Por Vanessa Arenas
El fraude bancario a través del robo de identidad es una realidad que viene en aumento. En el caso de la compañía de pagos móviles y verificación de identidad, Jumio, la cifra de intentos de fraude varía de acuerdo al país. Sin embargo, Samer Atassi, director de Jumio en Latinoamérica, detalla que al procesar 1000 nuevas aplicaciones en línea para nuevas cuentas bancarias, normalmente encuentran que de 10 a 30 de ellas serán fraudulentas, “pero esto es sólo una parte de toda la historia”.
Atassi conversó con Ebanking News para contar la experiencia de la empresa en este ámbito.
–Con la digitalización de la banca también los fraudes y ataques de ciberseguridad se han modernizado. ¿Cómo reducir los casos de fraude cuando los datos de los clientes son cada vez más públicos a través del internet y la digitalización? ¿Cuál es el desafío para la banca y las Fintech?
Los crecientes volúmenes de transacciones digitales han dado lugar a la necesidad de medidas más estrictas para verificar a los clientes legítimos y eliminar a los malos actores. Esto significa que los bancos necesitan modernizar y repensar sus procesos de eKYC (validar documentos de identidad) e incorporación. Es cada vez más importante identificar y rechazar correctamente a los solicitantes fraudulentos, pero también aprobar rápidamente a los usuarios válidos. Una preocupación clave es que las empresas se enfrentan a dificultades para alcanzar ambos objetivos en un corto período de tiempo para no afectar negativamente a la experiencia del usuario.
Esto significa que los bancos y las Fintech necesitan mantenerse al día con las últimas prácticas de fraude de identidad en línea y desarrollar contramedidas es un desafío constante para las empresas, especialmente teniendo en cuenta la evolución actual del panorama de amenazas. El auge de los deepfakes, por ejemplo, demuestra que incluso los videos de alta resolución de una persona pueden ser falsificados.
Pero los bancos no pueden centrarse únicamente en la detección de fraudes, deben ofrecer simultáneamente una experiencia de incorporación optimizada. Desafortunadamente, otra preocupación con eKYC son los sorprendentes altos niveles de abandono en línea que se producen cuando los bancos abordan nuevos clientes. Estudios recientes han encontrado que más del 50% de los solicitantes abandonan el proceso de incorporación porque el proceso de verificación de identidad toma demasiado tiempo o es demasiado oneroso y torpe. Es por eso que las instituciones financieras deben ser conscientes de las mejores prácticas y pensar a través de la experiencia del usuario del proceso de verificación de identidad para reducir la cantidad de fricción y el consiguiente abandono del cliente.
–¿Cómo pueden ser detectados los casos de fraude con mayor facilidad? ¿De qué depende detectarlos o no?
Es de vital importancia eliminar a los malos actores antes de que puedan infectar su ecosistema en línea. Esto significa investigar cuidadosamente a nuevos clientes cuando inicialmente están creando cuentas en línea. Los métodos tradicionales de «prueba de identidad» incluyen búsquedas en las agencias de crédito y verificación basada en el conocimiento (por ejemplo, «¿en cuál de las siguientes direcciones ha vivido durante los últimos 3 años?»). Desafortunadamente, estos métodos ya no son viables o fiables en términos de evaluación de la identidad digital de los usuarios en línea. Gracias a las violaciones de datos a gran escala y la aparición de la web oscura, las respuestas a estas supuestas preguntas secretas a menudo están disponibles públicamente. Cada vez más, los bancos están recurriendo a la verificación biométrica que requiere que un nuevo cliente tome una foto de su documento de identidad emitido por el gobierno (por ejemplo, una licencia de conducir o pasaporte) y se tome un selfie que lo corrobore. Este método de verificación vincula la identidad digital a un ancla de confianza (el ID) y la selfie parece garantizar que la persona que solicita una nueva cuenta esté físicamente presente y el propietario real de la identificación.
Sólo por requerir un documento de identificación y una selfie sirve como un efecto escalofriante que disuadirá a muchos delincuentes cibernéticos que generalmente no compartirán su propia semejanza con la empresa que buscan para defraudar. Otro requisito clave del proceso de prueba de identidad es asegurar que el solicitante está físicamente presente y detectar cuando se utilizan fotos, videos o incluso máscaras 3D realistas en lugar de selfies reales para crear cuentas en línea.
Durante el paso de detección de vida, las imágenes faciales del solicitante son tomadas de cualquier cámara de dispositivo móvil 2D o cámara web. Estas imágenes del rostro se reconstituyen para crear un mapa de cara 3D que contiene más de 100 veces la cantidad datos de vivacidad que una foto 2D. Este es un método significativamente más seguro y confiable de verificación de identidad, y el mapa de 3D del rostro se puede aprovechar en el futuro para la autenticación. Más tarde, cuando el usuario desea iniciar sesión en su cuenta o cada vez que se produce una transacción de alto riesgo (por ejemplo, un restablecimiento de contraseña o una transferencia bancaria), la autenticación biométrica permite al usuario tomar otro video-selfie (donde se crea un nuevo mapa 3D del rostro), que entonces se compara con el mapa facial original, verificando al usuario y desbloqueando la cuenta en segundos.
–¿Cómo combinar satisfactoriamente una mejor experiencia del usuario a través de la tecnología con la protección de sus datos y mayor seguridad?
Con las tasas de abandono en línea rondando el 40% para los servicios financieros, los bancos están buscando mejores prácticas para optimizar su embudo. Al acelerar el proceso de verificación de identidad y dar a los clientes la capacidad de corregir el curso durante las etapas de captura de documentos de identidad o selfies, al adoptar estas prácticas recomendadas para la experiencia del usuario. Estas son algunas de las recomendaciones de Jumio:
- Verificación más rápida: Para muchas instituciones tradicionales que dependen de procesos manuales, la incorporación de nuevos clientes puede llevar días. La idea es que se haga de forma ágil y sencilla.
- Menos pantallas: ayudar a los bancos a adoptar las mejores prácticas, incluyendo cómo reducir el número de pantallas y dando instrucciones simples al cliente final que proporciona la justificación para la verificación de identidad. Esto produce mejoras de más de 15 por ciento en las tasas de conversión en línea, lo que le ha traido ganancias significativas e ingresos a los clientes de la empresa.
- Menos revisión manual: Libere personal en la tienda para trabajar en tareas más orientadas a servicios mediante la descarga de la verificación de identidad y el cumplimiento de KYC a expertos de la industria.
- Corrección del curso: La mayoría de las empresas de verificación de identidad en línea devolverán un “aprobado, rechazado” o proporcionarán algún tipo de «tal vez» o precaución como su decisión de verificación. Las verificaciones aprobadas generalmente dan lugar a que se le emita una credencial al usuario exitosamente, las verificaciones rechazadas resultan en solicitudes denegadas y los «tal vez» generalmente están sujetos a revisiones manuales que consumen mucho tiempo. Hay que ofrecer estrategias en el caso de, por ejemplo, si tomaron una foto con mala iluminación o el usuario oscureció una parte crítica del documento de identificación con su pulgar cuando tomó la foto). Esto se traduce en conversiones significativamente más exitosas y clientes más felices.
- Soporte omnicanal: Muchas soluciones de verificación de ID solo admiten la captura de imágenes de teléfonos inteligentes y excluyen otros canales, como las cámaras web de escritorio. Al excluir las cámaras web, estos proveedores excluyen a los grandes segmentos del mercado que se sienten más cómodos en sus computadoras. Una parte significativa de las verificaciones en línea se basan en imágenes que pueden ser capturadas por webcams dependiendo de la aplicación y el caso de uso. Ser omnicanal también significa admitir implementaciones móviles y web sin API. Para las empresas que buscan lanzar la red más amplia posible, incluidas algunas personas mayores que pueden no sentirse cómodas con la tecnología más reciente, sólo tiene sentido asegurarse de que su solución de verificación de identidad ofrece el mayor número de canales a sus usuarios.
-En el caso de que un cliente requiera abrir una cuenta en una aplicación de un banco y presente varios documentos para ello. ¿Qué medidas se aplican para verificar y validar esos documentos como auténticos? Muchos utilizan pruebas con tecnología biométrica, ¿cómo blindar estos procesos para que sea imposible una operación fraudulenta?
En el caso de Jumio, aplicamos una variedad de medidas para verificar la autenticidad de las identificaciones emitidas por el gobierno y las identidades digitales de los individuos. Escaneamos cada documento de identificación para detectar si es genuino o fraudulento, hasta un solo píxel. Cubrimos más de 3.500 tipos de documentos de 200 países y territorios. Cada documento de identidad se autentica con las características de seguridad únicas de los pasaportes, licencias de conducir y tarjetas de identificación. Inspeccionamos cada documento de identidad para asegurarnos de que contiene las fuentes correctas, características de seguridad (imágenes fantasma, hologramas, etc) y comprobamos la información en los códigos de barras o MRZ (zonas legibles por máquina) para asegurarnos de que el Documento no ha sido manipulado.
Si el documento es genuino, entonces inspeccionamos la selfie para asegurarnos de que también es auténtica y no una imagen. Aquí es donde entra en juego la detección de vida certificada. Los estafadores han aprendido rápidamente a engañar a las soluciones de verificación de identidad en línea con ataques de suplantación de identidad (por ejemplo, utilizando una foto, vídeo o máscara de la cara de la persona autorizada). Esta es la razón por la que es cada vez más imperativo comprobar si el usuario correcto está físicamente presente durante el proceso de configuración de la cuenta (inscripción).
Después de que establecimos que la identificación y la selfie son auténticas y que la persona está físicamente presente, luego comparamos la imagen en la selfie con la imagen en la identificación emitida por el gobierno. Después de todo, alguien podría haber robado la identificación de otra persona, es por eso que las empresas modernas necesitan corroborar la identidad digital del usuario con una selfie. Todo este proceso suele tardar menos de un minuto y se considera ampliamente para producir los más altos niveles de usabilidad y garantía de identidad.
–¿Cómo puede el Machine Learning y la Inteligencia Artificial volverse aliados de las empresas para lograr seguridad?
La IA (Inteligencia Aumentada) y el aprendizaje automático pueden ayudar a las empresas a lograr una mayor seguridad al impedir que los malos actores creen cuentas falsas, así como garantizar que no pueden asumir cuentas legítimas (a través de tomas de cuenta).
La IA y el aprendizaje automático es aprovechado como parte del proceso de verificación de identidad en línea. Hemos desarrollado modelos de aprendizaje profundo para mejorar drásticamente la precisión de la verificación de identidad y la velocidad de verificación. El aprendizaje automático ya se ha producido para reducir el tiempo necesario para verificar un documento de identidad o una identidad en línea que, a su vez, está ayudando a los clientes a reducir sus tasas de abandono y aumentar las nuevas conversiones de cuenta.
Nuestra IA ha permitido el reconocimiento automático del país de identificación y los tipos de documentos para agilizar el flujo. También automatizamos la comprobación de calidad de imagen (que evalúa la legibilidad de un documento de identificación), un proceso que solía tardar 15 segundos ahora tarda menos de un segundo.
También estamos aprovechando la IA y el aprendizaje automático para automatizar la autenticación basada en biometría, que anula eficazmente las amenazas de la toma de cuenta.
-¿Cuántas verificaciones ha hecho Jumio en apps de banca y empresas de medios de pago de Latinoamérica? ¿Cuántos clientes tienen en la Región?
Podemos decir que los volúmenes de verificación ahora se miden en millones. Las soluciones de verificación de identidad de Jumio están ayudando a las empresas de LATAM a combatir el fraude y garantizar el cumplimiento de un número creciente de clientes importantes de América Latina, incluyendo Rappi, Kubo Financiero, BTG Pactual, Fondeadora, Flink, Kambista, Xapo y Tecnología en Entretenimiento Caliplay, entre tantos otros que no podemos mencionar abiertamente
-¿Tienen cifras de cuántos intentos de fraude podrían darse en tan sólo una app bancaria?
Los intentos de fraude varían realmente según el país y el banco. Normalmente vemos tasas de fraude en el rango de 1%-3% de transacciones totales. Eso significa que si procesamos 1000 nuevas aplicaciones en línea (para nuevas cuentas), normalmente vamos a encontrar que 10-30 de ellos serán fraudulentos, pero esto es sólo una parte de toda la historia. Hemos encontrado que cuando los bancos introducen la verificación de identidad basada en biometría, que empareja una identificación emitida por el gobierno con una selfie corroborante (que incorpora la detección de vivacidad certificada), esto tiene un efecto dramático en las tasas de fraude. La mayoría de los ciberdelincuentes no quieren divulgar su propia biometría (por ejemplo, selfie con mapa facial 3D) a la misma compañía que buscan defraudar ya que se incrimina a sí mismos. Cuando los bancos verifican a los clientes en línea en base a información autoinformada (por ejemplo, nombre, dirección, número de seguro social, etc.) no hay riesgo para el ciberdelincuente que puede hacerse pasar fácilmente por personas legítimas gracias a la información que han obtenido a través de la web oscura o técnicas de ingeniería social. Tan pronto como el banco pida una identificación genuina emitida por el gobierno y un selfie, esa es una barra significativa y en una que la mayoría de los ciberdelincuentes no querrán hacer — simplemente se moverán a otros objetivos que no están tan bien protegidos (por ejemplo, aquellos bancos que todavía dependen de KBA).
