Vamos falar sobre o monitoramento de fraudes: Conformidade à PSD2 e muito mais

A fraude é uma ameaça que está sempre em evolução. Nem todas as ferramentas de monitoramento de fraudes do mercado conseguem acompanhar os novos esquemas que surgem constantemente. Por isso, é essencial implantar a solução certa para fraudes. Contudo, para ter sucesso, é preciso pensar em diversos fatores.

A conformidade regulatória sempre terá um papel importante em decidir o que é necessário para sua ferramenta de monitoramento de fraudes. Hoje em dia, a conformidade com a Diretiva de Serviços de Pagamento (PSD2) Revisada e suas normas técnicas é uma das impulsionadoras das mudanças na Europa.

Uma das novas regras apresentadas pela PSD2 é o monitoramento de transação obrigatório. Conforme definem as Normas Técnicas Regulamentares (RTS) sobre a Autenticação Forte de Cliente (SCA) e a Comunicação Comum e Segura, o monitoramento de transação se tornará obrigatório para todos os fornecedores de pagamentos. Para permitir jornadas mais fáceis para o usuário, as RTS preveem casos onde transações específicas podem estar isentas de SCA – desde que o monitoramento de transação esteja ocorrendo e que diversas condições sejam atendidas.

Para saber mais sobre os requisitos de monitoramento de transação e sobre como as organizações podem tirar proveito das isenções listadas nas normas técnicas, sentamos para conversar com Ralitsa Miteva, gerente de soluções empresariais da OneSpan. Especialista em análise de risco e detecção de fraudes, Ralitsa também explica quais recursos de monitoramento de fraudes podem realmente fazer a diferença para evitar fraudes e construir a confiança.

Requisitos do monitoramento de fraudes e considerações sobre a PSD2

Pergunta: vamos começar com o básico. O que significa “ferramenta de monitoramento de fraudes”?

Ralitsa Miteva: uma ferramenta de monitoramento de fraudes é um sistema projetado para identificar e evitar fraudes, controlado por um analista de fraudes. No passado, essas ferramentas tinham funções simples, envolviam mais trabalho manual e operavam de modo bastante reativo. A pilha de tecnologias de serviços bancários era mantida em silos, bem como seu monitoramento de fraudes.

Hoje, novos sistemas de fraudes tendem a ser mais complexos. Ao mesmo tempo, eles tendem a permanecer ágeis e fáceis de usar. Eles automatizam os processos e funcionam de modo proativo. Um sistema de fraudes moderno raramente é uma única ferramenta, mas uma solução que integra nativamente tecnologias diferentes que devem trabalhar juntas.
 

Pergunta: há uma grande variedade de ferramentas disponíveis para as instituições financeiras (IFs). Isso encoraja a inovação entre os desenvolvedores, mas o excesso de escolhas também pode tornar a decisão de compra mais difícil. O que as IFs devem procurar?

RM: na OneSpan, temos uma equipe de especialistas com muita experiência na detecção de fraudes para os setores de serviços bancários e pagamentos. Identificamos um conjunto de recursos central que uma solução de monitoramento de fraudes deve ter para atender aos requisitos do mercado mais recentes. Em geral, esse conjunto deve levar em conta a nova geração de usuários finais, tipos de ataques novos e mais complexos, além da evolução das regulamentações.

Quando se trata de recursos específicos, é importante mencionar que a solução deve ter conformidade com a PSD2 e com os requisitos definidos em suas normas técnicas. Todas as regras e relatórios definidos devem estar disponíveis de imediato. No entanto, a solução não deve tratar apenas dos requisitos da PSD2, mas também deve expandir para além do escopo regulatório. Por fim, mas não menos importante, se você vai investir em uma nova solução hoje, ela deve atender a todas as suas necessidades e especificidades de sua empresa em termos de um futuro previsto.
 

Pergunta: parece que todas as soluções de monitoramento de fraudes hoje oferecem um mecanismo de regras, mas apenas algumas oferecem também variações diversas de algoritmos de aprendizagem de máquina. Por que é tão importante combinar os dois?

RM: até o momento, o benefício de um mecanismo de regras é indiscutível em se tratando de aplicar políticas de segurança específicas, lógica empresarial ou um conjunto de condições. Ele é capaz de lidar com padrões de fraude relativamente simples e conhecidos.

A aprendizagem de máquina, por outro lado, é o futuro da análise de fraude. Ela pode escalar muito melhor e detectar padrões extremamente complexos, bem como esquemas de fraude emergentes.

Penso que a combinação de um mecanismo de regras avançado e algoritmos de aprendizagem de máquina – confeccionados de acordo com nossas necessidades – seja essencial para tratar de padrões de fraude conhecidos, tratar de fraudes desconhecidas, gerenciar a complexidade e lidar com a lógica empresarial.

Pergunta: e quanto aos outros recursos?

RM: a solução ideal deve seguir uma abordagem de segurança em camadas e com noção de contexto para detectar ataques de fraude complexos, como aqueles resultantes de infecção por malware, o que não é estipulado pelas RTS.

Essa abordagem inclui mais que uma análise de um mecanismo de análise de decisão avançado. Ela começa com a coleta de dados no lado do cliente. Reunimos as informações de um único usuário e suas ações durante toda a jornada do usuário, em todos os canais e dispositivos, bem como fazendo uma análise histórica. Dessa forma, temos uma visão completa da atividade do usuário, do dispositivo e da conta.

Esse campo de dados completo deve ser vinculado e monitorado do lado do servidor. Não creio que possamos falar de uma abordagem moderna da detecção e da prevenção de fraudes sem levar todas essas camadas em consideração.

A solução também deve poder analisar e responder a eventos em tempo real, não apenas por questões de conformidade, o que discutirei em breve. Com milhares de transações e expectativas dos clientes cada vez maiores com relação a pagamentos rápidos, é simplesmente uma necessidade. Uma boa solução também deve ser capaz de analisar o risco de todos os usuários, ações e dispositivos em todos os canais digitais.

Por fim, simplificar as operações de sua equipe de fraudes é essencial para reduzir atrasos e erros na investigação. Isso inclui ferramentas de investigação e telas que fornecem uma visão geral ampla de diversos ângulos. A capacidade de produzir relatórios confiáveis é uma obrigação. A PSD2, agora, tem requisitos extensos sobre o relatório de fraudes, o que significa que a ferramenta deve ser muito flexível para fornecer todos os dados detalhados que os reguladores exigem.
 

Pergunta: vamos falar de conformidade. A PSD2 vem sendo um assunto bastante comentado há algum tempo. As IFs querem saber por que a ferramenta de monitoramento de fraudes é uma parte essencial de uma arquitetura em conformidade com a PSD2. Vamos começar com algumas definições. O que compreende o monitoramento de transação no contexto das RTS?

RM: de acordo com o artigo 2 das RTS, o termo “monitoramento de transação” refere-se aos mecanismos obrigatórios que permitem que provedores de serviços de pagamentos (PSPs) detectem e evitem transações de pagamento não autorizadas ou fraudulentas. Isso ocorre durante a aplicação da autenticação forte de cliente de acordo com o artigo 97 da PSD2.

Esses mecanismos são baseados na análise das transações de pagamento. De acordo com os requisitos gerais de autenticação, a análise deve considerar diversos elementos com base no risco, tratando de um mínimo:

• Contrastar com listas de elementos de autenticação comprometidos ou roubados
• Contrastar com cenários de fraude conhecidos
• Detectar a infecção por malware do dispositivo de autenticação
• Verificar desvios no valor da transação
• Analisar o dispositivo/software, quando fornecido pelo PSP

Para um grande número de bancos na Europa, o monitoramento de transação não é um processo novo. A criação de normas específicas, no entanto, e torná-las obrigatórias foi o que preocupou muitas IFs. Elas começaram a duvidar que o que fazem hoje seria o suficiente para a conformidade. No meu ponto de vista, não devemos tratar isso como algo negativo, mas como uma melhoria que protege os clientes e os PSPs.
 

Pergunta: qual é a diferença entre “monitoramento de transação” e “análise de risco de transações” conforme as RTS?

RM: é importante enfatizar “conforme as RTS”, já que, para muitos, esses dois termos são sinônimos fora do contexto das RTS.

Porém, no contexto da PSD2, o termo “monitoramento de transação” cobre um escopo de análise discutido anteriormente e é legalmente exigido dar apoio ao processo de autenticação forte de cliente.

A análise de risco de transações requer uma avaliação de riscos mais detalhada, realizada em tempo real. Essa análise tem um escopo maior que o monitoramento de transação obrigatório, pois inclui diversos requisitos baseados em risco, como informações sobre a localização do pagador e do beneficiário. No mínimo, ela visa a avaliação do risco das transações caso o banco queira se beneficiar de isenções permitidas somente com baixas taxas de fraude.
 

Pergunta: o que é a autenticação forte de cliente? Ela é sempre obrigatória?

RM: resumidamente, a autenticação forte do cliente (SCA) é um ato de autenticação que usa duas de três categorias de fatores: conhecimento (“o que eu sei”), porte (“o que eu tenho”) e inerência (“o que eu sou”). Esses fatores precisam ser mutuamente independentes. Um usuário precisa estar informado dos detalhes da transação. O processo de autenticação deve resultar em um código exclusivo, vinculado a esses detalhes da transação.

De acordo com o artigo 97 da PSD2, os PSPs devem aplicar o SCA quando os clientes acessam suas contas de pagamento online, não importando se desejam realizar uma transação monetária ou outros tipos de operação, como adicionar um beneficiário confiável. Também será obrigatório para todas as ações realizadas por meio de um canal remoto que possa ter o risco de fraude, como acessar uma conta de banco por um dispositivo móvel. Em alguns casos, os PSPs podem estar isentos de aplicar o SCA.
 

Pergunta: quais são as isenções possíveis do SCA?

RM: as normas técnicas regulamentares preveem uma variedade de casos em que, dependendo das condições, o SCA não é necessário. Em geral, estamos falando de dois tipos de isenções: fixas e aquelas baseadas na análise de risco de transações.

As isenções fixas incluem, entre outras, certos casos de transações de baixo valor, visualização de informações de contas, transações para contas próprias ou de beneficiários confiáveis e pagamentos recorrentes (como assinaturas).

Existe também um conjunto de condições baseadas em risco, que permitem isenções com base no nível de risco e na baixa taxa de fraudes.

Discutimos essas isenções em detalhes em nosso white paper recente, Habilitando o monitoramento de fraudes em conformidade à PSD2 com o OneSpan Risk Analytics.

Pergunta: por que é importante que uma ferramenta contra fraudes adequada esteja em funcionamento ao implementar o SCA nas jornadas de usuário?

RM: uma solução de monitoramento de fraudes adequada fornecerá um pacote pré-construído que contém um conjunto de regras e relatórios. Ele tratará dos requisitos de monitoramento de transação obrigatórios e dará apoio a você na avaliação e manutenção da elegibilidade de isenções do SCA. Ele, no entanto, também expandirá para além da conformidade, aumentando a confiança e a flexibilidade na jornada dos seus usuários.
 

Pergunta: a conformidade é, de fato, um fator importante ao determinar o conjunto de recursos da ferramenta contra fraudes, mas não para por aqui. Você já mencionou alguns recursos que garantirão que uma organização não apenas está conforme com as regulamentações, mas também tem a proteção adequada contra os esquemas mais populares de fraude. Que outros recursos se poderia esperar de uma ferramenta contra fraudes?

RM: acho que muitas soluções contra fraudes minimizam a importância e as especificidades do canal de dispositivos móveis. Muitos fornecedores monitoram esse canal, mas, em alguns casos, não tiram proveito da grande quantidade de dados disponíveis. Alguns podem não fornecer um canal seguro para garantir a integridade dos pontos de dados quando eles são transferidos do lado do cliente.

Com a ascensão dos serviços bancários para dispositivos móveis, precisamos poder responder melhor aos desafios desse canal. Ataques específicos para dispositivos móveis estão ficando mais complexos e não podem ser detectados facilmente sem uma solução avançada. Por exemplo, o que aconteceria se você analisasse os dados coletados do dispositivo móvel, mas esses dados já tivessem sido comprometidos antes de chegarem do lado do servidor?

Uma boa solução contra fraudes também deve se integrar no processo de autenticação adaptativa. Ela deve poder reagir imediatamente às ameaças em transformação para fornecer uma jornada do usuário sem atritos e segura. Lembre-se de que uma experiência de usuário boa é um dos diferenciais chave para as IFs. Uma jornada de usuário sem atrito, mas segura, por todos os canais digitais é uma obrigação. Os usuários somente devem ter atrito na experiência caso suas ações sejam avaliadas como tendo um risco acima do nível aceitável. Uma solução moderna, integrada com a autenticação adaptativa, determinará o nível de risco e acionará o método de autenticação mais adequado dentre os disponíveis.
 

Pergunta: a oferta de produtos da OneSpan inclui o Risk Analytics, uma solução de monitoramento de fraudes. Esse produto tem o que é necessário para satisfazer os requisitos de um analista de fraudes e de um gerente de conformidade?

RM: estou convencida de que é uma solução que atenderá às expectativas. Ela inclui todos os recursos de que falamos, incluindo um pacote pré-configurado para a PSD2, e mais. Isso tudo torna o OneSpan Risk Analytics uma ferramenta indispensável na simplificação das operações diárias. Ele se integra com os sistemas existentes, vem como com uma variedade de aplicativos de terceiros. Ele adiciona um nível significativo de confiança à jornada do usuário e se torna um dos pilares de uma grande experiência de usuário.
 

Pergunta: obrigado, Ralitsa. Onde os leitores podem obter mais detalhes sobre os tópicos tratados em nossa conversa?

RM: quem estiver interessado nos recursos de uma ferramenta de monitoramento de fraudes deve dar uma olhada em nosso white paper: Guia do consumidor para avaliar ferramentas de detecção de fraude.

Também temos um novo white paper tratando de tópicos sobre os requisitos do monitoramento de transação nas normas técnicas da PSD2, incluindo as isenções que mencionei antes: Habilitando o monitoramento de fraudes em conformidade à PSD2 com o OneSpan Risk Analytics.

Eu também gostaria de convidar nossos leitores a assistirem nosso webinário gravado.