PSD2 - szanse i zagrożenia ery Big Data

Transkrypt

1 PSD2 - szanse i zagrożenia ery Big Data Marcin Nadolny Head of Fraud Intelligence, SAS Institute

2 Otoczenie PSD2 Szybsze transakcje Wzrost cyberzagrożeń Digitalizacja Fintech Real-time Nowe produkty i usługi Lepsze zabezpieczenia przed nadużyciami Otwarte API Zwiększona kooperacja sektorowa GDPR Nowa Dyrektywa AML

3 Harmonogram PSD2 Kluczowe daty

4 PSD2 Stare vs. Nowe modele operacyjne Obecnie klienci mogą uzyskiwać dostęp do swoich rachunków poprzez produkty i kanały oferowane przez banki Payment Product (e.g. debit card) Bank account 2 Dzięki PSD2 klient będzie mógł inicjować płatności poprzez PISP, który przekaże instrukcje do banku (ASPSP) Customer Payment Product (e.g. online banking) PISP Bank account Customer Payment Product (e.g. online banking) Payment Product (e.g. mobile app) Bank account 1 Bank account 2 Dzięki PSD2, AISPs będą mogły agregować informacje o różnych rachunkach klientów i prezentować za pomocą jednego interfejsu użytkownika umożliwiając przeszukiwanie szczegółów Bank account 1 Customer AISP Auth Request a/c info Bank account 2 Bank account 3

5 PSD2 Kluczowe wymagania techniczne SCA XS2A APIs ISO AISP/PISP Nowe mechanizmy autentykacji Dostęp do rachunku dla TPP Stworzenie otwartego, standardowego interfejsu PSD2 Wystandaryzowana komunikacja Monitoring antyfraudowy transakcji

6 Szanse Strategia zarządzania relacjami z klientem w nowym świecie PSD2 Poszukiwanie nowych możliwości, innowacyjność i ewoluowanie Wykorzystanie swojej dotychczasowej pozycji i reputacji Dostosowywanie się do potrzeb klientów Nowe usługi Nowoczesne technologie Stworzenie ekosystemu (klient, merchant, bank) Dobra strategia zarządzania klientem w świecie ograniczonym regulacjami Pełne wykorzystanie posiadanej wiedzy o klientach Pozyskanie jak największej dodatkowej wiedzy o klientach (360 o ) Pozyskanie jak najszybciej informacji o klientach (real-time) Szybka reakcja na nowe informacje o kliencie (kontekstowa analityka real-time) Budowa lojalności

7 Szanse Strategia zarządzania relacjami z klientem w nowym świecie PSD2 Poszukiwanie nowych możliwości, innowacyjność i ewoluowanie Wykorzystanie swojej dotychczasowej pozycji i reputacji Dostosowywanie się do potrzeb klientów Nowe usługi Nowoczesne technologie Stworzenie ekosystemu (klient, merchant, bank) Dobra strategia zarządzania klientem w świecie ograniczonym regulacjami Pełne wykorzystanie posiadanej wiedzy o klientach Pozyskanie jak największej dodatkowej wiedzy o klientach (360 o ) Pozyskanie jak najszybciej informacji o klientach (real-time) Szybka reakcja na nowe informacje o kliencie (kontekstowa analityka real-time) Budowa lojalności

8 Inne Banki Klienta Szanse Nowe dane szersze możliwości Posiadane informacje o kliencie Dane Rachunek 1 Dane Rachunek 2 Dane - Rachunek 3 Wzbogacenie wiedzy o klientach o nowe obszary informacyjne Możliwość silniejszego związania klienta Cross-/up- sell usług Nowe produkty i usługi Dane z internetu

9 Inne Banki Klienta Szanse Nowe dane szersze możliwości Posiadane informacje o kliencie Dane Rachunek 1 Dane Rachunek 2 Dane - Rachunek 3 Wzbogacenie wiedzy o klientach o nowe obszary informacyjne Możliwość silniejszego związania klienta Cross-/up- sell usług Nowe produkty i usługi Dane z internetu Sensitive payment data?

10 Wzrost cyberzagrożeń W 2015 r. ABW zarejestrowało około 116 procentowy wzrost zagrożeń typu phishing (oszustwa w cyberprzestrzeni). Źródło: CERT.GOV.pl, 2016 r

11 PSD2 RTS (Final Draft) kluczowe elementy Final Report - Draft Regulatory Technical Standards on Strong Customer Authentication and common and secure communication under Article 98 of Directive 2015/2366 (PSD2) 23 February 2017 Monitorowanie transakcji pod kątem nadużyć Wyłączenia z SCA Raportowanie regulacyjne Zmienione limity dziennych dostępów ISO20022 pozostaje standardem dla komunikatów płatniczych Brak dostępu do sensitive payment data dla AISP

12 PSD2 RTS (Final Draft) Wybrane wymogi bezpieczeństwa System do monitoringu transakcji pod kątem wykrywania nadużyć Analiza behawioralna (co jest typowe, a co nie jest typowe dla klienta) Czynniki ryzyka, które muszą być uwzględnione w monitoringu: Listy skompromitowanych i kradzionych elementów autentykacyjnych Kwoty transakcji Znane scenariusze fraudowe Oznaki infekcji sesji przez malware Payment services offered electronically should be carried out in a secure manner, adopting technologies able to guarantee the safe authentication of the user and to reduce, to the maximum extent possible, the risk of fraud. As fraud methods are constantly changing, the requirements of strong customer authentication should allow for innovation in the technical solutions addressing the emergence of new threats to the security of electronic payments.

13 PSD2 RTS (Final Draft) Wyłączenia z SCA Low value transaction Low risk transaction, including: Low fraud rates (i) no abnormal spending or behavioural pattern of the payer has been identified; (ii) no unusual information about the payer s device/software access has been identified; (iii) no malware infection in any session of the authentication procedure has been identified; (iv) no known fraud scenario in the provision of payment services has been identified; (v) the location of the payer is not abnormal; (vi) the location of the payee is not identified as high risk.

14 Fraud & Security Intelligence Wykrywanie nadużyć Nowe Typy Fraudów Fraudy nie są statyczne Monitorowanie transakcji Usprawnione wykrywanie Holistyczne spojrzenie Social Engineering Machine Learning Monitoring 100% transakcji Wzrost skuteczności wykrywania Pokrycie wielu kanałów i obszarów nadużyć Zadbanie o bezpieczeństwo klientów Ewoluowanie algorytmów wykrywania nadużyć W czasie rzeczywistym gdy da się zatrzymać pieniądze Ograniczenie irytacji klientów z powodu fałszywych alarmów Więcej informacji - zwiększona skuteczność

15 PSD2 Podejście koncepcyjne Authentication Authentication Fraud Detection CRM Real-time Processing Advanced analytics Advanced analytics Real-time Processing CRM Fraud Detection PSP Customer Onboarding Transaction Monitoring Batch Processing Network Security Batch Processing Customer Onboarding Transaction Monitoring TPP Fraud & Security Anti-Money Laundering Customer Intelligence

16 PSD2 Przygotowanie do wdrożenia Wpływ PSD2 we wszystkich obszarach funkcjonowania, w tym: IT Marketing Bezpieczeństwo Organizacyjne Systemy Architektura Interfejsy dla klientów Produkty i usługi Podejście i materiały marketingowe Silne uwierzytelnianie Wykrywanie nadużyć Zasoby HR Szkolenia Umowy, regulaminy, TPiO, procedury Raportowanie regulacyjne Budżetowanie Inspirowane: The Second Payment Services Directive (PSD2); A briefing from Payments UK; July 2016

17 Dziękuję za uwagę