Samolot z Rio de Janeiro do stolicy Brazylii odleciał dwie godziny temu. Lokalne biuro podróży kończy pracę, gdy dzwoni zdenerwowany mężczyzna. Okazuje się, że ktoś zapłacił za bilet na tę podróż jego kartą kredytową. Pracownik biura sprawdza ostatnie transakcje i już wie, kto posłużył się skradzioną kartą. Samolot jeszcze nie wylądował w Brasilii, ale nie ma sensu informować policji o oszustwie. W brazylijskim prawie nie ma paragrafu, z którego można byłoby go oskarżyć. - Oszustwa płatnicze w Brazylii, szczególnie te związane z kartami kredytowymi, są od dłuższego czasu omawiane na konferencjach jako przykłady. Dla linii lotniczych to prawdziwe utrapienie - mówi Hubert Rachwalski, prezes polskiej firmy Nethone zajmującej się wykrywaniem oszustw w sieci.

Niemal połowa (49 proc.) firm, które wzięły udział w badaniu PwC na potrzeby raportu Global Economic Crime and Fraud Survey przyznała, że w 2018 r. padła ofiarą oszustwa lub przestępstwa gospodarczego. To wyraźny skok od 2016 r., kiedy przyznawało się do tego 36 proc. firm. Z kolei z raportu firmy analitycznej Aite Group wynika, że najwięcej oszustw z użyciem kart płatniczych odnotowano w 2016 r. w Meksyku (56 proc.), Brazylii (49 proc.) i USA (47 proc.). Polska nie została objęta tym badaniem. Europol przyznał, że w 2013 r. oszustwa z użyciem kart płatniczych w sieci stanowiły 66 proc. fałszywych transakcji przeprowadzonych w strefie euro. Przekładało się to na straty w wysokości 1,4 mld euro. Oszuści celują w pojedyncze transakcje o wyższej wartości, dlatego zwykle “kupują” w ten sposób produkty i dobra fizyczne oraz bilety lotnicze.

Jak zachowuje się oszust

Wiele systemów bezpieczeństwa działa w oparciu o tzw. reguły. W praktyce oznacza to, że system uruchamia alarm w sytuacji, gdy komputer użytkownika znajduje się w jednym kraju, a bank, który wydał kartę - w innym. To pozwala wyłapać sporą część oszustw, ale zarazem odrzucić wielu uczciwych użytkowników. Ludzie w sieci - i coraz częściej poza nią - przemieszczają się z łatwością, a więc coraz częściej kupują spoza kraju zamieszkania.

Zdaniem Rachwalskiego takie systemy już wkrótce staną się zbyt drogie i nieefektywne. Jego firma wykrywa oszustów płatniczych inaczej - adresy są dla niej wtórne, dużo ważniejsze są zachowania. Ponadto bierze pod uwagę urządzenia, konkretne podzespoły i połączenia sieciowe użytkowników. Jeśli więc ktoś zwykle kupuje z komputera z Windowsem, procesorem Intel i7 i korzysta z przeglądarki Firefox, a nagle zaloguje się z innego urządzenia, będzie to pierwsze ostrzeżenie. Następnie system Nethone’a zanalizuje, jak dana osoba zachowuje się na stronie - w co klika, jak pisze. Kiedy i jak często robi pauzy w pisaniu, kiedy robi literówki, kiedy wkleja gotowe treści, jak przewija stronę internetową. Czy osoba która chce kupić drogi bilet na samolot zrobi to w kilka sekund, czy będzie się dłużej zastanawiać i spędzi na stronie nieco więcej czasu?

Ważne są zachowania, które wykraczają poza normę, przy czym norma w takich przypadkach jest określona wyłącznie statystycznie. Jeśli w zachowaniu klienta jest dużo nietypowych elementów, właściciel serwisu zostanie o tym powiadomiony. - Nasz system jest zintegrowany z danym serwisem, a nasza rekomendacja może wpłynąć na dopuszczenie lub odrzucenie próby transakcji. Analitycy mogą na bieżąco sprawdzać, co dzieje się w systemie transakcyjnym - wyjaśnia Rachwalski. System opracowany przez jego firmę bierze pod uwagę 5 tys. różnych zmiennych. Potrafi wskazać, co różni Europejczyka od Brazylijki i Amerykanina, a z jego usług korzystają biura podróży, grupa eSky, największe brazylijskie linie lotnicze Azul, Polskie Linie Lotnicze LOT, banki, producenci podzespołów czy koncerny wojskowe.

Europejczyk pisze z palca, Amerykanin wkleja

Zwyczaje płatnicze Europejczyków różnią się do amerykańskich. Np. na Starym Kontynencie typowe jest wpisywanie nazwiska z palca, a w USA większość użytkowników wkleja swoje dane w formularz.

W Brazylii niezwykle popularne jest korzystanie z wielu różnych kart kredytowych przy jednym zakupie. - Brazylijczycy bardzo dużo wydają, mówiąc wprost, żyją ponad stan. Nawet w sklepie spożywczym zakupy o wartości 10-20 dolarów często są opłacane tylko w części, a reszta koszyka jest rozpisywana na raty do rachunku karty kredytowej. Mamy do czynienia z dużym rozdrobnieniem płatności, co utrudnia sprawdzanie danych karty kredytowej użytej w transakcji - opowiada Rachwalski.

Do tego duża powierzchnia kraju i słabo rozwinięta infrastruktura drogowa sprawiają, że Brazylijczycy często korzystają z samolotów. Za bilet płacą wieloma różnymi kartami, a na biletach nie mają imion i nazwisk. Na trasach lokalnych często siadają więc na pierwszym lepszym miejscu. Brazylijscy oszuści masowo stosują techniki, o których w Europie już prawie zapomnieliśmy, np. wciąż funkcjonuje tam skanowanie karty płatniczej w bankomacie.

- Co piąty mieszkaniec Brazylii padł ofiarą kradzieży tożsamości - mówi Rachwalski i dodaje, że „zdrowy” poziom oszustw związanych z kartami kredytowymi w branży turystycznej w Europie Zachodniej to 0,1 proc. W Brazylii pięcio- albo siedmiokrotnie gorsze wyniki są uznawane za bardzo dobre.

Przyszłość oszustw

W Polsce i Europie Środkowej Nethone zajmuje się zabezpieczaniem pożyczek. Jak przyznaje Rachwalski, to najciekawszy rynek, który stawia obecnie czoła inwazji oszustów. Tylko w Polsce w tej branży Nethone ma aż 10 klientów. Jak wynika z raportu opracowanego przez Fundację Rozwoju Rynku Finansowego i Polski Związek Instytucji Pożyczkowych, w samym 2017 r. Polacy wzięli 3,8 mln pożyczek, a wartość całego rynku wynosiła 4,3 mld zł.

Firmy oferujące pożyczki stosują analitykę Nethone’a do wykrywania potencjalnych oszustw i do ustalania proponowanych rat spłaty pożyczki. Nethone eksperymentuje z rozwiązaniem bardzo ważnego dla pożyczkodawcy problemu: chodzi o klientów, którzy już na etapie składania wniosku wiedzą, że nie będą pieniędzy oddawać. - W takich przypadkach bardzo ważny jest wymiar behawioralny. Możemy przewidzieć, gdy ktoś z taką intencją próbuje wyłudzić kolejną pożyczkę - mówi Rachwalski.

Działa to też w drugą stronę - można wskazać potencjalnych stałych klientów. Taką analizę Nethone uruchomił dla biura podróży. - Zadaliśmy sobie pytanie, czy jesteśmy w stanie skorelować zachowanie osoby kupującej bilet z szansą, że stanie się członkiem programu lojalnościowego - opowiada Rachwalski. Jego zespół zdefiniował określony zestaw cech i wyodrębnił grupę osób, której wyświetlał reklamy, zachęcające do dołączenia do programu. Efekty były zachęcające - jedna piąta dała się przekonać.

Innym projektem firmy jest Elympics, skupiony na wykrywaniu oszustw w e-sporcie. - Przez tę branżę przechodzi coraz więcej pieniędzy, a jednocześnie coraz więcej turniejów odbywa się zdalnie. Zrozumienie, kto gra z danego sprzętu będzie za chwilę bardzo istotne - przekonuje Rachwalski. Wykrywanie „dopingu w e-sporcie” to faktycznie przyszłościowy kierunek. Jak tłumaczył nam podczas IEM 2019 Maurits Tichelman z Intela, wartość rynku w latach 2022-23 wyniesie 45 mld dol. 

Nie tylko Nethone

Na walkę z oszustwami finansowymi w 2023 r. firmy mają wydać już 48 mld dol., dlatego zajmuje się tym coraz więcej firm.  

Podczas targów MWC w Barcelonie Mastercard zaprezentował analizę płatności w czasie rzeczywistym. Pod uwagę są brane takie same zmienne, jak w przypadku Nethone’a, czyli dane dotyczące sprzętu i zachowania użytkownika.

Jeśli Mastercard szybko wprowadzi swoje rozwiązanie na rynek, będzie konkurencją dla Polaków. - Problem oszustw płatniczych jest na tyle znaczący, że najwięksi gracze z ekosystemu płatności online intensywnie inwestują w spółki technologiczne, które zmienią ten rynek. I dobrze. Wierzymy, że Nethone, jego rozwiązanie i sposób walki z oszustami jest wyjątkowy - zapewnia Rachwalski. Zamknął niedawno pierwszą zewnętrzną rundę finansowania. Fundusz Innovation Nest wyłożył ponad 4 mln zł. Nethone ma zamiar wydać je na pozyskiwanie nowych klientów.