A fraude nos pagamentos evolui rapidamente - será que podemos estar um passo à frente?

Por: Diana Rothfuss, Diretora de Marketing Global, SAS Fraud and Security Intelligence Practice

A fraude de pagamento acontece quando alguém com má intenção rouba a informação de pagamento privada de outra pessoa - ou a engana com intenção de partilhar - depois utiliza essa informação para uma transação falsa ou ilegal. Sempre que um novo método de pagamento ou serviço ganha popularidade, o cenário de pagamento muda. E o mesmo acontece com os autores das fraudes. Adaptam-se a cada nova tendência, desenvolvendo novos e cada vez mais sofisticados esquemas de fraude de pagamento.

Os burlões dependem do elo mais fraco da cadeia de acontecimentos que conduzem à fraude de pagamentos - as pessoas. Qualquer pessoa que efetue pagamentos ou utilize serviços de pagamento é um alvo potencial. Infelizmente, não é difícil para os criminosos manipular pessoas, enquanto trabalham para atingir objetivos nefastos.

Em todo o mundo, os autores de fraudes adaptaram-se rapidamente, migraram e aperfeiçoaram as suas táticas de fraude, tirando partido de organizações e indivíduos que não estão preparados. Se as tendências atuais continuarem, Juniper Research diz que é provável que as perdas por fraudes de pagamento online atinjam os 48 mil milhões de dólares até 2023. E isso é apenas a ponta do iceberg.

O que podem as organizações fazer para enganar os criminosos e manter-se à frente de novas táticas de fraude nos pagamentos? Antes de considerarmos a resposta, vejamos o que há de novo no mundo dos pagamentos e vejamos porque é que novos tipos de serviços de pagamento abriram a porta a novas ameaças de fraude.

Gerir o risco de fraude na era digital

A maioria dos clientes anseia por conveniência. Mas agregado à popularidade de transações mais simples e rápidas, vem um maior grau de risco - alguns inerentes aos pagamentos móveis e em linha. Este documento descreve as principais medidas que as organizações podem tomar para combater eficazmente o aumento do risco de fraude dos pagamentos digitais.

Download do paper

Novas tendências de pagamento criam novos desafios de fraude, ameaças

O atual ecossistema de pagamentos expandiu-se muito para além dos bancos tradicionais, com fintechs, bancos desafiantes e prestadores de serviços de pagamento (PSPs) a empurrar uma variedade de serviços de pagamento novos e inovadores. Em simultâneo, assistimos a um enorme crescimento no número de pagamentos instantâneos (ou "imediatos"). Tais pagamentos demoram segundos ou menos desde o início até à liquidação.

Quando a pandemia empurrou o mundo para a digitalização, os pagamentos ficaram cada vez mais sem dinheiro e abriram portas para novos e mais rápidos tipos de pagamento. Mas, com toda a inovação, surgem novas ameaças de fraude - em diferentes linhas de tempo em diferentes partes do globo.

Uma nova ameaça numa região dá às organizações de outras regiões uma oportunidade de aprenderem com aqueles que já passaram por isso - mas apresenta uma oportunidade igual para os autores de fraudes. A fraude acontece hoje em dia mais rapidamente porque os infratores exportam modelos que funcionaram em determinada região, para outra região que está a adotar tecnologia semelhante. As organizações apanhadas na curva pagam um preço elevado.

Considere o contexto em torno de alguns dos desafios mais urgentes:

Pagamentos instantâneos (imediatos) significam fraude imediata. Isto porque os ataques de fraude escalam rapidamente - e as perdas crescem exponencialmente. Para responder rapidamente, as organizações devem ter processos de fraude apropriados em vigor. A utilização de uma abordagem de deteção puramente baseada em regras deixa as organizações expostas porque as mudanças levam dias a implementar.
Evolução dos pagamentos digitais - tais como carteiras móveis, de pessoa para pessoa (P2P) e serviços de sobreposição - criam novas oportunidades que os autores de fraudes podem explorar. As equipas de fraude e risco carecem de experiência e de dados históricos no que refere a estas opções de pagamento emergentes, tornando quase impossível combater a fraude com soluções de fraude tradicionais, baseadas em regras. E, na tentativa de entrar em ação com novos serviços de pagamento como open banking, os controlos da fraude são por vezes deixados para trás.
As money mules crescem simultaneamente à fraude nos pagamentos. As contas de money mules são criadas para receber e branquear fundos ilícitos (muitas vezes descobertos através do combate ao branqueamento de capitais ). Tais contas criam problemas para os bancos e PSP em termos de gestão dos seus novos processos de integração de contas. A prevalência de tais contas exige também que os bancos disponham de processos que identifiquem, façam a gestão e fechem contas utilizadas indevidamente por money mules.

Os bancos e PSP precisam de passar a ter uma resposta de 24x7 no combate à fraude. É necessário que um alerta de pagamento suspeito seja gerido em tempo real, em vez de demorar dias a investigar. É imperativo, no que toca a este tema, tomar decisões rápidas mas precisas, à medida que os clientes fazem pagamentos instantâneos. Os consumidores atuais esperam uma resolução imediata em caso de atraso ou interrupção dos pagamentos.

A fraude acontece hoje em dia mais rapidamente porque os infratores exportam modelos que funcionaram em determinada região, para outra região que está a adotar tecnologia semelhante. As organizações apanhadas na curva pagam um preço elevado. Diana Rothfuss Fraud and Security Intelligence Practice SAS

O papel dos reguladores e do open banking, normalização e interoperabilidade

Os reguladores estão fortemente envolvidos e afetados por alterações no panorama dos pagamentos. Considere-se, por exemplo, os desafios regulamentares do open banking.

O modelo open banking utiliza APIs para dar a prestadores de serviços financeiros de terceiros, acesso aberto aos dados financeiros dos consumidores de bancos e outras transações em diferentes tipos de organizações. Com programas open banking em curso em todo o mundo, os reguladores devem supervisionar muitos serviços bancários e de pagamento que se expandiram para incluir novos participantes.

Outro exemplo é a diretiva da UE relativa aos serviços de pagamento (PSD2), que criou perturbações no ecossistema de pagamentos. Os reguladores em todo o mundo estão a procurar opções semelhantes nas suas regiões.

Outros factores

A padronização e a interoperabilidade são também relevantes para o sucesso dos esquemas de pagamento e transposições que atravessam as fronteiras nacionais e regionais. Embora estes esforços estejam em curso, o mercado de pagamentos continua fragmentado ao longo das fronteiras nacionais e regionais - muito mais do que os pagamentos com cartão. Sem dúvida que continuaremos a assistir a movimentos neste espaço, tais como:

Alterações como a norma ISO 20022 de envio de mensagens de pagamento.
Esquemas como o P27 (esquema de pagamento pan-nórdico) e o SWIFT gpi, que ajudarão a transferir pagamentos imediatos para além dos serviços multidivisas nacionais para serviços multidivisas regionais e globais.

No meio do turbilhão da inovação encontram-se muitas oportunidades e desafios. Como é que este ambiente acelerado afeta o espaço da fraude?

Aprender sobre a banca como um serviço e porque apresenta novas oportunidades

Banking as a service (BaaS) é um modelo que permite que terceiros prestem serviços financeiros enquanto os bancos mantêm as obrigações regulamentares. Não é um papel sexy para os bancos, mas tem o potencial de impulsionar novas receitas, potenciar o alcance e criar novos mercados a um baixo custo.

Leia o artigo

Principais tipos de fraude em matéria de pagamentos

Existem muitos tipos diferentes de fraude em matéria de pagamentos. Uma forma de o compreender é considerando as duas categorias mais amplas - fraude de pagamento não autorizado versus fraude de pagamento autorizado. Vamos considerar como cada umfunciona, e o que pode ser feito para o impedir.

Fraude de pagamento não autorizada (apropriação de conta)

A fraude de pagamento não autorizada, ou apropriação de conta, acontece quando um criminoso compromete as credenciais de um cliente ou passou pela autenticação de um cliente e obteve acesso a uma conta legítima. Este procedimento é tipicamente feito através de phishing ou malware que recolhe informações do cliente a partir de logins online. Uma vez que o burlão tenha acedido à conta do cliente, pode criar e efetuar pagamentos sem o conhecimento do cliente.

Como pode defender-se contra a fraude de pagamentos não autorizados?

Num mundo de pagamentos imediatos e de riscos acrescidos de fraude nos pagamentos, os bancos e os PSP adotaram quase universalmente a autenticação multi-fator e o controlo da fraude em tempo real. Isto está cada vez mais enraizado em toda a Europa com o regulamento PSD2 que obriga à utilização de tais controlos. A estas técnicas podem acrescentar-se outras ferramentas de definição de perfis de fraude para proteção adicional. Por exemplo:

A Identificação do dispositivo ajuda os bancos a avaliar o risco do dispositivo utilizado para aceder a contas ou efetuar pagamentos.
A Biometria comportamental rastreia a interação do dispositivo do utilizador durante uma sessão online.

Em camadas - e combinadas com sofisticados sistemas de deteção de fraude em tempo real que utilizam análises avançadas e machine learning - estas ferramentas e controlos proporcionam uma defesa eficaz contra o acesso não autorizado a contas e fraudes. Mesmo que os bancos e os PSP não impeçam todas as fraudes não autorizadas, podem impedir uma proporção suficientemente elevada para dificultar a vida aos autores de fraudes. A frustração com o seu provável retorno do investimento poderia ser suficiente para frustrar alguns esforços fraudulentos.

Fraude de pagamento autorizada (esquemas de pagamento)

Infelizmente, os criminosos encontraram uma forma de contornar a necessidade de confiar em pagamentos não autorizados. Uma das suas tácticas é entrar em contacto com o cliente e convencê-lo a autorizar determinado pagamento. A fraude em matéria de pagamentos autorizados ultrapassa vários controlos implementados pelos bancos, PSP e reguladores. E como o cliente é quem faz o pedido a partir do seu próprio dispositivo, passa a autenticação multifactor.

Os esquemas de pagamento autorizados não são apenas mais difíceis de detetar - são também mais difíceis de gerir quando são detetados. Com a fraude de pagamento autorizado, um investigador de fraudes teria de descobrir principalmente: É este o cliente? Esta série de investigações não se aplica no caso de fraude de pagamento autorizado. Neste caso, a questão a fazer passa a ser: Este cliente está a ser enganado? E esta é uma pergunta muito mais difícil de responder.

Podemos acabar com os esquemas de pagamento autorizados?

Com esquemas de pagamento autorizados pelo cliente, os métodos de detecção de fraudes já experimentados e testados, não funcionam. Este é o grande desafio da fraude para todas as organizações de pagamentos - reguladores, bancos, PSP e vendedores - uma vez que os consumidores e empresas em todo o mundo estão cada vez mais expostos a este tipo comum de fraude.

A forma de abordar a fraude de pagamentos autorizados é através de iniciativas coordenadas de mitigação a nível da indústria, tais como a educação dos clientes. A utilização de mensagens orientadas durante a utilização, ajuda os clientes a tomar a decisão certa no momento. Outros esforços envolvem:

Partilha de informação do beneficiário.
Apontar e agir sobre contas de money mules.
Reforçar táticas para facilitar a recuperação de fundos.

A fraude de aplicações, roubo de identidade e fraude de pagamentos estão intimamente relacionados. Os burlões utilizam muitos métodos para obter crédito e fazer pagamentos fraudulentos. Clique na caixa à direita para ver como o SAS ajuda a prevenir a fraude em todo o percurso do cliente .

Lens Fraud Online Payment - Woman using her smart phone and an electronic reader to pay her bill in a coffee shop

Construir a mentira

Os autores de fraudes constroem identidades credíveis solicitando e abrindo múltiplas contas de crédito - frequentemente utilizando uma identidade falsa ou roubada em . Para começar, estabelecem um bom registo de crédito fazendo pagamentos atempados em múltiplas e pequenas contas. Eventualmente, levantam dinheiro - e mantêm-se afastados da dívida.
Solicitação de novo crédito

Ao dar as boas-vindas um novo cliente ou ao aprovar um cliente atual que solicita um novo produto ou linha de crédito, os bancos precisam de decisões quase em tempo real sobre fraude e risco de crédito. Consideram o risco de crédito (a fiabilidade creditaria de um cliente) com base na pontuação de crédito e no histórico.
Verificação e autenticação da identidade

Se um requerente cumprir os requisitos básicos de crédito, o banco verifica a sua identidade. Isto envolve a correspondência dos dados do requerente com registos históricos das agências de crédito e outras fontes e recolha de informações difíceis de falsificar. A autenticação da identidade digital e a verificação do dispositivo são outras componentes deste processo. Os fornecedores de dados de terceiros também têm um papel a desempenhar.
Fazer e receber pagamentos

Uma vez aberta uma conta, inicia-se a fase de transação do ciclo de vida do cliente. Os bancos devem utilizar a inteligência recolhida durante o processo de integração para incrementar as suas estratégias de fraude mais amplas. Compreender como o cliente foi integrado e que métodos de autenticação foram utilizados ajuda a reduzir o conflito com o cliente, ao mesmo tempo que decresce a perda por fraude na instituição financeira.
Reduzir falsos positivos, melhorar a experiência do cliente

Ao tentar fazer um pagamento em que a compra é desnecessariamente recusada, o cliente serve-se do próximo cartão que tem na carteira para poder pagar. Nesta fase, o banco perde receitas, os clientes ficam descontentes e o banco tem de passar algum tempo a tratar da captação de clientes. O SAS^® ajuda a identificar corretamente a fraude, reduzindo o montante em dólares das perdas por fraude. Os resultados: Mais lucro. Reputação protegida. Paz de espírito.

Fique atento, mantenha-se ágil - Conselhos fundamentais para bancos e PSP

Tal como os criminosos adaptaram os seus métodos, os bancos e a PSP precisam de adaptar as suas respostas para que possam combater mais eficazmente o comportamento anómalo do cliente. Por exemplo:

Incorporar sistemas adaptativos de deteção de fraude em tempo real, tanto para entrada como para saída de pagamentos.
Ter uma visão mais holística das contas de quem paga e do beneficiário para visar mais eficazmente as contas de um money mule.
Utilizar técnicas de machine learning e perfil comportamental para detetar e indentificar anomalias no comportamento do cliente. Isto torna mais rápido e fácil o reconhecimento de clientes genuínos.

O panorama dos pagamentos está em constante mudança, e a evolução apresenta oportunidades promissoras para o setor financeiro. Mas a consciência de potenciais novas ameaças de fraude deve ser considerada com igual importância, à medida que novas inovações forem sendo adotadas. Os bancos e a PSP precisam de evoluir, utilizando análises avançadas que possam adaptar-se rapidamente e aprender a detetar anomalias a partir de indicadores comportamentais.

Lutar contra a fraude em matéria de pagamentos

A fraude nos pagamentos aumentou drasticamente. Prevê-se que as perdas estimadas devido à fraude em matéria de pagamentos ultrapassem 48 mil milhões de dólares até 2023.

Com gestão integrada de dados, inteligência artificial e machine learning, a Gestão da Fraude SAS ajuda organizações em todo o mundo a defenderem-se de ameaças em rápida mutação no mundo da fraude em matéria de pagamentos.

Sobre Diana Rothfuss

Diana Rothfuss é Diretora de Marketing Global para a Prática de Fraude e Inteligência de Segurança no SAS. Dirige a estratégia e as mensagens para o conjunto de produtos e soluções da indústria bancária no âmbito da Divisão de Fraude, AML e Inteligência de Segurança. Antes do SAS, passou mais de oito anos em funções de marketing, comunicações e capacitação de vendas na banca de negócios no M&T Bank. Rothfuss participa em organizações, tais como WIN e American Marketing Association, e foi escolhida para fazer parte do programa ATHENA Emerging Leaders para 2021-2022.