Logo E-Commerce Brasil
7 min

Fraudes em 2015: o aquecimento do canal móvel e fragilidades do EMV

Foto Bryan Jardine
Por: Bryan Jardine
Nós que trabalhamos com o combate à fraude sabemos que este é um desafio em constante mudança. As perspectivas para 2015 infelizmente não fogem muito disso. Uma das expectativas mais desafiadoras sobre as organizações do setor é que elas antecipem onde e com que frequência a fraude vai acontecer. Para ajudar você a entender melhor o cenário da fraude em 2015, eu fiz algumas considerações sobre as principais questões e algumas sugestões sobre como elas devem ser tratadas.

Os controles de fraude continuarão a favorecer os criminosos

As normas podem determinar o que as instituições financeiras devem fazer para proteger os seus clientes, mas essas instituições já são as mais fortes e capazes de oferecer essa proteção. Os fraudadores sabem disso e têm se voltado para alvos mais “brandos”. Invasões em sistemas de pagamento e no varejo não são aleatórias: são métodos deliberados para driblar as soluções antifraude. Esse tipo de ação exclui da equação os controles dos bancos, limitando a sua capacidade de influenciar seu perfil de fraude. A sobrecarga imposta às instituições financeiras na identificação de uma pequena percentagem de atividades fraudulentas em meio a um volume desproporcional de transações legítimas não é realista em muitos programas antifraude. Ao instituir a “fraude aceitável”, você proporciona ao fraudador uma possibilidade inerente de driblar os seus controles. Como resultado, esse tipo de estratégia de mitigação estará sempre a favor dos fraudadores. Esse é um grande problema para as instituições: elas não conseguem diferenciar as atividades fraudulentas das legítimas, devido às limitações dos controles tradicionais que podem ser implementados nesse espaço. Essas instituições que amontoam controles estão geralmente tentando buscar um equilíbrio entre a fricção com o cliente e a potencial perda de usabilidade e funcionalidade, e isso também funciona a favor dos fraudadores.

O EMV não vai acabar com a fraude, vai apenas transferi-la

Nos últimos anos, muitas instituições financeiras têm solicitado mais regulamentações, a migração para os cartões com chip no padrão EMV e a necessidade de que as partes associadas assumam alguma responsabilidade pelas perdas. Isso não resolve o problema da fraude, somente trata de quem é o responsável quando ela ocorre. Nos últimos dois anos, a fraude com cartão esteve entre as três maiores preocupações dos bancos, ainda assim, esse continua sendo, ano após ano, um dos canais mais explorados, por quê? Eu acho que é porque o setor está buscando respostas no lugar errado. O EMV não vai resolver a fraude com cartão, somente vai transferi-la, como ocorreu na Europa e outros ambientes que o adotaram. Na verdade, Javelin Strategy & Research previu que a fraude com cartão não presente irá aumentar significativamente nos próximos anos. Porque, então, o esforço pelo EMV? As instituições financeiras acreditam que são melhores na identificação da fraude com cartão não presente que com tarja magnética? A resposta é não, mas com isso se ganha tempo... mas tempo para fazer o quê? Lembre-se: as instituições querem que os clientes usem os seus cartões, o que não é apenas uma fonte importante de lucro, mas uma redução nos custos de processamento de transações associados às outras formas de pagamento. A utilização dos cartões também mantém a marca nas mentes – e nas carteiras – dos clientes, tornando-os mais fiéis e propensos a utilizar o banco para outros serviços. A pergunta que deve ser feita é: a mudança para o EMV é uma estratégia de combate à fraude ou uma estratégia de marketing? Sem uma estratégia sólida para o EMV, os bancos ainda estarão vulneráveis a ataques direcionados ao EMV, CNP e outros canais associados a atividades fraudulentas que são eclipsadas na incapacidade do banco de diferenciar transações legítimas e fraudulentas.

Transferência da fraude para canais novos e antigos

Outra questão importante no que se refere ao movimento EMV é a migração da fraude para outros canais. Se um canal se fortalece, ela simplesmente migra para outro. Um programa eficiente deve ser capaz de identificar a fraude holisticamente. Em 2015, nós antecipamos uma migração de volta para canais mais tradicionais, como cheques e engenharia social. Os cheques são um meio de pagamento sob forte regulamentação e que tem uma série de prazos de compensação e métodos de validação, então por que voltar para ele? Porque a maioria dos sistemas de detecção de fraude em cheques são atualizados de forma inadequada, e depois do Check 211, cheques falsos e falsificados são cada vez mais difíceis de isolar e identificar. Marcas d’água, MICR e fontes não são mais suficientes para identificar cheques falsificados. Muitos são cheques legítimos que estão em mãos erradas, ou as próprias contas foram abertas com fundos roubados. Quantos de nós já não se depararam com um cenário como este:
  • Uma nova conta é aberta pela internet, fundada por uma ACH
  • A nova conta corrente emite cheques e um cartão de débito
  • A nova conta é esvaziada assim que a ACH autoriza
Com as facilidades da engenharia social (perfis falsos) e a capacidade de encontrar informações específicas nas redes sociais, é muito fácil abrir uma conta no banco com o nome de outra pessoa e falsificar as informações dos formulários.

A fraude em dispositivos móveis despertará mais interesse

Os dispositivos móveis são uma porta de entrada para as contas. Para os negócios, muitas das funcionalidades do canal móvel são limitadas pelo desconhecimento das suas vulnerabilidades e status de segurança. A maioria das instituições financeiras não sabe o que esperar desse canal ou como elas devem envolvê-lo em uma estratégia de prevenção de fraude. No entanto, o canal móvel é a oportunidade perfeita para que o fraudador conheça as contas do usuário e tente obter seus dados de acesso. Hoje, muitas instituições financeiras estão limitando quem pode realizar transações e que tipos de transações podem ser realizadas pelos dispositivos móveis, não apenas por causa de limitações tecnológicas, mas também pela própria incapacidade de mitigar a fraude nesse canal. Ao invés de mitigar a fraude por meio de soluções verdadeiramente efetivas, elas estão comprometendo a experiência dos usuários ao não oferecer uma funcionalidade competitiva. Em situações como essa, a desvantagem é dupla: primeiro, porque os usuários finais migram para outro banco que ofereça as opções de banco móvel, segundo, porque as instituições financeiras perdem a oportunidade de autenticar e verificar as transações realizadas nos dispositivos móveis. O próximo ano provavelmente será mais um ano interessante para mocinhos e bandidos. No entanto, tendo um bom sistema de obtenção de dados, uma detecção de anomalias eficiente e a capacidade de identificar características de invasão, as organizações poderão dificultar a vida dos bandidos no campo de batalha da fraude em 2015. 1 Em vigor desde 2014, o Check 21 é a conversão de cheques físicos em eletrônicos. Ele facilita que os bancos enviem cheques eletrônicos entre si para aprovação, ao invés de enviar os cheques físicos. Ele também foi adotado para os clientes, e, sem o cheque físico, fica muito mais difícil verificar a fraude fora das características físicas de segurança.