Сьогодні шахраї отримують дані клієнтів із застосуванням як хакерських технологій, так і засобів соціального інжинірингу, а також у Dark Web та кримінальних мережах після порушення безпеки даних, що перебувають поза межами контролю банків.

У відповідь банки дедалі більше інвестують у нові технології: машинне навчання; повідомлення про шахрайство в режимі реального часу; розпізнавання голосу, обличчя та відбитків пальців (біометричні дані), а також так звані поведінкові біометричні дані, які включають профілі взаємодії клієнтів з їхніми пристроями та засобами інтернет-банкінгу. Проте наразі цього недостатньо.

Ось основні ризики для банків.

Кібернетичні атаки та порушення безпеки даних

Порушення безпеки даних може стосуватися певної компанії з однієї країни, але також часто і осіб, що перебувають в інших країнах. У результаті кіберзлочинці отримують дані, які можна використовувати для крадіжок персональних даних, шахрайства з використанням соціального інжинірингу.

Також це надає можливості для протиправних схем із авторизованими пуш-платежами, де персональні дані використовуються для завоювання довіри клієнта, або ж для використання номерів карток для шахрайства. Наприклад, у 2018 році через витік даних, що стався у великій пасажирській авіакомпанії, хакери отримали секретні реквізити понад 244 тис. кредитних карток. Збитки склали близько $12,2 млн.

Використання засобів соціального інжинірингу

Шахраї вдаються до численних схем, до яких належать встановлення романтичних стосунків з жертвою, дії від імені удаваних урядових чи податкових органів, інвестиційні схеми, лотереї, злами ділової електронної кореспонденції, дзвінки жертвам від імені нібито онуків або інших родичів тощо.

Усі ці схеми необхідні, аби отримати доступ до даних жертви, які в подальшому використовуються для привласнення коштів чи спонукання здійснити платіж на рахунок, контрольований шахраєм.

Проблема у тому, що сьогодні клієнти мають доступ до власних рахунків, і тому засоби банківського контролю не можуть виявляти такі схеми. Щоб протистояти цьому ризику, банки створюють спеціальні команди боротьби з протиправними схемами, які діють паралельно з групами боротьби з шахрайством.

Еволюція цифрових каналів та пришвидшення процесингу платежів

Згідно з прогнозами World Payments Report, частка безготівкових операцій у період з 2018 до 2021 року збільшиться сукупно на 12,7%. Вже сьогодні понад чверть банківських продуктів і послуг надається через цифрові канали. З’являються цифрові необанки та челенджер-банки.

Відтак необхідність фізичної присутності клієнтів у відділеннях банків зменшується, а глобальний тренд закриття банківських філій поширюється. Проте через пришвидшення процесингу платежів банки мають менше часу на аналіз операцій на предмет шахрайства.

Як свідчить дослідження KPMG, світові банки застосовують засоби запобігання та виявлення шахрайства у режимі реального часу та встановлюють обмеження та додаткові засоби аутентифікації для операцій з високим ступенем ризику шахрайства, прагнучи зменшити його під час онлайн-платежів.

У Великій Британії у відповідь на цей ризик було запроваджено вимогу підтвердження чеків отримувача платежу при запиті клієнта на перерахування коштів.

Відкритий банкінг

Наразі зростає частка платежів, що здійснюються через цифрові канали, в результаті чого збільшиться обсяг банківських операцій з аналізу рахунків на предмет шахрайства. Банки сподіваються, що при використанні технологій відкритого банкінгу захист банківської інформації клієнтів здійснюватимуть треті сторони. В разі якщо вони не зможуть забезпечити адекватний захист проти шахрайства, клієнти покладатимуть провину за це на банк.

Відкритий доступ до банківської інформації у фінансових установах створить можливість для шахраїв збирати більш детальні дані клієнтів, зокрема, отримувати більш цілісну картину щодо стану рахунків клієнтів.

Усе це спонукає банки збільшувати надійність засобів контролю безпеки даних у API, а також ретельно перевіряти сторонніх розробників до того, як вони отримають доступ до клієнтської інформації та будуть акредитовані як провайдери послуг.

Потрібно рухатися у напрямку створення цілісного онлайн-профілю клієнта, аби зробити процес аутентифікації безпечним і органічним, а також створення системи управління правом доступу до даних з використанням обмежень і заходів безпеки.

Як управляти ризиками шахрайства

Більшість банків – учасників дослідження KPMG інвестують у такі методи прогнозування, запобігання та виявлення спроб шахрайства, як подвійна або багатофакторна аутентифікація для перевірки ідентичності клієнта. Це, зокрема, вимоги до користувачів надати дані, наприклад, пароль з використанням інших факторів, наприклад, текстового повідомлення і/або SMS-коду або відбитків пальців.

Також банки впроваджують технологічні рішення, що дозволяють здійснювати скорингову оцінку ризиків та ухвалювати рішення у режимі реального часу, використовують фізичну біометрію (ідентифікацію за голосом і відбитками пальців, технологію розпізнавання обличчя).

Кіберзлочинці створили ринок цифрових відбитків пальців, а шахраї навчилися записувати та відтворювати голоси клієнтів, використовуючи нові технології. Крім того, незважаючи на інвестиції у нові технології, половина опитаних банків повідомили про значну кількість хибнопозитивних результатів від їхніх технологічних рішень, які шкодять ефективності процесу виявлення шахрайських дій.

Які ж системи впливають на інформацію щодо управління ризиком шахрайства? Насамперед це неякісно складена звітність, яка впливає на здатність ради директорів і комітетів з управління ризиками правильно розподіляти ресурси та ухвалювати рішення про інвестиції.

Крім того, з огляду на розмір та складність банківських операцій та процесів, здійснення змін може потребувати часу, при цьому шахраї можуть діяти дуже швидко.

Аби подолати ризики шахрайства, необхідно продовжувати інвестувати у нові технології: моніторинг операцій з використанням машинного навчання (штучний інтелект), робототехніку, інноваційне програмне забезпечення у сфері фінтеху, біометрію та технології більш активного використання даних, отриманих з відкритих джерел і соціальних медіа.

Але цих зусиль буде недостатньо, якщо вони не супроводжуються оптимізацією операційної моделі на рівні корпоративного управління, персоналу та бізнес-процесів.