A medida que evaluamos la identidad digital debemos preguntarnos “¿quién?” y “¿por qué?”.
Recuerde que las interacciones de los consumidores se vuelven 100% online y hacen que la verificacion y la autenticación digital sean identidad de ayuda aunque insuficientes para detener todos los tipos de fraude.
Por: Adam Davies | VP de Gestión de Productos de FICO
La mayoría de las instituciones financieras (IF) han experimentado una rápida y profunda transición hacia interacciones del consumidor digitales.
Este cambio radical continúa generando riesgos inherentes que los bancos deben abordar de formas complejas y creativas.
Como una persona que le interesa combatir el fraude, inmediatamente me llaman la atención dos riesgos relacionados.
- ¿Este cliente es quien dice ser? Y, ¿cómo podemos verificar su identidad en el nuevo mundo digital?
- ¿Por qué este cliente está realizando está acción o tarea específica? Esta es una cuestión mucho más contextual y difícil de descifrar.
Los riesgos de contestar mal cualquiera de las dos preguntas deberían alentar a las instituciones financieras a repensar algunas cosas, incluyendo:
- Cómo y cuándo autentican a los clientes
- Cómo determinan si la conducta de un cliente es señal de un fraude potencial o si el cliente está siendo víctima potencial de un engaño
- Qué acciones tomar en consecuencia
Hay que darle más peso a conducta que a la identidad
La autenticación digital de identidad se ha vuelto crucial al diseñar experiencias sin complicaciones: desde pagos en tiempo real hasta un simple acceso a la cuenta.
Ahora más que nunca, es necesaria la verificación en todo el ciclo vital del cliente, no sólo para evitar fraudes y dar cumplimiento a normas sino, también, para evitar que sus usuarios legítimos sean partícipes de un fraude — intencionalmente o no.
Autenticar a un cliente con contraseñas, credenciales o, incluso, datos biométricos en el punto de entrada está muy bien, si el riesgo contra el que estamos protegiendo es fraude de Apropiación de Cuenta.
Sin embargo, si el cliente está siendo engañado, esa técnica por sí sola no será de gran ayuda.
Reconfirmar la identidad para autorizar una transacción, como una transferencia por una suma considerable, realmente no evita un fraude cuando el individuo cree que está haciendo algo legítimo.
Si las instituciones financieras buscan protegerse contra los efectos de los engaños (scams), deben establecer las pautas de una conducta regular: cuál es el arquetipo del cliente y qué conducta se espera, versus a la que se observa.
Evitar el pánico
Entonces, las instituciones financieras pueden comparar los datos de comportamiento en tiempo real con las pautas establecidas y, así, detectar anomalías.
Las anomalías se pueden examinar y categorizar de acuerdo con modelos establecidos como, por ejemplo, el “FraudClassifier” (clasificador de fraudes) de la Reserva Federal de Estados Unidos para determinar, rápidamente, si existe fraude y de qué tipo.
En última instancia, la decisión entre si la exposición está autorizada o no autorizada no es una decisión única.
Requiere de una mezcla de decisiones a lo largo del recorrido que hace el cliente.
Revisar un momento “instantáneo” no es de tanta ayuda como entender las decisiones tomadas en cada punto del trayecto, así como formular la siguiente serie de decisiones, con base en resultados previos.
Hemos jugado el juego de “Adivina quién”
A medida que se consolidaba la transformación digital, los estafadores adoptaron la tecnología para escalar y refinar sus ataques.
Para mitigar el fraude de Apropiación de Cuenta o identidad, los bancos han implementado diversas capacidades de gestión como autenticación, datos biométricos, perfil de conducta, toma de decisiones y transacciones declinadas o en espera.
Esto nos permitió comenzar un juego de “Adivina quién” y hacer preguntas como: ¿el cliente está dando inicio a estos eventos o es alguien/algo que se hace pasar por el cliente?
Se ha hecho un gran esfuerzo para abordar estos problemas, con capas enfocadas en autenticación mediante diversas pruebas para comprobar que la persona real coincide con su identidad digital.
Los estafadores han construido una industria al tratar de superar estas pruebas y, aunque siempre se puede mejorar, desde nuestro lado cada vez somos mejores.
Integrar la toma de decisiones para contestar “Adivina el por qué”
Una parte crucial del cambio en el pensamiento proviene cuando tenemos una mentalidad adicional.
Más allá del “Adivina quién”, el enfoque tiene que hacer el mismo énfasis en el “Adivina el por qué”.
Esto significa que los bancos deben ver la acción del cliente según el contexto para determinar si apunta hacia una estafa.
Todos los controles y las verificaciones de identidad confirmarán rápidamente la pregunta “Adivina quién”.
Sin embargo, toda vez que los controles y las verificaciones de identidad pueden resultar insuficientes por sí solas, las instituciones financieras pueden hacer uso de la toma de decisiones integrada en el trayecto del cliente para determinar qué está haciendo una identidad digital.
Las IF necesitan capacidades para describir conductas individuales, la capacidad de extraer datos de terceros aplicables para respaldar las decisiones y un sistema para revisar todos los eventos en tiempo real al 100%.
Con base en este esquema, las instituciones financieras pueden tomar falsos positivos de forma efectiva y evaluar la exposición autorizada a fraudes o engaños.
Preguntas esenciales
La línea de pensamiento del banco puede ser algo parecido a lo siguiente:
“Sé que es mi cliente, pero ¿POR QUÉ está teniendo esta conducta?” ¿POR QUÉ está teniendo una conducta diferente a la de los clientes de su arquetipo? ¿POR QUÉ lo está haciendo en este momento? ¿POR QUÉ está enviando dinero a este beneficiario?”
Aquí algunos ejemplos de preguntas que debemos hacer sobre los datos, y contestar mediante estrategias de toma de decisiones:
- ¿Por qué el cliente está iniciando sesión ahora, cuando normalmente accede a su cuenta a una hora diferente?
- ¿Por qué está en el sitio web cuando normalmente usa su celular?
- ¿Por qué fue a una sucursal a retirar efectivo cuando normalmente usa cajeros?
- ¿Por qué se toma más (o menos) tiempo del normal para hacer algo?
- ¿Por qué quiere enviar dinero a este nuevo beneficiario?
- ¿Por qué quiere enviar esta cantidad de dinero?
- ¿Por qué quiere mover ese dinero ahora mismo?
Las IF puede ver esto y preguntarse si esta conducta extraña es auténtica o si es indicio de fraude autorizado o no autorizado.
Agregar datos de terceros para tener mayor contexto
La información no aparece mágicamente en el lugar y momento que se necesita.
Las instituciones financieras necesitan combinar la información de sus clientes con datos de conducta en tiempo real, así como datos de terceros para obtener una serie más sólida de variables contextuales que contesten a las preguntas “Adivina quién” y “Adivina el por qué”.
Por ejemplo, los datos de terceros pueden mostrar si hay una relación establecida entre un cliente y sus beneficiarios.
O pueden arrojar información sobre si un usuario descargó una aplicación que ha sido reportada como vulnerable a engaños – como TeamViewer – o que alguien haya estado en el teléfono por 45 minutos al tiempo que estaba en la sesión online durante los últimos 10 minutos.
Esta conducta adicional en la web o en aplicaciones da a las instituciones financieras las pistas digitales que necesitan para detectar fraude en el momento, y contactar al cliente para detenerlo.
Cuando los bancos detectan un comportamiento que sugiere fraude, clasificarlo adecuadamente conduce a un seguimiento adecuado.
Entre éstos se encuentran autenticaciones adicionales, verificaciones y pruebas de información en tiempo real, e, incluso, entrevistas con analistas de fraude antes de que un cliente pueda tomar el siguiente paso en su recorrido.
Mayor seguridad en transacciones mediante la toma de decisiones
Debido a que las transacciones digitales se han vuelto tan frecuentes, a partir de ahora las IF siempre tendrán que saber si el comportamiento del cliente se sale de lo normal.
De no ser así, las instituciones financieras tendrán que determinar si se trata de fraude y qué tipo de fraude es.
Para autenticar y autorizar de forma efectiva a un cliente para cualquier actividad, las IF deben:
- Implementar modelos de toma de decisiones que incluyan el comportamiento del cliente, pero específicamente para cada tipo de exposición. Los modelos de fraude estándar con frecuencia no tendrán un buen desempeño para detectar engaños (scams), como ejemplo.
- Identificar qué clientes tienen el mayor potencial de ser víctimas de diversos fraudes/estafas, segmentar a dichos clientes en distintos arquetipos, y personalizar controles y tratamientos específicamente para dichos segmentos.
- Determinar qué métodos de autenticación o autorización beneficiarán más y protegerán a dichos clientes cuando estén involucrados en un fraude no autorizado.
- Educar a los clientes para que sean más conscientes de cómo proteger y verificar sus identidades, y buscarlos mediante un contacto razonable cuando se trate de actividades de autenticación, en especial cuando sean para pagos.
- Educar a los clientes sobre los riesgos de las estafas y adaptar el mensaje específicamente al tipo de estafas que podrían enfrentar.
- Contar con más formas de interactuar con el cliente en cada paso de su recorrido y entender cómo personalizar el trato dependiendo si el riesgo es autorizado o no.
Al recabar la información correcta de terceros; al usar distintos enfoques de modelado para la exposición autorizada y no autorizada.
Y, especialmente, al aprovechar orquestación flexible, elaboración de perfiles y la toma de decisiones, las instituciones financieras podrán estructurar controles muy específicos en el recorrido del cliente.
También serán capaces de brindar experiencias positivas a los clientes que, además de hacerlos sentir protegidos, permitirán que el banco minimice pérdidas.