Orange Money Rumanía: Cómo añadimos autenticación basada en riesgos a nuestra experiencia celular

Jeannine Mulliner, 13 de Enero de 2022

Nosotros a menudo participamos en eventos y presentaciones de la industria sobre temas como la prevención del fraude, la autenticación y las mejores prácticas de seguridad para las aplicaciones celulares. Si se perdió la presentación de Orange Money Rumanía y OneSpan titulada Autenticación adaptable inteligente como solución para cumplir con PSD2, mejorar la experiencia del usuario y mejorar la seguridad para los clientes de Orange Money en La Cumbre Hack 2020, aquí le presentamos el resumen de 10 minutos.

Orange Group es un líder mundial en servicios de telecomunicaciones. Sus subsidiarias incluyen Orange Money y Orange Bank, las cuales ofrecen servicios de banca móvil a la base de clientes de telecomunicaciones del Grupo.

En Rumanía, Orange Money fue lanzado en noviembre de 2016 como Institución de Dinero Electrónico (Electronic Money Institution, EMI, por sus siglas en inglés) autorizada por el Banco Nacional de Rumanía. Orange Money es propiedad del operador de telecomunicaciones más grande de Rumanía y puede proporcionar cuentas IBAN de banca minorista, emitir préstamos y ofrecer servicios de pago, entre otras funciones. Básicamente, ofrecen casi todos los servicios de banco tradicional; sin embargo, las instituciones de eMoney no cuentan con una licencia bancaria del Banco Central Europeo.

En la aplicación Orange Money, los clientes pueden transferir fondos, pagar facturas, comprar divisas extranjeras y hacer compras en sus dispositivos celulares a través de una tarjeta virtual Orange Money o una tarjeta de débito VISA virtual. Pueden hacer pagos con dispositivos celulares sin contacto en el punto de venta vinculando su cuenta bancaria a Google Pay o Apple Pay. La compañía también emite tarjetas de débito físicas para retirar dinero en efectivo de los cajeros automáticos.

Para el tercer trimestre de 2020, Orange Money Rumanía tenía ya 245 000 clientes. Como banco exclusivamente en línea, mantener la confianza digital sin comprometer la experiencia del usuario es clave para permitir el crecimiento. Eso hace que la autenticación segura del cliente (Strong Customer Authentication, SCA, por sus siglas en inglés) y la prevención del fraude sean las principales prioridades.

“Al ser un banco exclusivamente en línea, si hay problemas con el canal de acceso a la cuenta del cliente, no hay otros canales que se puedan utilizar. Y como compañía relativamente joven, si cometemos un error de seguridad, es muy dificíl convencer a los clientes para que confíen en nosotros otra vez”, dice Mircea Spinei, director de pagos y transacciones de Orange Money Rumanía.

La aplicación Orange Money tiene una calificación de 4.4 en Google Play Store y de 4.7 en Apple Store. Para Orange Money, es crucial innovar y mantener un alto nivel de satisfacción de clientes, al mismo tiempo que fortalecen las defensas antifraude y aseguran el cumplimiento con PSD2.

El reto: Protección contra fraudes que cumpla con PSD2 sin crear problemas para los clientes

Orange Money Rumanía necesitaba reemplazar la tecnología de seguridad que habían desarrollado internamente e incorporado en su aplicación financiera en línea, la cual ya cumplía con PSD2. Sin embargo, la nueva solución no podría agregar problemas innecesarios a la experiencia de los usuarios.

Para actualizarse y adoptar la seguridad más avanzada, la solución tenía que seguir cumpliendo con PSD2 y, por lo tanto, tenía que:

  • Proporcionar autenticación de dos factores (2 Factor Authentication, 2FA, por sus siglas en inglés)
  • Generar un código de autorización único para cada transacción financiera
  • Hacer un seguimiento de las transacciones en tiempo real

“PSD2 tiene muchos requisitos de seguridad que, si no se implementan correctamente, pueden crear problemas en la experiencia del cliente. Esto es algo que no queríamos hacer en el entorno de la banca en línea”.

¿Era mejor para Orange Money comprar o crear su propia solución?

Para actualizar la seguridad de su aplicación en línea, el equipo de Rumanía consideró tres opciones:

  • Actualizar la solución existente
  • Desarrollar una nueva solución más segura y moderna dentro de la compañía
  • Integrar una solución de terceros especialmente diseñada

Analizaron las ventajas y desventajas de cada opción para determinar cuál era la mejor solución en términos de costo, calidad y tiempo de entrega.

“Si hubiéramos querido actualizar la solución existente, habríamos podido mantener la misma experiencia del cliente. El costo habría sido bajo y la implementación rápida. El problema es que no podríamos habernos beneficiado de ninguna tecnología nueva al tener que hacer una revisión completa de la solución. Y aunque contamos con analistas de fraude especializados, no tenemos la misma experiencia en esto que una compañía que solo se ocupa de la seguridad bancaria”, dice Mircea Spinei. 

“Para la opción dos, si hubiéramos decidido desarrollar una nueva solución, probablemente habríamos podido mantener la misma experiencia del cliente. El costo también habría sido relativamente bajo, ya que estaríamos usando nuestros propios recursos. Y habríamos usado nuevas tecnologías, lo que sería mejor. El problema era que no podríamos habernos beneficiado de la experiencia de un proveedor de seguridad bancaria. Y el tiempo de implementación habría sido bastante más largo”.

“La tercera opción era integrar una solución de terceros. Esto presentaba varias ventajas, como la experiencia general que aporta el proveedor, junto con una implementación relativamente rápida, porque estaría en la nube. Además, usar el SDK del proveedor significaba que no tendríamos que empezar desde cero. Por supuesto, tuvimos que equilibrar esto con el costo más alto y los posibles cambios en la experiencia del cliente”.

La solución: Autenticación basada en riesgos en la nube

Orange Money seleccionó la solución Intelligent Adaptive Authentication (IAA) (Autenticación adaptable inteligente) de OneSpan. Intelligent Adaptive Authentication es una solución que cumple con SCA y PSD2 basada en API y respaldada por la plataforma de identidad "Trusted Identity Platform" de OneSpan, que permite la prevención del fraude en tiempo real a través de una combinación de Autenticación Multifactorial (Multi Factor Authentication, MFA, por sus siglas en inglés) controlada y un análisis de riesgos basado en el aprendizaje automático. En la presentación, el experto de OneSpan, Michal Wawrzynski, explica la solución en detalle. En resumen, se compone de:

  • OneSpan Risk Analytics: Este es el motor de riesgo, la parte central de la solución IAA. Para el manejo del riesgo en las transacciones, la solución evalúa todos los datos contextuales asociados con una transacción para determinar una puntuación de riesgo de fraude en tiempo real. Esta puntuación es la que conduce el flujo de trabajo de autenticación.
  • OneSpan Cloud Authentication: Esto permite que la aplicación Orange Money utilice una funcionalidad de autenticación de calidad, que incluye aspectos como la biometría y los tokens de software para códigos de acceso de un solo uso (One-Time Passcodes, OTP, por sus siglas en inglés). Asegura la autenticación multifactorial (MFA).
  • Mobile Security Suite de OneSpan: Este es un menú de SDK de seguridad móvil. Las capacidades que utiliza Orange Money incluyen recolectores de datos de dispositivos celulares, los cuales recopilan y ofrecen datos celulares a la calculadora de riesgo. Esto ofrece a organizaciones como Orange Money acceso a datos contextuales y una visibilidad que no podrían lograr de otra manera. Mobile Security Suite de OneSpan también permite la organización de la autenticación en el teléfono del cliente.

Todos estos factores combinados proporcionan una autenticación avanzada basada en el riesgo, es decir, la capacidad de recopilar una gran cantidad de datos del dispositivo celular del usuario, analizarlos en tiempo real, y adaptar dinámicamente la autenticación en función de la puntuación de riesgo obtenida.

Autenticación inteligente adaptativa

“Siempre que el usuario lleva a cabo una transacción, hay una interacción con nuestro sistema de pago y banca central, que llama a OneSpan para que realice la autenticación adaptativa inteligente llamada "Intelligent Adaptive Adaptation". Básicamente, le dice a OneSpan: Este es el contexto. Esta es la transacción. Este es el usuario. ¿Cómo debemos autenticarlos?

A continuación, se le solicita al cliente su PIN o autenticación por huella digital, según el nivel de riesgo asociado con la transacción. Con IAA, si el riesgo de la transacción es bajo, es posible que el cliente no deba autenticarse en absoluto, lo que ofrece una autenticación muy fácil cuando los usuarios realizan transacciones desde su dispositivo de confianza, ubicación habitual y con su patrón de comportamiento normal.

“Por el momento, todavía no hemos implementado las exenciones de PSD2 y SCA. Usamos 2FA todo el tiempo, porque queremos entrenar a la inteligencia artificial y la parte de aprendizaje automático de la solución Intelligent Adaptive Authentication de OneSpan. También queremos sentirnos cómodos con la nueva forma de autenticar y autorizar transacciones. Pero sí planeamos implementar exenciones PSD2 en el futuro”, dice Mircea Spinei.

Integración y puesta en acción

Para lanzar el proyecto, OneSpan envió un equipo a Rumanía para que ofreciera capacitación a los equipos comerciales, antifraude e informáticos de Orange Money. OneSpan proporcionó los SDK para Android e iOS, y los equipos trabajaron juntos para implementar la solución en la infraestructura técnica de Orange Money y en sus procesos antifraude.

“Para la puesta en acción, primero pasamos por la fase de prueba de aceptación del usuario (User Acceptance Test, UAT, por sus siglas en inglés). Luego, lanzamos una versión beta para nuestros clientes de pruebas beta. Después, incorporamos algunos de sus comentarios, algo que fue muy útil. Más tarde, publicamos la aplicación en la tienda y dejamos que los clientes hicieran la actualización a su propio ritmo. Después de un mes de la puesta en acción, el 99% de nuestros usuarios activos de aplicaciones celulares habían adoptado la nueva solución de seguridad.

“Las personas que llevan a cabo transacciones bancarias probablemente hayan notado el cambio en la forma en que los usuarios se autentican en su banco. Algunos añaden un token de software en su aplicación celular y, con la mayoría de los bancos, la migración de la autenticación de solo contraseña y de SMS a la autenticación de software puede ser difícil. Y siempre hay usuarios que se ponen en contacto con el centro de llamadas. Aunque estábamos preparados para esto, nuestra implementación con OneSpan ayudó a nuestros clientes a hacer las cosas por sí mismos. No tuvimos un gran aumento de llamadas en el centro de atención".

Conclusiones clave de Orange Money Rumanía

La presentación de Orange Money cubre muchos detalles adicionales que no están incluidos en este blog, por lo que animamos a los prestadores de servicios financieros a mirar la presentación completa. En resumen, hay 3 conclusiones importantes de la experiencia de Orange Money:

1. El valor de la nube: En OneSpan, estamos experimentado un fuerte aumento en las implementaciones en la nube, como la de Orange Money. Esto complementa los resultados de la investigación en el nuevo reporte de Aite Group, Neobancos: El difícil camino hacia la rentabilidad. Según Aite, “hay varios factores que están impulsando la preferencia por las soluciones tecnológicas asentadas/basadas en la nube para los neobancos:

  • Implementación más rápida/velocidad para llegar al mercado
  • Coste total de propiedad en cuanto a funcionamiento
  • Menor carga de personal
  • Más tiempo para enfocarse en las actividades bancarias y la adquisición de clientes, con la prioridad tecnológica enfocada en diferenciar la experiencia del cliente en lugar de en la infraestructura
  • Menor carga regulatoria cuando se usan proveedores de tecnología tradicionales que ya cumplen con las normativas en la industria de servicios financieros
  • Niveles más altos de continuidad comercial gracias a los centros de datos de respaldo manejados por proveedores”

2. El valor de avanzar progresivamente hacia una autenticación más sofisticada: A medida que las instituciones financieras reevalúan sus estrategias de autenticación para equilibrar la prevención del fraude, el cumplimiento con las normativas y la experiencia del cliente, están migrando de la autenticación simple (con modalidades de autenticación individuales como contraseñas o SMS) a enfoques más sofisticados, con los cuales la autenticación se organiza a través de reglas basadas en la lucha contra el fraude y eventualmente en el aprendizaje automático. Esta es la práctica que sigue Orange Money Rumanía: primero, se familiarizan con el uso de las reglas de fraude para crear una autenticación que se adapta al nivel de riesgo, y se dan tiempo a ellos mismos y a sus clientes para acostumbrarse a la nueva experiencia. Luego, como siguiente paso, entrenan el modelo de aprendizaje automático. Eso será el comienzo de un nuevo y elevado enfoque de autenticación, impulsado por la detección de fraude basada en el aprendizaje automático.  

3. El valor de la experiencia de un proveedor de seguridad especializado: Las amenazas de fraude como la Toma de Control de Cuentas (Account TakeOver, ATO, por sus siglas en inglés), el malware celular y el robo de identidad son ataques cada vez más sofisticados y frecuentes. Muchas instituciones financieras todavía dependen de tecnología antifraude más antigua y necesitan reevaluar sus sistemas. Al mismo tiempo, desean equilibrar el cumplimiento de las normativas con la experiencia del usuario y tienen que combinar las tres prioridades en un flujo fluido para el cliente. Es muy importante comprender cuál es la mejor manera de implementar las nuevas tecnologías de autenticación y prevención del fraude de forma que combatan el fraude y reduzcan los falsos positivos. Esto es especialmente cierto en el contexto de su base de clientes, así como en su contexto regulatorio (ya sea PSD2 en los mercados financieros europeos o la Banca Abierta (Open Banking) en el Reino Unido o en el entorno regulatorio en los Estados Unidos). Todo esto forma parte de la experiencia experta de OneSpan. La transferencia de conocimientos que ocurre entre OneSpan y los equipos de fraude de nuestros clientes durante nuestro trabajo juntos es algo que tanto los bancos tradicionales como los neobancos aprecian por haber fortalecido sus organizaciones. 

Visite estas páginas para obtener más información sobre nuestras soluciones en la nube para autenticación, prevención del fraude, seguridad celular, verificación de identidad digital para e-KYC, y firmas electrónicas .

Libro blanco de autenticación adaptativa inteligente
Papel blanco

Autenticación adaptable | Crecimiento a través de la seguridad inteligente

Descargue este documento técnico para ayudar a mejorar la experiencia de sus clientes, reducir el fraude y avanzar su crecimiento.

Acceder al informe técnico

Durante 20 años, Jeannine ha escrito sobre tecnología y cómo aplicarla para resolver los desafíos cotidianos. En su rol de Directora de Contenido en OneSpan, Jeannine lidera un equipo de escritores y desarrolladores de contenido enfocados en ayudar a las instituciones financieras y otras organizaciones a obtener valor de las soluciones de seguridad y firma electrónica. Jeannine tiene una licenciatura en escritura profesional de l'Université de Sherbrooke.

Popup default