Il mercato delle frodi digitali è sempre attivo. Oggi, nell’ambito dei pagamenti digitali, per esempio, assistiamo a tre tipologie differenti di frode: le cosiddette “third party fraud”, ossia quelle messe a punto da terze parti, spesso simulando il comportamento dei clienti reali per accedere in modo fraudolento ai servizi bancari; le frodi che hanno come obiettivo quello di rubare dati, identità e denaro dei clienti di una banca, un istituto finanziario o un gestore di pagamenti utilizzando i dati reali per creare identità fittizie al fine di accedere e utilizzare i servizi finanziari in modo fraudolento; le frodi messe a segno da clienti reali di una azienda.
Benché si tratti di tre macro-tipologie differenti di frode, ciò che le accomuna è lo scopo, ossia rubare denaro, fare in modo che una somma arrivi al frodatore anziché al legittimo destinatario. Questa considerazione può sembrare banale, ma va vista alla luce dei prossimi possibili scenari entro i quali saranno attivati in modo diffuso i pagamenti e i bonifici istantanei, che implicano una gestione antifrode in real-time da parte degli istituti finanziari.
Se un trasferimento di denaro, un pagamento via carta di credito o di debito, un bonifico, oggi hanno qualche giorno di “incubazione” prima che la transazione venga effettivamente contabilizzata tra le parti, con i pagamenti istantanei questo tempo si riduce da giorni a 10 secondi.
Un cambiamento enorme che implica necessariamente un ripensamento delle politiche strategiche per il risk management e la gestione anti frode, in particolare per la tracciabilità e l’analisi in tempo reale dei pagamenti.
Quando si tratta di sicurezza dei pagamenti, il consumatore è quasi sempre l’anello debole del meccanismo, perché meno preparato e più esposto agli attacchi. Tralasciando le frodi messe a segno dai clienti bancari, che hanno differente natura e presuppongono un atteggiamento criminale di base, la stragrande maggioranza delle frodi avviene in realtà all’insaputa dei clienti.
Basti pensare all’aumento degli attacchi di phishing, vishing e smishing. Attacchi che si fanno sempre più sofisticati con tecniche e meccanismi di social engineering e che, con l’ampia diffusione dei sistemi basati su tecniche di intelligenza artificiale, risultano sempre più efficaci nel loro scopo di frode. Un esempio sono gli attacchi con deep fake, che si avvalgono di sistemi che riproducono la voce di un familiare che chiede supporto economico in una situazione di difficoltà.
Non si può quindi demandare ai singoli utenti la responsabilità di controllo e sicurezza. Chi opera nell’ambito dei servizi di pagamento deve farsi carico della mitigazione dei rischi e della gestione delle frodi. Supportare la clientela per migliorarne la cosiddetta “postura di sicurezza”, benché di fondamentale importanza, non basta. Sono le banche, gli enti finanziari, i gestori di servizi di pagamento e, più in generali, gli operatori in ambito economico-finanziario, a doversi dotare di strategie e tecnologie efficaci per la protezione degli utenti lungo tutto il customer journey.
È fondamentale che la prevenzione, la detenzione e la gestione delle frodi siano attivati in tutti i touch point, cioè per i cosiddetti “customer moments” degli utenti, che accedono o utilizzano un sistema o servizio collegato alla banca fino a quando si effettua una operazione dispositiva.
Ancora una volta, possono sembrare considerazioni banali ma oggi vanno lette nell’ambito dell’arrivo di nuovi scenari, quelli legati ai pagamenti istantanei, che cambieranno completamente “le regole del gioco”. Sarà sempre più critico dotarsi di sistemi di analisi in real-time, capaci di intercettare per tempo possibili frodi, senza al contempo causare disservizi e frizioni negli utenti.
Una delle principali criticità e delle sfide più ardue riguarda l’addestramento di modelli di analisi su ampie base dati. Una risposta a questa problematica arriva dall’uso dell’Intelligenza Artificiale generativa per la creazione di dati sintetici.
Nello specifico, l’impego di metodi e simulazioni per creare dati con proprietà statistiche del mondo reale, senza quindi usare dati reali degli utenti ma creando dati anonimi che hanno però le stesse proprietà statistiche per poter essere utilizzati dai modelli di analisi, in particolare per le fasi di training di modelli.
Oggi il quadro normativo europeo agevola e accelera l’innovazione in ambito FinTech, avendo come obiettivo quello di garantire ai consumatori servizi sempre più ampi, digitali e semplici. La complessità che c’è “dietro le quinte” non deve avere impatti sulle persone; per chi opera nel settore, questo comporta il dover affrontare sempre sfide nuove e dover innalzare sempre di più l’asticella della sicurezza, soprattutto nel campo dell’anti-frode.
Di contro, la forte accelerazione dell’Intelligenza Artificiale e la maturità delle tecnologie di Advanced Analytics, “innervate” con le più avanzate tecniche di Intelligenza Artificiale “enterprise grade” sono oggi la miglior risposta alle imminenti sfide come quella della gestione real-time della sicurezza dei pagamenti istantanei.
(di Carmelo Garofalo, Fraud& Security Intelligence Practice Manager, SAS)