Z Wacławem Majką, architektem rozwiązań biznesowych VSoft SA, rozmawiał Konrad Machowski, Bank.pl
Próby oszukańcze na pewno stanowią olbrzymie wyzwanie dla instytucji finansowych, ale i całej gospodarki. Trudno szacować, jaką skalę przybiera ten proceder, choćby z uwagi na fakt, iż mamy do czynienia z danymi poufnymi, niechętnie ujawnianymi przez banki jak i organa ścigania, ale również dlatego, że wiele tego rodzaju działań jest dziś udaremnianych na bardzo wstępnym etapie, przez algorytmy stosowane w sektorze finansowym. Z całą pewnością istnieje związek pomiędzy zmianą formuły obsługi klienta a schematami, stosowanymi przez przestępców. Obecnie coraz więcej procesów odbywa się w kanałach zdalnych, bez bezpośredniego kontaktu pracownika banku z klientem, co było standardem jeszcze kilka lat temu, przed wybuchem pandemii COVID-19. Dziś znacznie łatwiej uzyskać pozytywną decyzję kredytową, nie trzeba w tym celu dostarczać szeregu dokumentów, a dodatkowo w przypadku zobowiązań na niższe kwoty decyzja taka podejmowana jest nierzadko w sposób automatyczny, czy wręcz z wykorzystaniem systemów uwierzytelniania dostarczanych przez podmioty trzecie. Tak jest chociażby w przypadku zakupów ratalnych za pośrednictwem platform e-commerce, gdzie klient wnioskuje o kredyt z poziomu tej platformy, nierzadko nie mając nawet świadomości który z dostawców usług finansowych współpracujących z danym portalem udzieli mu kredytu. W takich sytuacjach mamy do czynienia z integracją obu partnerów za pośrednictwem interfejsów API, których rozwój znacznie przyspieszył po wprowadzeniu dyrektywy PSD2. Stwarza to całkiem nowe możliwości; w tradycyjnej gospodarce trudno byłoby sobie wyobrazić, żeby klient licytujący rower czy telewizor na platformie aukcyjnej ubiegał się o sfinansowanie zakupu tego przedmiotu, wchodząc na odrębną aplikację banku. Dziś jest to możliwe, dzięki czemu sektor finansowy zyskuje nowe źródło przychodów. Należy jednak pamiętać, iż w takich sytuacjach kluczowe jest należyte wypośrodkowanie pomiędzy bezpieczeństwem a wygodą. Zakup przedmiotu za kilkaset złotych powinien być szybki i dokonywany w modelu one click, takie są doświadczenia współczesnych konsumentów. Procedura bezpieczeństwa powinna być zatem tak skonstruowana, by nie tworzyć istotnego wyłomu w tych oczekiwaniach, a zarazem zabezpieczyć dostawcę usług finansowych przed próbami oszukańczymi.
Jaką zatem strategię winny przyjąć banki, by postawić tamę coraz bardziej wyrafinowanym próbom wyłudzenia, zwłaszcza w obliczu rosnącej presji konsumentów na zakupy proste, intuicyjne i „one click”?
Zwalczanie fraudów kredytowych w bankach powinno mieć obecnie charakter wieloetapowy, poczynając od weryfikacji tożsamości użytkownika. Ta z kolei nie obejmuje już wyłącznie samego uwierzytelnienia, ale również analizę zachowania klienta, pod kątem wykrywania ewentualnych anomalii wskazujących na to, że po drugiej stronie mamy do czynienia z kimś innym. Jeśli na przykład klient, który nigdy nie opuszczał swego miejsca zamieszkania, nagle usiłuje dokonać transakcji z odległego państwa, to już jest pierwszy sygnał, że możemy mieć do czynienia z oszustwem, a podejrzenie to przechodzi w pewność na przykład z chwilą ustalenia, że od czasu ostatniej transakcji dana osoba fizycznie nie była w stanie przemieścić się tak daleko. Wówczas instytucja finansowa może zastosować pełen wachlarz mechanizmów bezpieczeństwa, poczynając od telefonu do klienta, by się upewnić, czy dana operacja jest inicjowana przez niego, a kończąc na zablokowaniu transakcji. Ta ostatnia opcja nie zawsze jest optymalna, trzeba wziąć pod uwagę, iż może ona doprowadzić do uniemożliwienia płatności za całkiem legalną transakcję np. w restauracji czy na stacji paliw, co z kolei frustruje użytkownika i w konsekwencji oddziałuje źle na wizerunek instytucji finansowej. Bardziej zaawansowaną formułą jest wykorzystanie biometrii, w szczególności analizy behawioralnej. Chodzi o rozpoznanie unikalnego sposobu interakcji użytkownika z urządzeniem: sposobu pisania na klawiaturze, ruchów myszą czy dotykania ekranu w smartfonie. W trakcie obsługi aplikacji czy systemu bankowości elektronicznej ten uczy się owego indywidualnego wzorca, a wszelkie odchylenia od tegoż, zwłaszcza w sytuacjach ryzykownych, jak zaciąganie kredytu czy też dokonywanie płatności na duże kwoty, stanowi bardzo wiarygodną przesłankę, iż mamy do czynienia z próbą oszukańczą. Najważniejszy z punktu widzenia bezpieczeństwa klienta, ale i instytucji finansowej, jest fakt, iż analiza behawioralna umożliwia również wykrycie usiłowania fraudów, dokonywanych z udziałem socjotechniki, kiedy manipulowany przez oszustów użytkownik sam dokonuje przelewu na obce konto czy też wypełnia wniosek kredytowy. Badania naukowe wykazały, iż w takich przypadkach człowiek zachowuje się inaczej aniżeli gdyby decyzje te podejmował samodzielnie, i ową rozbieżność jesteśmy w stanie zidentyfikować posługując się technikami behawioralnymi. Jak widać, beneficjentem nowoczesnych technologii są nie tylko oszuści, dają one również legalnie działającym podmiotom możliwość zapewnienia ochrony na poziomie dotychczas niewyobrażalnym.
To szczególnie istotna konstatacja, tym bardziej jeśli weźmiemy pod uwagę, iż szkody spowodowane fraudami czy wyciekiem danych nie są tylko natury finansowej, równie dobrze instytucja może być ukarana przez nadzorcę lub doznać uszczerbku reputacyjnego…
Tak właściwie wszystkie te sytuacje w ostatecznym rozrachunku generują straty finansowe. Kary, nakładane przez organy nadzorcze, idą w miliony złotych, co stanowi równowartość strat, poniesionych w wyniku poważnego wyłudzenia. Podobnie i uszczerbek reputacyjny skutkuje utratą zaufania wśród klientów i bardzo często ich ucieczką, co oznacza szkody trudne do oszacowania, acz z reguły znacznie wyższe aniżeli nawet samo wyłudzenie kredytu o sporej wartości. O ile w tym ostatnim przypadku mamy do czynienia z jednorazowym, choć bez wątpienia dotkliwym zdarzeniem, przed którym na dodatek dość łatwo się zabezpieczyć korzystając z dobrodziejstw nowoczesnej technologii, to nadszarpnięta reputacja może ciągnąć się za danym podmiotem przez całe lata czy nawet dekady, skutecznie ograniczając dopływ klientów, niekiedy nawet w sposób bezpowrotny. Konsekwencją w niektórych sytuacjach może być nawet upadłość instytucji, zwłaszcza finansowej, które tradycyjnie już są traktowane jako podmioty zaufania publicznego. Dlatego właśnie tak istotnym zadaniem dla współczesnych instytucji bankowych jest udaremnianie prób oszukańczych, dokonywanych na szkodę klientów, nawet, jeśli dotyczą one relatywnie niewielkich kwot. Dla konsumenta decydująca w takich sytuacjach nie jest utrata kilkuset złotych, tylko fakt, że bank, który powinien zapewnić powierzonym przezeń środkom pełne bezpieczeństwo, zawiódł jego zaufanie.
Rzecz w tym, że najlepszym „wspólnikiem” cyberoszustów jest nierzadko ich ofiara. Jakże wielu użytkowników bankowości elektronicznej lub mobilnej podchodzi do kwestii bezpieczeństwa z lekceważeniem, uważając, że to bank powinien zapewnić ochronę ich pieniędzy. Czy zatem w ogóle możemy mówić o skutecznej ochronie zasobów klienta, jeśli on sam nie czuje się w obowiązku zachować należytej ostrożności? Zwłaszcza w sytuacji, kiedy regulatorzy sprzyjają takiemu przesuwaniu odpowiedzialności na banki, by wspomnieć choćby niedawno opublikowany projekt unijnego rozporządzenia PSR i zawarte w im podejście do transakcji nieautoryzowanych…
W tym obszarze wiele zależy od specyfiki samego konsumenta. Inne błędy popełniać będą seniorzy, nieoswojeni z funkcjonowaniem nowoczesnych rozwiązań lub wręcz mający problemy z zapamiętywaniem credentiali, w ich przypadku głównym problemem jest zapisywanie sobie haseł czy loginów, czy to w formie tradycyjnej, jako kartka noszona w portfelu obok karty płatniczej, czy też w aplikacji mobilnej bądź systemie bankowości elektronicznej. Po drugiej stronie będziemy mieli przypadki ewidentnej niefrasobliwości, jak choćby w przypadku osób ulegających próbom oszukańczym w rodzaju tzw. nigeryjskiego szwindlu czy przelewających oszczędności na rzekome inwestycje w kryptowaluty czy rynek FOREX, które okazują się fraudem. Wobec każdej z tych sytuacji trzeba stosować nieco inną miarę. O ile w przypadku seniorów faktycznie należy wziąć pod uwagę ich specyficzne ograniczenia wynikające z wieku, w konsekwencji zaproponować im inną formę uwierzytelniania, niewymagającą zapamiętywania skomplikowanych ciągów znaków, w postaci choćby autentykacji biometrycznej w rodzaju face ID czy odcisku palca, to fraudy „inwestycyjne” ograniczyć można jedynie konsekwentną edukacją. Nie jesteśmy w stanie inaczej oddziaływać na użytkownika, który nie dość że świadomie i dobrowolnie przelewa środki na konto wskazane przez oszustów, to jeszcze czyni to w błogim przekonaniu, że trafił na inwestycję życia.
Zawsze na pierwszym miejscu będzie uświadamianie, zwłaszcza w obliczu pojawiania się coraz to nowych schematów oszustw, z których wielu użytkowników kanałów zdalnych nawet nie zdaje sobie sprawy. Wezwanie do zapłaty zaległego rachunku za media, informacja o zajęciu komorniczym, gdzie wystarczy kliknąć w link do rzekomej spłaty zadłużenia, by zostać przekierowanym do strony prowadzonej przez oszustów, czy choćby popularne zwłaszcza w okresie przedświątecznym SMS-y z prośbą o dopłatę za zamówioną przesyłkę czy opłacenie cła – w każdym z tych przypadków mamy do czynienia z przestępcami, którzy chcą przejąć nasze środki czy też zaciągnąć kredyt, wykorzystując nasze dane osobowe. Stąd tyle ostrzeżeń, żeby nie klikać w podejrzane linki, gdyż grozi to instalacją na naszym urządzeniu tzw. zdalnego pulpitu, przez które złodzieje mogą mieć stały dostęp do naszych zasobów. Oczywiście trzeba wymagać od ludzi ostrożności, jednak równocześnie trzeba im uświadamiać, jakie zachowania mogą być podejrzane. Nie w każdym przypadku niewłaściwe zachowanie będzie przejawem dezynwoltury czy niefrasobliwości. Jeśli ktoś faktycznie czeka na zagraniczną przesyłkę i dostaje informację od rzekomej agencji celnej, by uregulować wszystkie opłaty, to jeśli nie będzie świadom, że takie wiadomości wysyłają oszuści, z pewnością da się złapać. Podobnie w przypadku sfingowanych stron banków, które od oryginału odróżnia jedna literówka czy użycie znaku niespotykanego w polskim alfabecie, acz łudząco podobnego do tego, który znajduje się w adresie banku. Równolegle należy oczywiście stosować mechanizmy antyfraudowe, w tym analizę behawioralną, jednak nie powinno być to realizowane kosztem edukacji. Gospodarka elektroniczna ma to do siebie, że wymaga wyrobienia w sobie określonych zachowań, żeby czuć się bezpiecznie. Jeśli nie będziemy edukować konsumentów, to mimo stosowania wymyślnych systemów zabezpieczeń zagrożenie zawsze będzie rosnąć.
Banki od dawna wymieniają się informacjami o zagrożeniach, czy w obliczu nowych ryzyk, związanych z digitalizacją rynku, proces ten zapewnia nowe możliwości w zakresie prewencji?
Wewnątrzsektorowa wymiana informacji ma kluczowe znaczenie dla zminimalizowania poziomu zagrożenia fraudami. Jeśli dana instytucja zidentyfikuje źródło zagrożenia, czy to w postaci przestępczej lokalizacji czy unikalnego sposobu posługiwania się urządzeniem przez oszusta, a następnie przekaże to do podmiotu, zajmującego się wymianą danych o zagrożeniach, znacząco ułatwia działania antyfraudowe innym bankom. Nie muszą one za każdym razem przeprowadzać skomplikowanej analizy, wystarczy, że na początku odfiltrują działania, podejmowane ze skompromitowanych adresów lub przez podejrzane osoby. Takie rozwiązania działają też prewencyjnie wobec samych sprawców, jeśli będą oni mieli świadomość, iż wiedza o zidentyfikowanych próbach oszukańczych jest dostępna dla wszystkich podmiotów w sektorze, wówczas będą mniej skłonni do wykorzystywania tych samych zasobów do kolejnych wyłudzeń. Nie trzeba chyba dodawać, iż wydatnie to utrudnia życie przestępcom, z korzyścią dla banków oraz ich klientów. Wówczas nawet instytucja, dysponująca słabszymi narzędziami antyfraudowymi, jest chroniona na najwyższym poziomie.
Skuteczność platform antyfraudowych jest tym większa, im więcej podmiotów się z nimi integruje i przekazuje im dane, nie tylko o fraudach, ale również np. o obsłudze kredytu przez poszczególnych użytkowników. Na podstawie zgromadzonych danych możemy wychwycić symptomy, że dana osoba za jakiś czas może mieć problem z obsługą zobowiązania, wówczas bank jest w stanie reagować odpowiednio wcześniej, choćby poprzez zaproponowanie konsolidacji, wakacji kredytowych czy innego mechanizmu wsparcia, by nie dopuścić do sytuacji, kiedy dane zobowiązanie przestanie być obsługiwane. Jesteśmy oczywiście w stanie również zidentyfikować przypadki, kiedy dany klient zaczyna zachowywać się niestandardowo, na przykład bombardując poszczególne podmioty wnioskami kredytowymi. To zaś może być zarówno przejawem próby oszukańczej, ale równocześnie zwiastować sytuację, kiedy dana osoba popadła w tarapaty finansowe i wykonuje nieprzemyślane ruchy, by pozyskać środki na dalsze funkcjonowanie czy prowadzenie biznesu. Tu z pomocą przychodzą raporty kredytowe, które są w stanie wskazać wszystkie działania, podejmowane w danym okresie przez konkretną osobę we wszystkich instytucjach, wymieniających się danymi za pośrednictwem takiej platformy. Na tej samej zasadzie można wychwycić drobne błędy, które zdarzają się przestępcom podejmującym prób oszukańczych. Ot, choćby takie, jak złożenie w różnych instytucjach finansowych sfałszowanych zaświadczeń o zatrudnieniu tego samego klienta, gdzie każde z nich dotyczyć będzie innego miejsca pracy. Istnieje stare porzekadło, że nie ma zbrodni doskonałej, sprawcy z reguły popełniają jakiś drobny, niekiedy niemal niezauważalny błąd, a wymiana informacji i wykorzystanie innowacyjnych narzędzi, dostępnych na tego typu platformach zwiększa szansę wychwycenia anomalii.
W tym kontekście chciałbym postawić pytanie o konektory, które są w ofercie VSoft. Na czym polega to rozwiązanie, i w jakim stopniu jego użycie może zwiększyć skuteczność działań antyfraudowych w banku, czy wręcz zwiększenia skuteczności wykrywania prób oszukańczych w całym sektorze? Wreszcie, czy stosowanie konektorów może dać odczuwalną poprawę jakości obsługi również i dla konsumenta?
Nasza firma ma w swojej ofercie cały zestaw konektorów do różnych instytucji. Ich użycie przede wszystkim upraszcza sam proces wdrożenia. Pamiętajmy, że dostęp do danych z instytucji zewnętrznych nie jest łatwy, szczególnie w branży bankowej, gdzie całe zasoby są mocno odseparowane od świata zewnętrznego z uwagi na zagrożenie wyłudzeniem i kradzieżą danych. Konektory pomagają zintegrować ową tkankę bankową z danymi, pochodzącymi z zewnętrznych źródeł, także platform antyfraudowych. Dokonywanie wymiany danych z wykorzystaniem konektora zwiększa wydatnie szybkość tego procesu, co znowu przekłada się na realny poziom bezpieczeństwa, nie tylko danej instytucji ale wszystkich użytkowników danego rozwiązania do wymiany informacji. Przypomnę po raz kolejny, że sprawcy również grają na czas, zatem szybsze przekazanie informacji o zagrożeniu do innych instytucji może powstrzymać kolejne próby oszukańcze. Konektory pozwalają też zautomatyzować procesy weryfikacji danych, poprzez dostępne interfejsy API możemy w automatyczny sposób wysyłać zapytanie o informacje, i otrzymywać rezultat tą samą drogą. To z kolei ma szczególne znaczenie w przypadku wspomnianych już produktów masowych, jak kredyty ratalne czy karty, gdzie z uwagi na doświadczenie użytkownika cały proces weryfikacji musi przebiegać jak najszybciej i w trybie całodobowym. Tak jak trudno sobie wyobrazić ręczne procedowanie wniosku o udzielenie rat na skuter wart kilka tysięcy złotych, podobnie nie sposób zakładać, by klient miał cierpliwość oczekiwać kilkanaście czy kilkadziesiąt minut na przekierowanie wniosku do BIK w modelu tradycyjnym. To musi być góra kilkanaście sekund, i posługując się konektorem jesteśmy w stanie osiągnąć ten rezultat. Pod tym względem konektory pozwalają osiągnąć nie tylko wyższy poziom bezpieczeństwa, ale i poprawić jakość obsługi klienta, co na obecnym rynku, gdzie banki konkurują ze zwinnymi fintechami, ma znaczenie szczególne.