Bank o krok przed przestępcami
Instytucje finansowe deklarują, że aby skutecznie walczyć z oszustwami i wyłudzeniami, trzeba zaangażować duże środki. Jednak nie zawsze oznacza to, że decydują się one na wdrożenie niezbędnych do zwalczania fraudów najnowszych narzędzi informatycznych. Czy więc banki na serio wierzą, że IT ułatwia walkę z nadużyciami?
Dane z opublikowanego w tym roku przez firmę doradczą EY oraz Związek Przedsiębiorstw Finansowych raportu "Nadużycia na rynku finansowym" mogą niepokoić. Wynika z nich bowiem, że skala defraudacji w instytucjach finansowych rośnie, a siedem na dziesięć z nich pada ofiarą wyłudzeń kredytów oraz pożyczek. W porównaniu z ubiegłym rokiem liczba tego typu nadużyć zwiększyła się w połowie firm leasingowych, blisko 60 proc. banków, a także we wszystkich instytucjach pożyczkowych, biorących udział w badaniu. Inne nadużycia, z jakimi muszą mierzyć się instytucje finansowe, to cyberataki, nieautoryzowane transakcje na rachunkach klientów oraz fałszowanie sprawozdań finansowych.
Analiza udzielonych odpowiedzi wykazała, że blisko 60 proc. respondentów zauważyło, że problem z roku na rok przybiera na sile. Odmiennego zdania było tylko 8 proc. ankietowanych, zaś co trzeci ocenił, że zjawisko nadużyć w badanym okresie pozostało na poziomie sprzed roku. Najwięcej przypadków nadużyć odnotowały w ostatnim roku banki. W każdej z tej grupy badanych instytucji zidentyfikowano średnio 1750 takich zdarzeń. W ujęciu miesięcznym jest to około 146 przypadków. Najmniej nadużyć rozpoznano natomiast w firmach leasingowych. W ciągu minionych 12 miesięcy zanotowały one przeciętnie 87 nadużyć, co daje średnio około siedmiu przypadków na miesiąc.
- Wraz z obserwowanym wzrostem skali zagrożenia wyłudzeniami, instytucje finansowe zwiększają nakłady na walkę z nimi. W porównaniu z ubiegłymi edycjami badania, kilkukrotnie zmalał odsetek instytucji, które na ten cel nie przeznaczyły żadnych środków finansowych. O kilka punktów procentowych wzrósł natomiast odsetek tych, które przeznaczają na ten cel najwyższe kwoty. Co istotne, badane instytucje nie zamierzają na tym poprzestać. Na pytanie o plany zwiększania wydatków na walkę z nadużyciami w kolejnych okresach, ponad 70 proc. respondentów odpowiedziało, że ma takie zamiary - mówi Mariusz Witalis, partner EY, lider Zespołu Zarządzania Ryzykiem Nadużyć w Polsce i w regionie Central, Eastern and Southeastern Europe & Central Asia (CESA).
Jego słowa nie u wszystkich dostawców IT w Polsce zajmują potwierdzenie. Przykładowo Comarch twierdzi, że zainteresowanie polskich instytucji finansowych rozwiązaniami IT wspierającymi walkę z nadużyciami jest wciąż niewielkie. Same banki nie zawsze lubią o tym mówić, tłumacząc, że nie chcą ułatwiać życia przestępcom informując ich o wdrażanych rozwiązaniach. Są jednak takie, które podkreślają głośno, że nie żałują środków na inwestycje w takie technologie w trosce o swoich klientów.
Tą drugą drogą poszedł np. Getin Noble Bank, który przekonuje klientów, że wchodzi na maksymalny poziom efektywności w walce z procederem oszustw finansowych, bowiem wdraża nowoczesne rozwiązanie w postaci Systemu Przeciwdziałania Nadużyciom w oparciu o systemy analityczne SAS Fraud Management oraz SAS Visual Investigator. A wszystko po to, by ograniczyć potencjalne straty finansowe spowodowanych przez nadużycia, zapewnić bezpieczeństwa transakcji przeprowadzanych przez klientów oraz wzrost wskaźnika detekcji sytuacji podejrzanych.
Getin Noble Bank podkreśla przy tym, że największym wyzwaniem w walce z nadużyciami jest konieczność ciągłego dostosowywania systemów bezpieczeństwa do zmieniających się schematów działania przestępców, którzy często znają procedury banków i wciąż pracują nad tym, żeby je skutecznie obejść. Dodatkowo, w obecnej rzeczywistości, przy bardzo szybkim tempie życia, nie sprawdzają się rozwiązania generujące zbyt duże ilości fałszywych powiadomień powodując frustrację klientów, których transakcje są niepotrzebnie wstrzymywane.
Dlatego też bank ten wybrał taki system, który miał zapewnić przyspieszenie procesów przeciwdziałania nadużyciom, umożliwiając wykrywanie i blokowanie podejrzanych transakcji jeszcze przed wykonaniem płatności. Innym jego wyróżnikiem jest, że obejmuje wszystkie kanały dostępu (a banki przyznają że dziś najtrudniej jest walczyć z przestępstwami w kanałach internetowym i mobilnym) oraz produkty oferowane przez bank w zakresie bardzo szeroko pojętych nadużyć, w tym aplikacyjnych, transakcyjnych, kartowych oraz wewnętrznych, będących zarówno wynikiem celowego działania, jak i błędu ludzkiego. Jak podkreśla Getin Bank chodzi bowiem o uzyskanie efektu skali i synergii w procesie wykrywania szeroko pojętych nadużyć, w tym aplikacyjnych, transakcyjnych, kartowych oraz wewnętrznych, będących zarówno wynikiem celowego działania, jak i błędu ludzkiego. Wszystkie transakcje są klasyfikowane w czasie rzeczywistym jako bezpieczne lub wymagające sprawdzenia, a w razie potrzeby system umożliwia podjęcie natychmiastowych działań, mających na celu zabezpieczenie środków klientów. System działa przez cały rok, 24 godziny na dobę, 7 dni w tygodniu.
Co istotne, system reaguje również w sytuacji pojawienia się nowego schematu wyłudzeń na rynku, dzięki czemu bank może jeszcze bardziej efektywnie zarządzać procesami antyfraudowymi. A analizowane mogą być takie elementy, jak: częstotliwość transakcji, wielkość konkretnych kwot czy kraj z lub do którego przekazywane są pieniądze.
- Kilka kwestii zaważyło o tym, że zdecydowaliśmy się na implementację technologii SAS. Najbardziej istotne z nich to: duże doświadczenie firmy w dziedzinie przeciwdziałania nadużyciom - w tym udane implementacje podobnych rozwiązań na rynku polskim, a także - co dla nas niezwykle ważne - holistyczne podejście do kwestii nadużyć. Chodzi o integrację informacji dotyczących nadużyć kredytowych i transakcyjnych na poziomie jednego narzędzia. W tym rozwiązaniu inicjatywy antyfraudowe są zarządzane za pośrednictwem jednej kompleksowej platformy, co gwarantuje efektywność operacyjną. Niezwykle istotny był również fakt, że system zbudowany w oparciu o rozwiązania SAS cechuje duża elastyczność, co z jednej strony ma kluczowe znaczenie w niezwykle dynamicznie rozwijającej się branży finansowej, a z drugiej pozwala budować procesy weryfikacji, które nie są uciążliwe dla klientów - tłumaczył Rafał Winnicki dyrektor Departamentu Zarządzania Ryzykiem Nadużyć z Getin Noble Bank.
Także PKO BP już ponad trzy lata temu zdecydował się na wdrożenie systemu SAS Enterprise Fraud Management wykorzystującego zaawansowaną analitykę oraz umożliwiającego ocenę zdarzeń w czasie rzeczywistym, zanim środki finansowe zostaną wyprowadzone z banku. Co ważne, platforma wiążącej dane z różnych obszarów banku oraz pozwala na efektywne wykrywanie i zapobieganie wszystkim rodzajom nadużyć.
- Opracowane strategie wykrywania nadużyć, wdrożone oczywiście na początku w obszarach kluczowych dla powstrzymania niekorzystnych trendów, pozwoliły wykryć i powstrzymać ogromną część prób wyłudzeń. Co ważne, odbywa się to bez wpływu na standardowe procesy sprzedażowe i operacyjne banku. Wdrożone rozwiązania i narzędzia, w tym modele analityczne, które wydają się być optymalne dla wykrywania niekorzystnych zjawisk, jednocześnie są stale rozwijane. Narzędzia analityczne oraz wiedza zespołu naszego partnera i zespołu analitycznego banku pozwalają na ciągły monitoring i szybką reakcję na nowe zjawiska fraudowe - oceniał wdrożenie Bartosz Baranowski, dyrektor Departamentu Bezpieczeństwa PKO Banku Polskiego.
Jednak także firma SAS - podobnie jak Comarch - uważa, że dziś instytucje finansowe zbyt rzadko sięgają po najnowsze dostępne technologie chcąc przeciwdziałać nadużyciom czy wyłudzeniom. I jest to nie tylko problem występujący w Polsce. Z opublikowanego niedawno przez tę firmę raportu "Anti-Fraud Technology Benchmarking Report" wynika, że tylko 13 proc. organizacji wykorzystuje sztuczną inteligencję i uczenie maszynowe do wykrywania i zapobiegania tym zjawiskom. Pocieszające może być jednak, że w najbliższym czasie odsetek ten ulegnie zwiększeniu, bowiem kolejne 25 proc. respondentów planuje wdrożyć rozwiązania z zakresu AI (Artificial Intelligence) i ML (Machine Learning) w ciągu roku lub dwóch lat.
Zwiększy się również stopień implementacji innych technik analitycznych. Do 2021 r. 72 proc. organizacji przewiduje wdrożenie zautomatyzowanego monitoringu, systemów raportowania wyjątków i wykrywania anomalii. W tym samym okresie, 52 proc. respondentów planuje implementację rozwiązań z zakresu analityki predykcyjnej i modelowania (obecnie techniki te są wykorzystywane w 30 proc. firm), natomiast stopień wykorzystania wizualizacji danych ma wzrosnąć z 35 proc. do 47 proc.
SAS zauważa, że do walki z nadużyciami organizacje coraz częściej wykorzystują biometrię, która umożliwia rozpoznawanie osób na podstawie ich cech fizycznych. Metoda ta zakłada weryfikację użytkowników przed zalogowaniem do systemu, na podstawie m.in. linii papilarnych, tęczówki oka czy kształtu twarzy (tzw. funkcja rozpoznawania twarzy). Stanowi ona element programów antyfraudowych u ponad 25 proc. respondentów badania przeprowadzonego przez SAS. Kolejne 16 proc. planuje wdrożyć tę metodę do 2021 roku.
Autorzy raportu SAS zauważyli podobnie jak EY w Polsce, że implementacja nowych technologii i metod badawczych ma związek ze wzrostem budżetów na działania mające na celu przeciwdziałanie nadużyciom. 55 proc. uczestników badania planuje zwiększenie funduszy na ten cel w ciągu najbliższych dwóch lat.
- Zrozumienie technologii i strategii biznesowych, które wdrażają inne firmy, pomaga określić, w jakim kierunku zmierza rynek i zaplanować inwestycje w rozwiązania z zakresu przeciwdziałania nadużyciom - tłumaczy James Ruotolo, starszy dyrektor ds. produktów i marketingu w dziale fraud i security intelligence w SAS. - Znaczne zwiększenie w najbliższych latach poziomu implementacji sztucznej inteligencji, uczenia maszynowego i modelowania predykcyjnego pokazuje, że zaawansowana analityka pomaga specjalistom ds. przeciwdziałania nadużyciom być o krok przed przestępcami - dodaje.
W to, że banki będą coraz więcej będą inwestować w rozwiązania antyfraudowe oparte na najnowszych technologiach IT wierzy też firma Oracle. Dlatego podjęła niedawno strategiczną decyzję, by rozwijać ofertę rozwiązań przeznaczonych do walki z przestępstwami finansowymi, zarządzania zgodnością z przepisami oraz zapobiegania praniu brudnych pieniędzy. Dlatego Oracle wciąż inwestuje w rozwój swoich tradycyjnych produktów do walki z przestępstwami finansowymi - takich jak Oracle Enterprise Case Management i Oracle Anti Money Laundering Enterprise Edition, aby nadążyć za zmieniającymi się wymaganiami klientów. Antyfraudowe systemy tej firmy wykorzystują technologię automatycznego uczenia do analizy danych oraz automatyzacji przepływów pracy oraz analizy graficznej w celu wizualizacji sieci.
- W miarę jak transakcje bankowe stają się coraz bardziej cyfrowe, a Internet Rzeczy (IoT) dojrzewa, możliwości popełniania oszustw przez przestępców mnożą się wykładniczo - podobnie jak wyzwania stojące przed instytucjami usług finansowych. Dla lepszego zapobiegania oszustwom bankowym Oracle rozbudował zestaw aplikacji pod nazwą Oracle Financial Services Enterprise Fraud Management, które wykorzystują w swoim działaniu technologie uczenia maszynowego - podkreśla Ryszard Krawczyński, główny konsultant sprzedaży Aplikacji Oracle w Oracle Polska
Tłumaczy on, że oferowane narzędzie oparte na uczeniu maszynowym umożliwia np. wyrafinowane wykrywanie zachowań, które identyfikuje złożone wzorce oszustw, takich jak np. wyłudzanie kredytów. - W takich przypadkach oszust, który mógł ukraść tożsamość setek lub tysięcy osób, będzie ubiegał się o kredyt od pożyczkodawców używając wielu fałszywych nazwisk. Aby zidentyfikować tak złożone wzorce na przestrzeni czasu, rozwiązanie Oracle wykorzystuje dopasowanie sekwencji i analizę sieci. Uczenie maszynowe zapewnia bardziej skuteczne i opłacalne strategie ochrony przed oszustwami i zapobiegania im zastępując bardziej uciążliwe i mniej dokładne podejścia do zarządzania ryzykiem oparte na regułach - przekonuje Ryszard Krawczyński.
Menedżer Oracle wstrzymuje się jednak od odpowiedzi na pytanie, czy polskie instytucje finansowe są zainteresowane narzędziami tak zaawansowanymi, a w związku z tym kosztownymi.
Można przypuszczać, że dziś nie wszystkie instytucje czują jeszcze taką potrzebę, choć są świadomi problemu, co potwierdza badanie EY i Związku Przedsiębiorstw Finansowych.
- Pomimo wskazywanych ryzyk związanych z nadużyciami, badane instytucje oceniły, że poziom ich przygotowania do walki z ciągle zmieniającymi się schematami oraz nowymi narzędziami i technologiami wykorzystywanymi w nadużyciach jest relatywnie dobry, zdecydowanie lepszy niż przed rokiem. Jak pokazuje nasze badanie, najczęściej stosowanymi przez instytucje finansowe metodami przeciwdziałania nadużyciom są weryfikacja danych klientów przy sprzedaży produktu, pisemne procedury i polityki wewnętrzne oraz kontrole kierownictwa i menedżerów wysokiego szczebla. Najwyżej ocenianą metodą przeciwdziałania nadużyciom były czynności podejmowane przez samodzielny zespół wewnętrzny, mający wykrywać nieprawidłowości i walczyć z nimi - mówi Mariusz Witalis z EY.
Problem w tym, że takie podejście zmniejsza czasami chęć skorzystania z bardziej zaawansowanych narzędzi informatycznych. Potwierdzają to przeprowadzone kilka miesięcy badania SAS wśród przedsiębiorstwa (nie tylko instytucji finansowych) zarówno w Polsce, jak i całym regionie EMEA. Wynika z nich, że głównymi barierami w stosowaniu zaawansowanych metod analitycznych jako narzędzia zapobiegawczego w przypadku oszustw są: preferowanie ręcznego przetwarzania danych (33,3 proc.) oraz wysokie koszty wdrożenia (33 proc.). Podobne przeszkody uniemożliwiają przedsiębiorstwom wdrożenie sztucznej inteligencji lub automatyzacji, jako narzędzi do walki z możliwymi nadużyciami, co dzisiaj już staje się w tym obszarze wymogiem koniecznym.
Czy więc zawsze banki są mądre przed szkodą?
Marek Jaślan
