Pular para o conteúdo principal

Prevenção de fraudes: abordagem holística & integrada

 Modelo de Referência DIFTM


Durante os últimos anos da era de economia digital, que, dada a dinâmica das transformações, parecem décadas, eu trabalhei em colaboração com numerosos clientes Latino Americanos nos ecossistemas de serviços financeiros e plataformas de pagamento, cooperando com suas jornadas digitais e ajudando-os a antecipar e adaptar a transformação radical de seus processos, produtos e canais de distribuição num contexto irreversível de Open Banking e empoderamento de clientes a cada dia mais demandantes e voláteis.


Trabalhando para reconhecidas companhias de consultoria tais como Quanam, AIMART e Epsilon Risk, eu tive a honra de ser o autor e o Arquiteto Chefe de equipes interdisciplinares responsáveis pela definição, estruturação e integração de sucessivas arquiteturas que conduziram à atual versão do Modelo de Referência para Detecção e Investigação de Fraudes (DIFTM), que descreverei brevemente nesta matéria.


Cinco blocos de funcionalidades


O Modelo DIFTM define cinco conjuntos de funcionalidades chamados blocos, numerados de 1 a 5 e integrados entre si. Note-se que o modelo es "agnóstico" a marcas e ferramentas, limitando-se a definir as funcionalidades essenciais de cada passo nos processos de detecção de fraudes, resposta, investigação e confirmação, que devem ser contempladas obrigatoriamente por parte dos componentes específicos que cada cliente decida usar em sua implementação personalizada.


Cada bloco de funcionalidades se numera em forma ascendente de 1 a 5 e conta com um ou dois verbos descritivo(s) do(s) aspecto(s) mais representativo(s) de suas funcionalidades:


  1. Bloco 1: CAPTURAR e INTEGRAR dados.
  2. Bloco 2: DETECTAR fraudes e RESPONDER nos casos mais claros.
  3. Bloco 3: COLABORAR em analisar e investigar.
  4. Bloco 4: INVESTIGAR e CONFIRMAR a existência ou não de fraudes.
  5. Bloco 5: REPORTAR atividades antifraudes.


O Modelo de Referência DIFTM é um modelo conceitual cujo conceito de desenho essencial é que os componentes internos de cada bloco que sejam relevantes, e os cinco blocos propriamente ditos, se integrem entre si automática e eficientemente através de interfaces e/ou plugins nativos ou customizados, ou outros mecanismos que permitam garantir o uso fluido e eficiente da implementação.






Bloco 1 – Dados


Este bloco define as funcionalidades para capturar, processar e integrar dados transacionais e mestres, estruturados e não estruturados. Cada cliente tem suas particularidades sobre fontes de dados, planos de enriquecimento progressivo e integração, mas os seguintes componentes e suas respectivas funcionalidades deveriam ser consideradas sempre:


  • Sistema Autorizador: Geralmente o Banking Core, que envia ao Modelo DIFTM as transações recebidas dos clientes finais através de diferentes canais digitais. Os dados recebidos incluirão naturalmente uma combinação de transações legítimas de clientes autênticos e tentativas de fraudes geradas por estafadores, e corresponderá às funcionalidades integradas do Modelo DIFTM identificar cada caso.


  • Bases de dados próprias: contendo os dados estruturados da instituição financeira, tais como dados mestres de clientes, produtos (saldos), empregados e redes comerciais e ATM´s, dentre outros. As funcionalidades requeridas pelo Modelo DIFTM para este tipo de componente se referem fundamentalmente a assegurar a qualidade e integridade de seus próprios dados mestres, mediante serviços tais como QDM (Quality Data Management), MDM (Master Data Management) e Data Cleansing.


  • Bases de dados de terceiros: em geral, bases de dados estruturados (empregos, impostos, história de crédito), listas brancas e pretas, listas de PEP (Pessoas Politicamente Expostas), listas de reputação de dispositivos ou endereços IP e outros disponíveis no mercado. O Modelo DIFTM requer que esses tipos de componentes e aqueles do tipo anterior se integrem automaticamente com os processos de detecção (bloco 2) e de investigação (bloco 4).


  • Fontes abertas: em geral, dados não estruturados de variadas fontes, tais como documentos de texto (Word, PDF), feeds de web sites, dados de redes sociais, e inclusive dados da Deep & Dark Web. Neste caso, o Modelo DIFTM requer que se cumpram funcionalidades  automáticas de captura de dados, mas também que se identifiquem entidades em ditos dados, e que se integrem automaticamente (mediante plugins) com as ferramentas de investigação (e em alguns casos também com as ferramentas de detecção) ditas entidades com seus atributos e relações, para transformar-se em "itens acionáveis" diretamente por parte de outras funcionalidades (investigação e/ou detecção), caracterizando o que se conhece como OSINT (Open Source Intelligence).


Bloco 2 – Alertas


Este bloco define as funcionalidades de prevenção e detecção de tentativas de fraudes, e, eventualmente, em casos claros, de acordo com a parametrização definida por cada cliente, da resposta automática (com ou sem uma "investigação profunda" subsequente).


Para isso, o Modelo DIFTM adota uma visão que considera que, num universo com proliferação de vetores de fraudes, com produtos e canais digitais a cada dia mais confortáveis para os consumidores e ao mesmo tempo mais vulneráveis a ataques, e com estafadores e defraudadores altamente qualificados no uso das tecnologias da informação, geralmente não é conveniente construir defesas e barreiras antifraudes baseadas numa única solução. A recomendação consiste em construir uma arquitetura ou plataforma capaz de integrar colaborativamente diferentes tipos de motores de prevenção, detecção e resposta a tentativas de fraudes, sendo requerido analisar e considerar a eventual necessidade de incorporar algum(s) dos seguintes tipos.


  • CIAM – Customer Identity & Access Management: em geral, esta é a primeira barreira prevista para prevenir roubos de identidade e substituição de clientes legítimos, usando diferentes tecnologias que vão desde a autenticação biométrica, MFA – Multi Factor Authentication e inclusive funcionalidades de engenharia comportamental, tais como o perfilamento de entidades, também usado com maior profundidade mais adiante na qualificação de transações financeiras (scoring).


  • Motores de detecção de variados tipos: tais como inteligência artificial com aprendizado automático (AI / ML por seu acrónimo em inglês), capazes de detectar novos tipos de fraudes e de gerar automática e transparentemente (conceito de "caixa branca") regras e modelos antifraude; ferramentas de modelagem e análise preditiva; modelos de detecção de anomalias (“pontos fora da curva” ou “moscas brancas”); regras de negócio definidas por analistas da instituição financeira.


A recomendação do Modelo DIFTM consiste em analisar as particularidades de cada instituição financeira, considerando seus ambientes, produtos, canais, clientes e recursos para identificar a combinação mais adequada de motores de detecção e resposta a incluir no bloco 2 de sua plataforma personalizada. Em todo caso, além de definir as funcionalidades mínimas que devem garantir-se, deveria considerar-se a obrigatoriedade de que os motores selecionados atuem colaborativamente, convergindo para um único motor de decisão (que produzirá recomendações ao Sistema Autorizador) e que estejam integrados automaticamente entre si, mediante um standard "de facto” amplamente aceito como PMML – Predictive Model Markup Language.


A maioria dos motores de detecção atuam gerando uma qualificação de risco da transação financeira analisada (scoring), e dependendo da severidade de dito score, os parâmetros produzidos pelos analistas, além de comunicar o score ao Sistema Autorizador com sua recomendação de processar ou declinar o processamento, poderão disparar uma resposta adicional, tal como a criação de um caso para análise e investigação, se, por exemplo, se verifica que parece haver uma nova modalidade de fraude que poderia requerer maior investigação.


Bloco 3 – Workflow


Neste bloco, o Modelo DIFTM define as funcionalidades de colaboração requeridas para permitir a efetiva participação de vários atores (supervisores, analistas e investigadores) na geração e na análise de casos de investigação profunda.


O Modelo DIFTM recomenda a implementação de um workflow especializado em gestão de casos de análise e investigação, que permita a participantes sucessivos autorizados pelo supervisor responsável do caso, efetuar atividades de análise, registrar comentários, incorporar documentos de todo tipo e adoptar decisões sobre os seguintes passos do caso.


Os requerimentos para os componentes deste bloco incluem a disponibilidade de colas de casos a serem criadas e mantidas por supervisores, assim como também de capacidades simples a ágeis de classificação, relatórios e visualização de casos de investigação profunda.


Bloco 4 – Investigação


As funcionalidades deste bloco se ativarão geralmente quando, usando o workflow do bloco prévio, um analista determine que de fato é necessário conduzir uma investigação mais profunda do caso por parte de um investigador, a quem se redirecionará dito caso.


As funcionalidades de investigação profunda requeridas pelo Modelo DIFTM devem permitir a análise gráfica de vínculos das entidades relevantes do caso de investigação, complementado por acesso a entidades relacionadas potenciais que residam em qualquer componente do bloco 2, que, como já mencionamos, deveriam estar integrados automaticamente e disponíveis dentro da ferramenta de análise gráfica de vínculos como “itens acionáveis”, contendo todos seus atributos e relações com outras entidades.


Cada implementação tem seus requerimentos particulares, mas em geral, é necessário que as funcionalidades de investigação permitam a análise visual de relações, análise cronológica (visualizar eventos na linha do tempo), georreferenciamento, análise de atividades, análise de redes sociais, y OSINT; uso de filtros e histogramas, visualização de rotas de relacionamento (inclusive indiretas) entre entidades dentro de malhas complexas com uma interface intuitiva num ambiente amigável para usuários sem conhecimentos avançados de tecnologia.


Bloco 5 – Relatórios


As funcionalidades deste bloco podem obter-se em geral com qualquer ferramenta de Business Analytics, aproveitando as vantagens de suas capacidades de riqueza em formatação de conteúdos, para produzir relatórios analíticos gráficos tais como mapas de calor, orientados tanto aos níveis operacionais da instituição como à sua gerência e diretoria.


Conclusões


Epsilon Risk fornece serviços end-to-end de desenho, implementação e sustentação de versões personalizadas de seu Modelo de Referência de Detecção e Investigação de Fraudes (Modelo DIFTM), de acordo com os requerimentos, capacidades e planos evolutivos únicos de cada cliente.


Para isso oferecemos serviços de levantamento, análise e desenho da arquitetura personalizada que se recomenda em cada caso, geralmente considerando projetos de incorporação de funcionalidades e ferramentas em forma gradual e progressiva, ao ritmo e de acordo com as necessidades e possibilidades de cada organização.


Estes serviços de consultoria organizacional e de processos podem complementar-se com serviços para a efetiva implementação dos componentes resultantes do desenho, assim como também com serviços de suporte, cobrindo o ciclo de vida completo da Arquitetura a construir.



José C. Nordmann
SME em Fraudes Digitais em tempo real
Membro do Conselho Mundial para um Planeta mais Seguro
Membro de ACFE (Association of Certified Fraud Examiners)

https://www.linkedin.com/in/josenordmann/


Comentários

Postar um comentário

Postagens mais visitadas deste blog

O que é análise de vínculos e visualização de vínculos?

O que é análise de vínculos e visualização de vínculos? No mundo das investigações, descobrir vínculos entre pessoas, organizações e eventos é o principal método para revelar novos insights. Esse processo, conhecido como análise de vínculos, tornou-se uma ferramenta poderosa para uma variedade de usuários, desde agências policiais e inteligência militar até bancos e organizações sem fins lucrativos. Ao examinar relacionamentos e conexões, a análise de vínculos auxilia na compreensão de redes complexas, identifica padrões e facilita a tomada de decisões informadas. Inteligência da Guerra Fria A análise de vínculos não é uma ideia nova. Na década de 1940, o sociólogo Jacob Moreno introduziu os sociogramas como uma representação visual das relações sociais. Mais tarde, durante a Guerra Fria, as agências de inteligência adotaram a análise de links para mapear conexões entre indivíduos envolvidos em espionagem e atividades criminosas. Na verdade, muitas das abordagens atuais da ciência de d
Postar um comentário
Leia mais

Como identificar contas de interesse em transações financeiras complexas

 Como identificar contas de interesse em transações financeiras complexas Num mundo onde cada transação conta uma história, os analistas precisam compreender o labirinto de dados em transações financeiras complexas. É um espaço onde a verdade é muitas vezes obscurecida e, à medida que o dinheiro muda de mãos, surge uma nova trilha digital que atravessa inúmeras contas, moedas, jurisdições e fronteira Live Formatting - Cada transação, no entanto, contém pistas vitais esperando para serem desbloqueadas, e é aqui que o  Analysis Studio e o Analysis Hub podem ajudar o analista de crimes financeiros. Um recurso chamado Live Formatting fornece orientação visual dinâmica ao conduzir análises de fluxo de dinheiro para que os analistas possam identificar de forma rápida e eficiente as principais contas de interesse. Como o analista de crimes financeiros pode usar isso? - Usando uma combinação de atributos de análise, o valor das transações financeiras que entram e saem de uma conta pode ser
Postar um comentário
Leia mais

Um caso OSINT real: desvendando um grupo de hackers

As investigações OSINT são como intrigantes  quebra-cabeças que exigem pesquisas meticulosas, assemelhando-se ao percurso de um labirintos. O verdadeiro tesouro  de uma investigação real é o seu resultado. Criamos estudos de caso que ajudam os especialistas a aprender com situações reais, desenvolvendo novas ideias para resolver os c asos mais complexos. Neste artigo, seguiremos uma   jornada detalhada de uma investigação conduzida pelo “Social Links Center of Excellence” sobre um grupo de hackers que rouba e vende informações pessoais de pessoas comuns. Ao percorrendo as etapas de um investigador identificaremos os atores mal-intencionados e seguiremos uma pegada digital com o SL Professional. Portanto, prepare-se para ver de perto o processo de investigação de um caso real. VAMOS AVALIAR: O desafio Os atores da investigação O andamento da Investigação OSINT Os próximos passos O DESAFIO: Grupos criminosos mais pequenos preferem muitas vezes visar pessoas comuns em vez de empresas. Ess
Postar um comentário
Leia mais