Identidade digital: você precisa perguntar “Quem?” e “Por que?”

Identidade digital: você precisa perguntar “Quem?” e “Por que?”. A maioria das instituições financeiras passou por uma transição rápida nas interações digitais com os clientes.

Essa mudança criou riscos inerentes que os bancos devem enfrentar de maneira complexa. As interações totalmente on-line com clientes ganharam respaldo para verificação de identidade digital e autenticação. Mas, uma autenticação sofisticada nem sempre pode impedir todos os tipos de fraude, por isso, dois riscos relacionados a fraudes se destacam:

  1. O cliente é de fato quem ele diz ser? Como podemos verificar essa identidade no mundo digital?
  2. Por que esse cliente está realizando uma ação ou tarefa específica? O segundo questionamento tem mais a ver com uma questão contextual, complicada de desvendar.

Os riscos de responder incorretamente a qualquer uma das perguntas devem encorajar as instituições financeiras a repensar algumas coisas, incluindo o “como” e “quando” eles autenticam os clientes. Afinal, como determinar se o comportamento sinaliza potencial para fraude, ou se o cliente é a vítima em potencial de um golpe? E quais ações tomar em resposta.

Estamos jogando o jogo “Adivinha quem?”

À medida que a transformação digital se consolida, os fraudadores desenvolvem outras formas e planos de ataque. O jogo aqui nunca termina. Cada nova fase apresenta desafios.

Os bancos implantaram muitos recursos de gerenciamento de identidade, como autenticação, biometria, perfil comportamental, tomada de decisão e recusas/retenções com foco na minimização do problema. Contudo, o combate a práticas ilícitas é contínuo e, embora sempre haja espaço para melhorar, a tecnologia desenvolvida tem sido eficiente para combater essa indústria.

Mas precisamos responder “Adivinhe por quê?”

Mas é na próxima pergunta “Adivinhe o por quê?” que o combate à fraude é de fato diferenciada. Isso porque os bancos precisam analisar a ação dentro de um contexto, afinal, como identificar que não há golpe?

As verificações de controle de identidade confirmarão a resposta para a pergunta “Adivinha quem?”. Mas para contextualizar, é preciso ter recursos para traçar o perfil de comportamentos individuais, a capacidade de extrair dados aplicáveis ​​de terceiros para apoiar decisões e um sistema para revisar todos os eventos em tempo real. É essa estrutura que vai diferenciar falsos positivos com eficácia e avaliar a exposição autorizada a fraudes.

É preciso fazer perguntas comportamentais como: Por que esse cliente está fazendo login agora, quando normalmente acessa sua conta em horários diferentes? Por que eles estão na web quando normalmente usam dispositivos móveis? Por que eles foram a uma agência para sacar dinheiro, quando normalmente usam caixas eletrônicos? Por que eles estão demorando mais (ou menos) para fazer algo do que o normal? Por que eles querem enviar dinheiro para esse novo beneficiário? Por que eles querem enviar essa quantia de dinheiro? Por que eles querem movimentar esse dinheiro agora?

Com um “script” pensado, é possível trabalhar e entender tempos e movimentos de cada cliente e assim definir, com mais racionalidade e confiança, se um procedimento se trata de uma fraude autorizada ou não autorizada.

Cruzar esse comportamento com dados – como por exemplo, identificar o download de um aplicativo de acesso remoto — que poderia ser utilizado em um golpe , ou que alguém esteve ao telefone por 45 minutos enquanto estava conectado à sessão online nos últimos 10 minutos -, traz ainda mais confiabilidade para essa tomada de decisão.

Quando os bancos detectam um comportamento que sugere fraude, classificá-lo adequadamente leva a acompanhamentos apropriados. Isso pode incluir autenticações extras, verificações e testes de informações em tempo real e até mesmo entrevistas com analistas de fraude antes que um cliente possa prosseguir para a próxima etapa de sua jornada.

Pondere o Comportamento versus a Identidade

A autenticação de identidade digital tornou-se crucial ao projetar experiências sem atrito para qualquer coisa. Mais do que nunca, a verificação em todo o ciclo de vida do cliente é necessária, não apenas para gerenciamento de fraudes e conformidade regulatória, mas também para impedir que clientes legítimos participem de fraudes, intencionais ou não.

Reconfirmar uma identidade para autorizar uma transação, como uma grande transferência monetária, não evita realmente a fraude quando o indivíduo pensa que está fazendo algo legítimo. Se as instituições financeiras quiserem se proteger das consequências dos golpes, elas precisam estabelecer linhas de base para o comportamento normal e ter desenhado o arquétipo do cliente junto ao comportamento esperado versus o que está sendo observado.

Esse histórico baseado em dados permite que a jornada do cliente seja entendida e não apenas um momento “instantâneo” seja avaliado, o que minimiza riscos.

Portanto, extrair os dados corretos de terceiros usando abordagens de modelagem distintas para exposição autorizada e não autorizada; e alavancando orquestração flexível, criação de perfil e tomada de decisão; é possível sequenciar controles muito específicos ao longo da jornada do cliente, que garantem maior proteção ao cliente e menor risco ao banco.

Por Adam Davies, vice-presidente de Gerenciamento de Produto

Veja também:

Sobre mindsecblog 2483 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

2 Trackbacks / Pingbacks

  1. Identidade digital: você precisa perguntar “Quem?” e “Por que?” – Neotel Segurança Digital
  2. ChatGPT precisa de regulação para maior segurança | Minuto da Segurança da Informação

Deixe sua opinião!