Hablemos sobre monitoreo de fraude: conformidad con PSD2 y mucho más

Magdalena Rut, 18 de Octubre de 2018

Los fraudes son amenazas en permanente evolución. No todas las herramientas de monitoreo del fraude en el mercado logran mantenerse al día con los nuevos esquemas que surgen permanentemente. Por eso, implementar la solución adecuada contra el fraude es esencial. Sin embargo, para tener éxito, se deben considerar varios factores.

La conformidad normativa siempre será un factor importante al momento de decidir los elementos imprescindibles en su herramienta de monitoreo del fraude. En estos días, la conformidad con la directiva de servicios de pago revisada (PSD2) y sus normas técnicas son uno de los principales factores que está impulsando el cambio en Europa.

Una de las nuevas reglas que introdujo la PSD2 es el monitoreo de transacciones obligatorio. Según la definición de las normas técnicas reglamentarias (RTS) sobre autenticación fuerte de clientes (SCA) y comunicación común y segura, el monitoreo de transacciones será obligatorio para todos los proveedores de pagos. Con el fin de lograr experiencias más accesibles para los usuarios, las RTS prevén casos en los cuales ciertas transacciones específicas podrían estar exentas de implementar la SCA: en las cuales se haya implementado un monitoreo de transacciones adecuado y se cumplan determinadas condiciones.

Para obtener más información sobre los requisitos del monitoreo de transacciones y la forma en que las organizaciones pueden aprovechar las exenciones indicadas en las normas técnicas, hablamos con Ralitsa Miteva, gerenta de soluciones comerciales de OneSpan. Ralitsa, que es experta en análisis de riesgos y detección de fraudes, explica qué características del monitoreo del fraude pueden marcar la diferencia para prevenir el fraude y generar confianza.

Requisitos y consideraciones del monitoreo del fraude según la PSD2

Pregunta: Comencemos por lo básico. ¿Qué es una “herramienta de monitoreo del fraude”?

Ralitsa Miteva: Una herramienta de monitoreo del fraude es un sistema diseñado para identificar y prevenir el fraude que está controlado por analistas de fraude. Anteriormente, estas herramientas tenían funciones más simples, implicaban más trabajo manual y operaban de una manera mayormente reactiva. La pila de tecnología bancaria estaba aislada y eso también sucedía con el monitoreo del fraude.

Hoy en día, los nuevos sistemas contra fraudes suelen ser más complejos. Al mismo tiempo, siguen siendo ágiles y fáciles de usar. Automatizan procesos y trabajos de manera proactiva. Un sistema contra fraudes moderno no suele ser una herramienta individual, sino más bien una solución que integra de forma nativa diferentes tecnologías que funcionan de forma conjunta.
 

Pregunta: Hay una amplia gama de herramientas disponibles para las instituciones financieras (IF). Si bien esto fomenta la innovación de los desarrolladores, una cantidad excesiva de opciones también puede dificultar la decisión de compra. ¿Qué deben buscar las IF?

RM: En OneSpan, tenemos un equipo de expertos con amplia experiencia en la detección de fraudes en la industria bancaria y de pagos. Hemos identificado un conjunto de características esenciales que una solución de monitoreo de fraude debe tener para satisfacer los requisitos más recientes del mercado. En general, se debe pensar en la nueva generación de usuarios finales, los ataques nuevos y más complejos, y las normas en permanente evolución.

Si hablamos de características particulares, es importante mencionar que la solución debe cumplir con la PSD2 y los requisitos definidos en sus normas técnicas. Todas las reglas y los informes requeridos deben estar disponibles y listos para usar. Sin embargo, la solución no solo debe cubrir los requisitos de la PSD2: se espera que vaya más allá del ámbito normativo. Por último, aunque no menos importante, una solución en la que se invierte hoy debería satisfacer todas las necesidades actuales y los aspectos específicos de su negocio en el futuro cercano.
 

Pregunta: Parece que todas las soluciones actuales de monitoreo del fraude ofrecen un motor de reglas, pero solo algunas ofrecen diferentes variaciones de algoritmos de aprendizaje automático. ¿Por qué es tan importante combinar estas dos características?

RM: Hasta ahora, la ventaja de un motor de reglas es indiscutible cuando se trata de aplicar políticas de seguridad, lógicas comerciales o conjuntos de condiciones específicos. Tiene la capacidad de cubrir los patrones de fraude conocidos y relativamente simples.

En cambio, el aprendizaje automático es el futuro del análisis del fraude. Se adapta mucho mejor y es capaz de detectar patrones extremadamente complejos, además de esquemas de fraude emergentes.

Considero que la combinación de un motor de reglas avanzado y algoritmos de aprendizaje automático, adaptado a necesidades particulares, es fundamental para cubrir patrones de fraude conocidos, resolver fraudes desconocidos, gestionar complejidades y manejar lógicas comerciales.

PAPEL BLANCO

Habilitación de la supervisión de fraudes compatible con PSD2 con OneSpan Risk Analytics

Los nuevos requisitos de PSD2 exigen que las organizaciones de servicios financieros realicen un seguimiento de las transacciones. Conozca los requisitos específicos y cómo OneSpan Risk Analytics puede mantener su cumplimiento en este documento técnico.

Descargar ahora

Pregunta: ¿Qué puede decir sobre otras características?

RM: La solución ideal debería seguir un enfoque de seguridad en línea estratificado y consciente del contexto para detectar ataques de fraude complejos, como los que se producen después de infecciones de malware, que ahora están estipuladas en las RTS.

Este enfoque va más allá de un análisis de un motor de análisis de decisiones avanzado. Comienza con la recopilación de datos del cliente. Reunimos información sobre un usuario individual y sus acciones durante todo el recorrido del usuario, en todos los canales y los dispositivos, y con un enfoque histórico. De esta manera, tenemos un panorama completo del usuario, el dispositivo y la actividad de la cuenta.

Todo este rango de datos debe vincularse y monitorearse en el servidor. No creo que podamos afirmar que existe un enfoque moderno de la detección y la prevención del fraude sin tomar en cuenta todos estos estratos.

La solución también debe ser capaz de analizar eventos y responder a ellos en tiempo real, y no solo por motivos de conformidad. Hablaré de estos después. Con miles de transacciones y mayores expectativas de los clientes vinculadas con pagos rápidos, esto es un aspecto fundamental. Una buena solución también debe analizar el riesgo de todos los usuarios, las acciones y los dispositivos en todos los canales digitales.

Por último, optimizar las operaciones de su equipo de fraude es esencial para minimizar las demoras y los errores en la investigación. Esto incluye herramientas de investigación y pantallas que ofrecen una visualización integral y desde distintos ángulos. La capacidad de producir informes confiables también es fundamental. Ahora la PSD2 incluye amplios requisitos para los informes de fraude; esto significa que la herramienta debería ser muy flexible para ofrecer toda la información detallada que requieren los reguladores.
 

Pregunta: Hablemos sobre la conformidad. La PSD2 ha sido un tema candente durante algún tiempo, y las IF quieren saber por qué una herramienta de monitoreo del fraude es parte esencial de una arquitectura que cumple con la PSD2. Comencemos con algunas definiciones. ¿Qué implica el monitoreo de transacciones en el contexto de las RTS?

RM: Según el artículo 2 de las RTS, el término “monitoreo de transacciones” se refiere a mecanismos obligatorios para permitir que los proveedores de servicios de pago (PSP) detecten y eviten transacciones de pago fraudulentas. Todo esto a la vez que aplicamos una autenticación fuerte de cliente según el artículo 97 de la PSD2.

Estos mecanismos se basan en el análisis de transacciones de pago. Según los requisitos de autenticación generales, el análisis debe tomar en cuenta varios elementos basados en el riesgo, como mínimo lo siguiente:

  • Verificaciones de listas que incluyen elementos de autenticación en peligro o robados
  • Comprobaciones de escenarios de fraude conocidos
  • Detección de infecciones de malware del dispositivo de autenticación
  • Desviaciones en el monto de la transacción
  • Análisis del dispositivo/software, cuando lo ofrece el PSP

Para una gran cantidad de bancos europeos, el monitoreo de transacciones no es un proceso nuevo. No obstante, a muchas IF les ha preocupado la creación de determinadas normas y su obligatoriedad. Comenzaron a dudar de si lo que hacen actualmente es suficiente para alcanzar la conformidad. En mi opinión, no deberíamos considerar esto como algo negativo, sino como una mejora que protege tanto a los clientes como a los PSP.
 

Pregunta: ¿Cuál es la diferencia entre “monitoreo de transacciones” y “análisis de riesgo de las transacciones” en el marco de las RTS?

RM: Es importante enfatizar que esto es “en el marco de las RTS”, ya que, para muchas personas, estos dos términos son sinónimos fuera del contexto de las RTS.

Sin embargo, en el contexto de la PSD2, el término “monitoreo de transacciones” cubre el ámbito de análisis que mencionamos anteriormente, además de ser obligatorio por ley para complementar el proceso de autenticación de clientes.

El análisis de riesgo de la transacción requiere una evaluación de riesgos más detallada que se realiza en tiempo real. Este análisis tiene un alcance más amplio que el monitoreo de transacciones obligatorio, ya que incluye una serie de requisitos basados en el riesgo, como información sobre la ubicación del pagador y del beneficiario. Como mínimo, tiene el objetivo de evaluar el riesgo de las transacciones en caso de que un banco quiera aprovechar las exenciones que se permiten solo con índices de fraude bajos.
 

Pregunta: ¿Qué es una autenticación fuerte de cliente? ¿Es obligatoria en todos los casos?

RM: En pocas palabras, la autenticación fuerte de cliente (SCA) es un acto de autenticación que utiliza al menos dos de las tres categorías de factor: conocimiento (“lo que conozco”), posesión (“lo que tengo”) e inherencia (“lo que soy”). Estos factores deben ser independientes entre sí. Un usuario debe estar informado sobre los detalles de la transacción, y el proceso de autenticación debe producir un código único vinculado a estos detalles.

Según el artículo 97 de la PSD2, los PSP deben aplicar la SCA cuando los clientes acceden a sus cuentas de pago en línea, más allá de que deseen realizar una transacción monetaria u otro tipo de operación, como el agregado de un beneficiario de confianza. También será obligatoria para cualquier acción realizada a través de un canal remoto que pueda conllevar riesgo de fraude, como el acceso a una cuenta bancaria a través de un dispositivo móvil. En algunos casos, los PSP pueden estar exentos de aplicar la SCA.
 

Pregunta: ¿Qué casos podrían estar exentos de aplicar la SCA?

RM: En las normas técnicas reglamentarias, se prevén una serie de casos que no requieren una SCA, pero deben cumplir ciertas condiciones. En general, se trata de dos tipos de exenciones: las fijas y las que se basan en el análisis de riesgo de las transacciones.

Las exenciones fijas incluyen, entre otras, ciertos casos de transacciones de bajo monto, visualización de información de la cuenta, transacciones hacia cuentas propias o beneficiarios de confianza y pagos recurrentes (como suscripciones).

También existe una serie de condiciones basadas en el riesgo, que permiten exenciones según el nivel de riesgo y los índices de fraude bajos.

Estas exenciones se analizan en detalle en nuestro reciente documento técnico, Cómo permitir el monitoreo del fraude en conformidad con la PSD2 usando OneSpan Risk Analytics.

Pregunta: ¿Por qué es importante contar con una herramienta de fraude adecuada al implementar la SCA en los recorridos de los usuarios?

RM: Una solución de monitoreo del fraude adecuada incluirá un paquete prediseñado con un conjunto de reglas e informes. Cubrirá los requisitos de monitoreo de transacciones obligatorios y le ayudará a evaluar y a conservar la elegibilidad para acceder a exenciones de SCA. No obstante, también irá más allá de la conformidad, y permitirá aumentar la confianza y la flexibilidad de sus trayectorias de usuario.
 

Pregunta: Claramente, el cumplimiento es un factor clave para determinar el conjunto de características de las herramientas contra el fraude, pero no termina allí. Ya ha mencionado algunas características para garantizar que una organización no solo esté en conformidad con las normas, sino que además tenga una protección adecuada contra los esquemas de fraude más conocidos. ¿Qué otras características espera de una herramienta contra el fraude?

RM: Creo que muchas soluciones contra el fraude subestiman la importancia y los aspectos específicos del canal móvil. Muchos proveedores monitorean este canal, pero, en algunos casos, posiblemente no se aproveche la gama completa de datos disponibles. Algunos pueden no ofrecer un canal seguro para garantizar la integridad de puntos de datos cuando se transfieren desde el lado del cliente.

En un contexto de expansión de la banca móvil, debemos contar con las herramientas que nos permitan responder mejor a los desafíos de este canal. Las ataques dirigidos específicamente a dispositivos móviles son cada vez más complejos y no pueden detectarse fácilmente sin una solución avanzada. Por ejemplo, ¿qué sucedería con el análisis de los datos recopilados en el dispositivo móvil si estos datos ya estuvieran en peligro antes de llegar al servidor?

Una buena solución contra el fraude también debería integrarse en el proceso de autenticación adaptativa. Debería ser capaz de reaccionar inmediatamente a amenazas cambiantes para ofrecer al usuario un recorrido seguro y sin fricción. Recordemos que la buena experiencia de usuario es uno de los factores diferenciadores clave para las IF. Un recorrido del usuario seguro y sin fricción es fundamental para todos los canales digitales. Los usuarios solo deben experimentar fricción si sus acciones fueron evaluadas como peligrosas por encima del nivel aceptable. Una solución moderna que incluya autenticación adaptativa determinará el nivel de riesgo y activará el método de autenticación más adecuado entre los métodos disponibles.
 

Pregunta: La oferta de productos de OneSpan incluye Risk Analytics, una solución de monitoreo del fraude. ¿Tiene lo necesario para cumplir los requerimientos de un analista de fraude y de un gerente de cumplimiento?

RM: Estoy convencida de que se trata de una solución que cumplirá todas las expectativas. Comprende todas las características que hemos mencionado, incluido un paquete de PSD2 preconfigurado, y muchas otras. En suma, todo esto convierte a OneSpan Risk Analytics en una herramienta indispensable para optimizar las operaciones cotidianas. Se integra con los sistemas existentes y con una serie de aplicaciones de terceros. Agrega un nivel significativo de confianza al recorrido del usuario y se convierte en uno de los pilares de una experiencia del usuario excelente.
 

Pregunta: Gracias, Ralitsa. ¿Dónde pueden encontrar los lectores más detalles sobre estos temas?

RM: Quienes estén interesados en las características de una herramienta de monitoreo del fraude deben consultar nuestro documento técnico: Guía del comprador para evaluar herramientas de detección del fraude.

También tenemos un nuevo documento técnico que cubre los temas relacionados con requisitos de monitoreo de transacciones en las normas técnicas de la PSD2, incluidas las exenciones mencionadas: Cómo permitir el monitoreo del fraude en conformidad con la PSD2 usando OneSpan Risk Analytics.

También me gustaría invitar a nuestros lectores a ver el seminario web que grabamos.

WEBINAR

Soluciones de monitoreo de fraude: conformidad de PSD2 y más allá

Descubra cómo su solución de fraude cumplirá y, al mismo tiempo, abordará las otras necesidades comerciales de su organización Ver ahora

 

Magdalena Rut se unió a OneSpan como escritora y comercializadora de contenido con 14 años de experiencia. Tiene un diploma de licenciatura de la Universidad Tecnológica de Bialystok y dos diplomas de maestría del Instituto de Estudios Políticos de París y la Escuela de Economía de Varsovia.