Identificatie op gedrag: is fraudepreventie een last of een lust?

fraudepreventie

De PSD2 wetgeving is actief en komt veel terug in de media. Toch lijkt een onderdeel van de PSD2 wetgeving onderbelicht. Dit is fraude, of beter gezegd de herkenning en preventie hiervan. Centraal hierin staat het identificeren van de gebruiker en dat blijkt lastig. Is fraudepreventie daarom een last of een lust?

Dat fraude een onderbelicht aspect van de PSD2 is komt misschien omdat het in eerste instantie ook niet zo’n gamechanger lijkt te zijn als open banking. Dat is onterecht, want juiste digitale identificatie wordt hét onderwerp van de komende jaren. Fraude is niet hetzelfde als digitale identificatie. Maar door digitale identificatie goed uit te voeren, doe je aan fraude preventie. Dit is essentieel voor de nieuwe digitale munten, online veiligheid en online gebruiksgemak.

Hoe identificeert de bank op afstand zijn klanten? Door iets te vragen wat alleen de persoon weet (pincode), door iets te vragen wat alleen de persoon heeft (vingerafdruk), of door iets te vragen wat alleen de persoon bezit (pinpas). Combinaties hiervan maken is sterker, dat is 2-factor-authenticatie (2FA) en in de RTS staat bij welke transacties je dit moet afdwingen, bijvoorbeeld bij hoge bedragen of nieuwe rekeningnummers.

Maar toch kan bij 2FA nog steeds fraude optreden. Een pinpas wordt gestolen, de pincode geskimd en vanuit een pinautomaat in het buitenland wordt een hoog bedrag opgenomen. Ondanks dat de pinpas er is én ook de juiste pincode, is nog steeds herkenbaar dat er een dief handelt en niet de klant zelf. Kijk maar naar de vreemde bankrekeningen, opname in het buitenland, significant hogere bedragen, et cetera. Om dit te voorkomen is het van belang om het gedrag van de klant te herkennen; de persoon zelf in plaats van zijn afgeleide eigenschappen.

Als de bank real-time kan constateren dat de klant écht de klant is, dan schrijft de RTS voor dat je een tweede factor authenticatie kan laten vervallen[1]. Terecht, want je weet dat de klant de klant is, dus extra identificatie is niet meer nodig. Dat levert weer extra gebruiksgemak op voor de klant. De vraag is of dit verhoogde gebruiksgemak genoeg is voor de bank om te investeren in een platform wat alle transacties real time kan monitoren én beoordelen.

Maar op basis van gedrag een persoon kunnen herkennen in plaats van afgeleide eigenschappen wordt de standaard. Het moet ook wel de standaard worden. Hoe meer handelingen een persoon doet op het internet hoe belangrijker het is om deze persoon te kunnen identificeren. Afgelopen jaren zijn we steeds meer online gaan doen en de komende jaren zal dit nog veel meer worden[2]. Hierop inspelen door een bank wordt nu aantrekkelijk gemaakt met de PSD2.

De consument koopt schoenen online, maar ook de boodschappen. De belastingaangifte gaat online en de werknemer logt in op zijn virtuele werkplek. De bitcoin-wallet wordt online benaderd. De identificatiemethoden hiervoor werken allemaal met informatie die de gebruiker heeft of weet en kan vergeten of kwijtraken. Gebruikers vergeten wachtwoorden, raken pasjes kwijt en hebben passcanners op het juiste moment niet bij de hand. Als we nog meer online gaan doen wordt dit een onhoudbare situatie. Identificatie op basis van gedrag is de oplossing[3].

De huidige reguliere identificatiemethoden werken op dezelfde manier. Facebook Login, Idensys/DigiD, Google authenticator. Op basis van iets wat de gebruiker heeft of weet. Wat gestolen kan worden of vergeten. Met de PSD2 en met de RTS stimuleert de Europese Unie de innovatie. Om voor écht gebruiksgemak te gaan. Sectoroverschrijdend.

Maar gedrag herkenning is, net zoals afbeeldingen laten herkennen door Google, een proces waarbij constant verdere ontwikkeling nodig is. Machine learning, Artifical Intelligence in optima forma. Wat doen we dan als het systeem de mist ingaat?[4] Als in de nieuwe realiteit van herkenning van gedrag, het gedrag van de consument niet meer wordt herkent? Misschien blijft het logo van de bank toch nog een tijdje zichtbaar in onze steden.

 

[1] Formeel is het al voldoende als er een lage kans op fraude is.

[2] https://bloeise.nl/geschiedenis-van-het-internet/ geschiedenis van internetgebruik; Klous, S., Wielaard, N. Wij zijn Big Data: de toekomst van de informatiesamenleving (2014).

[3] Banken doen dit al, maar dit kan veel verder worden ontwikkeld. Uitstekend gebied voor Machine Learning en Artificial Intelligence; https://www.newgenapps.com/blog/applications-artificial-intelligence-machine-learning-in-banking-finance

[4] Zoals bij Google waar een geweer voor een helikopter aan werd gezien: https://www.wired.com/story/researcher-fooled-a-google-ai-into-thinking-a-rifle-was-a-helicopter/

Welke kansen zie je?

We maken graag een afspraak. Bel ons op 0653778749 of stuur een e-mail naar e.hoekstra@itds.nl.

Bel mij terug

"*" geeft vereiste velden aan

Hidden
Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

Actueel