Modeli rizika za platne platforme: kompletan praktični vodič

  • Upravljajte kreditima, prevarama i uzurpacijama pomoću procesa uvođenja, praćenja i ublažavanja prilagođenih riziku.
  • Jača sigurnost i usklađenost (PCI, 3DS, AVS, CVV, SSL/TLS, tokenizacija) kako bi se smanjili propusti i povrati sredstava.
  • Kombinuje alate trećih strana i modele strojnog učenja s upravljanjem rizicima, analitikom i kontinuiranim pregledom.
Alberto Navarro

13 minuta

Model rizika u platformama za plaćanje

U digitalnim poslovima, upravljanje rizicima je svakodnevna pojava: od onih koji utiču na reputaciju do onih koji utiču na poslovanje i finansije. U području plaćanja, izloženost je koncentrirana na tri ključna fronta: krediti, prevare i preuzimanje računa.I iako ih je potpuno eliminirati nemoguće, možemo ih smanjiti procesima, tehnologijom i prosuđivanjem.

Platforme koje omogućavaju plaćanja trećim stranama koegzistiraju sa specifičnom strukturom rizika: sama platforma, trgovci ili pružatelji usluga koji obrađuju plaćanja i korisnici kartica koji plaćaju, svi koegzistiraju. Ovaj „trostruki sloj“ stvara međuzavisnosti i unakrsne rizike koji se moraju rješavati strategijama uvođenja, kontinuiranim praćenjem i ublažavanjem.podržano sigurnosnim standardima, usklađenošću s propisima i alatima trećih strana.

Pregled rizika u digitalnim plaćanjima

Prije nego što se uđe u taktičke detalje, potrebno je definirati koncepte. Kreditni rizik nastaje kada je potrebno pokriti povrat novca ili naplatu, a novčane rezerve prodavca su nedovoljne.Do prevare dolazi kada se obrađuju neovlaštene naplate (ukradene kartice, BIN testovi itd.); a preuzimanje računa se dešava kada prevarant preuzme kontrolu nad računom legitimnog prodavca.

Klasičan primjer: platforma za događaje likvidira organizatore prije datuma sajma i sam događaj se otkaže. Ako organizator ne može vratiti novac, platforma preuzima gubitak.Ovaj slučaj pokazuje zašto su raspored transfera i početna procjena rizika toliko važni.

Pored ekonomskog vektora, postoji i tehnički: Tehnike prevare razvijaju se uporedo s usvajanjem e-trgovine, beskontaktnog plaćanja i digitalnih novčanika.Stoga je sigurnost neophodan uslov za rast i usklađenost s regulatorima i kupcima.

Strategije upravljanja kreditnim rizikom

Cilj je predvidjeti negativne salde i koncentracije izloženosti od strane dobavljača ili vertikala. Mjere su organizovane u tri oblasti: uvođenje u rad, praćenje i ublažavanje..

Ukrcavanje

  • Prijemni ispit: Prikuplja poslovne informacije (proizvod/usluga, politika povrata, prognoza obima, historija na sličnim platformama) i, za velike prodavače, primjenjuje ručne preglede s finansijskim izvještajima i upitima o kreditnoj sposobnosti vlasnicima i menadžerima.

  • Privremene kontrole: Postavite početna dnevna/mjesečna ograničenja obima i, ako se ona prekorače, pauzirajte transfere kako biste pregledali aktivnost dok ne shvatite obrazac trgovanja na računu.

  • Rezervacije: zahtijeva garancije (npr. putem rezervi fondova) za račune s visokorizičnim profilom i Postepeno oslobađa tu rezervu kada pokažu dobar dosadašnji uspjeh..

Monitoring

  • Dinamična upozorenja: Prati sporove, negativna stanja, reklamacije i promjene obima. Svaka stopa sporova iznad 0,75% je znak za upozorenje što zahtijeva hitnu akciju.

  • Periodični pregledi: Pored dnevnih upozorenja, zakažite detaljne preglede kako biste vidjeli trendove u povratima sredstava, refundacijama, koncentraciji po kupcu/zemlji i prosječnoj veličini zahtjeva.

  • Proaktivno obrazovanje: dijeli vodiče i resurse za hitne slučajeve (zdravstvene krize, prirodne katastrofe) kako bi se pomoglo prodavačima da upravljaju povratima robe i da usluže svoje kupce.

Ublažavanje

  • Kašnjenje transfera: Prilagođava učestalost poravnanja kategoriji rizika. Za odgođenu robu/usluge, zadržati sredstva do isporuke kako bi se smanjili povrati i povrati sredstava.

  • Upravljanje negativnim saldom: implementira automatska zaduženja ili planove oporavka ovisno o jurisdikciji za regularizirati račune s negativnim saldima i spriječiti rizik od pada na platformu.

  • Granice koncentracije: definira pragove izloženosti po zemlji, vertikali ili dobavljaču (npr. jedan dobavljač ne može premašiti određeni postotak ukupnog rizika) i pooštrava politike ako se one prekorače.

  • Snimanje blizu isporuke: približno plaćanje i isporuka; prvo ovlašćuje i snimanje kada je usluga/proizvod pružen.

Strategije upravljanja rizikom od prevare

Prevarno plaćanje je ono koje korisnik kartice ne odobri. To mogu biti kupovine izvršene ukradenim karticama ili napadi "testiranja kartica". za validaciju numeracije. Platforma mora biti pokrivena od prevara kupaca i prevarantskih prodavača, s faznim mjerama.

Ukrcavanje

  • Identitet i legitimnost: Provjerite poslovanje: prisustvo na društvenim mrežama, licence, funkcionalnu web stranicu (pazite na kopirani tekst, nespretne predloške), fizička adresa i inventar ili evidenciju o službi.

  • Detektira duplikate: provjerava podatke (IBAN, porezne informacije, ime/datum rođenja) u odnosu na odbijene račune, identične IP adrese ili obrasci domena i veze između računa.

  • Rezerve za rizik: baš kao i sa kreditom, zadržati garanciju na račune s većom vjerovatnoćom prevare i oslobađati ga u fazama.

Monitoring

  • Definišite normalnost: profilira tipično ponašanje svakog prodavača (mjesečni obim, stopa sporova, prosječna količina tiketa) kako bi otkrivanje anomalija odstupanjem.

  • Prilagođena upozorenja: kreira ad hoc pravila na osnovu uočenih obrazaca u potvrđeni slučajevi prevare da preduhitri nove pokušaje.

  • Dodatni testovi: Ako primijetite sumnjive znakove, zatražite fakture, fotografije inventara ili brojevi za praćenje i pauzirati plaćanja ako je potrebno.

Ublažavanje

  • Uslovna likvidacija: prilagođava rasporede plaćanja kod rizika i kašnjenja u transferima dok se ne potvrdi stabilnost stopa povrata sredstava.

  • Test kartice: Neobični porasti odbijenih plaćanja (kodovi 402) ukazuju na testiranje kartice. Uvedite barijere poput CAPTCHA-e ili ograničenja po IP adresi/uređaju.

Preuzimanje računa

Čak i kod legitimnih prodavača, napadač može oteti račun i preusmjeriti sredstva. Najbolja odbrana kombinuje robusnu verifikaciju i praćenje bihevioralnih signala..

  • Identitet i sigurnosna provjera: pravila o jakim lozinkama, dvofaktorska autentifikacija i Kontrole pristupa dobro dizajniran.

  • Znaci upozorenja: vrhovi jačine zvuka, povećanje prosječne cijene ulaznica, počevši od udaljenih IP adresa ili "novih" uređaja. Obustavite transfere ako otkrijete anomalije.

Sigurnost, usklađenost i tehničke kontrole

Sigurnost plaćanja oslanja se na standarde. Krajem 90-ih, Visa je pokrenula CISP, a ubrzo nakon toga, ostale mreže su kreirale vlastite programe. Da bi se ujedinili kriteriji, kreiran je PCI DSS, globalni standard koji definira kontrole za one koji obrađuju, prenose ili pohranjuju podatke o karticama..

PCI DSS klasificira usklađenost po nivoima; Nivo 1 zahtijeva reviziju od strane vanjskog evaluatora Nivo 4 omogućava samoprocjenu, na osnovu obima i izloženosti. Integracija sa pristupnicima koji enkapsuliraju podatke pomaže u smanjenju površine napada, ali ne oslobađa korisnike od najboljih praksi.

enkripcija: Štiti podatke u tranzitu pomoću SSL/TLS-a i koristi jake algoritme. Asimetrična kriptografija dodaje slojeve odvajanjem javnih i privatnih ključeva. Ažurirajte sisteme i rotirajte ključeve to je bitno.

tokenizacija: PAN-ovi se zamjenjuju nasumičnim tokenima. Plaćanja se autorizuju internim ključevima. sprečavanje nepotrebnog prenosa ili pohranjivanja osjetljivih podatakačak i u ekosistemima s više aktera.

Autentifikacija: od dodatnih faktora do analize transakcijskog rizika. 3D Secure (3DS) analizira IP, historiju i iznos; Ako otkrije rizik, zahtijeva dodatni korak (na primjer, jednokratnu lozinku putem SMS-a/e-pošte).

SSL/TLS i "katanac": HTTPS prefiks označava šifrirani kanal, ali budite oprezni: Zlonamjerne web stranice također mogu dobiti certifikateDakle, brava nije bjanko ček.

AVS i CVV: Verifikacija adrese i sigurnosni kod dodaju korisne poteškoće. Bolje funkcionišu zajedno (AVS može propasti zbog zastarjelih adresa, a CVV je ranjiv ako procuri), stoga je preporučljivo integrirati ih u višeslojni pristup.

Sigurnost plaćanja i usklađenost

Načini plaćanja i najbolje prakse na strani korisnika

Na kartici, prodavnica traži ime, broj, datum isteka i često CVV. Ako postoji bankarski prolaz, proces se završava u sigurnom okruženju izvan prodavnice.ko ne vidi podatke; u suprotnom, čuvanje i rizici padaju na prodavnicu. (vidi plaćanje gotovinom ili karticom)

Na lažnim web stranicama, Podaci o kartici završavaju u rukama kriminalaca. za neovlaštene kupovine ili socijalni inženjering. Jednostavna mjera: koristite karticu "samo online" s ograničenim stanjem kako biste smanjili utjecaj incidenata.

Posrednici (PayPal, Amazon Pay, Google Pay, Apple Pay) Oni djeluju kao sloj privatnosti i rješavanja sporova.Prodavnica ne vidi karticu, a provajder pomaže ako dođe do prevare. Međutim, budite oprezni sa... phishing koji se lažno predstavlja kao ovi brendovi.

S mobilnim telefonima s omogućenim NFC-om, Google Pay/Apple Pay omogućavaju beskontaktna plaćanja i plaćanja unutar aplikacija. Sigurnost se zasniva na tokenizaciji i autentifikaciji uređaja.Ali nije dobra ideja "vjerovati svemu": provjeravajte koje kupovine obavljate, dozvole aplikacija i iznose.

Bizum, integriran u mobilno bankarstvo, ubrzava transfere između pojedinaca i preduzeća. Zahtijeva službenu bankarsku aplikaciju, 4-cifreni PIN i dvofaktorsku autentifikacijuMnoge prevare stižu putem SMS-a u kojima se traži da prihvatite uplate: uvijek provjerite pošiljatelja prije potvrde.

U Španiji, OSI/INCIBE nude resurse i telefonsku liniju za pomoć 017 za pitanja o sajber sigurnosti. Obuka i znanje o tome kako prepoznati ponavljajuće prevare (kao što su BEC ili phishing) sprječava mnoge probleme..

Što se tiče kolačića, Neophodni su za udobnost i funkcionalnost.Možete aktivirati/deaktivirati kategorije osim onih koje su strogo neophodne. Imajte na umu da Blokiranje određenih kolačića može pogoršati korisničko iskustvo i da se vaš izbor obično sprema kada pritisnete "Sačuvaj promjene".

Online finansijske platforme, PSD2 i otvoreno bankarstvo

Digitalizacija, ubrzana pandemijom, podstakla je fintech i otvoreno bankarstvoPSD2 uredba omogućava agregaciju računa i plaćanja koje iniciraju treće strane, otvarajući tako niz platformi.

Uobičajene vrste: online bankarstvo, novčanici, PFM (lične finansije), kriptovalute, trgovanje itd. Elektronski novčanici omogućavaju mala i česta plaćanja i obično su besplatni između novčanika, a naplaćuju se isplate na bankovne račune.

PayPal je klasičan primjer proširenog novčanika i alternativa kartici. U njihovoj shemi, onaj ko primi novac obično preuzima proviziju., što pojednostavljuje iskustvo kupca.

U kriptovalutama, blockchain osigurava transakcije i kontrolira izdavanje. Prednosti: niži troškovi zbog isključenja posrednika i gotovo trenutno poravnanjeZa razliku od PayPala, Bitcoin transakcija se odvija putem P2P-a preko javne, distribuirane mreže, a nedavni talas MiCA licenci označava relevantne regulatorne promjene.

Online trgovanje postaje sve dostupnije, zahtijeva brokerske i povezane provizijeJednostavnost korištenja ne eliminira rizik: s leveridžom možete jednako brzo osvojiti veliku sumu ili je izgubiti.

Rizici na ovim platformama: nedostatak finansijskog obrazovanja, sigurnost (kriptovalute se danas dobro drže, iako je kvantno računarstvo izazov za budućnost), volatilnost, potencijalne ovisnosti, netransparentne naknade, regulacija (provjera brokera prema MiFID-u) i zaštita podataka.

Neka rješenja nude vođene ture ili interaktivne ture Razumjeti funkcije i rizike. Koristite ih, ali nemojte delegirati kritičko prosuđivanje: vaša najbolja odbrana je razumijevanje proizvoda.

Cijena prevare i kako postaviti siguran sistem plaćanja

Prevare u e-trgovini su skupe: u Velikoj Britaniji su stotine miliona funti ukradene u prvoj polovini 2022. godine, kako putem ovlaštenih, tako i putem neovlaštenih prevara. U 2020. godini, prevare u e-trgovini činile su 66% svih prevara s karticama. sa stotinama miliona funti. Nadalje, BEC (kompromitovanje poslovne e-pošte) dominira pokušajima prevare u plaćanju i Više od polovine AP odjela prijavljuje napade putem e-pošte.

U oblasti sajber sigurnosti, britanska vlada navodi da je 39% kompanija otkrilo napade; od njih, 89% je bilo phishing a 21% je bilo zbog DDoS napada, zlonamjernog softvera ili ransomwarea. Troškovi kršenja sigurnosti također igraju značajnu ulogu: IBM/Ponemon procjenjuje milione po incidentu u Ujedinjenom Kraljevstvu.

Četiri ključna koraka pri postavljanju online plaćanja

  • Razumijevanje šta je sumnjivo: Višestruke narudžbe s iste IP adrese s različitim karticama, neobične karte s ekspresnom dostavom… koristite više podataka za razlikovati „dobre“ i „loše“ transakcije.

  • Aktivirajte AVS + CVV2: verifikacija adrese i sigurnosnog koda, Zajedno, oni podižu ljestvicu za prevarante..

  • PCI DSS kompatibilan: sa stručnim partnerom za upravljanje skeniranjem, obukom i podrškom, Smanjit ćete vjerovatnoću i utjecaj praznina.

  • Odabir pravog procesora: Dobavljač koji daje prioritet sigurnosti i razumije vaš model pomoći će vam balansiranje trenja i konverzije.

Strategije, dobavljači i alati za poslovanje s manjim rizikom

Mnoge platforme delegiraju rizik plaćanja trećoj strani kako bi smanjile operativno opterećenje. Rješenja za „upravljanje rizicima“ pokrivaju praćenje kredita i prevara, pa čak i nenaplative negativne salde. povezanih preduzeća, oslobađajući platformu da se fokusira na svoju suštinu.

Oni koji se odluče za interno upravljanje rizikom Potrebni su im inženjering, operacije i kapital kako bi apsorbovali gubitke., kako je opisano od strane rizici poslovanja s platformama za trgovanjePored integracije alata za borbu protiv prevara, praćenja i izvještavanja o ključnim pokazateljima uspješnosti (KPI) gubitaka, ključne su i pravne usluge i usluge podrške: odgovaranje na revizije i upite korisnika u vezi sa povratom sredstava ili kašnjenjima u transferima je neophodno.

Među dostupnim kompletima, ističu se zaštita zasnovana na vještačkoj inteligenciji i konfigurabilna pravila. blokiranje računa i rizične transakcijeonboarding tokovi rada koji prikupljaju dokumentaciju i prilagođavaju se regulatornim promjenama, rješenja za verifikaciju identiteta za zaustavite lažne račune, napredna analitika (npr. upiti slični SQL-u na vašim podacima) i webhookovi za upozorenjaKod plaćanja trećim stranama, fleksibilni rasporedi omogućavaju odgađanje ili usporavanje plaćanja ovisno o profilu prodavca.

Postoje i platforme za orkestraciju plaćanja sa otkrivanje prevara u realnom vremenu i usmjeravanje putem najefikasnijeg procesa autentifikacije, održavajući nezavisnost od kupca kako bi se optimizirala autorizacija i sigurnost.

Što se tiče minimiziranja povrata sredstava, postoje mreže koje povezuju izdavatelje i trgovce (kao što je Ethoca) sa Obavijesti o pokušajima povrata novca i omogući brze povrate novca prije nego što formalni proces eskalira, štedeći vrijeme i troškove.

Modeli rizika i mašinsko učenje primijenjeni na plaćanja

Osim pravila, modeli mogu pratite ponašanje plaćanja tokom vremena i predvidjeti neizvršenje obaveza ili prevaru kako se mijenjaju ekonomski ili uslovi kupaca. Tehnike kao što su GBDT, SVM ili klasične metode (logit, diskriminantna) pokazale su se efikasnim u scenarijima bodovanja i otkrivanja.

Odabir varijabli je važan: Genetski algoritmi pomažu u odabiru relevantnih osobina sa efikasnim heuristikama; njegov tipičan tok iterira populaciju, prilagođenost, selekciju, ukrštanje i mutaciju sve dok ne konvergira na podskupove sa boljom prediktivnom snagom.

Postoje izazovi s podacima: nedostajuće vrijednosti i, prije svega, ekstremna neravnoteža između „dobrog“ i „lošeg“Poduzorkovanje i prekomjerno uzorkovanje mogu pomoći, iako nisu čarobni štapić; njihova korisnost ovisi o skupu podataka i moraju biti rigorozno validirani.

Modeli zahtijevaju kontinuirano praćenje i rekalibracija Da bi se izbjeglo odstupanje. Kada se obrasci promijene (nove taktike prevare, makro promjene), performanse opadaju ako se ne ažuriraju. Preporučene prakse su metrike stabilnosti, testiranje unatrag i testiranje šampiona/izazivača.

Konačno, vještačka inteligencija je izuzetno moćan alat, ali To mora biti dopunjeno poslovnim znanjem i dobrim upravljanjem rizicimaKombinacija podataka, iskustva i tehnologije je ono što čini razliku u konačnom rezultatu.

Ako pogledamo cijelu sliku - prijetnje, tehničke kontrole, procese upravljanja rizikom, standarde i alate -, Recept uključuje pažljivu procjenu koga uključujete, praćenje šta se dešava, pravovremeno zaustavljanje, poštivanje propisa i oslanjanje na pouzdane partnere.Sve ovo uz pružanje besprijekornog iskustva kupcima i prodavačima, uz sigurne metode plaćanja (kartice, novčanici, NFC ili Bizum) i bez gubitka zaštite od prevara koje se, nažalost, stalno razvijaju.

Otkrivanje prevara u fintechu pomoću umjetne inteligencije
Vezani članak:
Otkrivanje prevara pomoću umjetne inteligencije u fintechu