Ouça este conteúdo
A intensa competição nos serviços financeiros digitais leva as empresas a correrem para conquistar novos clientes, em uma disputa por ganhos de mercado. No entanto, a pressão de um cenário competitivo também pode fazer com que essas empresas negligenciem (ou não) um KYC (sigla de Know Your Customer ou "conheça seu cliente", em português) abrangente e acelerem a jornada de integração do usuário sem considerar as consequências e os riscos que podem advir dessa ação apressada.
Na fase de abertura da conta, os usuários esperam uma experiência tranquila e sem atritos, enquanto os fraudadores procuram o maior número possível de brechas. A aquisição de usuários é uma etapa fundamental, pois é também aquela em que uma empresa deve causar uma primeira boa impressão e garantir que não permita a entrada de fraudadores.
As empresas precisam encontrar uma solução que seja compatível, econômica, fácil de usar e problemática para enfrentar as múltiplas formas de fraude na abertura de conta. As abordagens de segurança tradicionais geralmente fazem uma troca entre experiência e segurança para facilitar a integração de novos usuários, o que abre oportunidades para os criminosos agirem.
Neste artigo, exploramos a natureza da fraude de abertura de conta, suas consequências e como as empresas podem combatê-la de forma proativa sem comprometer a experiência do usuário.
Entendendo o processo e as formas de fraude na abertura de conta
Criação de contas falsas
De identidades falsas ou uma mistura entre identidades falsas e detalhes de pessoas reais, os fraudadores abrem contas que parecem legítimas para cometer lavagem de dinheiro e outros crimes financeiros.
No entanto, em alguns casos, as próprias empresas estão permitindo a criação de contas falsas para inflar os números e manter as aparências de uma trajetória de crescimento acelerado.
Dois exemplos recentes chegaram às manchetes nas últimas semanas. O fundador da plataforma financeira universitária Frank foi acusado de inflar falsamente o número de usuários para atrair investimentos. Outro caso polêmico foi aquele envolvendo o Block Inc. (anteriormente Square Inc.), que foi objeto de relatório da Hinderburg Research, segundo o qual 40% a 75% das contas da empresa eram falsas ou múltiplas contas vinculadas a um único usuário.
Embora o último caso ainda não tenha sido confirmado por um regulador, a ideia principal ainda permanece: às vezes, cortar atalhos parece ser o caminho a percorrer, mas as consequências podem ser devastadoras.
Criando várias contas
Nessa variação de criação de contas falsas, os fraudadores criam várias contas a partir de informações mantidas em ambientes inseguros por outras empresas. A ideia é usar os dados vazados para construir novos perfis aparentemente válidos – mas que serão usados em atividades fraudulentas. Um grande marketplace que opera no Brasil passou recentemente por uma fraude desse tipo, na qual CPFs roubados foram usados para abrir várias contas (inclusive de clientes que já estavam no sistema da empresa).
Compartilhamento de conta
O uso de uma mesma conta por várias pessoas pode ser uma prática legítima, mas também pode se tornar uma oportunidade para fraudes. Os sistemas acreditam que um usuário legítimo está agindo, mas fica sujeito às ações de criminosos.
Esse tipo de fraude ocorre no processo de aquisição e cadastro de clientes, quando os fraudadores criam contas falsas com todos os detalhes. Essas informações podem ser desenvolvidas por meio de fraudes sintéticas ou com base em identidades roubadas em vazamentos de dados ou esquemas de phishing – e, claro, misturando tudo. Detectar essas tentativas com antecedência é a melhor maneira de evitar problemas.
Deve-se ter em mente que esta não é uma prática pontual, que pode ser vista como um “efeito colateral” da realização de negócios. O mesmo estudo de Hindenburg afirma que, mesmo quando algumas contas falsas estão na lista negra, os usuários originais que as criaram não são identificados. Isso permite que eles continuem suas atividades criminosas, criando novas contas ou continuando a usar contas existentes que ainda não foram colocadas na lista negra.
Ameaças emergentes
A fraude de novas contas cria mais problemas, pois uma vez que uma conta é criada e não é identificada como fraude, ela passa a fazer parte do banco de dados da empresa e é considerada segura. Quando isso acontece, o fraudador pode proceder a uma série de práticas ilegais, como:
- Tomada de conta;
- Fraudes de identidade sintética;
- Abuso no uso de promoções e políticas da empresa, como devolução constante de produtos (promo & policy abuse) e bots maliciosos;
- Fraude de afiliado.
Como resolver este problema?
Entendido o quadro geral, surge a questão fundamental: como as empresas podem se proteger desse tipo de atividade? Afinal, se processos simples de cadastro aumentam as oportunidades de fraude e o aumento do atrito no cadastro leva à perda de clientes, como equilibrar esses dois pontos?
A questão é realmente mais complexa. O registro é o ponto de entrada, mas não representa todas as oportunidades de usar contas falsas. Certamente, barrar a criação de contas falsas é muito importante em uma estratégia de segurança cibernética, mas considerá-la como única abordagem fecha os olhos da empresa para fraudes cometidas por usuários já aceitos como legítimos.
É necessário ir mais longe
Considerando a sofisticação das atividades criminosas e a necessidade de promover proteção que não prejudique a experiência do usuário, acreditamos que o caminho a seguir é o uso de soluções de detecção automatizada alimentadas por inteligência artificial. O uso de impressão digital com IA analisa o comportamento de cada usuário e sua interação com os sistemas, com base em aspectos como o dispositivo utilizado e as configurações de rede.
Vários usuários em um mesmo equipamento ou rede que buscam ocultar seu endereço são práticas que indicam comportamento suspeito. Acrescente a isso a análise em tempo real do risco potencial e torna-se possível prevenir a prática de ações criminosas – mesmo por usuários aparentemente legítimos que, na verdade, podem ser bots ou contas falsas criadas há algum tempo, mas até agora inativas.
Uma grande vantagem da utilização de modelos baseados em inteligência artificial é sua capacidade de adaptação às constantes mudanças no tráfego de usuários e métodos de fraude. Dessa forma, a proteção é válida não apenas para o momento atual, mas evolui para manter os sistemas protegidos. O uso da IA facilita a detecção de padrões não óbvios e automatiza a tomada de decisões, com vantagens sobre conjuntos de regras manuais e heurísticas – que apresentam maior número de falsos positivos.
O uso de ferramentas de impressão digital baseadas em IA entende as intenções dos clientes e é capaz de desmentir os fraudadores, em uma avaliação de risco em tempo real e invisível para o usuário – mas com um impacto significativamente positivo na saúde financeira e na reputação do seu negócio.
*Thiago Bertacchini é Senior Business Development da Nethone.