Risikograd voranzutreiben, und geben Sie sich und ihren Kunden Zeit, sich an die neue Erfahrung zu gewöhnen. Dann trainieren Sie das Modell des maschinellen Lernens als nächsten Schritt. Dies wird einen neuen und erweiterten Authentifizierungsansatz einleiten, der auf der auf maschinellem Lernen basierenden Betrugserkennung basiert.   

3. Das Wert des Fachwissens eines spezialisierten Sicherheitsanbieters: Betrugsbedrohungen wie Kontoübernahme (ATO), mobile Malware und Identitätsdiebstahl werden immer häufiger und komplexer. Viele Finanzinstitute verlassen sich immer noch auf ältere Technologien zur Betrugsbekämpfung und müssen ihre Systeme neu bewerten. Gleichzeitig bringen sie die Einhaltung gesetzlicher Vorschriften mit der Benutzererfahrung in Einklang und müssen alle drei Prioritäten zu einem nahtlosen Ablauf für den Kunden zusammenführen. Es ist von entscheidender Bedeutung, zu verstehen, wie neue Authentifizierungs- und Betrugspräventionstechnologien am besten implementiert werden können, um Betrug zu verhindern und Fehlalarme zu reduzieren. Insbesondere im Kontext Ihres Kundenstamms sowie Ihres regulatorischen Kontexts (ob PSD2 auf den europäischen Finanzmärkten oder Open Banking in Großbritannien oder das regulatorische Umfeld in den USA). Dies alles ist Teil der Kernkompetenz von OneSpan. Der Wissenstransfer zwischen OneSpan und den Betrugsteams unserer Kunden während der gesamten Partnerschaft wird sowohl von traditionellen Banken als auch von Neobanken als Stärkung ihrer Organisationen begrüßt.     

Besuchen Sie diese Seiten, um mehr über unsere Cloud-Lösungen für zu erfahren Authentifizierung , Betrugsprävention , mobile Sicherheit , digitale Identitätsprüfung für e-KYC und elektronische Signatur .

Whitepaper zur intelligenten adaptiven Authentifizierung
Weißes Papier

Adaptive Authentifizierung | Wachstum durch intelligente Sicherheit

Laden Sie dieses Whitepaper herunter, um das Kundenerlebnis zu verbessern, Betrug zu reduzieren und Wachstum zu erzielen.

Whitepaper abrufen

Jeannine schreibt seit 20 Jahren über Technologie und wie man sie einsetzt, um alltägliche Herausforderungen zu lösen. In ihrer Rolle als Content Director bei OneSpan leitet Jeannine ein Team von Autoren und Inhaltsentwicklern, das sich darauf konzentriert, Finanzinstituten und anderen Organisationen dabei zu helfen, Wert aus Sicherheits- und E-Signatur-Lösungen zu ziehen. Jeannine hat einen BA in professionellem Schreiben von der Universität von Sherbrooke.