Hubert Rachwalski, Nethone - Walka z fraudem płatniczym to nieustający wyścig zbrojeń

Hubert Rachwalski był jednym z prelegentów podczas Fintech Brunch #3. Relację z wydarzenia można znaleźć tutaj.

Rafał Tomaszewski: Dzień dobry. Na początek zapytam dość ogólnie – czym zajmuje się Nethone? Jak najprościej można opisać Waszą działalność?

Hubert Rachwalski: Dzień dobry. Nethone specjalizuje się w cyberbezpieczeństwie, a dokładnie w zapobieganiu fraudom w kanałach internetowych, m.in płatniczemu z użyciem kart kredytowych i debetowych czy związanemu z przejęciem dostępu do kont bankowych (ang. account takeover). Czyli w dużym skrócie – zapobiegamy dokonywaniu transakcji przez osoby do tego nieuprawnione w najszybciej rosnącym kanale zdalnym.

Wykorzystujemy do tego sztuczną inteligencję i głębokie profilowanie użytkowników w sieci. Przekłada się to nie tylko na unikanie zagrożeń, ale pozwala też naszym klientom rozwijać biznes i podnosić jakość usług. W czasach, gdy firmom działającym w kanałach online zależy na jak najlepszym user experience, Nethone zapewnia im narzędzie do zarządzania ryzykiem, które może mieć pozytywny wpływ na doświadczenie zakupowe, a co za tym idzie, na większą liczbę konwersji, a przez eliminację odczuwanych przez użytkowników frykcji (w dużym uogólnieniu można je nazwać “przeszkodami”), większą szansę na lepszą retencję klientów końcowych.

R.T.: Jak dokładnie działa Wasze rozwiązanie anty-fraudowe? Jak rozpoznajecie konkretnych użytkowników?

H.R.: Nasze rozwiązanie – Nethone Guard, oparte jest na gamie algorytmów uczenia maszynowego (ML – Machine Learning), które ze wzbogaconego przez nas “worka” informacji o użytkowniku, “tu-i-teraz” potrafią wydobyć sygnały świadczące o próbach nieuprawnionego użycia karty kredytowej, określić profil użytkownika oraz oznaczyć podejrzane i nietypowe transakcje w czasie rzeczywistym.

Monitorując próby transakcji wykorzystujemy Profilera, nasze autorskie narzędzie, które jest w stanie określić ponad 5000 atrybutów konkretnego użytkownika. Oprócz danych dotyczących sprzętu, systemu operacyjnego, przeglądarki i połączenia sieciowego, jesteśmy w stanie gromadzić również indywidualne dane behawioralne – jak np. szybkość i takt pisania na klawiaturze, poruszania kursorem czy przewijania strony. Wszystkie te informacje, w połączeniu z danymi, które otrzymujemy od klienta oraz z możliwościami naszych algorytmów uczenia maszynowego pozwalają nam oferować wyjątkową precyzję identyfikacji cyber-zagrożeń naszym klientom na całym świecie.

R.T.: Rozumiem. A czy takie pozyskiwanie informacji o klientach jest zgodne z RODO?

H.R.: Przetwarzamy dane dostarczone przez naszych klientów w ich imieniu i wyłącznie na podstawie ich instrukcji. Działamy zgodnie z RODO i dostarczamy wszystkie dane niezbędne do spełnienia wymagań tego rozporządzenia. Pomagamy też przedsiębiorstwom w wypełnianiu obowiązków wobec ich klientów, w wymiarze określonym procedurami prawnymi.

R.T.: Na ilu rynkach obecnie działacie? Ilu macie klientów?

H.R.: Działamy globalnie z ponad 30 klientami z Europy, USA i Ameryki Łacińskiej. Obsługujemy głównie firmy z branży turystycznej i szerzej rozumiany e-commerce, jak np. grupa eSky, Polskie Linie Lotnicze LOT, czy prężnie rozwijające się brazylijskie linie lotnicze Azul. Wspieramy również technologicznego giganta kategorii premium – platformę Farfetch. Współpracujemy też z podmiotami sektora finansowego, wśród których jest m.in. Grupa ING.

R.T.: A czy Polacy pamiętają o cyberbezpieczeństwie? Wydaje się, że to wciąż temat, o którym nie mówimy wystarczająco dużo.

H.R.: Jako internauci wciąż mamy niską świadomość bezpieczeństwa i chyba to jest prawdziwym problemem. Często nie wiemy, jak działają cyberprzestępcy i co jest istotą ich działań. Dla przykładu, każdy z nas może paść ofiarą wycieku danych, a mimo to wielu z nas to bagatelizuje. Tymczasem nawet wyciek poufnych informacji z pierwszego lepszego portalu, często prowadzi do wyłudzenia na innym – jednak rzadko kto łączy te sprawy, a tak to najczęściej wygląda.

Podobnie jest z udostępnianiem danych – na portalach społecznościowych, w sklepach internetowych, programach lojalnościowych, etc. – wszędzie zostawiamy informacje o sobie. Brakuje nam jednak świadomości, że coraz lepiej przygotowani oszuści mogą wejść w ich posiadanie i wykorzystać przeciwko nam, a skutki mogą być opłakane, nawet w dalekiej przyszłości. Dlatego poza świadomością statystycznych Polaków, tak ważne jest, by sprzedawcy stale rozwijali poziom zabezpieczeń na swoich platformach.

R.T.: W takim razie jakie są obecnie największe zagrożenia dla Internautów? Jakiego typu ataki są najbardziej popularne? Czy wciąż króluje phishing?

H.R.: Z perspektywy płatności online coraz większym zagrożeniem staje się kradzież tożsamości (ATO – Account Takeover). Mówimy o niej, gdy nieuprawniona osoba zdobywa dostęp do naszych kont, np. konta bankowego, konta w sklepie internetowym, czy na profilu społecznościowym i wykorzystuje je do przeprowadzania nieuprawnionych transakcji. Jeszcze w 2016 roku straty finansowe z powodu ataków ATO wynosiły 4 miliardy dolarów, w 2018 roku kwota ta przekroczyła już 8 miliardów dolarów.

Oczywiście phishing wciąż jest poważnym zagrożeniem. Jednak hakerzy poszli już o krok dalej, tworząc spear phishing. Jest to forma spersonalizowanego phishingu, gdzie haker namierza konkretnego użytkownika w konkretnym celu, a nie jak dotychczas szeroką grupę przypadkowych osób. Takie ataki, są przemyślane i przygotowane z dużą dokładnością, przez co trudniej je wykryć. Co tylko pokazuje, że w dzisiejszych czasach nawet bardzo świadomy użytkownik może zostać ofiarą cyber ataku.

R.T.: A jakie ataki są najgroźniejsze z perspektywy dużych przedsiębiorstw? Jak można im przeciwdziałać?

H.R.: W okresie pomiędzy rokiem 2018 a 2023 straty z powodu card-not-present fraud mogą sięgnąć nawet 130 miliardów dolarów. Oczywiście najpopularniejsze są standardowe fraudy płatnicze, w przypadku których oszust wykorzystuje do przeprowadzenia transakcji nielegalnie zdobyte informacje np. dane dotyczące karty kredytowej użytkownika. Z kolei zjawisko tzw. friendly fraud, ma miejsce, gdy przedsiębiorca zostaje obciążony chargebackiem (por. obciążenie zwrotne), ponieważ posiadacz karty zaprzeczył dokonaniu zakupu nawet jeżeli jest tym za kogo się podaje.

By zapobiegać tego typu oszustwom trzeba działać w trakcie przeprowadzania transakcji. Tymczasem zdecydowana większość przedsiębiorstw do zapobiegania fraudowi używa anachronicznych rozwiązań, uwzględniających w znakomitej większości dane transakcyjne i reguły, albo swojego PSP (payment service provider). Jednak wraz z rozwojem technologii oszustwa internetowe stają się coraz bardziej wyrafinowane. By się przed nimi bronić firmy muszą wykorzystywać cały teoretycznie dostępny potencjał informacyjny. Dlatego jesteśmy przekonani, że coraz większa liczba podmiotów będzie migrować w kierunku narzędzi wykorzystujących specjalistyczne dane oraz z uwagi na ich wolumeny, opartych wyłącznie na sztucznej inteligencji.

Coraz istotniejszym zagrożeniem będzie także wspomniane już ATO, czyli kradzież tożsamości, które znacząco wpływają na wizerunek danego przedsiębiorstwa, jako gwaranta bezpieczeństwa finansowego użytkownika. W zapobieganiu tego typu atakom może pomóc analiza behawioralna, która jest wciąż niewyeksploatowanym źródłem wiedzy o użytkownikach. Zaawansowane rozwiązania pasywne potrafią zapewnić użytkownikowi końcowemu najwyższe możliwe bezpieczeństwo, nie naruszając przy tym jego prywatności.

R.T.: Jak wyglądają statystyki odnośnie fraudów płatniczych w Polsce i na innych rynkach?

H.R.: Wśród krajów z największymi wskaźnikami fraudu są m.in. Holandia, Francja, Hiszpania, Stany Zjednoczone, Brazylia czy Wielka Brytania. Działając na każdym z tych rynków wiemy, że każdy z nich ma zupełnie inną specyfikę. Z kolei około jednego procenta Polaków kupujących online jest ofiarą fraudu, podczas gdy średnia europejska wynosi dwa procent. Wynika to z faktu, że polski rynek płatności elektronicznych jest jednym z najbardziej zaawansowanych i najszybciej rozwijających się na świecie. Polacy z chęcią korzystają z błyskawicznych przelewów bankowych.

Co do kart kredytowych jako sposobu płatności, w Polsce nie jest szczególnie popularne, jak ma to miejsce chociażby w Stanach Zjednoczonych (m.in. ze względów historycznych oraz gospodarczych nasz kraj “przeskoczył” erę kart od razu do ery płatności elektronicznych). Mimo to, problem fraudu z użyciem kart kredytowych i debetowych jest w naszym kraju coraz bardziej widoczny. Wiąże się to m.in. z rosnącą popularnością modelu subskrypcyjnego stosowanego przez innowacyjnych dostawców jak np. firmy świadczące usługi transportowe, czy grupy medialne udostępniające swoje tytuły online. Dlatego też liczba kart na polskim rynku rośnie.

Sytuację poprawiają banki, które w Polsce częściej niż inne zagraniczne podmioty wdrażają nowe zabezpieczenia i więcej inwestują w nowoczesne rozwiązania IT. Jednak ze względu na znaczny postęp technologiczny, również wśród fraudsterów, nie możemy osiąść na laurach. Walka z fraudem płatniczym to nieustający wyścig zbrojeń.

R.T: Zapytam także o dyrektywę PSD2, która działa już od kilku miesięcy. Jak Waszym zdaniem wpłynie to (lub już wpływa) na fraudy płatnicze? Czy dyrektywa ma wpływ na Wasz biznes?

H.R.: PSD2 wprowadzając dwustopniową autentykację transakcji ma na celu m.in.  zminimalizowanie fraudu płatniczego. Jednak dla wielu konsumentów zabieg ten jest niestety uciążliwy – biorąc po uwagę fakt, że nowe technologie mają nam ułatwiać życie, dodawanie kolejnego kroku do procesu uwierzytelniania tożsamości nie sprzyja temu trendowi.

Dlatego dyrektywa nie wpłynęła pozytywnie na User Experience klientów, co bezpośrednio może się przenosić na banki czy sklepy internetowe w postaci mniejszej liczby konwersji. Dodatkowo np. dla banków konieczność wysyłania sms z hasłem dostępu, a co za tym idzie, angażowanie kolejnych środków w analizowanie legalności transakcji wiąże się z wysokimi kosztami. Konieczność zachowania wysokiej konwersji przy jednoczesnym wysokich standardach bezpieczeństwa to jedno z największych wyzwań stojących przed bankami w świetle obowiązywania PSD2.

Tutaj właśnie pojawiają się fintechy i firmy technologiczne takie jak Nethone, które mogą rozwiązać ten problem, ale także mogą być ogromnym wsparciem w kwestiach bezpieczeństwa, a także zapleczem R&D dla banków.

R.T.: Na koniec zapytam też o Wasze plany na przyszłość. Jak chcecie się rozwijać? Jakie nowości planujecie?

H.R.: Rok 2020 będzie dla nas kluczowy w kontekście dalszego rozbudowywania naszej firmy i technologii, a co za tym idzie, powiększania portfolio klientów.

Nasz zespół składa się już z ponad 60 specjalistów i planujemy zatrudniać nowe osoby – zarówno ekspertów od cyberbezpieczeństwa, Machine Learningu jak i od rozwijania biznesu. Ponadto, czekają nas w tym roku kolejne rundy inwestycyjne. Pozyskane środki przeznaczymy m.in. na kontynuowanie ekspansji na nowe rynki, dalsze rozwijanie produktu oraz naszego portfolio, a także na profesjonalizację obsługi klienta. Dla przykładu, skupimy się na naszym produkcie – Nethone ATO, który w oparciu o Machine Learning oraz biometrię behawioralną pozwoli nam przeciwdziałać zjawisku przejmowania tożsamości w internecie (Account Takeover – ATO), umożliwiającego dokonywanie nieuprawnionych transakcji. Oczywiście wciąż będziemy ulepszać nasze algorytmy samodzielnego uczenia. Technologia nie przestaje się rozwijać, więc wymaga od nas stałych nakładów na R&D. Dodatkowo zmiany wprowadzone przez dyrektywę PSD2 otworzą przed nami nowe możliwości. Już teraz pracujemy nad rozwiązaniami wspierającymi obszar open bankingu.

Zamierzamy umacniać naszą globalną pozycję, powiększając portfolio klientów i wchodząc na nowe rynki. Wciąż mamy miejsce na dalszą ekspansję. Poza współpracą z podmiotami z sektora bankowego, turystycznego, e-commerce i pożyczkowego, pracujemy też nad wejściem do branży gamingowej, w której widzimy zapotrzebowanie na nasze usługi oraz ogromny potencjał rozwoju.

R.T.: Dziękuję za rozmowę.

H.R.: Dziękuję.

Z Hubertem Rachwalskim, CEO Nethone, rozmawiał Rafał Tomaszewski.