El monitoreo de fraudes, el cumplimiento de PSD2 y mucho más

Share This:

El fraude es una amenaza en constante evolución. No todas las herramientas de monitoreo de fraudes que hay en el mercado pueden seguir el ritmo de los nuevos programas que aparecen constantemente. Es por ello por lo que es esencial implementar una solución de fraude correcta, teniendo en cuenta una serie de factores necesarios para conseguir su éxito.

El cumplimiento normativo siempre jugará un papel importante a la hora de decidir los elementos imprescindibles en una herramienta de supervisión de fraudes. Actualmente, el cumplimiento de la Segunda Directiva de Servicios de Pago (en inglés: Payment Services Directive 2 – PSD2) y sus estándares técnicos es uno de los principales impulsores del cambio en Europa.

Una de las nuevas reglas introducidas por la PSD2 es el monitoreo obligatorio de transacciones para todos los proveedores de pagos, según lo definido en las Normas Técnicas Reglamentarias (en inglés: Regulatoy Technical Standards – RTS) sobre Autenticación Fuerte de Cliente (en inglés: Strong Customer Authentication – SCA) y Comunicación Frecuente y Segura. Las RTS prevén casos en los que transacciones específicas pueden estar exentas de SCA, siempre que exista un control adecuado de las mismas y se cumplan varias condiciones.

A continuación, se detalla más información sobre los requisitos del monitoreo obligatorio de transacciones y cómo las organizaciones pueden beneficiarse de las exenciones enumeradas en los estándares técnicos. También se explican qué características de monitoreo de fraudes pueden conseguir un antes y un después en la prevención de fraudes y en la creación de confianza.

Requisitos y consideraciones del monitoreo de fraude bajo PSD2

Una herramienta de monitoreo de fraude es un sistema diseñado para identificar y prevenir el fraude controlada por analistas expertos en la materia. Antiguamente, estas herramientas tenían funciones más simples, implicaban más trabajo manual y funcionaban de un modo bastante reactivo. El apilamiento de operaciones bancarias desapareció y con ello también lo hizo su monitoreo de fraudes.

Hoy en día los nuevos sistemas de fraude tienden a ser más complejos, ágiles y fáciles de usar, automatizando procesos y trabajando de forma proactiva. Un sistema moderno de fraude rara vez es una herramienta única, sino una solución que integra diferentes tecnologías para un trabajo conjunto.

Actualmente existe una amplia gama de herramientas disponibles para las instituciones financieras (IFs) que están fomentando la innovación entre los desarrolladores. Sin embargo, la existencia de demasiadas opciones también puede dificultar la decisión de compra.

Las IFs deberían buscar una solución de monitoreo de fraude que posea un conjunto básico de características necesarias para cumplir con los últimos requisitos del mercado, teniendo en cuenta la nueva generación de usuarios finales, las últimas novedades en ataques y las numerosas normativas que se encuentran en constante evolución.

Cuando se trata de características particulares, es importante mencionar que la solución debe permitir el cumplimiento de PSD2 y los requisitos definidos en sus estándares técnicos. Todas las reglas e informes requeridos deben estar disponibles. Sin embargo, la solución no solo debe cubrir los requisitos de PSD2, sino también expandirse más allá del alcance regulatorio. Por último, pero no menos importante, si se invierte en una nueva solución, esta debe satisfacer todas las necesidades del negocio.

Aunque pueda parecer que todas las soluciones de monitoreo de fraudes actuales ofrecen un motor de reglas, la realidad no es esa, ya que solo algunas de ellas ofrecen diferentes variaciones de algoritmos de aprendizaje automático. Es muy importante combinar ambas dado que hasta ahora, el beneficio de un motor de reglas es indiscutible cuando se trata de aplicar políticas de seguridad específicas, lógica de negocios o conjunto de condiciones. Sin embargo, el aprendizaje automático es el futuro del análisis de fraudes, ya que tiene una mejor escalabilidad y puede detectar patrones extremadamente complejos, así como esquemas de fraude emergentes.

Se considera que la combinación de un motor de reglas avanzado con algoritmos de aprendizaje automático que se adapten a las necesidades de un negocio es esencial para cubrir los patrones de fraude más conocidos y manejar la lógica empresarial.

Una solución ideal debe seguir un enfoque de seguridad en línea, acorde con el contexto, para detectar ataques de fraude complejos, como los que resultan de una infección de malware, que ahora está estipulado en las RTS.

Este enfoque incluye más que un análisis de un motor avanzado de decisiones. Comienza con la recopilación de datos e información sobre un usuario y sus acciones a través de todos los canales y dispositivos, y sobre una base histórica. De esta manera, se obtiene una vista completa del usuario, el dispositivo y la actividad de la cuenta.

Todo este rango de datos debe estar vinculado y monitoreado por el servidor.

Una buena solución también debe poder analizar y responder a los eventos en tiempo real y no solo por razones de cumplimiento, así como, analizar el riesgo de todos los usuarios, acciones y dispositivos en todos los canales digitales.

Finalmente, la optimización de las operaciones de un equipo de fraude es esencial para minimizar los retrasos y errores en la investigación. Esto incluye herramientas de investigación y pantallas que proporcionan una visión general completa desde múltiples ángulos. La capacidad de producir informes confiables también es una necesidad. PSD2 ahora tiene amplios requisitos para la notificación de fraudes, lo que significa que la herramienta debe ser muy flexible para proporcionar todos los datos detallados que requieren los reguladores.

De acuerdo con el Artículo 2 de las RTS, el término “monitoreo de transacciones” se refiere a los mecanismos obligatorios que permiten a los proveedores de servicios de pago (en inglés: Payment Services Providers – PSP) detectar y prevenir transacciones de pago no autorizadas o fraudulentas. Todo ello mientras se aplica la autenticación de cliente fuerte según el artículo 97 de PSD2.

Estos mecanismos se basan en el análisis de las transacciones de pago. De acuerdo con los requisitos generales de autenticación, el análisis debe considerar varios elementos basados ​​en el riesgo, como mínimo:

  • Comprobar si existen elementos de autenticación robados o peligrosos.
  • Controlar los escenarios de fraude más conocidos.
  • Detectar una infección de malware en un dispositivo de autenticación.
  • Verificar posibles desviaciones en el importe de una transacción.
  • Analizar un dispositivo / software, cuando sea provisto por la PSP.

Para un gran número de bancos en Europa, el monitoreo de transacciones no es algo novedoso, pero si preocupante. A muchas IFs el hecho de crear estándares particulares y hacerlos obligatorios es algo que les inquieta, así como, la duda de si lo que hacen actualmente es suficiente para cumplir con las regulaciones.

La diferencia entre “monitoreo de transacciones” y “análisis de riesgo de transacciones” basado en las RTS, es la siguiente:

En el contexto de PSD2, el término “monitoreo de transacciones” cubre el alcance del análisis mencionado anteriormente y es legalmente necesario para respaldar el proceso de autenticación fuerte de cliente.

Sin embargo, el análisis de riesgo de transacción requiere una evaluación de riesgos más detallada, realizada en tiempo real. Este análisis tiene un alcance más amplio que el monitoreo obligatorio de transacciones, ya que incluye una serie de requisitos basados ​​en el riesgo, como la información sobre la ubicación del pagador y del beneficiario. Como mínimo, tiene como objetivo evaluar el riesgo de las transacciones en caso de que un banco quisiera beneficiarse de las exenciones permitidas solo con una tasa baja de fraude.

La SCA es un acto de autenticación que utiliza al menos dos de los tres factores disponibles:

·         Conocimiento (algo que solo el usuario conoce, por ejemplo, una contraseña o un PIN)

  • Posesión (algo que solo el usuario posee, por ejemplo, un teléfono móvil o una tarjeta de identificación)
  • Inherencia (algo que es propio del usuario, por ejemplo, la huella digital o el reconocimiento facial)

Estos factores deben ser independientes. Un usuario debe ser informado de los detalles de la transacción, y el proceso de autenticación debe dar como resultado un código único vinculado a estos detalles de la transacción.

De acuerdo con el Artículo 97 de PSD2, los PSP deben aplicar SCA cuando los clientes accedan a sus cuentas de pago en línea, sin importar si desean realizar una transacción monetaria u otro tipo de operaciones, como agregar un beneficiario confiable. También será obligatorio para cualquier acción realizada a través de un canal remoto que pueda conllevar un riesgo de fraude, como acceder a una cuenta bancaria a través de un dispositivo móvil. En algunos casos, los PSP pueden estar exentos de aplicar SCA.

Las Normas Técnicas Reguladoras prevén una serie de casos que, sujetos a ciertas condiciones, no requerirán SCA. En general, estamos hablando de dos tipos de exenciones:

  • Aquellas basadas en el análisis de riesgo de transacción.

Las exenciones fijas incluyen, entre otros, ciertos casos de transacciones de bajo valor, visualización de información de cuentas, transacciones con cuentas propias o con beneficiarios de confianza y pagos recurrentes (como suscripciones).

También hay un conjunto de condiciones basadas en el riesgo que permiten exenciones dependiendo del nivel de riesgo y las bajas tasas de fraude.

Una solución adecuada de monitoreo de fraudes proporcionará un paquete pre construido con un conjunto de reglas e informes que cubrirá los requisitos obligatorios de monitoreo de transacciones y ayudará a evaluar y mantener la elegibilidad para las exenciones de SCA. Pero, también se expandirá más allá del cumplimiento, aumentando la confianza y mejorando la experiencia de cliente.

Muchas de las soluciones de fraude subestiman la importancia y los aspectos específicos del canal móvil. Algunos proveedores monitorean este canal, pero en algunos casos no aprovechan toda la gama de datos disponibles. Otros simplemente no proporcionan un canal seguro que garantice la integridad de la transferencia de los datos del cliente.

Debido al aumento del uso de la banca móvil, las IFs deben poder responder mejor a los desafíos de este canal. Los ataques específicos a dispositivos móviles se están volviendo cada vez más complejos y de difícil detección sin una solución avanzada. Por ejemplo, ¿qué pasaría si se analizasen los datos recopilados de un dispositivo móvil, pero dichos datos ya se hubiesen comprometido antes de llegar al servidor?

Una buena solución de fraude también debe integrarse en el proceso de autenticación adaptativa, reaccionando de inmediato a las amenazas para proporcionar una experiencia de cliente segura y sin complicaciones. Una buena experiencia de usuario es uno de los diferenciadores clave para las IFs, resultando ser de gran necesidad. Los usuarios solo deben experimentar complicaciones si sus acciones se han evaluado como riesgo y el nivel se encuentra por encima del aceptable. Una solución moderna e integrada con la autenticación adaptativa, determinará el nivel de riesgo y activará el método de autenticación más adecuado.

Contacta con nosotros

Mª Jesús Hernández

Strategic Account Director

Saioa Echebarria

CEO

Entradas relacionadas

Inclusión financiera y digitalización
El Foro Económico Mundial expone los siete principios por los que la transformación digital puede erradicar la exclusión de muchas personas del sistema financiero