Pagos en tiempo real: 4 requisitos para los sistemas de protección contra estafas
Por Alexandre Graff, vicepresidente de Socios y Alianzas Globales de FICO, en colaboración con Krishanu De, director de Pagos, Riesgo y Cumplimiento en Cognizant, y Manan Gauba, director de Estrategias y Alianzas para la práctica de Banca y Servicios Financieros de Cognizant.
El aumento en los pagos en tiempo real (RTP, por sus siglas en inglés) ha sido bien documentado a nivel mundial, pero en paralelo también se han incrementado las estafas y el fraude. Para detener esta “pandemia” de estafas, las instituciones financieras deben evolucionar sus sistemas para permitir el enorme potencial de crecimiento de los RTP, así como fortalecer la protección de los consumidores contra los estafadores. En este artículo, abordaremos algunas consideraciones esenciales para diseñar un sistema de pagos en tiempo real que funcione con múltiples sistemas de compensación y liquidación (SCL).
Primero, vale la pena resumir el gran terreno que han ganado de los RTP. Se espera que los sistemas aumenten a una tasa de crecimiento anual compuesto (CAGR, por sus siglas en inglés) del 21.3% entre 2022 y 2027. Más de 70 países ya han adoptado algún tipo de RTP. Una encuesta reciente de FICO muestra que la adopción de los consumidores se mantiene al día:
• El 90% de los más de 14,000 consumidores de 14 países diferentes encuestados han utilizado RTP
• El 38% utiliza RTP más de cinco veces al mes
• El 88% planea mantener o incrementar el uso de RTP en el próximo año
Una ola global de estafas ha interferido con la adopción rápida de los pagos en tiempo real, lo que ha ocasionado que más consumidores sufran pérdidas importantes.
• Se proyecta que globalmente el fraude y el delito financiero le costará a los bancos e instituciones financieras USD $40,600 millones para el 2027.
• En 2022, el 20% de todos los consumidores a nivel mundial fueron víctimas de un fraude en algún pago, de los cuales el ~27% fueron pagos automáticos autorizados (APP. Por sus siglas en inglés), la forma de fraude más común relacionada con los pagos en tiempo real.
• Se anticipa que las pérdidas por fraude de tipo APP asciendan a USD $6,800 millones en 2026, con un CAGR de 11% (2022-27) en seis mercados con RTP importantes (EUA, RU, India, Brasil, Australia y Arabia Saudita).
Cambios en los sistemas de compensación y liquidación (SCL)
Hemos visto también la incorporación de nuevos SCL de los pagos en tiempo real, tales como FedNow, lanzado el año pasado por la Reserva Federal de EUA para reemplazar The Clearing House. De hecho, algunos mercados ahora cuentan con múltiples SCL.
Los bancos que operan en ecosistemas de RTP con múltiples SCL por lo general tienen la opción de integrarse en más de uno. Aunque esto implica una mayor complejidad y costo, proporciona a los bancos la capacidad de ejecutar más transacciones con más contrapartes, lo que siempre atrae a una base de clientes más grande.
Muchas instituciones financieras han comenzado a activar los pagos transfronterizos instantáneos. Por ejemplo, BIS Nexus ya conecta TIPS de Europa con ASEAN-5. En otras partes, Singapur e Indonesia ya cuentan con un sistema de pago transfronterizo basado en código QR. Estas redes regionales brindan oportunidades adicionales para que los bancos y los proveedores de servicios de pago (PSP, por sus siglas en inglés) capten una base de clientes internacionales.
El riesgo de fraude aumenta con múltiples SCL
Se requiere una estrategia de solución integrada resistente al fraude para crear centros de pagos instantáneos o habilitar plataformas RTP que procesen transacciones nacionales RTGS, ACH o SWIFT. La naturaleza de los pagos en tiempo real plantea desafíos adicionales para los sistemas antifraude, lo que exige protecciones más potentes capaces de detener las estafas antes de que ocurran.
¿Cómo se puede detectar el fraude incluso antes de que el pago llegue al centro de pagos? La colaboración entre las redes y las contrapartes es fundamental: compartir las características de los datos de las transacciones fraudulentas a través del servicio de infraestructura del mercado de pagos es esencial para combatir el fraude de contrapartes y proporcionar una mejor protección a los consumidores. Las capas de protección adicionales basadas en inteligencia artificial (IA) y machine learning (ML) contra las amenazas sofisticadas podrían ayudar a detectar y bloquear los fraudes de RTP con precisión granular, lo cual reduciría las pérdidas y mejoraría las tasas de aprobación. La detección del tráfico de decodificación de la red y la implementación de firewalls para bloquear las transacciones sospechosas son algunas técnicas de utilidad para gestionar el fraude al inicio del ciclo de vida.
Cómo diseñar una solución RTP con múltiples SCL para máxima protección contra fraudes y estafas
1. Integrar técnicas avanzadas de detección de estafas
Los modelos y técnicas estándares de prevención de fraude no logran detectar las estafas de los pagos en tiempo real por varias razones. El pequeño tamaño de la mayoría de las transacciones RTP permite que las transacciones fraudulentas pasen desapercibidas más fácilmente. Los delincuentes suelen lavar el dinero robado a través de múltiples “saltos” entre cuentas, lo que dificulta el rastreo y la recuperación. Además, se emiten menos “señales de alerta” con el fraude RTP, ya que generalmente es el propio cliente legítimo quien realiza la transacción.
Por lo tanto, se necesitan modelos de machine learning personalizados capaces de identificar múltiples características para confirmar la identidad e intención del remitente. Estos modelos emplean nuevas técnicas, tales como listas de clasificación de comportamiento (B-lists) especializadas, que pueden determinar la probabilidad de que la parte que realiza el débito sea el iniciador legítimo del pago. Dichas listas también supervisan los atributos clave del historial de pagos del iniciador y aprenden qué constituye un comportamiento normal para él, lo que permite a estos modelos detectar anomalías que podrían ser indicios de una estafa.
2. Crear centros de comando de pago guiados por una serie de reglas personalizadas
El principal desafío para los bancos y los proveedores de servicios de pago es reaccionar al instante después de detectar una estafa, ya que la intervención debe realizarse en tiempo real. Antes que nada, es fundamental que el soporte adecuado de interdicción esté integrado en el flujo de pagos para todos los SCL de RTP. Clasificar las transacciones fraudulentas detectadas según una taxonomía predefinida y acordada para cada red RTP participante es complicado para cualquier motor de puntuación de riesgos. Por ende, es crucial que el índice de gerentes de compras (PMI, por sus siglas en inglés) separe las transacciones autorizadas de los pagos automáticos autorizados para aplicar el conjunto de reglas adecuado. De hecho, no sólo el proceso de interdicción y de informes y cumplimiento regulativos depende de las reglas de clasificación definidas por los PMI para SCL y los bancos y PSP participantes, sino que esas reglas suelen evolucionar con el tiempo. Entonces, cualquier software de detección de fraudes y acciones de comando debe poder personalizarse fácilmente para soportar las actualizaciones de las reglas.
Establecer un centro de comando de RTP independiente que pueda emplear respuestas automatizadas basadas en un conjunto de reglas impulsadas por escenarios apropiados (y fácilmente actualizables) debe considerarse seriamente por los bancos y los PSP que procesan un volumen alto de transacciones RTP.
3. La colaboración de los grupos de interés fortalece los modelos de datos
Los grupos de interés deben compartir su inteligencia y datos optimizados, así como colaborar para reducir el fraude de manera más eficaz. El diseño de soluciones también puede fomentar la colaboración porque permite a los proveedores externos acceder fácilmente a las API, lo que simplifica la modificación de las fuentes de datos. La integración en los burós de crédito es fundamental para obtener historiales crediticios individuales y corporativos, puntaciones de elegibilidad, tipos de crédito, tasas de interés y más. El acceso a los datos de los PMI, incluidos historiales de transacciones fraudulentas, listas de vigilancia, metadatos de cumplimiento e informes de liquidación tanto para transacciones nacionales como transfronterizas, también es de suma importancia. Por último, varias empresas y organizaciones externas pueden proporcionar información sobre el cliente, datos agregados de transacciones, datos de canales, información financiera y clasificaciones. Los bancos y los PSP siempre deben buscar formas de hacer que su inteligencia sea más completa y contar con una solución que permita conectarse a estas fuentes de datos.
4. Aprovechar tanto los controles como los datos de la red RTP
Los PMI instantáneos como FedNow ofrecen ciertas capacidades para prevenir el fraude mediante diversos límites de transacción (a nivel de red y de participante) y por medio de listas negativas definidas por los propios participantes. Generalmente, los límites a nivel de red son definidos por el PMI, mientras que los límites a nivel de participante son establecidos por los bancos y los PSP. Los bancos y los PSP participantes deben aprovechar al máximo estas capacidades para combatir el fraude de RTP. En cuanto a las herramientas internas, los modelos de fraude transaccional han sido muy eficaces para combatir la apropiación de cuentas, el fraude CNP, entre otros.
Sin embargo, el fraude en las transacciones de RTP requiere herramientas más sofisticadas para detectar las estafas que se ubican en un área más ambigua que a menudo se asemejará a transacciones auténticas. La mejor estrategia para abordar este problema es un modelo basado en consorcios que detecte anomalías en el comportamiento del consumidor y que esté alimentado por las fuentes de datos previamente mencionadas.
Consideraciones adicionales para el diseño
• Gestión de todas las transacciones de RTP a través de un centro de RTP.
• Adopción del ISO 20022 como el formato de mensajes interno del centro de RTP (este será el formato más común).
• Asegúrese de contar con una traducción y orquestación configurables y escalables. Esto permite que los sistemas heredados coexistan con el nuevo estándar de mensajes y ayuda a realizar una transición gradual de un ecosistema fragmentado a una arquitectura estandarizada.
• Emplear una infraestructura sólida para seleccionar la solución adecuada. Priorizar consideraciones como el soporte para SCL de RTP, la cobertura geográfica y los requisitos NFR.
• Desarrollar un plan de transición de datos detallado y prepárese para contingencias. El proceso de mapeo de datos a partir de los canales existentes a un nuevo centro de procesamiento de transacciones SCL de RTP puede ocasionar el truncamiento de los datos y otras cuestiones. Conducir pruebas rigurosamente durante la transición y prepárese para resolver los problemas que surjan.
• Aplicar una estrategia iterativa para la transformación de RTP. Es conveniente implementar el centro RTP en fases, especialmente si participa en varios SCL. Esto es especialmente necesario para asegurar que mantenga la interoperabilidad con sus sistemas back-end y los servicios de terceros.
