Trwa wyścig zbrojeń banków i przestępców
Sztuczna inteligencja to najnowsze narzędzie w walce z wyłudzeniami i oszustwami. Niestety, coraz częściej sięgają też po nią wyrafinowani cyberprzestępcy, którym digitalizacja otwiera szereg możliwości, kreując nowe rodzaje przestępstw.
W przeciwdziałaniu cyfrowym nadużyciom duże znaczenie mają dane o transakcjach, urządzeniach i aplikacjach, jakimi posługują się klienci i sposobie, w jaki ich używają. O finalnym sukcesie ciągle jednak decyduje czynnik ludzki.
Według firmy badawczej Crowe i Uniwersytetu Portsmouth koszty gospodarcze oszustw i wyłudzeń (tzw. fraudów) w całej światowej gospodarce są ogromne. W latach 1997-2018 stanowiły one równowartość 6,05 proc. światowego PKB. Od 2009 roku straty wywołane przez nie wzrosły aż o 57 procent. W samym tylko sektorze handlu internetowego opiewały one w zeszłym roku na 57,8 mld dolarów i były skutkiem przejęcia kont klientów, umożliwiających zajęcie towaru lub przekierowanie płatności. Tracić mogli zarówno klienci, jak i handlowcy. Szacuje się jednak, że koszty te są znacznie większe. Firma konsultingowa LexisNexis podaje, że w 2018 roku średnia strata równała się 1,53 proc. przychodów przedsiębiorstw. Jeden dolar strat bezpośrednich w wyniku fraudów generuje 3,27 dolara dodatkowych kosztów (na rynku finansowym 2,92 proc.), chociażby w postaci wartości zaniechanych transakcji przez obawiających się oszustw klientów i operatorów oraz kosztów utraty reputacji, co także skutkuje obniżeniem wartości sprzedaży. Systemy antywyłudzeniowe przynoszą efekt, choć ograniczony – każdego roku widoczny jest wzrost wartości fraudów. Również według tegorocznego badania, przeprowadzonego przez EY i ZPF wśród polskich instytucji finansowych aż 67 proc. badanych wskazało nasilenie wyłudzeń produktów kredytowych i pożyczek.
Płatności rosną, a z nimi wyłudzenia
W Europie obszarem rosnących wyłudzeń są płatności, a do najczęstszych typów wyłudzeń i oszustw w tym obszarze należy kradzież tożsamości (phishing). To sytuacja, w której przejęta przez przestępców może być karta kredytowa, urządzenie mobilne (w tym karta SIM), a nawet program lojalnościowy, z którego punkty mogą służyć do dokonywania płatności. Inny rodzaj wyłudzenia, tzw. pharming, polega na przekierowaniu użytkownika na fałszywą stronę internetową i przejęcie jego hasła, danych rachunku lub karty kredytowej. Przedmiotem tych działań są zarówno użytkownicy serwisów zakupowych, jak i sami dostawcy poprzez atakowanie ich przez hackerskie oprogramowanie. Coraz bardziej popularne stają się też: wyłudzenie „przyjacielskie” (kiedy to przestępcy informują firmę, że karta, którą dokonano transakcji została ukradziona i proszą o zwrot pieniędzy), złośliwe oprogramowanie umożliwiające przejęcie nad kontroli nad urządzeniem i zmianę sposobu uwierzytelnienia klienta lub przejęcie komunikacji, najczęściej w formie SMS, pomiędzy klientem a operatorem płatności mobilnych.
Rosnąca liczba ataków przeprowadzana jest za pomocą technologii sztucznej inteligencji, a w szczególności uczenia maszynowego (machine learning). Instytucje stosujące tradycyjne metody zabezpieczeń i przeciwdziałania wyłudzeniom mogą okazać się w takich przypadkach bardziej narażone. Szczególnie gdy kradzież tożsamości przyjmuje postać syntetycznej, bliźniaczo podobnej do klienta osoby, którą można umieścić w dowolnym środowisku i wyposażyć w naturalny głos, mający możliwość przekazywania dowolnie dobranych treści. Już 20 procent kradzieży tożsamości w dużych bankach na świecie miało miejsce z zastosowaniem tej metody, zwanej Deep Fake, a fałszywa tożsamość stanowi aż 61 proc. wszystkich metod wyłudzeń w sektorze. Wiele fraudów w branży finansowej jest pochodną kradzieży danych osobowych, kont czy kart kredytowych w innych sektorach. Szacuje się, że na każdego użytkownika Internetu przypada 4-5 nielegalnie zdobytych rekordów danych. Paczki tych danych są potem przedmiotem hurtowego obrotu w darknecie – ukrytej, anonimowej części Internetu, wykorzystywanej przez przestępców. Używając zautomatyzowanej technologii mogą oni potem obciążać konta klientów oszukańczymi transakcjami.
Inwestycje w ochronę nie nadążają za wzrostem skali fraudów
Banki i instytucje finansowe inwestują coraz większe środki w przeciwdziałanie wyłudzeniom i wykrywanie ich. Firma badawcza Juniper Research podaje, że inwestycje instytucji finansowych i e-commerce w cyberbezpieczeństwo w obszarze płatności opiewać będą na sumę minimum 9,3 mld dolarów do 2023 roku. Według badania ZPF i EY, na przestrzeni ostatnich 12 miesięcy wzrosły również przeznaczone na walkę z nadużyciami nakłady finansowe polskich instytucji finansowych i nie planują one poprzestać na ich obecnym poziomie. Jednak dynamika fraudów jest wciąż wyższa niż roczny wskaźnik nakładów na przeciwdziałanie im.
Coraz więcej podmiotów finansowych opiera działania w zakresie antyfraudowym na różnych technikach analizy danych. Według Stowarzyszenia Certyfikowanych Audytorów ds. Wyłudzeń (ACFE) do najbardziej rozpowszechnionych należą: detekcja anomalii, czyli wykrywanie danych, które odbiegają od reguły (64 proc. organizacji), automatyczne alerty o nieprawidłowościach (54 proc.), wizualizacja danych (35 proc.), analityka predyktywna (30 proc.) analiza relacji w sieciach społecznościowych (22 proc.), mapowanie geolokalizacji, a nawet analiza emocjonalna klienta w czasie rozmowy telefonicznej, albo w trakcie wypełniania formularzy kredytowych. Sztuczną inteligencję (AI) i uczenie maszynowe (ML) stosuje na razie 13 procent organizacji finansowych, lecz obszar ten ma bardzo duży potencjał wzrostu, gdyż w ciągu dwóch lat ich liczba ma się podwoić. Jest to między innymi skutkiem oceny zbyt małej efektywności dotychczasowych działań – aż 34 procent członków zarządów instytucji finansowych badanych na zlecenie ACFE w 123 krajach stwierdziło, że zbyt dużo dobrych klientów jest negatywnie weryfikowanych (tzw. false positive) w przypadku tradycyjnych metod prześwietlania klienta. Dlatego połączenie ich z technikami sztucznej inteligencji i stworzenie zintegrowanego systemu antyfraudowego jest niezbędne.
Sztuczna inteligencja bardziej efektywna, ale są nowe zagrożenia
Możliwe do zastosowania techniki antyfraudowe z zakresu AI przedstawił na Kongresie Antyfraudowym zorganizowanym 24 października przez ZPF, Sundeep Tengur, Financial Crime Solutions Manager z Globalnego Zespołu Fraud & Security w SAS Institute. Do najszybciej rozwijających się zaliczył uczenie maszynowe. Wspomniał również o modelach, które są w stanie w sposób adaptacyjny dostosować się do zmieniającego się otoczenia w czasie rzeczywistym i tym samym lepiej oraz precyzyjniej wykrywać podejrzane sytuacje. W przeciwdziałaniu wyłudzeniom firmy stosują też analitykę sieci powiązań, która pozwala analizować ogromne wolumeny danych i wykrywać podejrzane powiązania ze zidentyfikowanymi oszustami, społeczności o wysokim ryzyku wystąpienia nadużycia czy wręcz zorganizowane grupy przestępcze.
– Warunkiem sukcesu zastosowania sztucznej inteligencji jest jednak zasilenie jej dobrymi, obiektywnymi danymi, w które nikt nie interweniuje. Interwencja taka, dokonana np. przez współdziałających z przestępcami pracowników instytucji finansowej, może bowiem prowadzić do tworzenia wzorców, które nie uwzględnią z góry określonych zachowań, co ułatwi wyłudzenia płatności czy kredytów – powiedział Sundeep Tengur, Financial Crime Solutions Manager z Globalnego Zespołu Fraud & Security w SAS Institute.
Żaden system antyfraudowy, w tym sztuczna inteligencja, nie jest w stanie zapobiec wszystkim oszustwom, choć znacznie zmniejsza ich występowanie. Może mieć też utrudnione zadanie w przypadku „innowacyjnych” rodzajów przestępstw, w tym tych wykorzystujących zaawansowaną socjotechnikę. System może na przykład alarmować o nietypowych, wielokrotnych dla danego klienta wysokich przelewach z konta, po czym następuje kontakt banku z klientem, który potwierdza swoje dyspozycje. Później ujawnione może jednak zostać, że alarm wykonany był na polecenie wyłudzaczy, którzy wcielili się w rolę policjantów informując klienta, że bierze on udział w operacji schwytania przestępców. Okazuje się więc, że w zwalczaniu wyłudzeń i oszustw to często człowiek jest najsłabszym ogniwem.
– Zbudowanie całościowego systemu przeciwdziałania wyłudzeniom i oszustwom, z uwzględnieniem możliwości sztucznej inteligencji, nabiera szczególnego znaczenia nie tylko z uwagi na dynamiczną digitalizację usług finansowych. Idea otwartej bankowości i pełne wdrożenie dyrektywy PSD2 oznacza zwiększony przepływ danych o klientach i ich rachunkach między instytucjami finansowymi i nie tylko. Wszyscy uczestnicy rynku muszą założyć, że mimo niewątpliwych korzyści płynących z tego dla rozwoju konkurencji i samych klientów, z pewnością spróbują skorzystać na tym również cyfrowi przestępcy – podsumowuje dr Mirosław A. Bieszki, Doradca Ekonomiczny ZPF.
Źródło: materiały prasowe ZPF