Apenas em 2021, segundo o Indicador de Tentativas de Fraude da Serasa Experian, o Brasil registrou uma tentativa de fraude a cada sete segundos. Esse dado ressalta a importância de adotar soluções de segurança mais robustas, principalmente um sistema antifraude. Além disso, de acordo com o Panorama de Ameaças 2021 da Kaspersky, houve um aumento de 23% no número de ciberataques em nosso país.
Segundo a pesquisa, o maior destaque vai para uso de PDFs infectados com vírus do tipo “cavalo de troia” para golpes focados no roubo de dados de cartões de crédito. Esses dados roubados resultam em milhões de reais envolvidos em transações fraudulentas, gerando inúmeros prejuízos às instituições envolvidas.
Um sistema antifraude é capaz de evitar que ações desse tipo tenham um resultado positivo para os golpistas. Por meio de estratégias combinadas, esses sistemas proporcionam um bom nível de prevenção à fraude para diferentes setores e aplicações.
Entenda melhor o que é um sistema antifraude, as boas práticas de uso e como ele pode ser usado no setor bancário e no e-commerce.
🔒 Aprofunde-se: Segurança no Pix: a biometria de voz como fator de identificação dos usuários
O que é um sistema antifraude?
Um sistema antifraude é um conjunto de soluções, ferramentas e aplicações que têm como foco reduzir a ocorrência de transações fraudulentas. É comum que esse sistema abarque aplicações de detecção, prevenção e análise das fraudes.
O objetivo desse sistema é atuar como uma camada de proteção durante o processamento de uma compra ou transação financeira, por exemplo. Desse modo, são inseridos processos para verificar se a pessoa que está realizando aquela ação está autorizada a realizá-la.
Existem milhares de tipos de fraude e ainda não existe uma tecnologia única capaz de resolver todas elas. Por isso, um sistema antifraude atua a partir de diferentes formas de prevenção e segurança, diminuindo os riscos de sucesso dessas ações.
Usando tecnologias de segurança mais avançadas, é possível cruzar as informações fornecidas com uma base de dados voltada para a prevenção de fraudes. Qualquer tentativa é analisada e, por meio de combinados processos de validação, é possível identificar a sua legitimidade.
Os 4 pilares da prevenção à fraude
Existem 4 pilares que podem ser usados no desenho de uma estratégia de prevenção de fraudes: prevenção, detecção, remediação e repressão. Estamos usando aqui a definição dada pela Risk Leadership Academy no Fraud Bootcamp, um curso online focado na formação de líderes em gerenciamento de risco de fraudes.
Entenda melhor cada um deles:
-
- Prevenção: garantia de que é realmente o cliente que está realizando aquela ação;
- Detecção: verificação de comportamentos atípicos;
- Remediação: uma vez que a fraude aconteceu, como é possível remediar?;
- Repressão: como responder a uma fraude concretizada.
A construção de uma estratégia antifraude completa deve considerar cada potencial fraude dentro desses quatro pilares. Por exemplo, se estamos falando da fraude de invasão de contas de usuários, para construir uma solução é preciso pensar em uma estratégia de prevenção, detecção, remediação e repressão dessa prática.
Essa lógica impede que existam furos na estratégia e ajuda o sistema antifraude a prever o maior número de riscos. No tópico a seguir, vamos falar das estratégias práticas que podem ser usadas considerando cada um desses pilares.
🔒 Leia mais: Como proteger a identidade digital para evitar fraudes?
Sistema antifraude: o que é usado no mercado?
Os vazamentos de dados pessoais sensíveis seguem como uma realidade do mundo digital. Com essas informações em mãos, o trabalho dos fraudadores fica ainda mais fácil, visto que muitas verificações de identidade são feitas usando apenas o nome e o CPF de clientes, por exemplo.
A identificação dos usuários a partir de dados que podem ter sido vazados é uma das maiores dores enfrentadas pelas empresas atualmente, como explica Rafael Aceno, Especialista em Segurança Digital e DevSecOps na Transfeera, em entrevista ao nosso podcast Open Your Minds.
Segundo Aceno, uma parte difícil da análise das ações de fraudadores é decifrar se uma pessoa é realmente quem diz ser e não alguém que simplesmente comprou aqueles dados na dark web.
Veja algumas práticas e tecnologias indicadas por ele e outros profissionais da área de prevenção à fraude:
Verificação de duas etapas
Pilar: prevenção
Uma solução levantada por Aceno é a verificação de duas etapas. Muitos aplicativos usam essa camada de segurança para validar a identidade do usuário em diferentes momentos. Nesse sistema, além da senha, geralmente é preciso digitar um código, também chamado de token, que é enviado na hora para a pessoa.
Contudo, em muitos casos, essa verificação é feita por algum canal que também pode ser acessado pelo celular. Por exemplo, quando um aplicativo bancário envia um código de verificação por SMS ou e-mail.
Em situações em que o celular foi roubado ou o número foi clonado, o criminoso poderia ter acesso a esse código e realizar a fraude com sucesso, o que reduz o potencial de segurança dessa solução. Por isso, como aponta Rafael, é importante que esse token seja acessado por outro dispositivo.
Além disso, ainda que o termo mais usado seja de “verificação de duas etapas”, essa medida de segurança pode abarcar outros tipos de validação. Ela não precisa, necessariamente, estar limitada a apenas a essas duas camadas. Contudo, é importante considerar a experiência do usuário nessa decisão: inserir muitos processos pode impactar no uso do aplicativo.
No episódio mencionado, o CEO da Minds Digital, Marcelo Peixoto, conversou com profissionais do mercado financeiro sobre como o setor lida com as fraudes. Além de Rafael Aceno, a discussão também contou com a participação de Emilio Simoni, Executivo-chefe de Segurança do Grupo CyberLabs.
Ouça ao episódio completo:
Biometria
Pilar: prevenção
Além de indicar a autenticação multifator, o especialista aponta que a saída mais adequada é adotar medidas mais robustas de segurança, como as biometrias facial, digital e vocal, que utilizam características únicas e intransferíveis de cada pessoa para identificá-la.
Nessas formas de identificação, a “chave” de desbloqueio é o próprio cliente, o que diminui os riscos de que vazamentos de informações possibilitem a ocorrência de fraudes. Esse tipo de medida de segurança, em geral, é bastante precisa e leva poucos segundos para processar a identidade do usuário.
No caso da biometria de voz, o nível de acurácia é altíssimo, em cerca de 97%, e o tempo para identificar o cliente é de apenas 1 segundo.
- Entenda como funciona essa alternativa: Como funciona a autenticação por voz?
Análise comportamental
Pilar: detecção
A análise comportamental é feita com base no comportamento padrão de cada usuário. Essa tecnologia possui uma estrutura de Machine Learning, ou seja, a tecnologia por trás da solução é capaz de aprender com as informações que chegam até ela.
Na detecção de fraudes, essa ferramenta capta o comportamento padrão dos usuários e mantém esses dados armazenados. Por exemplo, geolocalização, ticket médio, estabelecimentos, device fingerprint, dentre outros fatores.
Caso aconteça alguma tentativa de compra que seja muito diferente do padrão registrado, a ação é barrada automaticamente. Então, se Joana geralmente usa seu cartão na cidade de Belo Horizonte, caso haja uma tentativa de compra em Recife em um valor muito acima da média, há uma grande chance de que essa análise comportamental impeça a sua efetivação.
🔒 Confira: Como funciona o liveness detection na biometria de voz?
Temporização de transação
Pilar: detecção
A temporização da transação é uma tecnologia que insere um tempo para que determinada transferência, compra ou movimentação financeira seja concretizada. Em operações de grande risco, é estabelecido um tempo maior até a sua validação.
Esse prazo permite que a instituição responsável tenha mais tempo para verificar a confiabilidade da operação. Caso perceba que há algum risco de fraude, ainda há tempo hábil para fazer o bloqueio.
Essa tecnologia está sendo usada para os pagamentos com Pix desde novembro de 2021. Trata-se do Bloqueio Cautelar, uma ferramenta que permite aos bancos realizarem o bloqueio imediato, por até 72 horas, de transações consideradas suspeitas. O prazo dá ao banco mais tempo para verificar as características daquela operação e certificar a sua procedência.
Recuperação de transações
Pilar: remediação
Existem tecnologias que permitem a realização de uma recuperação caso a fraude chegue a ser concretizada. Essa tecnologia também já foi implementada no Pix e trata-se do Mecanismo Especial de Devolução, o MED.
Ele pode ser usado em casos onde o usuário faz a transferência por Pix, mas percebe imediatamente que foi vítima de uma fraude. Nesse caso, deve ser registrado um boletim de ocorrência e uma reclamação no Serviço de Atendimento ao Consumidor (SAC) do banco de onde partiu o pagamento.
Contudo, com o MED, agora o próprio banco de onde o pagamento está saindo poderá notificar o banco recebedor do pagamento de que aquela operação pode ser uma fraude. As duas instituições têm até 7 dias para analisar se a ocorrência tem fundamento. Nesse período, o recebedor não terá acesso ao dinheiro, o que torna mais fácil para os bancos devolvê-lo ao pagador.
Para entender melhor os mecanismos do Bloqueio Cautelar e do MED, confira o vídeo do Banco Central na série “BC te explica”:
Denúncia e combate às fraudes
Pilar: repressão
Depois da tentativa ou concretização da fraude, o que pode ser feito com aquelas informações? Caso seja possível, é importante reunir a documentação para que sejam registradas denúncias junto aos órgãos responsáveis.
Foi o que fez a Meta, dona do Facebook, no final de 2021. A empresa entrou com uma ação na justiça federal dos Estados Unidos pedindo que fossem retirados do ar cerca de 39 mil sites acusados de phishing. A fraude acontecia usando páginas falsas do Facebook, Messenger, Instagram e WhatsApp — todos são produtos da empresa.
Recentemente, páginas brasileiras foram apagadas no Facebook e Instagram por ligação com fraudes e esquemas de distribuição de spam. Esse tipo de ação representa bem as medidas de repressão que podem ser inseridas no sistema antifraude das empresas.
Sistema antifraude em diferentes segmentos
A configuração de um sistema antifraude, seu funcionamento e suas aplicações, depende das especificidades de cada negócio. Por exemplo, é possível ter sistemas antifraudes acoplados ao mecanismo de pagamento ou até durante o login no site ou aplicativo.
Entenda a seguir como os sistemas antifraude são ou podem ser aplicados em cada setor:
Antifraude em bancos e instituições financeiras
Em bancos e instituições financeiras, os sistemas antifraude estão inseridos em diversos momentos da jornada do cliente — desde o onboarding até qualquer transação feita por ele. Qualquer ocorrência de fraude pode significar um prejuízo de milhares de reais, por isso, a aposta em diferentes camadas de autenticação é o melhor caminho.
Dados da Pesquisa Global de Identidade e Fraude 2021, da Serasa Experian, mostram que apostar em ferramentas de inteligência artificial e machine learning é a melhor alternativa para o processamento de dados nos sistemas antifraude. Pelo grande número de tentativas acontecendo o tempo todo, seria necessário contratar equipes muito grandes para lidar com esse desafio. Por isso, alternativas baseadas em IA são a saída ideal para a gestão desses casos de maneira eficiente.
Esse é o caminho que deve ser percorrido por bancos e instituições financeiras em 2022, segundo dados da Febraban. A Pesquisa Febraban de Tecnologia Bancária 2022 concluiu que o foco de bancos e instituições financeiras será voltado para Inteligência Artificial, Segurança e Open Finance.
Esse direcionamento está alinhado com as novas perspectivas do mercado, visto que a maioria das transações financeiras já está acontecendo pela internet, especialmente depois da implementação do pagamento instantâneo.
O Pix é algo que tem exigido bastante atenção das instituições justamente por ser uma tecnologia nova e que inicialmente esteve mais suscetível a operações fraudulentas. Com as recentes mudanças implementadas pelo Banco Central para melhorar a segurança do Pix — como o Bloqueio Cautelar e o MED — esse cenário vem mudando.
O investimento que bancos e instituições financeiras planejam fazer, em 2022, aponta uma mudança promissora em relação à segurança das transações. O uso de novas tecnologias permite agregar novas soluções ao processo de autenticação dos usuários — trouxemos alguns exemplos no tópico anterior.
Antifraude no e-commerce
Para indicar a segurança da plataforma, muitos serviços de e-commerce usam, dentre outras práticas, os selos de segurança, que são um tipo de certificado de segurança com o objetivo de assegurar ao consumidor de que aquele é um ambiente seguro.
Uma outra forma de fazer isso é, assim como bancos e instituições financeiras, adotar diferentes camadas de autenticação. Nesse caso, é possível combinar diferentes métodos de segurança e garantir uma autenticação mais confiável.
Em 2021, segundo o Mapa da Fraude, as ações fraudulentas aumentaram e estiveram focadas principalmente na compra de celulares e eletrônicos em geral. Esses números, além de gerar prejuízos sobre produtos que foram entregues, mas não foram, de fato, comprados, também impactam o padrão de consumo dos usuários.
Ainda falando da Pesquisa Global de Identidade e Fraude 2021, cerca de 55% dos consumidores disseram que segurança é o aspecto mais importante na sua experiência online. A ocorrência de fraudes pode gerar desconfiança e acabar afastando essas pessoas das vendas pela internet. Por isso, é muito importante que exista um equilíbrio entre a prevenção à fraude e a experiência dos usuários.
A pesquisa também indica qual é a preferência dos consumidores em relação aos métodos de segurança:
- 74% preferem usar biometria física;
- 72% preferem códigos PIN enviados para o celular;
- 66% preferem análise comportamental.
O próximo passo dos sistemas antifraude
Além dos pontos já mencionados, a Pesquisa Global de Identidade e Fraude 2021 também lista outras dicas importantes para desenvolver uma estratégia de autenticação contínua. Dentre elas, está o desenvolvimento de métodos de segurança em camadas como uma forma de atender às expectativas dos consumidores quanto à sua segurança digital.
No setor bancário e de e-commerce, percebemos que essa é uma tendência que já está em curso. Unindo diferentes formas de autenticação e tecnologias de Inteligência Artificial e Machine Learning, é possível desenvolver um sistema antifraude cada vez mais potente.
Para entender mais sobre o uso da Inteligência Artificial na construção de soluções antifraude escaláveis, ouça o episódio 5 do podcast Open Your Minds:
A seguir, você vai aprender sobre: