Prevenção de Fraudes Contra os Cartões de Crédito
1. Inteligência Artificial
De acordo com Laudon e Laudon (1999), “a inteligência artificial não é um fenômeno isolado, mas uma família de atividades por vezes relacionadas em que a cada uma busca capturar algum aspecto da inteligência dos seres humanos e de seu modo de ser”, como Os autores discorrem sobre cada atividade:
• Linguagem Natural: desenvolver hardware e software capazes de reconhecer a voz humana, “ler” textos, além de falar e escrever.
• Robótica: desenvolver “sistemas físicos que possam executar serviços normalmente feitos por seres humanos, especialmente em ambientes perigosos ou letais”.
• Sistemas Perceptivos: desenvolvimento de dispositivos sensores com capacidade de reconhecer padrões pela visão e audição.
• Sistemas Especialistas: auxiliam executivos na tomada de decisões, com base em conhecimento e experiência humanos.
• Redes Neurais: são dispositivos físicos que “simulam eletronicamente a fisiologia de cérebros humanos ou de animais”.
• Software Inteligente: incluem a lógica difusa para representar processos de pensamento com alguma ambigüidade, algoritmos genéticos e agentes inteligentes para desempenhar tarefas especificamente humanas.
2. Redes Neurais
Quando uma leitora de cartões de crédito lê seu cartão no pagamento de uma compra qualquer em uma loja, em geral há um computador analisando se você está fazendo uma compra válida.
As empresas de cartões de crédito, tais como a Mastercard ou Visa, instalaram sistemas neurais para tentar conter a crescente onda de fraudes que vêm ocorrendo nas últimas décadas e o total de perdas, conforme estimam Laudon e Laudon (2004), originadas de cartões de crédito utilizados de forma fraudulenta ou de cartões falsos atingiu U$1,3 bilhão somente em 1995.
3. Sistemas Neurais
a) Lynx: o Lynx é uma ferramenta preventiva baseada em sistema neural de alta tecnologia desenvolvido pela VisaNet e disponibilizado para todos os Emissores da Bandeira Visa que desejarem trabalhar com esta ferramenta.
O Lynx pode detectar transações com risco de fraude no momento da venda, com alto grau de assertividade. Ao identificar uma transação de risco, o sistema alerta o banco emissor, que poderá recusar a transação e/ou tomar ações preventivas (como, por exemplo, contatar o portador do cartão com o objetivo de confirmar a veracidade da compra, caso isto não seja possível, o emissor poderá efetuar o bloqueio do cartão até a confirmação da compra pelo portador).
O sistema Lynx, em caso de suspeita, transmite ao banco emissor um alerta com pontuação de 1% a 100% para indicar a possibilidade de a operação ser fraudulenta, tendo em conta o conhecimento dos hábitos de utilização daquele cartão”.
Características:
• Monitoração perene junto à rede afiliada, identificando regiões ou estabelecimento com padrão suspeito;
• Possibilita o acompanhamento da VisaNet aos seus estabelecimentos afiliados, através de ações, onde os funcionários da VisaNet tentam realizar vendas fora dos padrões de segurança para validar o comportamento dos lojistas, aqueles que não seguem as regras estabelecidas são orientados ou até mesmo encaminhados para treinamentos específicos. Os estabelecimentos recorrentes são advertidos ou até mesmo descredenciados.
• Possui o programa AIS de Segurança da Informação, que permite aos estabelecimentos e processadores de pagamento melhorar suas medidas de proteção de dados, protegendo as informações dos portadores de cartão.
O Programa de Segurança da Informação (AIS), de acordo com a VISA (2006):
Estão baseados nas Normas de Segurança de Informação da Indústria de Cartões (PCI DSS, por sua sigla em inglês). O PCI DSS consiste em uma série de padrões de segurança que incluem: requerimentos para administrar a segurança, as políticas, os procedimentos, a arquitetura de redes, o desenho de software e outras medidas críticas de proteção da informação. As Normas de Segurança PCI são regidas por um organismo internacional independente formado pelas principais organizações de meios de pagamento.
As normas de segurança utilizadas pelo Programa AIS vêm de uma parceria entre a Visa e a Mastercard, cujo objetivo foi criar requerimentos comuns de segurança, no mercado essas normas são chamadas de “Payment Card Industry (PCI) Data Security Standards”.
b) Falcon: Conforme Sun Microsystems (2008), o Falcon é uma ferramenta preventiva, cujo sistema é baseado em tecnologia de redes neurais desenvolvido pela HNC, um software que possui uma enorme agilidade de seus procedimentos de detecção. O Falcon permite que em apenas dois ou três minutos após o uso do cartão, o especialista em detecção de fraude conseguem analisar com precisão as transações passíveis de fraude, caso a suspeita de fraude seja confirmada, o Falcon irá interromper o processo de compra imediatamente, além da suspensão do processo de compra, pode-se também interceptar o fraudador.
4 Sistemas Inteligentes
a) PCAS: Segundo VISA (2006), “Positive Cardholder Authorization Service” (PCAS), ou Serviço de Autorização Positiva do Portador de Cartão. O PCAS é um conjunto de parâmetros de controle de risco, disponível aos Emissores que utilizam o componente BASE I do V.I.P. para obtenção e envio de autorização.
O PCAS possui controles que indicam se a transação foi aprovada pelo Emissor ou por stand-in da Visa. Possibilita ainda a redução de riscos, onde o objetivo principal é atender o cliente de forma ágil:
• V.I.P.: sistema da rede VisaNet, que recebe as transações efetuadas pelo portador do cartão e encaminha esses dados conforme critérios determinados, ao Emissor/Bandeira.
• BASE I: todo o processo de solicitação de autorização.
• Stand-in: sistema da Visa que concede autorização conforme critérios pré-definidos.
Características:
• Redução dos números de autorização a serem enviadas ao Emissor;
• Redução das perdas por fraude;
• Redução de custos operacionais;
• Possibilitar ao cliente um atendimento rápido e eficiente;
• Gerencia transações especiais de alto risco.
Funcionamento do PCAS
O PCAS tem como base a utilização de limites estabelecidos pelos Emissores que irão determinar se a transação deve ser enviada ao Emissor ou processada via Stand-in.
Segundo a VISA, para determinar se há necessidade de processamento do STIP, o PCAS utiliza as três categorias indicadas acima em conjunto com o Código de Categoria do Estabelecimento Comercial (MCC), com o Tipo da Transação, com a Região e com a disponibilidade ou indisponibilidade do Emissor.
Fluxo de Processamento PCAS
• Basicamente, o processamento do PCAS ocorre em diversas etapas:
• Especificação do Grupo de Categoria do Estabelecimento Comercial (MCG);
• Definição do Nível de Risco;
• Definição do Limite que Requer Aviso e do Limite Especificado pelo Emissor;
• Decisão do Stand-in;
• Especificação do Limite de Atividade;
• Verificação do País;
• Decisão final do Stand-in.
Definição do Nível de Risco – após especificar o MCG, o Stand-in determinará a forma de tratamento do pedido de autorização, atribuindo-lhe um Nível de Risco (score). Os níveis de risco do portador de cartão são utilizados pelos Emissores balizar os parâmetros de encaminhamento da autorização. As transações dentro dos critérios dos níveis de risco são processadas conforme Limites Especificados pelo Emissor e com os Limites de Atividade. O V.I.P. determina o Nível de Risco avaliando três locais diferentes, conforme segue:
• O Arquivo de BASE I contém informações sobre o portador do cartão, as quais são utilizadas por Stand-in para conceder autorização das transações e verificar contas, endereços, telecódigos e senhas. O Emissor pode inserir novas contas no Arquivo do Nível de Risco;
• Os dados da Trilha 1 contêm informações sobre o Nível de Risco estas estão codificadas na Tarja Magnética do cartão. Este procedimento depende do tipo de cartão e só ocorre se os dados da Trilha 1 forem lidos no terminal de POS; em caso negativo, deverá ser desconsiderado.
Os dados do Nível de Risco codificados na Tarja Magnética têm como origem o Arquivo do Nível de Risco.
O Emissor pode determinar “zero” como Limite, esses limites orientam o Stand-in quando o Emissor esta disponível em caso negativo, serão utilizados os parâmetros do PCAS.
As regras que determinam à exceção dos Limites do Emissor incluem transações digitadas e transações Internacionais.
Decisão do Stand-in – O Stand-in toma decisões de como enviar a Transação ao Emissor usando a combinação de informações sobre MCG, Nível de Risco, Limites do Emissor e Limites de Aviso, periodicamente comparar-los com o valor da Transação.
Especificação dos limites de atividade – quando o processamento ocorre via Stand-in, o V.I.P. especifica em seguida os Limites de Atividade e efetua a Verificação de Atividade. Esses Limites de Atividade podem especificar as informações individuais sobre a conta ou fazer a diferenciação dos limites por Nível de Risco.
Verificação do país – O Emissor poderá restringir o acesso de países adquirentes conforme Risco.
Decisão final do Stand-in – O V.I.P. compara o valor da transação com o limite da atividade para determinar se a transação pode ou não ser efetuada pelo Stand-in. O Stand-in analisa os códigos de resposta obtidos até o presente momento e escolhe o mais rigoroso. O emissor pode aprovar ou negar a transação. Caso a transação não esteja qualificada dentro dos critérios determinados para envio ao emissor, o Stand-in poderá responder ao adquirente.
5 Case Manager / SRT
Segundo o SRT (2006), o Selective Real Time é um sistema inteligente parametrizável que permite a tomada de decisão em tempo de resposta de autorização para as bandeiras VISA MasterCard, AMEX, TECBAN e Private Label e geração de alertas. O SRT atua de maneira preventiva, unindo o processo atual de autorização e a combinação de regras e cenários que indiquem o desvio de comportamento de compras e saque.
Características:
• Velocidade de utilização (consumo);
• Não conformidade de valores versus o local da transação;
• Uso de cartão (clonagem);
• Transações domésticas e internacionais;
• Direciona alertas para serem tratados no Case Manager.
O SRT no Processo de Decisão na Autorização
Na tomada de decisão, o processo de consulta e resposta de transação ao Emissor deve
O SRT analisa as combinações entre as diversas informações de origens diferentes, tais como: mensagem de autorização, dados cadastrais e comportamento da conta e/ou cartão.
O SRT no Processo de Geração de Alertas
O processo de análise das regras e geração de alertas para detecção das fraudes ocorre em tempo real logo após a entrada da transação. Após geração do alerta, o usuário de acordo com sua capacidade de análise do volume gerado toma decisão.
A análise de conteúdo tomou por base matrizes de pontos-chaves, unidade de significado e categorias, que podem ser encontradas na seção de apêndice.
A matriz de pontos-chaves relaciona as idéias principais destacadas de cada resposta do questionário utilizado. A partir dos pontos-chave identificados foi possível agrupar 16 (dezesseis) unidades de significado, que expressam o conceito resultante das idéias levantadas inicialmente. Finalmente, estes conceitos foram agrupados em 5 (cinco) grandes categorias: prevenção à fraude, tecnologia aplicada à detecção e prevenção da fraude, visão do mercado de cartões, visão bancária, segurança em sistemas de informação e transações eletrônicas, especificamente.
Quando analisados os fatores relacionados à categoria Segurança em Sistemas de Informação e Transações Eletrônicas Especificamente, citou-se a fragilidade da segurança em locais com grande rotatividade e volume de pessoas, que 57% facilita a ocorrência de fraudes.
Devemos destacar também a importância da criptografia no tráfego de dados.