Dari Reaksi ke Pencegahan: Memikirkan Ulang Penipuan Pembayaran

Dengan munculnya pembayaran yang lebih cepat, banyak organisasi keuangan memprioritaskan kecepatan daripada deteksi penipuan. Konsumen mengharapkan transaksi instan, tetapi bank harus tetap melindungi diri mereka dan pelanggan dari penipuan. Menjalankan deteksi penipuan di latar belakang—menganalisis sinyal kontekstual dan data historis—membantu mencapai keseimbangan yang tepat antara kecepatan dan keamanan.

Dalam Podcast PaymentsJournal, Diarmuid Thoma, Kepala Strategi Penipuan & Data di AtData, dan Jennifer Pitt, Analis Senior Manajemen Penipuan di Javelin Strategy & Research, membahas bagaimana metode deteksi penipuan tradisional telah gagal di era pembayaran waktu nyata. Kunci hari ini adalah menghentikan penipuan sebelum terjadi.

Memindahkan Perlindungan ke Hulu

Bagi pelanggan, kecepatan sangat penting—tetapi kecepatan itu hanya diperlukan saat tahap transaksi atau pengambilan keputusan. Bank dapat melakukan sebagian besar penilaian risiko dan pra-otorisasi sebelum transaksi terjadi, tanpa tekanan eksekusi waktu nyata. Pada saat pelanggan mencapai tahap transaksi, bank seharusnya tidak panik untuk menyelesaikan semua pemeriksaan penipuan secara instan.

Banyak institusi fokus pada di mana kerugian keuangan terjadi. Ketika sebuah transaksi menghasilkan chargeback, mereka berusaha memperbaiki transaksi itu sendiri. Namun, dalam kebanyakan kasus, itu bukan interaksi pertama pelanggan. Titik sentuh awal sering terjadi jauh sebelumnya, jauh di hulu chargeback.

“Dengan pengambilalihan akun, Anda bisa melihat banyak tanda perilaku sebelum pembayaran bahkan terjadi,” kata Pitt. “Jika informasi diubah dalam sesuatu seperti profil akun, itu adalah petunjuk. Login dari lokasi berbeda pada waktu berbeda bisa menjadi petunjuk. Jika itu ditandai terlebih dahulu, maka pembayaran yang mencurigakan tidak akan terjadi, dan tidak ada kerugian baik bagi konsumen maupun institusi keuangan.”

Membangun Identitas

Dalam dunia tradisional berbasis fisik, bank mungkin meminta SIM atau paspor untuk membuka rekening, mungkin disertai tagihan utilitas untuk memverifikasi alamat. Meskipun dokumen tersebut bisa dipalsukan, kasus seperti itu relatif jarang.

Saat ini, verifikasi bergantung pada identitas digital. Perangkat, alamat IP, dan akun email membentuk fondasi dari profil identitas. Profil tersebut diperluas melalui jaringan konsorsium yang berisi data transaksi sebelumnya, menciptakan gambaran yang lebih jelas tentang perilaku konsumen. Misalnya, apakah orang ini cenderung membeli sepatu seharga $1.000?

“Ini membangun sebuah identitas,” kata Thoma. “Bahkan di dunia fisik, siapa kita ditentukan oleh tempat kita suka nongkrong, atau berbelanja di toko tertentu. Semua itu, itu adalah diri Anda. Yang kita lakukan sekarang adalah mengubahnya menjadi konsep digital. Dari sudut pandang penipuan, itu membangun konsistensi. Hal yang menyenangkan tentang orang baik, dari sudut pandang profil penipuan, adalah mereka sangat konsisten.”

Profesional penipuan modern membangun profil dinamis daripada bergantung pada pengenal statis. Mereka dapat menyusun garis waktu selama lima atau sepuluh tahun—apa pun data yang tersedia—yang merupakan lompatan besar dari metode tradisional.

“Ketika saya di dunia perbankan, bagian dari peran saya adalah mengevaluasi penyelidikan untuk memastikan bahwa penyelidikan dilakukan dengan benar,” kata Pitt. “Saya sering mendengarkan panggilan dari petugas layanan pelanggan dan pusat panggilan. Beberapa kali saya mendengarkan panggilan di mana penipu sendiri berusaha melakukan transfer kawat.

“Petugas pusat panggilan hanya menanyakan informasi dasar seperti nama, tanggal lahir, pertanyaan dasar pengetahuan umum. Informasi yang bisa didapatkan di mana saja, dari pelanggaran data bocor hingga situs pemeriksaan latar belakang,” katanya. “Transfer kawat itu bisa berjalan. Dan ketika pelanggan menelepon untuk melaporkan adanya penipuan, petugas layanan pelanggan mengatakan, ya, Anda telah memverifikasi informasi tersebut.”

Menggabungkan Informasi

Banyak institusi keuangan masih melakukan tinjauan manual satu transaksi sekaligus. Pendekatan ini hanya memberikan wawasan tentang transaksi tertentu dan gagal mengungkap pola penipuan yang lebih luas atau taktik yang sedang berkembang.

“Saya masih melihat institusi keuangan kecil beroperasi seolah-olah tidak ada internet,” kata Pitt. “Mereka secara esensial memverifikasi dokumen fisik, terutama di cabang yang hanya mengandalkan deteksi manusia. Itu tidak cukup lagi dengan alat AI yang tersedia untuk penipu. Sangat mudah memalsukan atau memalsukan dokumen-dokumen ini. Anda tidak bisa mengandalkan deteksi manusia untuk itu.”

Menambah masalah, penjahat memahami ambang batas pelaporan. Mereka sengaja tetap di bawah batas tersebut, menyebarkan aktivitas di berbagai akun dan institusi. Itulah mengapa berbagi data melalui konsorsium sangat penting untuk mengidentifikasi pola terkoordinasi yang seharusnya tidak terdeteksi.

Data Berkualitas Terbaik

Pada masa awal media sosial, perusahaan bisa mencari profil untuk memastikan keberadaan seseorang. Hari ini, AI dapat dengan mudah menghasilkan profil sosial yang meyakinkan di berbagai konteks dan geografis. Membuat jejak digital palsu tidak hanya mudah, tetapi juga dapat diskalakan. Tantangan bagi bank bukan lagi menemukan data, tetapi menemukan data yang tidak bisa dengan mudah dimanipulasi.

“Ideally, data berkualitas terbaik adalah yang kebal terhadap generasi otomatis,” kata Thoma. “Sumber yang tidak terhubung satu sama lain bersifat independen. Email tidak terkait dengan perangkat dari sudut pandang data. Ketika Anda mengumpulkan semua data ini dari sumber yang tidak terhubung—jika semuanya setuju bahwa sesuatu itu baik—umumnya Anda memiliki kualitas keputusan yang lebih baik.”

Berinvestasi dalam alat pencegahan penipuan canggih mungkin tampak mahal di awal, tetapi biayanya tidak bisa dihindari. Institusi akan membayar di awal dengan memperkuat pertahanan mereka—atau di akhir melalui denda, perintah persetujuan, kerusakan reputasi, dan kehilangan pelanggan.

“Kita harus berhenti melihat penipuan pembayaran dari sudut pandang transaksi,” kata Pitt. “Itu adalah titik terakhir untuk mencegah penipuan. Kita berbicara tentang pertahanan berlapis dan pendekatan berlapis di mana jika satu langkah keamanan gagal menangkap penipuan, langkah lain akan melakukannya. Kita masih perlu melihat pembayaran itu sendiri, tetapi kita juga harus melihat segala sesuatu sebelum itu agar bisa menangkap penipuan lebih awal.”