Sztuczna inteligencja pozwala efektywniej walczyć z wyłudzeniami, choć nie wyeliminuje wszystkich zagrożeń

Sztuczna inteligencja to najnowsze narzędzie w walce z wyłudzeniami i oszustwami, wykorzystywane w wielu sektorach gospodarki. Niestety, coraz częściej sięgają też po nią wyrafinowani cyberprzestępcy, którym digitalizacja otwiera szereg możliwości, kreując nowe rodzaje przestępstw. W przeciwdziałaniu cyfrowym nadużyciom duże znaczenie mają dane o transakcjach, urządzeniach i aplikacjach, jakimi posługują się klienci i sposobie, w jaki ich używają. O finalnym sukcesie ciągle jednak decyduje czynnik ludzki.

Według  firmy badawczej Crowe i Uniwersytetu Portsmouth koszty gospodarcze oszustw i wyłudzeń (tzw. fraudów) w całej światowej gospodarce są ogromne. W latach 1997-2018 stanowiły one równowartość 6,05 proc. światowego PKB. Od 2009 roku straty wywołane przez nie wzrosły aż o 57 procent. W samym tylko sektorze handlu internetowego opiewały one w zeszłym roku na 57,8 mld dolarów i były skutkiem przejęcia kont klientów, umożliwiających zajęcie towaru lub przekierowanie płatności. Tracić mogli zarówno klienci, jak i handlowcy. Szacuje się jednak, że koszty te są znacznie większe. Firma konsultingowa LexisNexis podaje, że w 2018 roku średnia strata równała się 1,53 proc. przychodów przedsiębiorstw. Jeden dolar strat bezpośrednich w wyniku fraudów generuje 3,27 dolara dodatkowych kosztów (na rynku finansowym 2,92 proc.), chociażby w postaci wartości zaniechanych transakcji przez obawiających się oszustw klientów i operatorów oraz kosztów utraty reputacji, co także skutkuje obniżeniem wartości sprzedaży. Systemy antywyłudzeniowe przynoszą efekt, choć ograniczony – każdego roku widoczny jest wzrost wartości fraudów. Również według tegorocznego badania, przeprowadzonego przez EY i ZPF wśród polskich instytucji finansowych aż 67 proc. badanych wskazało nasilenie wyłudzeń produktów kredytowych i pożyczek.

Płatności rosną, a z nimi wyłudzenia

W Europie obszarem rosnących wyłudzeń są płatności, a do najczęstszych typów wyłudzeń i oszustw w tym obszarze należy kradzież tożsamości (phishing). To sytuacja, w której przejęta przez przestępców może być karta kredytowa, urządzenie mobilne (w tym karta SIM), a nawet program lojalnościowy, z którego punkty mogą służyć do dokonywania płatności. Inny rodzaj wyłudzenia, tzw. pharming, polega na przekierowaniu użytkownika na fałszywą stronę internetową i przejęcie jego hasła, danych rachunku lub karty kredytowej. Przedmiotem tych działań są zarówno użytkownicy serwisów zakupowych, jak i sami dostawcy poprzez atakowanie ich przez hackerskie oprogramowanie. Coraz bardziej popularne stają się też: wyłudzenie „przyjacielskie” (kiedy to przestępcy informują firmę, że karta, którą dokonano transakcji została ukradziona i proszą o zwrot pieniędzy), złośliwe oprogramowanie umożliwiające przejęcie nad kontroli nad urządzeniem i zmianę sposobu uwierzytelnienia klienta lub przejęcie komunikacji, najczęściej w formie SMS, pomiędzy klientem a operatorem płatności mobilnych.

Rosnąca liczba ataków przeprowadzana jest za pomocą technologii sztucznej inteligencji, a w szczególności uczenia maszynowego (machine learning). Instytucje stosujące tradycyjne metody zabezpieczeń i przeciwdziałania wyłudzeniom mogą okazać się w takich przypadkach bardziej narażone. Szczególnie gdy kradzież tożsamości przyjmuje postać syntetycznej, bliźniaczo podobnej do klienta osoby, którą można umieścić w dowolnym środowisku i wyposażyć w naturalny głos, mający możliwość przekazywania dowolnie dobranych treści. Już 20 procent kradzieży tożsamości w dużych bankach na świecie miało miejsce z zastosowaniem tej metody, zwanej Deep Fake, a fałszywa tożsamość stanowi aż 61 proc. wszystkich metod wyłudzeń w sektorze. Wiele fraudów w branży finansowej jest pochodną kradzieży danych osobowych, kont czy kart kredytowych w innych sektorach. Szacuje się, że na każdego użytkownika Internetu przypada 4-5 nielegalnie zdobytych rekordów danych. Paczki tych danych są potem przedmiotem hurtowego obrotu w darknecie – ukrytej, anonimowej części Internetu, wykorzystywanej przez przestępców. Używając zautomatyzowanej technologii mogą oni potem obciążać konta klientów oszukańczymi transakcjami.

Inwestycje w ochronę nie nadążają za wzrostem skali fraudów

Banki i instytucje finansowe inwestują coraz większe środki w przeciwdziałanie wyłudzeniom i wykrywanie ich. Firma badawcza Juniper Research podaje, że inwestycje instytucji finansowych i e-commerce w cyberbezpieczeństwo w obszarze płatności opiewać będą na sumę minimum 9,3 mld dolarów do 2023 roku. Według badania ZPF i EY, na przestrzeni ostatnich 12 miesięcy wzrosły również przeznaczone na walkę z nadużyciami nakłady finansowe polskich instytucji finansowych i nie planują one poprzestać na ich obecnym poziomie. Jednak dynamika fraudów jest wciąż wyższa niż roczny wskaźnik nakładów na przeciwdziałanie im.

Coraz więcej podmiotów finansowych opiera działania w zakresie antyfraudowym na różnych technikach analizy danych. Według Stowarzyszenia Certyfikowanych Audytorów ds. Wyłudzeń (ACFE) do najbardziej rozpowszechnionych należą: detekcja anomalii, czyli wykrywanie danych, które odbiegają od reguły (64 proc. organizacji), automatyczne alerty o nieprawidłowościach (54 proc.), wizualizacja danych (35 proc.), analityka predyktywna (30 proc.) analiza relacji w sieciach społecznościowych (22 proc.), mapowanie geolokalizacji, a nawet analiza emocjonalna klienta w czasie rozmowy telefonicznej, albo w trakcie wypełniania formularzy kredytowych. Sztuczną inteligencję (AI) i uczenie maszynowe (ML) stosuje na razie 13 procent organizacji finansowych, lecz obszar ten ma bardzo duży potencjał wzrostu, gdyż w ciągu dwóch lat ich liczba ma się podwoić. Jest to między innymi skutkiem oceny zbyt małej efektywności dotychczasowych działań – aż 34 procent członków zarządów instytucji finansowych badanych na zlecenie ACFE w 123 krajach stwierdziło, że zbyt dużo dobrych klientów jest negatywnie weryfikowanych (tzw. false positive) w przypadku tradycyjnych metod prześwietlania klienta. Dlatego połączenie ich z technikami sztucznej inteligencji i stworzenie zintegrowanego systemu antyfraudowego jest niezbędne.

Sztuczna inteligencja bardziej efektywna, ale są nowe zagrożenia

Możliwe do zastosowania techniki antyfraudowe z zakresu AI przedstawił na Kongresie Antyfraudowym zorganizowanym 24 października przez ZPF, Sundeep Tengur, Financial Crime Solutions Manager z Globalnego Zespołu Fraud & Security w SAS Institute. Do najszybciej rozwijających się zaliczył uczenie maszynowe. Wspomniał również o modelach, które są w stanie w sposób adaptacyjny dostosować się do zmieniającego się otoczenia w czasie rzeczywistym i tym samym lepiej oraz precyzyjniej wykrywać podejrzane sytuacje. W przeciwdziałaniu wyłudzeniom firmy stosują też analitykę sieci powiązań, która pozwala analizować ogromne wolumeny danych i wykrywać podejrzane powiązania ze zidentyfikowanymi oszustami, społeczności o wysokim ryzyku wystąpienia nadużycia czy wręcz zorganizowane grupy przestępcze.

Warunkiem sukcesu zastosowania sztucznej inteligencji jest jednak zasilenie jej dobrymi, obiektywnymi danymi, w które nikt nie interweniuje. Interwencja taka, dokonana np. przez współdziałających z przestępcami pracowników instytucji finansowej, może bowiem prowadzić do tworzenia wzorców, które nie uwzględnią z góry określonych zachowań, co ułatwi wyłudzenia płatności czy kredytów – powiedział Sundeep Tengur, Financial Crime Solutions Manager z Globalnego Zespołu Fraud & Security w SAS Institute.

Żaden system antyfraudowy, w tym sztuczna inteligencja, nie jest w stanie zapobiec wszystkim oszustwom, choć znacznie zmniejsza ich występowanie. Może mieć też utrudnione zadanie w przypadku „innowacyjnych” rodzajów przestępstw, w tym tych wykorzystujących zaawansowaną socjotechnikę. System może na przykład alarmować o nietypowych, wielokrotnych dla danego klienta wysokich przelewach z konta, po czym następuje kontakt banku z klientem, który potwierdza swoje dyspozycje. Później ujawnione może jednak zostać, że alarm wykonany był na polecenie wyłudzaczy, którzy wcielili się w rolę policjantów informując klienta, że bierze on udział w operacji schwytania przestępców. Okazuje się więc, że w zwalczaniu wyłudzeń i oszustw to często człowiek jest najsłabszym ogniwem.

Zbudowanie całościowego systemu przeciwdziałania wyłudzeniom i oszustwom, z uwzględnieniem możliwości sztucznej inteligencji, nabiera szczególnego znaczenia nie tylko z uwagi na dynamiczną digitalizację usług finansowych. Idea otwartej bankowości i pełne wdrożenie dyrektywy PSD2 oznacza zwiększony przepływ danych o klientach i ich rachunkach między instytucjami finansowymi i nie tylko. Wszyscy uczestnicy rynku muszą założyć, że mimo niewątpliwych korzyści płynących z tego dla rozwoju konkurencji i samych klientów, z pewnością spróbują skorzystać na tym również cyfrowi przestępcy – podsumowuje dr Mirosław A. Bieszki, Doradca Ekonomiczny ZPF.

***

Związek Przedsiębiorstw Finansowych w Polsce (wcześniejsza nazwa: Konferencja Przedsiębiorstw Finansowych w Polsce – Związek Pracodawców) powstał 27 października 1999 roku i skupia ponad sto kluczowych przedsiębiorstw z rynku finansowego w Polsce, w tym banki, firmy zarządzające wierzytelnościami, doradców i pośredników finansowych, przedsiębiorstwa pożyczkowe, zarządzające informacją gospodarczą, sprzedające produkty odwróconej hipoteki w modelu sprzedażowym, platformy crowdfundingowe oraz przedsiębiorstwa z branży ubezpieczeniowej. ZPF to Członek Rady Rozwoju Rynku Finansowego, powołanej do życia przez Ministra Finansów RP oraz Członek prestiżowej europejskiej organizacji samorządowej europejskiego przemysłu finansowego EUROFINAS (European Federation of Finance House Associations), zrzeszającej siedemnaście krajowych organizacji, reprezentujących ponad 1200 instytucji finansowych. ZPF ma w swoim dorobku badawczym kilkadziesiąt raportów, koncentrując się merytorycznie na obszarze kredytu.

  • ZPF
  • media@zpf.pl
  • +48 58 302 92 05
  • Związek Przedsiębiorstw Finansowych
  • Długie Pobrzeże 30
  • 80-888 Gdańsk