De reação à prevenção: repensar a fraude nos pagamentos

Com o advento de pagamentos mais rápidos, muitas organizações financeiras têm priorizado a velocidade em detrimento da deteção de fraudes. Os consumidores esperam transações instantâneas, mas os bancos ainda precisam proteger-se a si próprios e aos seus clientes contra fraudes. Executar a deteção de fraudes em segundo plano—analisando sinais contextuais e dados históricos—ajuda a equilibrar a velocidade e a segurança.

Num podcast do PaymentsJournal, Diarmuid Thoma, Chefe de Estratégia de Fraudes e Dados na AtData, e Jennifer Pitt, Analista Sénior de Gestão de Fraudes na Javelin Strategy & Research, discutiram como os métodos tradicionais de deteção de fraudes têm sido insuficientes na era dos pagamentos em tempo real. O objetivo hoje é parar a fraude antes que ela aconteça.

Levantando as Proteções a Montante

Para os clientes, a velocidade é fundamental—mas essa velocidade só é necessária na fase de transação ou decisão. Os bancos podem realizar grande parte da pré-autorização e avaliação de risco antes de uma transação ocorrer, sem a pressão de uma execução em tempo real. Quando um cliente chega à fase de transação, o banco não deve estar a correr para completar todas as verificações de fraude instantaneamente.

Muitas instituições concentram-se onde ocorre a perda financeira. Quando uma transação resulta num chargeback, procuram corrigir a própria transação. No entanto, na maioria dos casos, essa não foi a primeira interação do cliente. O primeiro contacto muitas vezes ocorreu muito antes, bem a montante do chargeback.

“Com a tomada de controlo de contas, é possível identificar muitos sinais comportamentais antes mesmo de as pagamentos acontecerem,” disse Pitt. “Se as informações são alteradas numa coisa como um perfil de conta, isso é um indício. Logins de diferentes locais em momentos distintos podem ser um indício. Se isso for sinalizado primeiro, então essencialmente a pagamento suspeito não acontece, e nem há perda para o consumidor nem para a instituição financeira.”

Construção de uma Identidade

No mundo tradicional de lojas físicas, os bancos podiam pedir uma carta de condução ou passaporte para abrir uma conta, talvez juntamente com uma conta de serviços públicos para verificar um endereço. Embora esses documentos pudessem ser falsificados, esses casos eram relativamente raros.

Hoje, a verificação baseia-se na identidade digital. Dispositivos, endereços IP e contas de email formam a base de um perfil de identidade. Esse perfil estende-se por redes de consórcio contendo dados de transações anteriores, criando uma imagem mais clara do comportamento do consumidor. Por exemplo, esta pessoa é provável de comprar ténis de 1.000 dólares?

“É construir uma identidade,” disse Thoma. “Mesmo no mundo físico, quem somos é definido por gostar de um determinado bar ou fazer compras numa loja específica. Todos esses fatores juntos, isso é você. Tudo o que estamos a fazer agora é pegar nisso e traduzi-lo para um conceito digital. Do ponto de vista da fraude, isso constrói consistência. A vantagem de pessoas boas, do ponto de vista do perfil de fraude, é que são muito consistentes.”

Profissionais de fraude modernos constroem perfis dinâmicos em vez de depender de identificadores estáticos. Podem criar linhas do tempo que abrangem cinco ou 10 anos—qualquer dado disponível—representando um avanço significativo em relação aos métodos tradicionais.

“Quando trabalhava no setor bancário, parte do meu papel era avaliar investigações para verificar se eram feitas corretamente,” disse Pitt. “Frequentemente ouvia chamadas de representantes de atendimento ao cliente e centros de chamadas. Várias vezes ouvi chamadas em que o próprio fraudador tentava fazer uma transferência bancária.

“O representante do centro de chamadas apenas pediu informações básicas como nome, data de nascimento, perguntas de conhecimento comum. Informação que se consegue praticamente em qualquer lugar, desde violações de dados até sites de verificação de antecedentes,” explicou. “A transferência conseguiu passar. E quando os clientes ligavam a dizer que havia fraude, o representante dizia que não, que as informações tinham sido verificadas.”

Reunindo as Informações

Muitas instituições financeiras ainda realizam revisões manuais uma transação de cada vez. Essa abordagem fornece insights apenas sobre essas transações específicas e não revela padrões mais amplos de fraude ou táticas emergentes.

“Ainda vejo pequenas instituições financeiras a operar como se não houvesse internet,” disse Pitt. “Estão basicamente a verificar documentos físicos, especialmente em balcões com deteção humana apenas. Isso já não é suficiente com as ferramentas de IA disponíveis para os fraudadores. É muito fácil falsificar ou forjar alguns desses documentos. Não se pode confiar apenas na deteção humana para isso.”

Para agravar a situação, os criminosos compreendem os limites de reporte. Deliberadamente mantêm-se abaixo desses limites, espalhando a atividade por várias contas e instituições. É por isso que o intercâmbio de dados em consórcio é essencial para identificar padrões coordenados que, de outra forma, passariam despercebidos.

Os Melhores Dados de Qualidade

Nos primeiros dias das redes sociais, as empresas podiam consultar um perfil para confirmar a existência de uma pessoa. Hoje, a IA consegue gerar facilmente perfis sociais convincentes em múltiplos contextos e geografias. Fabricar pegadas digitais não só é simples, como também escalável. O desafio para os bancos já não é encontrar dados, mas encontrar dados que não possam ser manipulados facilmente.

“De preferência, os melhores dados de qualidade são imunes à geração automatizada,” disse Thoma. “Fontes que não estão conectadas entre si são independentes. Um email, do ponto de vista dos dados, não está relacionado com um dispositivo. Quando se recolhem todos esses dados de fontes não conectadas—se todas concordarem que algo é válido—normalmente, a decisão é de melhor qualidade.”

Investir em ferramentas avançadas de prevenção de fraudes pode parecer dispendioso inicialmente, mas a despesa é inevitável. As instituições pagarão de uma forma ou de outra: na frente, fortalecendo as defesas; ou na retaguarda, através de multas, ordens de consentimento, danos reputacionais e perda de clientes.

“Temos de deixar de olhar para a fraude nos pagamentos apenas do ponto de vista da transação,” disse Pitt. “Esse é o último momento possível para prevenir a fraude. Falamos de defesa em profundidade e de uma abordagem em camadas, onde se uma medida de segurança não detectar a fraude, outra o fará. Ainda precisamos de analisar o pagamento em si, mas também tudo o que acontece antes, para podermos identificar a fraude mais cedo.”