5-8 minut

Antyfraud – jak operatorzy chronią finanse firm?  

Technologie oferowane przez operatorów telekomunikacyjnych coraz częściej splatają się z usługami finansowymi – służą do m.in. weryfikacji tożsamości i potwierdzania operacji. Ze względu na coraz bardziej wyrafinowane techniki wykorzystywane przez hakerów, problemem staje się uwierzytelnianie i weryfikacja tożsamości już na poziomie numeru telefonu.

CZEGO SIĘ DOWIESZ Z TEGO MATERIAŁU:

  1. DLACZEGO SĄ POTRZEBNE NOWE MECHANIZMY ANTYFRAUDOWE I KTO SKORZYSTA NA ICH WPROWADZENIU?
  2. CO OFERUJĄ ŚWIADCZONE JUŻ OBECNIE USŁUGI MOBILE IDENTITY?
  3. JAKIE ROZWIĄZANIA ZWIĘKSZAJĄCE BEZPIECZEŃSTWO FINANSOWE UŻYTKOWNIKÓW SĄ PRZYGOTOWYWANE PRZEZ OPERATORÓW?
  4. W JAKI SPOSÓB UCZESTNICY RYNKU RADZĄ SOBIE Z WYZWANIAMI PRZY WPROWADZANIU NOWYCH ROZWIĄZAŃ WERYFIKACYJNYCH?

Dziś trudno sobie nawet wyobrazić zakupy przez internet bez korzystania ze smartfonów. Służą nie tylko do logowania i zapełniania koszyka, ale również do potwierdzania tożsamości, jak i do realizowania płatności. Raport „State of Mobile Finance Apps 2024”[1] potwierdza, że jednym z najważniejszych trendów na rynku technologii mobilnych jest rosnące znaczenie usług finansowych oferowanych za pośrednictwem smartfonów czy tabletów. Mobilne aplikacje finansowe wygenerowały w ubiegłym roku ok. 1,87 mld dolarów przychodów, a w 2025 roku ta wartość ma przekroczyć 2 mld dolarów. Rośnie liczba pobranych aplikacji służących do zarządzania cyfrowymi portfelami, kryptowalutami, płatnościami bezpośrednimi, dodatkowymi usługami – takimi jak pożyczki, leasing i ubezpieczenia.

Ten wzrost napędzany jest rosnącym uzależnieniem klientów od urządzeń mobilnych wykorzystywanych do transakcji finansowych. Globalnie to właśnie bankowość mobilna i portfele cyfrowe są najpopularniejszymi rodzajami aplikacji finansowych, chociaż istnieją różnice regionalne ze względu na regulacje finansowe i preferencje rynkowe (np. w Polsce niezwykle popularną usługą jest BLIK). Natomiast najszybciej rozwijającym się na świecie podgatunkiem aplikacji finansowych są te do pożyczek osobistych. Widać tu silną korelację ze wskaźnikiem cen konsumpcyjnych (CPI), co sugeruje, że wraz ze wzrostem inflacji i presją na budżety domowe klienci będą częściej zwracać się ku pożyczkom krótkoterminowym[2].

Rozwiązania antyfraudowe

To zaś w naturalny sposób zwiększa powierzchnię ataku – z usług finansowych przez smartfony korzysta coraz więcej osób, potencjalnie o niższych kompetencjach cyfrowych – a zatem bardziej narażonych na próby oszustwa.

Z tego powodu coraz istotniejsze staje się zagwarantowane bezpieczeństwa – zarówno samym klientom, jak i instytucjom, które takich klientów obsługują. I tu otwiera się pole do działania dla operatorów telekomunikacyjnych, którzy w warstwie czysto technologicznej są pośrednikami we wszystkich operacjach realizowanych i potwierdzanych przez telefon. Problemem staje się bowiem uwierzytelnianie klienta na poziomie numeru telefonu – przestępcy mogli bowiem przechwycić numer czy wykonać duplikat karty SIM i w ten sposób próbować np. oszukać instytucję udzielającą pożyczek, działając jednocześnie na szkodę klienta.

Z pomocą przychodzi Big Data – dane, którymi dysponują operatorzy. Te dane mogą być odczytywane przez banki czy ubezpieczycieli za pomocą specjalnie stworzonych API. W tej chwili operatorzy, w tym T-Mobile, dysponuje trzema usługami antyfraudowymi, wspierającymi weryfikację karty SIM, z której korzysta klient:

Sim Swap zwraca informacje o tym, czy karta SIM przypisana do konta użytkownika została niedawno wymieniona lub został wystawiony jej duplikat. Na przykład bank może w ten sposób sprawdzić, czy karta SIM w telefonie osoby wnioskującej o kredyt za pośrednictwem telefonu (lub z uwierzytelnieniem przez telefon) nie została podmieniona. Taki bank może wówczas zastosować inną metodę weryfikacji konta.

Number Verification to z kolei mechanizm antyfraudowy, przeznaczony dla firm i instytucji, które posiadają własne aplikacje, w których można potwierdzić tożsamość klienta (zamiast np. kodów weryfikacyjnych wysyłanych przez SMS). Pozwala on sprawdzić numer telefonu połączony z kartą SIM wykorzystywaną do połączenia aplikacji z serwerami instytucji finansowych.

Know Your Customer pozwala natomiast porównać dane wybranego użytkownika korzystającego z mobilnych usług finansowych z danymi przechowywanymi w rejestrach operatora (np. imienia i nazwiska klientów abonamentowych i prepaid). Możliwe jest również sprawdzenie numeru PESEL w celu potwierdzenia, że osoba np. ubiegająca się o kredyt jest tą samą osobą, na którą zarejestrowana jest karta SIM.

Warto zwrócić uwagę, że te trzy elementy systemu weryfikacji tożsamości są obecnie wdrażane w całej grupie Deutsche Telekom (do której należy sieć T-Mobile), jak również przez innych operatorów – o czym za chwilę. Istotne jest to, że możliwość korzystania z tego rodzaju rozwiązań zwiększających pewność transakcji finansowych w praktycznie całej Europie umożliwia również prowadzenie operacji transgranicznych w UE. W projekcie tym uczestniczą także operatorzy z Azji i USA, co sprawia, że te udogodnienia są dostępne globalnie.

Big Data na straży cyberbezpieczeństwa

Operatorzy przygotowują obecnie jeszcze dwa mechanizmy antyfraudowe, wspierające weryfikację tożsamości oparte na inteligentnej analizie zbieranych przez nich danych o użytkownikach. Oba są nieco bardziej wyrafinowane i w jeszcze większym stopniu bazują na Big Data.

Lokalizacja pozwala na sprawdzenie, w jakim BTS logowała się ostatnio dana karta SIM. Dzięki temu mechanizmowi bank może sprawdzić, czy karta w telefonie, którym realizowana jest wypłata lub płatność mobilna znajduje się rzeczywiście w miejscu transakcji. Szczególną odmianą tego mechanizmu jest sprawdzenie, czy karta SIM nie działa przypadkiem w roamingu – np. przy „podejrzanych” operacjach przeprowadzanych w egzotycznych krajach.

To elementy bardziej złożonej metody weryfikacji tożsamości, w ramach Mobile Identity, określanej jako Location Insights umożliwiającej oszacowanie na podstawie danych historycznych takich parametrów jak region zamieszkania klienta czy ostatnio odwiedzane miejsca. Ponownie – informacje te mogą zostać wykorzystane do upewnienia się, że osoba wykonująca jakieś operacje jest na pewno tą, za którą się podaje.

Kolejny mechanizm, określany nazwą Scam Call, w jeszcze większym stopniu chroni firmy finansowe i ich klientów. To badanie korelacji wykorzystania telefonu z rozpoczynanymi transakcjami finansowymi. Wynika to z obserwacji, że ofiary oszustw tuż przed rozpoczęciem fałszywej transakcji najczęściej długo rozmawiają ze scamerami – ci potrafią przekonywać swoje ofiary do niekorzystnych decyzji oraz szczegółowo opisują, jakie działania mają wykonać (np. zainstalować program do zdalnego dostępu).

Potrzeba standaryzacji Mobile Identity

Nawet najbardziej wyrafinowane techniki przeciw oszustwom elektronicznym nie będą jednak skuteczne, jeśli najwięksi uczestnicy rynku nie zgodzą się na wspólne wysiłki i wdrożenia jednakowych mechanizmów. Taka standaryzacja w obszarze interfejsów API służących Mobile Identity już trwa w ramach Projektu Camara. W tym przedsięwzięciu, obok T-Mobile, uczestniczy również inny operator obecny na polskim rynku – Orange, a także m.in. Verizon, Vodafone, Ericsson, Microsoft, Nokia, Accenture, A1, AT&T, AWS, Intel, Oracle czy Cisco – by wymienić tylko największe i najbardziej rozpoznawalne marki.

Na polskim rynku próby wdrożenia takich mechanizmów i wykorzystania potencjału Big Data do ochrony operacji finansowych na urządzeniach mobilnych rozpoczęły się jeszcze w 2023 roku. Pod egidą Polskiej Izby Informatyki i Telekomunikacji opracowano szczegółowe rozwiązania i standardy umożliwiające interoperacyjność. W 2024 roku prowadzono zaś rozmowy z bankami, instytucjami e-commerce i innymi podmiotami świadczącymi usługi finansowe na temat rynkowego wprowadzenia tego rodzaju usług. Dziś są już one dostępne i – wedle zapowiedzi T-Mobile – będą poszerzane o kolejne mechanizmy Mobile Identity.

Nie oznacza to jednak, że ta praca jest już zakończona. Jednym z istotniejszych wyzwań było wdrożenie tych rozwiązań, zachowując jednocześnie prawo użytkowników do ochrony prywatności. Aby bank czy agregator obsługujący SMS-y bankowe mógł skorzystać z danych gromadzonych przez operatora konieczna jest zgoda klienta. W Polsce rozwiązano to, wpisując odpowiednie zgody do umowy (np. kredytu) zawieranej przez klienta z bankiem.

Najważniejsze wnioski

Inwencja przestępców wykorzystujących nowoczesne technologie nie zna granic. Ochrona samej firmy, jak i jej klientów przed próbami oszustw finansowych powinna uwzględniać obecność nowych zagrożeń i nowych technik ataku. Oprócz konwencjonalnej wieloskładnikowej weryfikacji tożsamości, instytucje finansowe mogą skorzystać ze zbiorów Big Data gromadzonych przez operatorów oraz analizy behawioralnej użytkowników powiązanych z danym numerem telefonu i kartą SIM, z których użyciem klient próbuje dokonać jakiejś operacji finansowej.

Takie mechanizmy antyfraudowe są już wprowadzane przez polskich i europejskich operatorów telekomunikacyjnych, tworząc kolejną linię obrony przed cyberprzestępcami. Ale żeby okazały się naprawdę skuteczne, niezbędna jest edukacja w tej dziedzinie – i to zarówno przedstawicieli instytucji finansowych, jak i samych użytkowników.

[1] https://sensortower.com/blog/state-of-mobile-finance-apps-2024

[2] https://www.branch.io/resources/blog/finance-mobile-app-trends-for-2024-insights-from-data-ai-and-branch/

Mobile Identity API

Ten artykuł dotyczy produktu

Mobile Identity API

Przejdź do produktu

Data publikacji: 03.02.2025

Wróć na stronę główną strefy wiedzy

powrót

Chcesz dostawać informacje o nowych wpisach?

Chcesz dostawać informacje o nowych wpisach?

Zostaw swój adres e-mail

Zapisz się do newslettera, żeby
dostawać inforamcje o nowych wpisach

Dziękujemy, dane zostały wysłane.
Wystąpił błąd, spróbuj ponownie później.

Dziękujemy za zapisanie się
do naszego newslettera

Może zainteresuje Cię również nasz profil na LinkedIn

Twoja przeglądarka jest nieaktualna

Może to powodować błędy w działaniu strony.
Zaktualizuj przeglądarkę, żeby poprawnie przeglądać naszą stronę.