Technologie: PSD2 – jak zapewnić bezpieczeństwo transakcji po wdrożeniu?
Marcin Nadolny
Fraud & Security Director – South EMEA, SAS Institute
Jesteśmy świadkami istotnych zmian, gdyż nieobecne dotychczas w sektorze usług płatniczych podmioty, takie jak platformy social media czy firmy fintech, szykują się do wejścia na ten rynek jako TPP (Third Party Providers). W dzisiejszym świecie, gdy ponad połowa decyzji zakupowych jest podejmowana z wykorzystaniem internetu, najczęściej poprzez portale społecznościowe i aplikacje mobilne, dostosowanie się do wymagań nowej dyrektywy jest kluczowym wyzwaniem dla tradycyjnych banków i instytucji finansowych. Zmiany te pozwolą uruchomić nowe kanały i stworzą możliwości rozwoju nowych usług dodanych, ale również przyczynią się do zwiększenia ryzyka nadużyć. Nowa, jeszcze nie do końca zdefiniowana rzeczywistość, która zastanie świat finansów po wdrożeniu PSD2, otworzy pole dla nowych typów nadużyć i zachęci przestępców do weryfikacji stosowanych zabezpieczeń. Dlatego jeszcze bardziej istotne niż do tej pory staje się wdrażanie przez instytucje finansowe innowacyjnych rozwiązań antyfraudowych, by zapewnić bezpieczeństwo środków finansowych oraz danych swoich klientów.
Nowa sytuacja – zwiększone ryzyko
Tradycyjne instytucje finansowe długo cieszyły się dwustronną relacją ze swoimi klientami. Ta komfortowa sytuacja może się wkrótce zmienić, gdy wraz z wdrożeniem PSD2 na rynek wejdą firmy TPP z nowymi usługami. W efekcie tej zmiany banki nie tylko mogą mniej wiedzieć o procesowanej transakcji i jej otoczeniu, ale również będą musiały zmierzyć się z koniecznością przetwarzania dużo większych wolumenów transakcji niż do tej pory, które mogą przekroczyć możliwości ich obecnych systemów. W świetle nowej dyrektywy PSD2 nie będą mogły odmówić nowym dostawcom usług płatniczych dostępu do rachunków ich klientów. W związku z tym bankowe systemy wykrywania nadużyć będą musiały sprostać nowym wyzwaniom związanym z analizą dużej ilości transakcji z nowych kanałów. Bezpieczna realizacja tego typu operacji wymaga zastosowania efektywnych i skalowanych rozwiązań antyfraudowych, wykorzystujących analitykę behawioralną (pozwalającą na stwierdzenie, czy coś jest typowe lub nietypowe) i będących w stanie poradzić sobie w czasie rzeczywistym z oceną olbrzymich wolumenów błyskawicznie pojawiających się transakcji i zapytań. Co więcej, okno czasowe do analizy transakcji i podjęcia decyzji będzie znacznie zredukowane i tym bardziej w celu ograniczenia ryzyka fraudowego, konieczne będzie zdanie się na automatyzację i zaawansowaną analitykę.
Nowi gracze na rynku płatności
Wdrożenie RTS – powiązanych z PSD2 Regulacyjnych Standardów Technicznych dotyczących silnego uwierzytelniania i bezpiecznej komunikacji – powinno nastąpić do końca 2018 r. (choć prawdopodobnie termin ten zostanie przesunięty). Od tego czasu podmioty TPP będą mogły oferować konsumentom usługi, działając jako pośrednicy między klientami końcowymi a ich bankami. Nowa dyrektywa wprowadza dwa rodzaje nowych dostawców usług płatniczych (TPP) – AISP (Account Information Service Provider) i PISP (Payment Initiation Service Provider). Poprzez PISP klient będzie mógł inicjować płatności, które zostaną przekazane do banku. AISP będą mogły agregować informacje o różnych rachunkach klientów i prezentować je za pomocą jednego interfejsu użytkownika oraz oferować dodatkowe usługi. Środki finansowe na rachunkach klientów pozostaną oczywiście nadal w gestii banków, dlatego też ich kluczowym zadaniem będzie zapewnienie bezpieczeństwa i weryfikacja, czy przychodzące zapytania (transakcje płatnicze lub zapytania informacyjne) nie posiadają znamion nadużycia.
Już dziś zapewnienie bezpieczeństwa transakcji elektronicznych jest dla wielu banków trudnym wyzwaniem. Po wdrożeniu PSD2 to wyzwanie będzie jeszcze większe, z uwagi na zapytania kierowane przez podmioty trzecie, w przypadku których bank nie będzie miał bezpośredniego kontaktu z konsumentem. Zapytania wykonywane poprzez TPP będą bardziej podatne na nadużycia dokonywane z wykorzystaniem malware lub technik inżynierii społecznej, a fraudsterzy mogą wykorzystywać TPP do zaciemnienia swoich działań i oszukiwania bankowych systemów antyfraudowych.
Źródło: SAS Institute
Dostęp do rachunku dla podmiotów trzecich
Główną zmianą wprowadzaną przez PSD2 jest dostęp do infrastruktury bankowej i rachunków klientów poprzez tzw. Open API. Każdy nowy kanał cyfrowy niesie ze sobą ryzyko nadużyć, a fraudsterzy mogą wykorzystać okazję do podszywania się pod prawdziwych klientów, zbierać informacje o nich poprzez podmioty AISP i wykorzystywać je np. do wyłudzeń kredytowych. Dodatkowo dostęp do rachunku (XS2A) może być także wykorzystany do ataków w celu wykradzenia danych. W kontekście takich regulacji, jak GDPR (Ogólne rozporządzenie o ochronie danych osobowych) niesie to dla banków dodatkowe ryzyko wysokich kar związanych z niedostatecznym zabezpieczeniem danych osobowych klientów. Standardowe reguły biznesowe czy nawet istniejące modele predykcyjne mogą być nieefektywne do wykrywania tego typu zagrożeń. Istnieje również obawa, że banki mogą nie otrzymywać od TPP wszystkich istotnych danych (np. informacji o urządzeniach, danych sesyjnych itp.), co może mieć istotny wpływ na efektywność wykorzystywanych narzędzi do profilowania klientów oraz skuteczność stosowanych modeli predykcyjnych.
Jednym z rozwiązań, które może zwiększyć skuteczność wykrywania ryzykownych zdarzeń, jest zastosowanie technik wykrywania anomalii. I tak przykładowo – odchylenia od wzorca zachowań grupy porównawczej dla danego AISP mogą wskazywać na wykorzystanie malware/cyberataku do pozyskania informacji o kliencie. Również wysoka kwota wykonywanego poprzez PISP przelewu na zagraniczne konto może być uznana za nietypową dla klienta, który nigdy wcześniej nie wykonywał takiego przelewu.
Silne uwierzytelnianie klienta
Z reguły pierwszym krokiem do dokonania nadużycia w świecie płatności elektronicznych jest uzyskanie dostępu do konta ofiary. Mechanizmy silnego uwierzytelniania klienta są kluczowym czynnikiem ograniczającym ryzyko przejęcia rachunku. PSD2 przewiduje obowiązkowe wykorzystanie dwuetapowego uwierzytelniania (2FA) dla większości transakcji z niewielkimi wyjątkami. Tutaj wyzwaniem będzie jednak nie tyle kwestia zapewnienia bezpieczeństwa dostępu do rachunku, lecz raczej odpowiednie wyważenie poziomu bezpieczeństwa. Optymalne podejście powinno opierać się na zastosowaniu adaptacyjnego uwierzytelniania, które monitoruje wszystkie istotne czynniki ryzyka (np. urządzenie, kanał, kwotę itp.) i stosuje adekwatny, solidny mechanizm uwierzytelniania wykorzystujący wiedzę o użytkowniku.
W kontekście regulacji Unii Europejskiej dotyczących cyfrowej identyfikacji transakcji elektronicznych (eIDAS), na rynku europejskim wiele organizacji finansowych rozważa użycie wspólnego rozwiązania do zarządzania tożsamością, aby częściowo wypełnić wymogi dotyczące silnego uwierzytelniania stawiane przez PSD2.
Niezależnie od wykorzystywanego procesu uwierzytelniania, wszystkie instytucje procesujące płatności będą musiały upewnić się, że każde żądanie dostępu jest uzasadnione. Idealnym rozwiązaniem jest realizacja tego zadania z pomocą warstwy systemu antyfraudowego, wykorzystującej zaawansowaną analitykę do oceny ryzyka prób uwierzytelniania.
| Marcin Nadolny Fraud & Security Director – South EMEA, SAS Institute W SAS Institute odpowiada za praktykę Fraud & Security w regionie South EMEA. Kierował zespołem analityków wdrażających rozwiązanie SAS Enterprise Fraud Management w PKO Banku Polskim. Posiada ponad 13 lat doświadczenia zawodowego, które zdobywał także w PwC, Toyota Bank oraz w DaimlerChrysler R&D. Jest ekspertem w zakresie zastosowań zaawansowanej analityki, w tym machine learning i data mining w biznesie. Brał udział w licznych projektach dla największych banków w Polsce, obejmujących m.in. budowę modeli predykcyjnych oraz sieci powiązań społecznych na potrzeby wykrywania nadużyć. |
Podsumowanie
Nowe regulacje, technologie i czynniki rynkowe stawiają sektor płatności w zupełnie nowej sytuacji. Już wkrótce możemy się spodziewać szerszego zakresu prostych w obsłudze, mobilnych i elastycznych rozwiązań płatniczych, zaprojektowanych z myślą o konsumentach i stawiających duże wyzwania tradycyjnej bankowości. Zanim jednak nowe rozwiązania okrzepną, wszyscy uczestnicy rynku płatności powinni zachować jak najwyższą ostrożność i być przygotowani na zwiększone ryzyko nadużyć. Oszuści nieustannie dostosowują się do nowych możliwości i z pewnością będą chcieli wykorzystać na swoją korzyść okres przejściowy i potencjalne luki w procesach płatności. W tym kontekście, niezależnie od tego jaką postać finalnie przyjmie RTS, dla instytucji płatniczych kluczowe jest zainwestowanie w holistyczne platformy wykrywania nadużyć wykorzystujące szeroką paletę zaawansowanych technik, które pozwalają wydobyć istotne informacje ukryte w danych oraz w czasie rzeczywistym wykryć oznaki nadużycia. Tylko taka proaktywna strategia może zapewnić bezpieczeństwo transakcji i danych klientów w nowej rzeczywistości.
