Buenas,
Leyendo el título del artículo imagino que muchos os preguntaréis si innovar es algo que hay que justificar o si por el contrario es un mandato inexcusable, especialmente en el mundo de la gestión antifraude. Aprovechando el reciente anuncio realizado por la Federal Trade Comission, en el que se ofrecen detalles sobre la obtención de una orden judicial para actuar sobre una importante trama de fraude en medios de pago, me gustaría hacer una reseña sobre la relevancia de la investigación y el desarrollo de soluciones modernas que mejoren de un modo continuo la gestión antifraude, y del más que previsible fracaso de todos aquellos que opten por aparcar la iniciativa y dedicarse a verlas venir.
Cuando un grupo organizado provoca un agujero de 10 millones de dólares, algo grave ha pasado. Comentar que siempre existe, para cada organización, un límite que dictamina la cantidad de fraude que se puede asumir y lo que realmente escuece, provoca quebrantos y dependiendo del caso, puede ser necesario revelar públicamente. Como este límite es particular y cada organización tiene el suyo propio, no hay un estándar válido que nos permita decir si 10 millones de dólares es mucho, muchísimo, poco o poquísimo, pero a poco que se haya tenido contacto con la lucha antifraude, es comprensible pensar que se trata de una cantidad que enciende alarmas. También dependerá del número de organizaciones que estén detrás de los usuarios que hayan sufrido el quebranto, como es lógico, ya que no es lo mismo que los 10 millones los sufran los clientes de 50 organizaciones que los de una sola.
En la historia que ilustra este artículo, más de un millón de usuarios se han visto afectados con cargos únicos de 10 dólares o menos (llegando hasta los 20 céntimos) siendo estos pagos canalizados a través de sociedades fantasma en los Estados Unidos que a su vez transfirieron los fondos a cuentas bancarias en Asia y Europa del Este. Para mí lo verdaderamente relevante del asunto no es el quebranto (que obviamente lamento) sino que el montaje está basado en los temidos patrones que la mayoría de sistemas antifraude no están prepadados para detectar: el conocimiento de las reglas y la ejecución de patrones que no provoquen el disparo de las mismas, en este caso, el uso de pequeños importes no repetitivos
Los sistemas más vetustos de prevención del fraude en medios de pago se basan en reglas. Por poner un ejemplo sencillo, si por alguna razón se presenta un cargo que excede un límite que se ha definido como disparador, entonces la operación se cancela al vuelo, acarreando normalmente el consiguiente bloqueo de la tarjeta. Los sistemas modernos, además de las reglas, tienen motores de inteligencia que son capaces de hacer correlación de eventos y análisis comportamental, de modo que el patrón a seguir dejan de ser simples reglas para pasar a ser patrones de empleo, por ejemplo en vez de la cantidad, el hecho de detectar una desviación en el lugar de uso frecuente del plástico, o la hora, por poner dos ejemplos. Normalmente una transacción de débito o crédito siempre tiene asociados unos valores que la definen, siendo fácil comprender que entre esos valores estarán el origen, el destino, el importe, la fecha y la hora, así como los datos de la tarjeta. Con esos parámetros, junto a otros muchos más, es posible construir escenarios que dictaminen si una operación debe ser cancelada, marcada como sospechosa para ser sometida a comprobaciones adicionales, o autorizada.
El problema que tienen las operaciones con importes pequeños no repetitivos es que anulan las reglas basadas en límites. Nadie en su sano juicio implementaría una regla que diga que cualquier importe de 10 dólares o menos será automáticamente cancelado, porque el gasto en emisión de nuevos plásticos que acarrearía la medida (pensad en parkings, recargas de móviles, micropagos, compras, etc.) y el más que previsible enfado de tu clientela harán que el responsable antifraude tengas serios problemas. ¿Existe una manera fiable de frenar el fraude, empleando exclusivamente límites, en operaciones no repetitivas con importes pequeños? No, no existe esa posibilidad. Por tanto si te provocan 10 millones de quebranto es que muy probablemente tu sistema antifraude no sea un sistema moderno que palie esa carencia, sino más bien un sistema vetusto que no es capaz de digerir el fraude con pequeños importes no repetitivos y en general, cualquier fraude basado en adaptar el patrón fraudulento al conocimiento de las reglas que componen el sistema.
Estar en la punta de lanza en el mundo de la lucha del fraude marca la diferencia entre tener que comerte un quebranto de millones o por el contrario, lidiar con cantidades pequeñas fácilmente acomodable en los resultados. Cuanto más estás en la vangardia, menores son los riesgos, como no podría ser de otro modo. Este principio es lo que en la literatura se define como gestión del riesgo.
Un saludo,