Raport specjalny. Bezpieczeństwo banków: Dyrektywa PSD2 – jak systemy antyfraudowe mogą pomóc w spełnieniu jej wymagań

BANK 2018/04

Usługi płatnicze to jeden z najbardziej dynamicznie rozwijających się sektorów w obszarze finansów, co wynika przede wszystkim z tempa wdrażania tam innowacji technologicznych. Nowe technologie wymuszają także zmiany w środowisku prawnym, a jednym z najnowszych tego typu aktów prawnych jest dyrektywa PSD2.

Zmienia ona w sposób rewolucyjny zasady działania dostawców usług płatniczych i innych instytucji finansowych – tworząc podwaliny pod rozwiązania „otwartej bankowości”. W szybkim dostosowaniu się do tych zmian mogą pomóc systemy antyfraudowe, które w nowych realiach prawnych stają się nieodzownym narzędziem każdego uczestnika rynku usług płatniczych.

image

Co zmienia dyrektywa?

Dyrektywa PSD2 (Payment Service Directive 2), która zaczęła obowiązywać we wszystkich krajach Unii Europejskiej od 13 stycznia 2018 r., tworzy podstawy do funkcjonowania nowych firm na rynku usług płatniczych. Obok banków i innych instytucji finansowych pojawiają się tzw. podmioty trzecie, czyli TPP (Third Party Provider). Firmy te będą świadczyły dwa nowe typy usług, bazując na otwartym dostępie do danych na temat kont bankowych użytkowników oraz infrastruktury bankowej. Wspomniane usługi to:

 inicjowanie transakcji płatniczej – usługodawca (Payment Initiation Service Provider – PISP) będzie miał dostęp do rachunków bankowych swojego klienta, aby mógł sprawdzać dostępność jego środków pieniężnych, a następnie zainicjować płatność w jego imieniu;

 dostęp do informacji o rachunku – usługodawca (Account Information Service Provider – AISP) zapewni klientowi zagregowane informacje na temat jego rachunków płatniczych prowadzonych przez różnych dostawców; w ten sposób użytkownik będzie miał możliwość łatwego zarządzania swoimi finansami w jednym miejscu.

Wprowadzenie nowego typu usługodawców to wstęp do budowy nowoczesnych usług opartych na tzw. API (Application Programming Interface), które mają zagwarantować budowę rozwiązań „otwartej bankowości”. Za tym hasłem kryją się bardziej zintegrowane i spersonalizowane usługi finansowe dla użytkowników indywidualnych i firm. Będą one świadczone nie tylko przez banki, ale także przez firmy technologiczne.

Nowe prawo narzuca także na uczestników rynku płatniczego nowe wymogi w zakresie bezpieczeństwa. Należą do nich:

  • konieczność zapewnienia tzw. silnego uwierzytelniania, co oznacza, że aby zainicjować płatność. konieczna jest identyfikacja użytkownika za pomocą co najmniej dwóch z trzech dostępnych metod uwierzytelnienia, jak hasło (zabezpieczenie odnoszące się do wiedzy użytkownika), kod SMS (zabezpieczenie dotyczące posiadanego przez niego urządzenia) czy odcisk palca (zabezpieczenie z kategorii rozwiązań biometrycznych);
  • konieczność prowadzenia analizy ryzyka zawieranych transakcji – dostawcy usług płatniczych będą mogli balansować między bezpieczeństwem a wygodą realizowanych za swoim pośrednictwem płatności, ale tylko wtedy, jeśli będą w stanie utrzymać wystarczająco niski poziom fraudowych transakcji. Jeśli przekroczy on dopuszczalne normy, firma będzie musiała stosować maksymalne dostępne zabezpieczenia (niewygodne dla użytkowników) lub wręcz będzie musiała zakończyć działalność;
  • konieczność stosowania najnowszych standardów w zakresie bezpieczeństwa, jak np. protokołu uwierzytelniania płatności 3-D Secure Payment w wersji 2.0.

image

Jak mogą pomóc systemy antyfraudowe?

Skuteczną odpowiedzią na powyższe wyzwania, w szczególności w zakresie zastosowania analizy ryzyka i silnego uwierzytelniania, jest wykorzystanie systemów antyfraudowych. Przykładem takiego rozwiązania jest Passus Ambience zintegrowany z Inform RiskShield.

W omawianym rozwiązaniu Passus Ambience odpowiada za bezinwazyjną ekstrakcję danych z różnych źródeł, w tym np. z ruchu sieciowego skierowanego do aplikacji bankowości online. Takie podejście ma szereg zalet – dane w ruchu sieciowym są niewrażliwe na manipulację, np. przez malware, a ich pozyskanie nie wymaga ingerencji w kod aplikacji bankowości elektronicznej.

Passus Ambience tworzy unikatowe ID urządzenia, pozwala obliczyć czas spędzony przez klienta na podstronie, uzupełnić dane o jego geolokalizację, pozyskać dane dotyczące kwoty transakcji, bilansu konta, miejsca docelowego przelewu itd. Dane zbierane są w czasie rzeczywistym, na ich podstawie budowane są zdarzenia biznesowe, które następnie przesyłane są – w czasie nieprzekraczającym 100 milisekund – do systemu antyfraudowego Inform RiskShield.

Rozwiązanie firmy Inform to najnowszej generacji system do walki z fraudem, które potrafi kontrolować różne kanały (internetowy, mobilny i tradycyjny), monitorując m.in. płatności online oraz płatności kartami kredytowymi. Na podstawie danych pochodzących ze wszystkich tych kanałów tworzone są dynamiczne profile klienta, które umożliwiają skutecznie przeciwdziałanie złożonym, wieloetapowym próbom oszustw.

Dynamiczne profile uczą się standardowego zachowania użytkownika (np. bankowości online), dzięki czemu możliwe jest zidentyfikowanie nietypowych aktywności, takich jak np. przelewy na niespotykanie wysoką kwotę lub zwiększona liczba przelewów w jednostce czasu. Odbywa się to dzięki wykorzystaniu logiki rozmytej i tworzeniu elastycznych reguł. Każdy przelew jest analizowany i oceniany względem danych historycznych zawartych w dynamicznym profilu klienta. Dodatkowo system nieustannie aktualizuje profil klienta i zmiany jego zachowania przez wykorzystanie pętli zwrotnej.

Inform RiskShield wspiera też protokół uwierzytelniania płatności 3-D Secure 2.0, monitorując pod kątem potencjalnego fraudu transakcje realizowane z wykorzystaniem tego protokołu we wszystkich kanałach płatności.

image

Przykłady zastosowania RiskShield’a zintegrowanego z Passus Ambience

Wymienione wyżej metody gromadzenia i analizy danych, w połączeniu ze wsparciem dla 3-D Secure 2.0 i ultraszybkimi bazami danych „in-memory”, umożliwiają stworzenie bardzo wydajnego systemu antyfraudowego, który sprawdzi się w przypadku wszystkich transakcji – włączając w to szybkie przelewy typu Express Elixir czy Blik. Ponadto system idealnie nadaje się jako narzędzie, które pomoże spełnić techniczne wymogi dot. bezpieczeństwa stawiane przez dyrektywę PSD2.

Banki mogą wykorzystać to narzędzie w szczególności w następujących obszarach:

  • Spełnienie wymagań dotyczących analizy ryzyka – choć po wejściu na rynek nowych graczy (PISP, AISP) pewne dane na temat transakcji staną się niedostępne, Inform RiskShield wspólnie z Passus Ambience będzie nadal dysponował wystarczającą ich ilością do przeprowadzenia skutecznej analizy ryzyka każdej transakcji w czasie rzeczywistym, co pokazuje rys. 2. Dodatkowo – dzięki wsparciu dla protokołu 3-D Secure 2.0, które zapewnia RiskShield – będzie możliwe analizowanie ryzyka we wszystkich transakcjach z wykorzystaniem tego protokołu.

    Mechanizm ewaluacji ryzyka przez RiskShield’a w transakcjach zabezpieczanych protokołem 3-D Secure 2.0:

  • Silne uwierzytelnianie użytkowników – RiskShield umożliwi elastyczne konfigurowanie reguł wyjątków i monitorowanie sposobu, w jaki wpływają one na realizowane transakcje.
  • Zabezpieczenie procesu przyznawania dostępu do danych o kontach bankowych użytkowników – RiskShield umożliwi bankom konfigurowanie różnych typów reguł dla różnych dostawców usług płatniczych (TPP), a także zapewni archiwizację historycznej aktywności tych dostawców.

Warto przy tym pamiętać, że dyrektywa PSD2 ciągle jest jeszcze na etapie definiowania szczegółowych standardów technicznych „otwartej bankowości” przez EBA (European Banking Authority), a proces ten ma się zakończyć dopiero we wrześniu 2019 r. Tym cenniejsza jest tu zatem elastyczność, jaką cechuje się Inform RiskShield z Passus Ambience. Dzięki niej będzie możliwe łatwe podpięcie nowych metod płatności i zasilenie systemu różnego rodzaju danymi z nowych źródeł w celu oceny ryzyka każdej transakcji w przyszłości.

W celu szerszego zapoznania się z ofertą Passus SA zapraszamy do odwiedzenia strony www.passus.com lub do kontaktu bezpośredniego z przedstawicielem firmy:

Konrad Antonowicz,
Specjalista ds. Bezpieczeństwa IT
telefon: +48 697 051 124
e-mail: Konrad.Antonowicz@passus.com