El fraude en los pagos evoluciona rápidamente.
¿Podemos estar preparados?
Por: Diana Rothfuss, Directora de Marketing Global, Práctica de Seguridad y Fraude en SAS
El fraude en pagos se produce cuando alguien roba la información de pago privada de otra persona (o la engaña para que la comparta) y luego utiliza esa información para una transacción falsa o ilegal. Cada vez que un nuevo método o servicio de pago gana popularidad, el panorama de los pagos cambia. Y también lo hacen los estafadores. Se adaptan a cada nueva tendencia desarrollando nuevos y más sofisticados esquemas de fraude en pagos.
Los estafadores utilizan el eslabón más débil de la cadena de acontecimientos que conducen al fraude en pagos: las personas. Cualquier persona que realice pagos o utilice servicios de pago es un objetivo potencial. Por desgracia, a los delincuentes no les resulta difícil manipular a las personas para conseguir sus objetivos.
En todo el mundo, los defraudadores han adaptado, migrado y ampliado rápidamente sus tácticas de fraude aprovechándose de las organizaciones y personas que no están preparadas. Si se mantienen las tendencias actuales, Juniper Research afirma que las pérdidas por fraude en pagos online ascenderán a 48.000 millones de dólares en 2023. Y eso es sólo la punta del iceberg.
¿Qué pueden hacer las organizaciones para adelantarse a los delincuentes y a las nuevas tácticas de fraude en pagos? Antes de considerar la respuesta, veamos las novedades en los pagos y por qué los nuevos tipos de servicios de pago han abierto la puerta a nuevas amenazas de fraude.
Gestión del riesgo de fraude en la era digital
La mayoría de los clientes prefieren la comodidad. Pero las transacciones más rápidas y sencillas van acompañadas de un mayor grado de riesgo, en parte inherente a los pagos móviles y online. Este documento describe los pasos clave que pueden dar las organizaciones para contrarrestar eficazmente el mayor riesgo de fraude en pagos digitales.
Las nuevas formas de pago, crean nuevos retos y amenazas de fraude
El ecosistema de pagos actual se ha ampliado mucho más allá de los bancos tradicionales, con las fintechs, los bancos digitales y los proveedores de servicios de pago (PSPs) impulsando una variedad de nuevos e innovadores servicios de pago. Al mismo tiempo, hemos asistido a un enorme crecimiento del número de pagos instantáneos. Estos pagos tardan unos segundos o menos desde su inicio hasta su liquidación.
La pandemia empujó al mundo a la digitalización, los pagos en efectivo se han reducido y se han abierto puertas a nuevos y más rápidos tipos de pago. Sin embargo, con toda la innovación surgen nuevas amenazas de fraude, en distintos plazos y partes del mundo.
Una nueva amenaza en una región, da a las organizaciones de otras regiones la oportunidad de aprender de los pioneros, pero supone una oportunidad igual para los defraudadores. El fraude se produce hoy en día más rápidamente, porque los estafadores exportan los modelos que han funcionado en una región a otra que está adoptando una tecnología similar. Las organizaciones que se quedan atrás pagan un precio muy alto.
Algunos de los desafíos más urgentes:
- Los pagos instantáneos (inmediatos) implican un fraude inmediato. Esto se debe a que los ataques de fraude se multiplican rápidamente y las pérdidas crecen exponencialmente. Para responder rápidamente, las organizaciones deben contar con procesos de fraude adecuados. Un enfoque de detección puramente basado en reglas, deja a las organizaciones expuestas porque se tarda días en aplicar los cambios.
- La evolución de los pagos digitales (como los pagos móviles, los servicios de persona a persona (P2P) y los servicios superpuestos) crea nuevas oportunidades que los estafadores pueden explotar. Los equipos de fraude y riesgo carecen de experiencia y de datos históricos en torno a estas opciones de pago emergentes, lo que hace casi imposible luchar contra el fraude con soluciones de fraude tradicionales basadas en reglas. Y la presión para poner en marcha nuevos servicios de pago hace que los controles de fraude a veces se queden atrás.
- Las mulas de dinero crecen junto con el fraude en pagos. Las cuentas mulas para blanquear dinero se crean para recibir y blanquear fondos ilícitos (a menudo descubiertos a través de los esfuerzos contra el blanqueo de capitales). Estas cuentas plantean problemas a los bancos y a los proveedores de servicios de pago en cuanto a la gestión de los procesos de incorporación de nuevas cuentas. La prevalencia de este tipo de cuentas también requiere que los bancos dispongan de procesos para identificar, gestionar y cerrar las cuentas utilizadas indebidamente.
Los bancos y los proveedores de servicios de pago, deben tener una respuesta al fraude 24x7. En lugar de tardar días en investigar una alerta de pago sospechoso, deben gestionar las alertas en tiempo real. Es imprescindible tomar decisiones rápidas y precisas, ya que los clientes realizan pagos instantáneos. Los clientes hoy en día, esperan una resolución inmediata cuando los pagos se retrasan o se interrumpen.
El fraude se produce más rápido porque los estafadores exportan los modelos que funcionan, a otras regiones que aún están adoptando nuevas tecnologías. Las organizaciones que se quedan atrás pagan un precio muy alto. Diana Rothfuss Fraud and Security Intelligence Practice SAS
El papel de los reguladores y la banca abierta, estandarización e interoperabilidad
Los reguladores están muy afectados por los cambios en el panorama de los pagos. Pensemos, por ejemplo, en los retos regulatorios de la banca abierta.
El modelo de banca abierta utiliza las API para dar a los proveedores de servicios financieros de terceros un acceso abierto a los datos financieros de los consumidores de los bancos y otras transacciones en diferentes tipos de organizaciones. Con los programas de banca abierta en marcha en todo el mundo, los reguladores deben supervisar muchos servicios bancarios y de pago que se han ampliado para incluir nuevos participantes.
Otro ejemplo es la directiva de servicios de pago de la UE (PSD2), que ha creado trastornos en el ecosistema de pagos. Los reguladores de todo el mundo están buscando opciones similares en sus regiones.
Otros factores
La normalización y la interoperabilidad también son importantes para el éxito de los sistemas de pago y las superposiciones que cruzan las fronteras nacionales y regionales. Aunque estos esfuerzos están en marcha, el mercado de pagos sigue fragmentado a lo largo de las líneas nacionales y regionales, mucho más que los pagos con tarjeta. No cabe duda de que seguiremos viendo movimientos, como:
- Cambios como la norma de mensajería de pagos ISO 20022.
- Sistemas como el P27 (sistema de pagos pan-nórdico) y SWIFT gpi, que ayudarán a que los pagos inmediatos pasen de ser nacionales a ser servicios multidivisa regionales y mundiales.
En la innovación hay muchas oportunidades y desafíos. ¿Cómo afecta este entorno al fraude?
Banca como servicio y por qué presenta nuevas oportunidades
La banca como servicio (BaaS) es un modelo que permite a terceros prestar servicios financieros mientras los bancos conservan las obligaciones reglamentarias. No es una función atractiva para los bancos, pero tiene el potencial de impulsar nuevos ingresos, ampliar el alcance y crear nuevos mercados a bajo coste.
Principales tipos de fraude en pagos
Hay muchos tipos diferentes de fraude en pagos. Una forma de entenderlo es considerar las dos categorías más amplias: el fraude de pago no autorizado y el autorizado. Veamos cómo funciona cada tipo y qué se puede hacer para detenerlo.
Fraude de pagos no autorizados (apropiación de cuentas)
El fraude de pagos no autorizados, o la apropiación de cuentas, se produce cuando un delincuente compromete las credenciales de un cliente o se ha colado en la autenticación del cliente y ha obtenido acceso a una cuenta legítima. Por lo general, esto se hace a través de phishing o malware que recoge la información del cliente de los inicios de sesión online. Una vez que el estafador ha accedido a la cuenta del cliente, puede configurar y realizar pagos sin que el cliente lo sepa.
¿Cómo defenderse del fraude en pagos no autorizados?
En un mundo de pagos inmediatos y de mayor riesgo de fraude en pagos, los bancos y los proveedores de servicios de pago han adoptado casi universalmente la autenticación multifactor y la supervisión del fraude en tiempo real. Esto se está afianzando aún más en toda Europa con la normativa PSD2, que exige el uso de dichos controles. A estas técnicas pueden añadirse otras herramientas de elaboración de perfiles de fraude para obtener protección adicional. Por ejemplo:
- Identificación de dispositivos ayuda a los bancos a evaluar el riesgo del dispositivo utilizado para acceder a las cuentas o realizar pagos.
- Biometría del comportamiento rastrea la interacción del dispositivo del usuario durante una sesión online.
Combinadas con sofisticados sistemas de detección de fraude en tiempo real que utilizan análisis avanzado y aprendizaje automático, estas herramientas y controles proporcionan una defensa eficaz contra el acceso a cuentas no autorizadas y fraude. Aunque los bancos y los proveedores de servicios de pago no detengan todo el fraude no autorizado, pueden detener una proporción lo suficientemente alta como para dificultar la vida de los defraudadores. El retorno de la inversión podría ser suficiente para mitigar algunos esfuerzos fraudulentos.
Fraude de pago autorizado (estafas de pago)
Desgraciadamente, los delincuentes han encontrado una forma de evitar las medidas contra el fraude en los pagos no autorizados. Una de sus tácticas es ponerse en contacto con el cliente y engañarlo para que autorice el pago él mismo. El fraude en los pagos autorizados elude varios controles implementados por los bancos, los PSP y los reguladores. Y como el cliente es el que hace la solicitud desde su propio dispositivo, pasa la autenticación multifactor.
Los fraudes de pagos autorizados no sólo son más difíciles de detectar, sino que también son más difíciles de gestionar cuando se detectan. Con el fraude de pago autorizado, un investigador de fraude tendría que averiguar principalmente: ¿Es este el cliente? Esas irregularidades no se detectan en el caso del fraude de pago autorizado. En este caso, la pregunta debe ser: ¿Se está engañando a este cliente? Esta es una pregunta mucho más difícil de responder.
¿Podemos detener las estafas de pagos autorizados?
Con las estafas de pagos autorizados por el cliente, los métodos de detección de fraude ya probados no funcionan. Este es el gran reto de la lucha contra el fraude para todas las organizaciones de pagos -reguladores, bancos, PSP y proveedores-, ya que los consumidores y las empresas de todo el mundo están cada vez más expuestos a este tipo de fraude común.
La forma de detectar fraude en pagos autorizados es a través de iniciativas de mitigación, como la educación de los clientes. El uso de mensajes específicos en la experiencia del cliente, les ayuda a tomar la decisión correcta en el momento. Otros esfuerzos incluyen:
- Compartir la información del beneficiario.
- Búsqueda y actuación sobre las cuentas mulas para blanqueo.
- Mejorar las tácticas para facilitar la recuperación de fondos.
El fraude en solicitudes, el robo de identidad y el fraude en pagos están estrechamente relacionados. Los estafadores utilizan muchos métodos para obtener créditos y realizar pagos fraudulentos. Haz clic en el cuadro de la derecha para ver cómo SAS ayuda a prevenir el fraude .
-
Construir la mentira
Los estafadores crean identidades creíbles solicitando y abriendo múltiples cuentas de crédito, a menudo utilizando una identidad sintética o robada . Para empezar, establecen un buen historial crediticio realizando pagos puntuales en varias cuentas pequeñas. Al final, cobran y se desentienden de la deuda.
-
Solicitar un nuevo crédito
Al incorporar un nuevo cliente o aprobar a un cliente actual que solicita un nuevo producto o línea de crédito, los bancos necesitan tomar decisiones casi en tiempo real sobre el riesgo de fraude y crédito. Consideran el riesgo crediticio (la solvencia de un cliente) en función de la puntuación y el historial de crédito.
-
Verificación y autentificación de la identidad
Si un solicitante cumple los requisitos básicos de crédito, el banco verifica su identidad. Esto implica cotejar los datos del solicitante con los registros históricos de las agencias de crédito y otras fuentes y recopilar información difícil de falsear. La autentificación de la identidad digital y la verificación del dispositivo son otras partes de este proceso. Los proveedores de datos de terceros también desempeñan un papel importante.
-
Realización y recepción de pagos
Una vez que se abre una cuenta, comienza la fase de transacciones del ciclo de vida del cliente. Los bancos deben utilizar la información recopilada durante el proceso de incorporación para alimentar sus estrategias de fraude más amplias. Entender cómo se incorporó el cliente y qué métodos de autenticación se utilizaron ayuda a reducir la fricción con el cliente y a la vez a disminuir las pérdidas por fraude en la institución financiera.
-
Reducir los falsos positivos, mejorar la experiencia del cliente
Si un cliente intenta realizar un pago y la compra es rechazada innecesariamente, sacará la siguiente tarjeta de su cartera para pagar. En este punto, el banco pierde ingresos, los clientes están descontentos y el banco debe dedicar tiempo a atender las incidencias. SAS® ayuda a identificar correctamente el fraude, reduciendo el importe de las pérdidas por fraude. Los resultados: Más beneficios. Reputación protegida. Tranquilidad.
Consejos clave para bancos y PSP: Estar atentos, ser ágiles
Al igual que los delincuentes han adaptado sus métodos, los bancos y los proveedores de servicios de pago tienen que adaptar sus respuestas para poder centrarse en los comportamientos anómalos de los clientes con mayor eficacia. Por ejemplo:
- Incorporar sistemas adaptativos de detección de fraude en tiempo real tanto para los pagos salientes como para los entrantes.
- Adoptar una visión más holística de las cuentas de pagadores y beneficiarios para poder atacar con mayor eficacia las cuentas de mulas de blanqueo.
- Utilizar técnicas de aprendizaje automático adaptativo y perfiles de comportamiento para identificar y detectar anomalías en el comportamiento de los clientes. Esto hace que sea más rápido y fácil reconocer a los clientes genuinos.
El panorama de los pagos está en constante cambio, y la evolución presenta oportunidades prometedoras para el sector financiero. Pero la concienciación sobre las posibles nuevas amenazas de fraude debe considerarse con la misma importancia que la adopción de nuevas tecnologías. Los bancos y los proveedores de servicios de pago deben evolucionar utilizando análisis avanzado que pueda adaptarse rápidamente y aprender a detectar anomalías a partir de indicadores de comportamiento.
Lucha contra el fraude en pagos
El fraude en pagos ha aumentado de forma espectacular. Se calcula que las pérdidas por fraude en pagos superarán los 48.000 millones de dólares en 2023.
Con la gestión de datos integrada, la inteligencia artificial y el aprendizaje automático, SAS Fraud Management ayuda a las organizaciones de todo el mundo a defenderse de las amenazas que cambian rápidamente en el mundo del fraude en pagos.
Sobre Diana Rothfuss
Diana Rothfuss es Directora de Marketing Global en la Práctica de Seguridad y Fraude en SAS. Dirige la estrategia y los mensajes de productos y soluciones para el sector bancario de la División Fraude, AML y Seguridad. Antes de trabajar en SAS, pasó más de ocho años en funciones de marketing, comunicación y formación de ventas en banca en M&T Bank. Rothfuss participa en organizaciones, como WIN y American Marketing Association, y ha sido elegida para formar parte del programa ATHENA Emerging Leaders para 2021-2022.
Lecturas recomendadas
- Model risk management: Vital to regulatory and business sustainabilitySloppy model risk management can lead to failure to gain regulatory approval for capital plans, financial loss, damage to a bank's reputation and loss of shareholder value. Learn how to improve model risk management by establishing controls and guidelines to measure and address model risk at every stage of the life cycle.
- Continuous monitoring: Stop procurement fraud, waste and abuse nowProcurement fraud, waste and abuse silently robs businesses an average of 5% of spend annually. And even when organizations invest in detection methods, they’re often let down by their techniques. Learn what continuous monitoring is and why this proven analytical method is key to fighting back.
- CECL: Are US banks and credit unions ready?CECL, current expected credit loss, is an accounting standard that requires US banking institutions and credit unions to estimate life-of-loan losses at origination or purchase.