Identificatie op gedrag: is fraudepreventie een last of een lust?

Identificatie op gedrag: is fraudepreventie een last of een lust?

03 mei 2018

De PSD2 wetgeving is actief en komt veel terug in de media. Toch lijkt een onderdeel van de PSD2 wetgeving onderbelicht. Dit is fraude, of beter gezegd de herkenning en preventie hiervan. Centraal hierin staat het identificeren van de gebruiker en dat blijkt lastig. Is fraudepreventie daarom een last of een lust?

Dat fraude een onderbelicht aspect van de PSD2 is komt misschien omdat het in eerste instantie ook niet zo’n gamechanger lijkt te zijn als open banking. Dat is onterecht, want juiste digitale identificatie wordt hét onderwerp van de komende jaren. Fraude is niet hetzelfde als digitale identificatie. Maar door digitale identificatie goed uit te voeren, doe je aan fraude preventie. Dit is essentieel voor de nieuwe digitale munten, online veiligheid en online gebruiksgemak.

Hoe identificeert de bank op afstand zijn klanten? Door iets te vragen wat alleen de persoon weet (pincode), door iets te vragen wat alleen de persoon heeft (vingerafdruk), of door iets te vragen wat alleen de persoon bezit (pinpas). Combinaties hiervan maken is sterker, dat is 2-factor-authenticatie (2FA) en in de RTS staat bij welke transacties je dit moet afdwingen, bijvoorbeeld bij hoge bedragen of nieuwe rekeningnummers.

Maar toch kan bij 2FA nog steeds fraude optreden. Een pinpas wordt gestolen, de pincode geskimd en vanuit een pinautomaat in het buitenland wordt een hoog bedrag opgenomen. Ondanks dat de pinpas er is én ook de juiste pincode, is nog steeds herkenbaar dat er een dief handelt en niet de klant zelf. Kijk maar naar de vreemde bankrekeningen, opname in het buitenland, significant hogere bedragen, et cetera. Om dit te voorkomen is het van belang om het gedrag van de klant te herkennen; de persoon zelf in plaats van zijn afgeleide eigenschappen.

Als de bank real-time kan constateren dat de klant écht de klant is, dan schrijft de RTS voor dat je een tweede factor authenticatie kan laten vervallen[1]. Terecht, want je weet dat de klant de klant is, dus extra identificatie is niet meer nodig. Dat levert weer extra gebruiksgemak op voor de klant. De vraag is of dit verhoogde gebruiksgemak genoeg is voor de bank om te investeren in een platform wat alle transacties real time kan monitoren én beoordelen.

Maar op basis van gedrag een persoon kunnen herkennen in plaats van afgeleide eigenschappen wordt de standaard. Het moet ook wel de standaard worden. Hoe meer handelingen een persoon doet op het internet hoe belangrijker het is om deze persoon te kunnen identificeren. Afgelopen jaren zijn we steeds meer online gaan doen en de komende jaren zal dit nog veel meer worden[2]. Hierop inspelen door een bank wordt nu aantrekkelijk gemaakt met de PSD2.

De consument koopt schoenen online, maar ook de boodschappen. De belastingaangifte gaat online en de werknemer logt in op zijn virtuele werkplek. De bitcoin-wallet wordt online benaderd. De identificatiemethoden hiervoor werken allemaal met informatie die de gebruiker heeft of weet en kan vergeten of kwijtraken. Gebruikers vergeten wachtwoorden, raken pasjes kwijt en hebben passcanners op het juiste moment niet bij de hand. Als we nog meer online gaan doen wordt dit een onhoudbare situatie. Identificatie op basis van gedrag is de oplossing[3].

De huidige reguliere identificatiemethoden werken op dezelfde manier. Facebook Login, Idensys/DigiD, Google authenticator. Op basis van iets wat de gebruiker heeft of weet. Wat gestolen kan worden of vergeten. Met de PSD2 en met de RTS stimuleert de Europese Unie de innovatie. Om voor écht gebruiksgemak te gaan. Sectoroverschrijdend.

Maar gedrag herkenning is, net zoals afbeeldingen laten herkennen door Google, een proces waarbij constant verdere ontwikkeling nodig is. Machine learning, Artifical Intelligence in optima forma. Wat doen we dan als het systeem de mist ingaat?[4] Als in de nieuwe realiteit van herkenning van gedrag, het gedrag van de consument niet meer wordt herkent? Misschien blijft het logo van de bank toch nog een tijdje zichtbaar in onze steden.

 

[1] Formeel is het al voldoende als er een lage kans op fraude is.

[2] https://bloeise.nl/geschiedenis-van-het-internet/ geschiedenis van internetgebruik; Klous, S., Wielaard, N. Wij zijn Big Data: de toekomst van de informatiesamenleving (2014).

[3] Banken doen dit al, maar dit kan veel verder worden ontwikkeld. Uitstekend gebied voor Machine Learning en Artificial Intelligence; https://www.newgenapps.com/blog/applications-artificial-intelligence-machine-learning-in-banking-finance

[4] Zoals bij Google waar een geweer voor een helikopter aan werd gezien: https://www.wired.com/story/researcher-fooled-a-google-ai-into-thinking-a-rifle-was-a-helicopter/


Gerelateerde berichten

 Bekijk alle berichten

GERELATEERDE DIENSTEN

 Bekijk alle diensten

Wet- en Regelgeving

Een gouden kans om uw reputatie te
verbeteren

De Nederlandse en Europese autoriteiten komen elk jaar wel met nieuwe regels, waaraan u moeten voldoen. De achterliggende redenen omarmen we allemaal. Privacy, transparantie, gemak. Maar de invoering heeft elke keer grote gevolgen voor uw operatie. Onze experts zijn dagelijks met deze uitdagingen bezig. Samen met u bepalen ze snel de impact van nieuwe wetten en regels. Zodat u zich weer kan richten op innovaties en ontwikkeling.

Lees verder

General data protection regulation (GDPR)

Lees meer

Met ons GDPR Assessment brengen we uw processen en systemen in kaart en leggen ze naast de GDPR. Binnen vier weken weet u waar u staat – en wat u te doen staat. We helpen graag bij de implementatie. Of het nou gaat om bewerkingsovereenkomsten, het inrichten van een dataregister, PIA’s of het in kaart brengen en realiseren van systeemaanpassingen: ons GDPR Support Team staat voor u klaar.

Lees verder

Payment Service Directive 2 (PSD2)

Lees meer

Payment Service Directive 2 (PSD2) maakt het mogelijk om rekeninggegevens te delen met andere bedrijven. Doel van de richtlijn is om betalen makkelijker en veiliger te maken. Ook neemt hij regels mee voor authenticatie en het vinden van fraudes. Food for thought. Wat betekent het als Apple die bankier-app ontwikkelt? En verandert uw rol als Amazon betalingen mag doen? Wij denken graag mee over de consequenties. Van technische gevolgen tot communicatie.

Lees verder
web-monitoring-ok