Muita água passou sob a ponte desde que o Conselho Monetário Nacional autorizou, lá em abril de 2016, que bancos e fintechs possibilitassem aos clientes a abertura e encerramento de contas pela internet. De lá para cá, ao mesmo tempo em que o mercado avançou no quesito segurança, criminosos cibernéticos também se atualizaram e seguem aplicando fraudes em contas digitais que causam prejuízos bilionários ao setor e à economia no Brasil.
Aproveitamos este clima de lançamento de PIX e de Open Banking, dois fatos relevantes que encerram um 2020 que definitivamente forçou milhões de brasileiros a se digitalizarem, para compartilhar e reforçar cinco pontos sobre o universo de prevenção à fraude das contas on-line que merecem atenção dos profissionais de risco. Confira!
1 – Muito além do onboarding
O fim do modelo que exigia ir até uma agência física com uma papelada sem fim e cópias de documentos para tentar abrir uma conta trouxe de cara uma questão que continua atual: como podemos confiar em um cliente que nunca vimos antes? Desta forma, a verificação e o acompanhamento do onboarding, termo usado para definir o momento de entrada do usuário no sistema do banco/fintech, continua sendo fundamental para evitar golpes como abertura de contas falsas. Só que isso não é o bastante para evitar fraudes.
A realidade é que as ameaças existem ao longo de praticamente toda a jornada dos usuários de contas digitais. Isso acontece na hora do cadastro (quando criminosos criam as contas com dados de terceiros para praticar os golpes), na hora do login (momento em que o fraudador consuma a invasão de conta ou account takeover) e logicamente na hora do pagamento. Cada uma destas (e de outras) fases requer uma análise diferente para mitigar os riscos. O desafio é combinar diferentes soluções, equilibrar os custos e ter efetividade na captura da fraude sem evidentemente interferir na experiência do cliente.
2 – Já ouviu falar em validação incremental?
Neste cenário de contas digitais, a autenticação de dois (ou múltiplos) fatores rapidamente virou uma das formas mais eficazes para validar a identidade dos usuários. Ao longo dos anos, porém, algumas destas maneiras de validação foram perdendo a eficácia, como o envio de SMS (vide os golpes de SIM SWAP ou de clonagem de Whatsapp) e, em alguns casos, até o envio de e-mail ou o contato telefônico (vide os milhares de vazamentos de dados).
Mas tenhamos calma. Enquanto outros tipos de autenticação seguem bastante eficazes, a indústria desenvolveu outras maneiras de confirmar a identidade do cliente sem colocar um ou mais steps que interfiram na usabilidade e experiência da conta. Este é o caso da validação incremental, que consiste na montagem de uma espécie de score de confiabilidade do usuário. Aqui, a quantidade de camadas vai sendo modulada conforme o uso da conta. Exemplo: em casos muito suspeitos e/ou fora dos padrões, a transação só seria efetivada a partir do envio de uma foto.
3 – Não se constrói um casamento sem confiança
Dentre as fraudes em contas digitais, a que mais preocupa os especialistas é a invasão de conta, que tem um ticket médio elevado e chega a dar um prejuízo até três vezes maior do que um roubo de identidade ou abertura de conta falsa. A possibilidade de causar um estrago maior passa, por exemplo, pela possibilidade de solicitar um crédito ou empréstimo de valores significativos, o que é mais difícil nos outros dois casos.
O pior é que as perdas financeiras são só parte do problema do account takeover, que também causa dano à reputação e à imagem da instituição (muitos casos são expostos em redes sociais e na mídia) e, para completar, também torna praticamente certa a saída do cliente que foi vítima do golpe. Há quem compare a perda da confiança neste caso a de um casamento quando um dos cônjuges faz algo que o outro não gosta. Perguntas do tipo “mas você não me conhece?” e “você não sabe meus hábitos?” servem para ambas as situações.
4 – Prevenção envolve muitas áreas
Cansamos de dizer aos e-commerces nestes últimos anos que antifraude não é antivenda e que o modelo mais eficiente é aquele que permite que a loja aprove mais pedidos diante do menor risco possível. Esta lógica também se aplica ao universo de contas digitais, onde, felizmente, prevenção à fraude não é mais vista como aquela área que quer simplesmente cancelar qualquer transação minimamente suspeita.
Pelo contrário. Neste momento de grandes transformações no mercado digital, é praticamente vital que os profissionais de risco estejam ao lado da área de tecnologia, de produtos e de segurança no desenvolvimento e aperfeiçoamento das novas soluções. Prevenção à fraude não é – e nunca foi, aliás – prevenção ao negócio. E ela deve estar lá na hora de combinar as regras do jogo, avaliar recursos, definir qual o limite de perdas, discutir riscos e alternativas e melhorar os serviços ao longo da jornada.
5 – Parceiros externos são grandes aliados
Existe bala de prata contra a fraude em contas digitais? Não, não existe. As ameaças, como já citamos, acontecem em várias fases e em diferentes formas, desde golpistas amadores usando credenciais roubadas para obter cartões de crédito até operações extremamente sofisticadas e de longo alcance que acarretam perdas de altíssimo valor.
Por isso, uma abordagem e visão holística e em várias camadas ainda é a melhor maneira de se enfrentar o problema. E neste cenário, a contratação de um ou até mais fornecedores externos com ferramentas e tecnologias específicas para mitigar riscos na jornada do cliente tem sido efetiva tanto para fintechs como para bancos tradicionais. Fornecedores não. Parceiros externos. Da mesma forma que repetimos para lojistas virtuais a importância de uma comunicação clara e de feedbacks para calibrar o sistema antifraude, o mesmo acontece no universo de contas digitais. O modelo, seja qual for a tecnologia utilizada, vai estar em constante aprimoramento.
Ah, tem mais duas coisinhas!
6 – Boa parte das dicas e informações que compartilhei neste texto foram apresentadas no painel “contas e plataformas digitais: prevenção à fraude vs experiência do usuário”, que rolou no Fraud Day 2 e contou com as presenças de Davi Pozzi (PicPay), Lygia Barbosa (Santander) e Rodrigo Colossi (Itaú). Clique aqui para ver gratuitamente esta e outras palestras do evento.
7 – Para encerrar este papo de contas digitais, vale lembrar também que a Konduto lançou recentemente o Safe Banking, uma solução antifraude que monitora transações e que chega para atender as demandas de carteiras digitais, transferências P2P e especialmente o PIX, novo sistema de transferências instantâneas do Banco Central. Saiba mais sobre a novidade clicando aqui!