Uma faca de dois gumes para provedores de serviços de pagamento.
Assim como vem sendo observado nos demais setores, a forma como as transações financeiras são processadas e protegidas está sendo transformada pela IA. Por um lado, os fraudadores estão utilizando a inteligência para cometer fraudes numa escala sem precedentes, automatizando os seus esquemas e tornando-se cada vez mais sofisticados nas suas táticas. Por outro lado, as soluções baseadas em IA capacitaram os prestadores de serviços de pagamento (PSPs) para detectar fraudes de forma mais eficaz e combater ameaças emergentes.
A fraude sempre foi um desafio persistente para a indústria de pagamentos, e a rápida ascensão da IA tornou mais fácil a perpetração de certos tipos de fraude, adicionando novas complexidades ao cenário. Os fraudadores agora têm acesso a ferramentas baseadas em IA, como FraudGPT e WormGPT, projetadas especificamente para auxiliar em atividades ilegais. Ao contrário das plataformas de IA de uso geral, como o ChatGPT, que possuem diretrizes éticas para evitar o uso indevido, essas ferramentas fraudulentas de IA são construídas com um objetivo em mente: ajudar os criminosos a criar campanhas de phishing, gerar documentos falsificados e até mesmo clonar vozes.
Como a IA está capacitando os PSPs para prevenir fraudes — Embora a IA tenha melhorado as capacidades dos fraudadores, é também uma mudança de jogo para os prestadores de serviços de pagamento na sua luta contra a fraude. As soluções de prevenção de fraudes baseadas em IA fornecem aos PSPs as ferramentas necessárias para analisar grandes quantidades de dados em tempo real, detectar padrões incomuns e bloquear transações fraudulentas antes que possam causar danos. Aqui estão algumas das principais maneiras pelas quais os PSPs podem usar soluções baseadas em IA para prevenir eficazmente riscos de fraude:
1. Aprendizado de máquina: o núcleo da detecção de fraude baseada em IA — No centro dos sistemas de prevenção de fraudes de IA está o aprendizado de máquina. Os modelos de aprendizado de máquina analisam dados históricos de transações para identificar padrões e comportamentos indicativos de atividades fraudulentas. Ao contrário dos sistemas tradicionais baseados em regras, que dependem de limites predeterminados e regras estáticas, os modelos de aprendizagem automática podem adaptar-se ao longo do tempo, aprendendo com novos dados e tornando-se mais precisos na detecção de fraudes.
O aprendizado de máquina depende de grandes conjuntos de dados para treinar algoritmos que podem identificar atividades legítimas versus atividades suspeitas. Por exemplo, o sistema de deteção de fraude de um PSP pode analisar dados sobre milhões de transações, procurando indicadores comuns de fraude, tais como transações de alta frequência, localizações geográficas inconsistentes e mudanças repentinas no comportamento do utilizador ou impressões digitais/rede/dispositivo. Quanto mais dados o modelo tiver, melhor ele poderá prever fraudes, refinando continuamente sua capacidade de diferenciar entre usuários legítimos e fraudadores.
Dados como combustível para IA: O sucesso de qualquer modelo de prevenção de fraudes baseado em IA depende da qualidade e quantidade dos dados que processa. Os PSPs precisam alimentar seus modelos com uma combinação de dados de clientes (comportamentos legítimos de usuários) e inteligência contra fraudes (comportamentos fraudulentos conhecidos). Os dados dos clientes podem incluir padrões de transações, frequências de login e informações de geolocalização, enquanto a inteligência contra fraudes pode abranger táticas conhecidas usadas por fraudadores, como o uso de VPNs, ferramentas de acesso remoto ou ataques conduzidos por bots. Dados de chargeback, reclamações de usuários, solicitações de serviço e disputas criam um ciclo de feedback que introduz novas maneiras de os modelos reforçarem o aprendizado e a precisão das decisões, além de identificarem novos padrões indicativos de fraude.
Ao treinar continuamente seus modelos de aprendizado de máquina com dados atualizados, os PSPs podem garantir que seus sistemas permaneçam eficazes mesmo à medida que as táticas de fraude evoluem. Quanto mais dados um sistema tiver, melhor será a sinalização de atividades suspeitas em tempo real.
2. Cobrindo toda a jornada do cliente: uma abordagem holística para prevenção de fraudes — Uma das principais deficiências de muitos sistemas tradicionais de prevenção a fraudes é o seu foco restrito no processo de checkout. A maioria dos PSPs analisa apenas os dados de pagamento na finalização da compra, deixando as fases iniciais da jornada do cliente vulneráveis à exploração. No entanto, as fraudes ocorrem muito antes de o cliente fazer uma compra. Invasões de contas, tentativas de phishing e cadastros fraudulentos podem ocorrer no início da jornada do cliente.
Para resolver esta questão, os PSP precisam adotar uma abordagem holística de prevenção à fraude. Isso significa monitorar não apenas o processo de checkout, mas também atividades como criação de contas, logins e até mesmo comportamento de navegação. Ao fazer isso, os PSPs podem detectar atividades fraudulentas muito mais cedo na jornada do cliente, reduzindo significativamente a probabilidade de ataques bem-sucedidos.
Ao estender a cobertura de prevenção de fraudes além do estágio de checkout, os PSPs podem prevenir ataques projetados para contornar os sistemas tradicionais de monitoramento de transações. No ambiente atual, onde os fraudadores estão a tornar-se cada vez mais criativos nos seus métodos, esta abordagem holística é essencial.
3. Abordagens Híbridas: Combinando IA com Sistemas Baseados em Regras — Embora as soluções de prevenção de fraudes baseadas em IA sejam poderosas, nem todas as empresas as exigem ou têm necessidade de implementação completa. Para empresas que possuem políticas de conformidade específicas ou dependem de abordagens heurísticas, ou aquelas com orçamentos limitados, um modelo híbrido que combina IA com sistemas tradicionais baseados em regras pode ser uma escolha eficaz e prática.
Os sistemas baseados em regras utilizam condições predefinidas para sinalizar transações suspeitas. Por exemplo, um sistema baseado em regras pode sinalizar qualquer transação que envolva uma VPN ou qualquer transação que ocorra fora da localização geográfica normal de um usuário. Esses sistemas são relativamente simples de configurar e podem fornecer recursos imediatos de detecção de fraudes ou ferramentas de aplicação de políticas.
Contudo, os sistemas baseados em regras são limitados pela sua natureza estática. Os fraudadores podem se adaptar rapidamente a essas regras fixas, encontrando maneiras de contornar o sistema. É aí que entra a IA. Ao combinar IA e aprendizagem automática com uma estrutura baseada em regras, os PSPs podem criar um sistema de prevenção de fraudes mais adaptável. O modelo de IA pode lidar com ameaças dinâmicas e em evolução, enquanto o sistema baseado em regras fornece uma base confiável de segurança.
Os sistemas híbridos oferecem uma forma económica para os PSP reforçarem as suas capacidades de prevenção de fraudes sem necessitarem de uma revisão completa da sua infra-estrutura existente. Ao combinar o melhor dos dois mundos, os PSPs podem beneficiar da adaptabilidade da IA e da simplicidade dos sistemas baseados em regras.
4. A importância da inteligência contínua e do treinamento dos funcionários— Embora a IA e o aprendizado de máquina sejam ferramentas poderosas, não são uma solução completa para a prevenção de fraudes. A supervisão e a experiência humana ainda são essenciais para manter uma estratégia eficaz de prevenção de fraudes. Os fraudadores evoluem continuamente suas táticas e é crucial que os PSPs estejam um passo à frente, investindo em inteligência contínua e no treinamento dos funcionários.
Os fraudadores frequentemente compartilham novas táticas e ferramentas na darknet, onde trocam informações sobre como explorar vulnerabilidades em sistemas de pagamento. Os PSPs podem se beneficiar da monitoração destes fóruns da darknet, reunindo informações valiosas sobre técnicas de fraude emergentes. Ao manterem-se informados sobre os últimos desenvolvimentos no submundo do crime, os PSPs podem ajustar os seus sistemas de deteção de fraudes e manter-se à frente de potenciais ameaças.
Além da IA, os PSPs devem se concentrar em treinar seus funcionários para reconhecerem as mais recentes táticas de fraude, especialmente aquelas que envolvem engenharia social. Os programas de formação devem abranger como identificar tentativas de phishing, detectar sinais de apropriação de contas e responder a atividades fraudulentas em tempo real. Os sistemas de detecção de fraude podem ser automatizados, mas a intervenção humana ainda é necessária para garantir que os alertas de fraude sejam tratados corretamente e que os falsos positivos e falsos negativos sejam minimizados.
Melhores práticas para PSPs usarem IA de maneira eficaz para prevenir riscos de fraude — Para aproveitar plenamente as soluções baseadas em IA para a prevenção de fraudes, os PSPs devem adotar uma abordagem proativa e multifacetada. Aqui estão algumas práticas recomendadas que os PSPs podem seguir:
1. Coleta e treinamento contínuos de dados: os modelos de aprendizado de máquina dependem de dados e, quanto mais dados eles tiverem, melhor será seu desempenho. Os PSP devem garantir que seus sistemas de deteção de fraude são atualizados regularmente com dados atualizados, incluindo padrões de comportamento dos clientes e as mais recentes informações sobre fraude.
2. Monitoramento de toda a jornada do cliente: a prevenção à fraude não deve se limitar ao processo de checkout. Os PSPs precisam monitorar toda a jornada do cliente, desde o cadastro até o login e a transação, para detectar fraudes em seus estágios iniciais.
3. Investimento em inteligência da Darknet: Manter-se informado sobre as novas táticas de fraude compartilhadas na darknet é crucial para se manter à frente dos criminosos. Os PSP devem investir em esforços contínuos de inteligência para recolher informações sobre as mais recentes técnicas de fraude.
4. Treinamento de funcionários: as soluções baseadas em IA são eficazes, mas a supervisão humana ainda é essencial. Os PSPs devem formar os seus funcionários para reconhecer e responder às mais recentes táticas de fraude, incluindo engenharia social, ao mesmo tempo que fornecem informações que retroalimentam os modelos para melhorar a sua exatidão e precisão.
5. Adoção de uma abordagem híbrida: Para os PSP, a combinação de IA com sistemas baseados em regras oferece uma solução personalizada de prevenção de fraudes que pode ser adaptada às necessidades específicas do negócio, à natureza das suas operações e aos tipos de riscos que enfrenta.
A IA mudou o jogo tanto para os fraudadores quanto para os provedores de serviços de pagamento. Embora tenha fornecido aos criminosos novas ferramentas para explorar, também capacitou os PSPs para construir sistemas de prevenção de fraude mais fortes e mais adaptáveis. Ao adotar soluções baseadas em IA, treinar funcionários e manter-se informados sobre ameaças emergentes, os PSPs podem mitigar efetivamente os riscos de fraude e proteger seus clientes. A chave do sucesso é permanecer vigilante, proativo e adaptável num cenário tecnológico em rápida evolução. A prevenção da fraude não é mais um processo estático, mas uma batalha contínua onde a IA é tanto a arma quanto a defesa.
• Por: Ariel Shoham, vice-presidente de produtos de risco da Mangopay.