Banken und Zahlungsdienstleister sehen sich mit zwei Herausforderungen konfrontiert: Der Boom des Online-Handels führt zu einer Flut von Zahlungstransaktionen und Betrugsversuchen. Gleichzeitig steht die obligatorische Umsetzung der EU-Zahlungsrichtlinie PSD2 in der Praxis an, die betrügerische Transaktionen eindämmen soll. Was muss eine Software zur PSD2-konformen Betrugsprävention können?
Das muss eine Software zur PSD2-konformen Betrugsprävention können
Die seit dem 1. Januar 2021 für alle Banken und Zahlungsdienstleister verbindliche EU-Zahlungsrichtlinie PSD2 soll die Sicherheit von Finanztransaktionen im E-Commerce erhöhen. Sie schreibt dafür eine Strong Customer Authentication (SCA) mit Zwei-Faktor-Authentifizierung vor. Dabei müssen sich Käufer mit mindestens zwei von drei möglichen Elementen authentifizieren: Wissen (PIN oder Passwort), Besitz (Smartphone oder Token) oder Inhärenz (biometrische Merkmale wie Fingerabdrücke). Dieses Prozedere macht jedoch einen zusätzlichen Authentifizierungsschritt nötig, der das Kauferlebnis empfindlich beeinträchtigt. Solche Störungen führen erfahrungsgemäß zu vermehrten Abbrüchen, sinkenden Konversionsraten und spürbaren Umsatzeinbußen. Um das zu verhindern, sieht PSD2 Ausnahmeregelungen vor, die den Verzicht auf Verzögerungen durch SCA durch die Nutzung von Echtzeit-Transaktionsrisikoanalysen gestatten.
Eine gute Software für die Betrugserkennung kann damit die richtige Balance zwischen Risikoabsicherung und Kundenkomfort bieten. INFORM benennt die wichtigsten Qualitäten einer gleichzeitig sicheren und komfortablen Betrugserkennungs-Software:
Risikobasierte Authentifizierung:
Lässt sich das Risiko einer Transaktion in Echtzeit bestimmen, können Ausnahmeregelungen („Exemptions“) angewandt werden. Dazu muss die Software bei der Risikoprüfung viele Parameter gegeneinander aufwiegen können. Bei risikoarmen Transaktionen kann dabei die für Kunden umständliche Zwei-Faktor-Authentifizierung entfallen. Bei erhöhtem Risiko lassen sich automatisch geeignete Authentifizierungsschritte auslösen.
Flexibilität:
Der Kreativität von Betrügern sind keine Grenzen gesetzt. Zahlungsdienstleister sind daher mit sich ständig verändernden Betrugsmustern konfrontiert. Eine Betrugserkennungs-Software muss schnell auf diese Veränderungen reagieren und sich dennoch von Compliance-Experten leicht manuell anpassen lassen.
Skalierbarkeit:
Mit dem Wachstum der Datenvolumina steigt auch die Anzahl der Betrugsversuche. Die Software muss in der Lage sein, problemlos sowohl kurzfristig für Lastspitzen als auch mittel- und langfristig für stetig steigende Transaktionszahlen skalieren zu können (Scale-up).
Echtzeitanalyse:
Das im Zahlungsverkehr gängige Protokoll 3-D Secure liefert eine Fülle historischer und situativer Daten. Also Kontextinformationen, die für die Zahlungsabwicklung analysiert werden müssen. Die Fähigkeit zur Analyse dieser Daten in Echtzeit ist die Voraussetzung dafür, auf zusätzliche Authentifizierungsschritte verzichten zu können.
Hybrider KI-Ansatz:
Reine Machine-Learning-Ansätze sind mit solchen komplexen Echtzeitanalysen überfordert. Dafür werden vielmehr hybride KI-Konzepte benötigt, die sowohl datengetriebene als auch wissensgetriebene Verfahren wie Fuzzy Logic nutzen, um innerhalb von Sekundenbruchteilen Risikoprüfungen zu erstellen.
„Die Risiko- und Betrugsprävention im E-Commerce muss umfassende Sicherheit für den Kunden mit einer komfortable Benutzererfahrung verbinden“, erklärt Roy Prayikulam, Bereichsleiter Risk&Fraud bei INFORM. „Technologien wie die risikobasierte Authentifizierung lösen dabei diesen Widerspruch durch die Nutzung von Hybrid-KI auf. Sie verbessern damit das Nutzererlebnis und optimieren so die Konversionsraten und Online-Umsätze.“
