作者:Liudas Kanapienis,首席执行官兼联合创始人海浪
了解欺诈者是Ondato的2023年报告,基于对2022年为客户进行数百万个ID验证的分析。它包含一个有趣的观察,可能会改变已知欺诈者对ID骗局的预防。
目前,根据该报告,3%的检测欺诈企图被拒绝,因为它们来自已知的坏演员。但是,使用不同的数据共享方法可能会更高。
从ID验证(IDV)服务提供商的角度来看,如果他们试图骗两个或多个客户,我们可以轻松地抓住它们,因为它们会出现在我们的数据库中,因为它们可能是欺诈者。但是IDV公司很少会彼此共享此信息。这意味着,如果有人试图攻击我们的客户和竞争对手的客户,我们俩都不知道。当然,除了欺诈者之外,没有任何好处?
一个站不住脚的情况
对于商业组织来说,当前的状况肯定是昂贵的。例如,在金融服务中,欧盟在2015年采用的修订后的支付服务指令(PSD2)指令,作为一般规则,要求银行,付款服务提供商(PSP)和电子货币机构(EMI)退还欺诈授权的付款,向那些毫不拖延地被欺骗的人退还。在一个单一的国家中,根据付款卡,远程银行和支票总计7.269亿英镑的未经授权的财务欺诈损失2023英国财务报告。
对付款提供商的影响显然很大。但是,由于银行必须支付这些成本才能继续业务,因此最终将这些费用付给了提供商的客户(就是我们所有人)。
困难但不是不可能的
没有人建议这很容易破裂。 ID验证提供商之间数据共享的范围取决于上下文以及不同国家和部门的法规。通常,数据共享可以帮助提高身份验证服务的效率和准确性,并增强用户体验和信任。
但这很复杂。数据隐私立法很复杂,并且有可能阻止IDV提供商共享,即使这对所有人都具有明显的优势。
但是,让我们不要误认为GDPR为无活动。它不一定会阻止共享有关已知欺诈者的数据,但确实施加了条件和保障措施,以确保这种共享是合法,公平和透明的。
这也不是一个新的挑战。保险行业已经共享了多年来有关潜在欺诈性索赔的数据,并且找到了适应GDPR后环境的方法在2018年推出后。鉴于保险公司在这方面的成功,IDV提供商创建类似的模型需要什么?
需要什么?
要遵守GDPR,必须尊重核心数据保护原则,例如数据最小化,准确性,存储限制,完整性和机密性。当然,此外,必须是共享有关欺诈者的个人数据的合法依据。合法的依据可以包括法律义务,重要利益,公共利益或合法利益,因此似乎有良好的进步范围。
还必须将这种合法依据记录和传达给“数据主体和数据收件人”,从而为他们提供访问,异议,纠正,擦除和限制处理的权利,而不受自动决策的权利。争议解决方法也将需要制定。同样,所有这些都是相当合理且可实现的。 GDPR将要求IDV向数据主体提供有关数据共享以及如何行使其权利的信息,但前提是不损害预防或检测欺诈的目的。
合规性应该变得更容易
政府认识到这个问题,并试图使共享数据更容易防止欺诈。例如,在荷兰,已授予160多家银行和保险公司的许可,以交换该国数据保护局Autoriteit Persoonsgevens(AP)的个人欺诈行为的详细信息。该许可要求基于分散数据交换和相关控件的分散数据交换的严格协议。
另一种方法是使真正的申请人更简单地在线证明其ID,从而迫使欺诈者进入更繁重的ID流程。走这条路,欧盟正在发展欧洲数字身份框架这将使人们和企业能够证明自己的身份并在整个欧盟共享电子文件。该框架将依靠技术标准和规格的通用工具箱,以及确保成员国之间互操作性和信任的治理模型。
更改的时间
解决SOO面临安全性和互操作性挑战,但是有了正确的意愿,可以实现这些挑战。
该奖项值得付出努力。预防欺诈的数据共享是打击欺诈者的重要工具,他们不将其活动仅限于一种欺诈或仅限一个部门。但是,必须以尊重数据主体的权利和利益并符合适用的数据保护法的方式完成。白色困难,这并非不可能,领先的IDV需要推动这一议程前进,因为它们为最大程度地减少数字欺诈的挑战而做出了贡献。
关于作者
liudas kanapienis是首席执行官兼联合创始人海浪。
免责声明:生物识别更新的行业见解是提交的内容。这篇文章中表达的观点是作者的观点,不一定反映生物识别更新的观点。
