OneSpan Blog

Orange Money Romania: Como adicionamos a autenticação baseada em riscos à nossa experiência móvel

Depoimentos de clientes
Jeannine Mulliner, 13 de Janeiro de 2021
Orange Money Romania: How We Added Risk‑based Authentication to our Mobile Experience

Nós participamos regularmente de eventos da indústria e apresentações sobre assuntos como prevenção de fraudes, autenticação e práticas recomendadas de segurança em aplicativos móveis. Se você não viu a apresentação da Orange Money Romania e da OneSpan intitulada Autenticação inteligente adaptável como uma solução para fornecer a conformidade com PSD2, melhorar a experiência do usuário e aumentar a segurança dos clientes da Orange Money na The Hack Summit 2020, aqui está o resumo de dez minutos.

O Orange Group é líder mundial em serviços de telecomunicação. Entre suas subsidiárias, estão a Orange Money e o Orange Bank, que fornecem serviços bancários móveis à base de clientes de telecomunicações do Grupo.

Na Romênia, a Orange Money foi lançada em novembro de 2016, como uma Instituição Monetária Eletrônica (IME) autorizada pelo Banco Nacional da Romênia. Sendo propriedade da maior operadora de telecomunicações da Romênia, a Orange Money pode fornecer contas bancárias com IBAN, empréstimos, serviços de pagamentos e muito mais. Essencialmente, ela pode fornecer quase todos os serviços que um banco tradicional fornece. Porém, uma instituição monetária eletrônica não tem uma licença bancária do Banco Central Europeu.

Dentro do aplicativo da Orange Money, os clientes podem transferir dinheiro, pagar contas, comprar moedas estrangeiras e fazer compras em seus dispositivos móveis por meio de um cartão de débito virtual Orange Money ou VISA. Eles podem fazer pagamentos móveis por aproximação em um ponto de venda ao vincular suas contas bancárias ao Google Pay ou ao Apple Pay. Cartões de débito físicos também podem ser emitidos para realizar saques em caixas eletrônicos.

No terceiro trimestre de 2020, a Orange Money Romania já tinha 245 mil clientes. Como um banco digital, manter a confiança digital sem comprometer a experiência do usuário é essencial para o sucesso. Isso torna a forte autenticação do cliente (FAC) e a prevenção de fraudes prioridades.

"Por sermos um banco digital, se o canal de acesso à conta do cliente for comprometido, não há outro canal. E, como uma empresa relativamente nova, se você cometer um erro de segurança, é muito complicado convencer o cliente de que eles devem confiar em você mais uma vez", diz Mircea Spinei, Chefe de pagamentos e transações na Orange Money Romania.

O aplicativo da Orange Money tem uma avaliação de 4,4 na Google Play Store e de 4,7 na Apple Store. Para a Orange Money, é essencial inovar e manter um alto nível de satisfação dos clientes, ao mesmo tempo em que fortalecem as defesas contra fraudes e a conformidade com PSD2.

O desafio: Proteção contra fraudes em conformidade com PSD2 com atrito mínimo

A Orange Money Romania precisava substituir a tecnologia de segurança que já tinha conformidade com PSD2 que haviam desenvolvido internamente e integrado em seu aplicativo móvel. Porém, a nova solução não poderia adicionar atritos desnecessários à experiência do usuário.
Para atualizar a segurança da mais alta qualidade, a solução precisava continuar em conformidade com PSD2 e, portanto, precisava:

  • Fornecer autenticação de dois fatores (2FA)
  • Gerar um código de autorização único para cada transação financeira
  • Permitir o monitoramento de transações em tempo real

"PSD2 tem muitas exigências de segurança que, se não forem corretamente implementadas, podem adicionar atrito à experiência do cliente. Isso é algo que não queríamos no ambiente bancário móvel."

A Orange Money deveria construir ou comprar?

Para atualizar a segurança do aplicativo móvel, a equipe na Romênia considerou três opções:

  • Atualizar a solução existente
  • Desenvolver internamente uma nova solução que fosse mais segura e moderna
  • Integrar uma solução terceirizada construída especificamente para seus objetivos

Eles analisaram os prós e contras de cada opção para determinar o melhor caminho em termos de custos, qualidade e tempo de entrega.
"Se quiséssemos atualizar a solução existente, teríamos conseguido manter a mesma experiência do cliente. O custo seria baixo e a implementação seria rápida. O problema é que não poderíamos nos beneficiar de nenhuma tecnologia nova, pois faríamos uma revisão completa da solução. E, embora tenhamos analistas de fraudes especializados, não temos a mesma experiência de uma empresa que só trabalha com segurança bancária", disse Mircea Spinei. 

"Na segunda opção, se quiséssemos desenvolver internamente uma nova solução, provavelmente teríamos conseguido manter a mesma experiência do cliente. Os custos ainda seriam relativamente baixos, pois usaríamos nossos próprios recursos. E usaríamos novas tecnologias, o que seria uma melhora. O problema, novamente, é que não nos beneficiaríamos da experiência de um fornecedor de segurança bancária. E o tempo de implementação teria sido significativamente maior.

"A terceira opção era integrar uma solução terceirizada. Isso traria vários benefícios. A experiência geral do fornecedor, junto de uma implementação relativamente rápida, pois seria hospedada na nuvem. Além disso, usar o SDK do fornecedor significava que não teríamos que desenvolver a solução do zero. Claro, ainda precisávamos ponderar tudo com o custo mais alto e as possíveis alterações da experiência do cliente."

A solução: Autenticação baseada em riscos na nuvem

A Orange Money selecionou a solução de Autenticação inteligente adaptável(IAA) da OneSpan. A autenticação inteligente adaptável é uma solução baseada em API, em conformidade com PSD2 SCA, com a tecnologia da Plataforma de Identidade Confiável da OneSpan, que permite a prevenção contra fraudes em tempo real por meio de uma combinação de autenticação multifatores organizada e análise de riscos com base no aprendizado de máquina. Na apresentação, o especialista da OneSpan explica a solução detalhadamente. Em resumo, ela é composta por:

  • Análise de riscos da OneSpan: Esta função é o mecanismo de riscos, que é a base da solução IAA. Para a gestão de riscos de transação, ela avalia os dados contextuais associados a uma transação para determinar uma pontuação de fraude em tempo real. Essa pontuação determina o fluxo da autenticação.
  • Autenticação na nuvem OneSpan: Isso habilita as funcionalidades de autenticação seguras, como biométrica e tokens de software para que senhas de uso único sejam utilizadas pelo aplicativo da Orange Money. Além disso, garante a autenticação multifatores (MFA).
  • Conjunto de segurança móvel OneSpan: Este é um menu de SDKs de segurança móvel. As funcionalidades que a Orange Money está usando incluem coletores de dados de dispositivos móveis que coletam e enviam os dados móveis ao mecanismo de riscos. Isso fornece a empresas como a Orange Money o acesso a dados contextuais e visibilidade que eles não teriam de outra forma. O Conjunto de segurança móvel OneSpan também permite a organização da autenticação no celular do cliente.

Todas essas funções combinadas fornecem a autenticação avançada baseada em riscos: a capacidade de coletar uma quantidade enorme de dados do celular do usuário e analisá-los em tempo real para adaptar dinamicamente a autenticação com base na pontuação de riscos.

Autenticação Adaptativa Inteligente

"Sempre que um usuário faz uma transação, há uma interação com nosso sistema central bancário e de pagamentos, que solicita a autenticação inteligente adaptável para a OneSpan. Basicamente, ele diz para a OneSpan: 'Este é o contexto. Esta é a transação. Este é o usuário. Como devemos autenticá-lo?'

O cliente, então, deve inserir a autenticação por PIN ou por impressão digital, dependendo do nível de risco associado à transação. Com a IAA, se o risco da transação for baixo, o cliente talvez nem precise autenticar nada, oferecendo uma autenticação rápida e simples quando usuários realizam transações em seus dispositivos confiáveis, em locais recorrentes e com um padrão de comportamento normal.

"No momento, ainda não implementamos as isenções do PSD2 SCA. Estamos usando a 2FA o tempo todo, pois queremos treinar a parte da inteligência artificial e do aprendizado de máquina da solução de autenticação inteligente adaptável da OneSpan. Também queremos nos familiarizar com a nova forma de autenticação e autorização de transações. Mas planejamos implementar as isenções do PSD2 no futuro", diz Mircea Spinei.

Integração e lançamento

Para lançar o projeto, a OneSpan enviou uma equipe para a Romênia para treinar as equipes de TI, antifraudes e negócios da Orange Money. A OneSpan forneceu os SDKs para Android e iOS, e as equipes trabalharam em conjunto para implementar a solução na infraestrutura técnica da Orange Money, e também em seus processos antifraudes.

"Para o lançamento, primeiro fizemos a fase de testes de aceitação do usuário (UAT). Depois, lançamos uma versão beta aos nossos clientes que são beta testers. Desde então, implementamos parte do feedback deles, que foi muito útil. Depois, disponibilizamos o aplicativo na loja e deixamos os clientes atualizarem quando quisessem. Um mês após o lançamento, 99% dos nossos usuários ativos do aplicativo móvel já tinham atualizado para a nova solução de segurança.

"Quem trabalha no setor bancário provavelmente já percebeu a mudança na forma como os usuários autenticam seu banco. Alguns colocam um token no aplicativo móvel e, para a maioria dos bancos, a migração da autenticação apenas com senha e autenticação por SMS para a autenticação do software pode ser complicada. E vários usuários procuram a central de atendimento. Nós nos preparamos para isso, mas nossa implementação com a OneSpan ajudou os clientes a resolverem tudo por conta própria. Não tivemos um grande aumento nos contatos com a central."

Principais aspectos aprendidos com a Orange Money Romania

A apresentação da Orange Money aborda muitos outros detalhes que não foram incluídos nesta publicação, então, sugerimos que prestadores de serviços financeiros assistam à apresentação completa. Em resumo, são 3 aspectos importantes que aprendemos com a experiência da Orange Money:

1. O valor da nuvem: Na OneSpan, estamos vendo um grande aumento na implementação de nuvens, como a da Orange Money. Isso complementa as descobertas de pesquisas no novo relatório do Aite Group, Bancos digitais:o caminho turbulento até a lucratividade. Segundo o Aite: "Vários fatores estão aumentando a preferência por soluções tecnológicas hospedadas e baseadas na nuvem para bancos digitais:

  • Implementação rápida/rápida entrada no mercado
  • Custo total de propriedade
  • Menos carga de trabalho para a equipe
  • Mais tempo para se concentrar em atividades bancárias e aquisição de clientes, com a tecnologia prioritária se concentrando em diferenciar a experiência do cliente, e não na infraestrutura
  • Menos carga de trabalho regulatória ao utilizar fornecedores de tecnologias tradicionais que já estão em conformidade com a indústria de serviços financeiros
  • Níveis mais altos de continuidade de negócios por meio de data centers secundários fornecidos por terceiros"

2. O valor de evoluir progressivamente para uma autenticação mais sofisticada: Conforme as instituições financeiras reavaliam suas estratégias de autenticação para equilibrar a prevenção de fraudes, conformidade regulatória e experiência do cliente, estão migrando da autenticação simples (utilizando modos de autenticação individuais, como senhas ou SMS) para abordagens mais sofisticadas, em que a autenticação é organizada por meio de regras antifraudes e, em certo momento, aprendizado de máquina. Esta é a prática recomendada que a Orange Money Romania está seguindo: primeiro se familiarizando com o uso de regras de fraude para usar a autenticação adaptável com base no nível de risco, e dando tempo para que eles mesmos e seus clientes se acostumem à nova experiência. Depois, o próximo passo será treinar o modelo de aprendizado de máquina. Isso trará uma abordagem de autenticação nova e evoluída, com tecnologia de detecção de fraudes baseada no aprendizado de máquina.  

3. O valor da experiência de um fornecedor de segurança especializado: Ameaças de fraudes como roubo de contas, malwares móveis e roubo de identidades estão se tornando mais comuns e sofisticadas. Muitas instituições financeiras ainda dependem de tecnologias antifraudes antigas e precisam reavaliar seus sistemas. Ao mesmo tempo, elas tentam equilibrar a conformidade regulatória com a experiência do usuário, e precisam unir essas três prioridades em um fluxo simples para o cliente. Compreender a melhor forma de implementar novas tecnologias de autenticação e prevenção de fraudes de um jeito que impeça as fraudes e reduza os falsos positivos é essencial. Principalmente no contexto de sua base de clientes, bem como no seu contexto regulatório (seja o PSD2 em mercados financeiros europeus ou Open Banking, no Reino Unido, ou o ambiente regulatório nos Estados Unidos). Tudo isso faz parte da experiência central da OneSpan. A transferência de conhecimento que ocorre entre a OneSpan e as equipes de fraude de nossos clientes durante nossa parceria é algo que bancos tradicionais e digitais declaram que fortaleceu suas empresas.    

Acesse estas páginas para saber mais sobre nossas soluções em nuvem para autenticação, prevenção de fraudes, segurança móvel, verificação de identidade digital para e-KYC e assinaturas eletrônicas.

White paper sobre autenticação adaptativa inteligente
Relatório branco

Autenticação adaptável | Crescimento por meio da segurança inteligente

Baixe este white paper para ajudar a melhorar a experiência do cliente, reduzir fraudes e crescer.

Obtenha o White Paper
PSD2 fraude autenticação nuvem análise de risco blindagem de aplicativo móvel identidade digital
Jeannine Mulliner
Jeannine Mulliner

Por 20 anos, Jeannine tem escrito sobre tecnologia e como aplicá-la para resolver os desafios do dia a dia. Em sua função como Diretora de Conteúdo da OneSpan, Jeannine lidera uma equipe de redatores e desenvolvedores de conteúdo focados em ajudar instituições financeiras e outras organizações a obter valor de soluções de segurança e assinatura eletrônica. Jeannine é bacharel em Redação Profissional pela l'Université de Sherbrooke.

Ir para o topo