Горан Ангелов, IBS Bulgaria за 3eNews и Dir.bg: Нови правила на ЕС вземат мерки срещу зачестилите измами с подмяна на IBAN
Борбата с измамите е непрекъснат процес, който не може да се повлияе изцяло нито чрез законодателни мерки, нито чрез развитие на технологиите за защита, ключът винаги ще е в хората.
Една от промените в европейската платежна директива е продиктувана от зачестилите измами с подмяна на IBAN на сметката, които притесняват цялата индустрия на плащанията. Затова разговаряме с Горан Ангелов, основател и управител на IBS България, една от водещите компании в страната с фокус върху финансовата индустрия, аналитикс решенията и системната интеграция, изкуствен интелект, Fintech и Regtech решения, борбата с измамите и финансовите престъпления. Трябва да отбележим, че по отношение на възстановяване на суми при измама такова няма да бъде позволено в случаи на „груба небрежност“ от страна на жертвата. Това ще се случи включително, ако е жертва повече от веднъж на един и същ вид измама, а „измамата“ ще трябва да бъде убедителна например копиране на точния имейл адрес на банката или телефонен номер, коментира той.
Борбата с измамите е непрекъснат процес, който не може да се повлияе изцяло нито чрез законодателни мерки, нито чрез развитие на технологиите за защита, ключът винаги ще е в хората, коментира той.
Днес тенденцията е да се събират максимално много данни, а това предполага и задължителното включване на Machine Learning/ Artificial Intelligence (ML/AI) модели за тяхната обработка. Предизвикателствата пред индустрията за разплащания са сериозни, защото скорирането на всяка транзакция трябва да е в рамките на милисекунди, което предполага и съответната технология и инфраструктура. Цялостното преразглеждане на законодателство има за цел да предложи на потребителите по-голям избор от доставчици на платежни услуги на пазара на ЕС и да води към подобряване на клиентското изживяване, допълни Ангелов.
Ангелов има над 25-годишен опит в информационните и комуникационните технологии, както и в осъществяването на редица успешно реализирани ИТ проекти за бизнеса и публичния сектор. IBS е първата българска компания, призната от IBM за Platinum Business Partner и една от малкото компании в региона. Той е сред ключовите лектори на шестото издание на конференцията за сигурни и достъпни дигитални плащания DIGI PAY, което ще се проведе на 5 октомври в Интер Експо Център.
Г-н Ангелов, как новите регулации в измененията на директивата за плащанията PSD2, които бяха приети преди месец, променят правилата на играта в платежната индустрия и какво означават промените за пазар като България?
Все още няма приети изменения, а сме на етап предложения. Този процес се очаква да приключи през 2025 и промените да са ефективни от 2026 година. Предложенията са в посока еволюция на PSD2 и финансовите институции не е необходимо да правят значителни промени. Редно е платежните институции да следят процеса и да се подготвят в основните направления, но не се очаква да правят значителни инвестиции на този етап.
Какви промени са необходими в нашето законодателство, за да транспонираме директивата, има ли подводни камъни?
PSD2 се разделя на PSR (Payment Services Regulation) и PSD3 (Payment Services Directive).
PSD3 ще се фокусира само върху аспектите на лицензирането на финансовите институции и ще включи и директивата за електронни пари. Така се опростява законодателството и се изравняват изискванията към отделните играчи в платежната индустрия. Всяко дружество задължително ще трябва да се лицензира отново по новия режим, с което се изравняват условията за старите и новите играчи на пазара. За да се случи това, трябва да се направят и съответните корекции в националното законодателство.
PSR е регламент. Регламентите са обвързващи законодателни актове. Те трябва да се прилагат в своята цялост във всички страни от ЕС. В него ще се трансформира останалата част на PSD2, извън режима за лицензирането. Той се приема директно от страните членки и няма необходимост от транспонирането му в локалните законодателства. В този аспект това също е опростяване на процеса, а и задължителното прилагане ще е еднакво за всички в ЕС.
Какви промени да очакваме от промяната в директивата?
Общата оценка на PSD2 е, че съществува неравномерно прилагане на правилата. Една от основните цели на PSD2 беше да осигури равни условия между настоящите и новите доставчици на картови, интернет и мобилни плащания. Но все още има неравнопоставени условия между тези два вида доставчици. Например доставчиците на услуги за информация за сметки (AISP) и доставчиците на услуги за иницииране на плащане (PISP) все още срещат пречки при получаване на достъп до данни от банките. Това възпрепятства развитието на „отвореното банкиране“, процесът, чрез който AISP и PISP предоставят услуги с добавена стойност.
За укрепване на позицията на платежните институции спрямо банките Комисията предлага четири нови мерки.
Първо, платежните институции ще получат възможността да държат средства в централната банка, за да защитят средствата на потребителите.
Второ, платежните институции ще бъдат включени в Директивата за окончателност на сетълмента, което ще им позволи да станат участници в тези системи, досега само банките имаха това право.
Трето, PSR гласи, че кредитните институции могат да откажат да открият или могат да закрият платежна сметка само за платежни институции, техни агенти или дистрибутори или кандидати за заявление за лиценз само в изключителни случаи, когато има сериозни основания за отказ на достъп. Такова основание е подозрение за незаконни дейности и борба с прането на пари.
Накрая, операторите на платежни системи трябва да предоставят директен достъп на платежните институции до всички платежни системи. Те могат да възпрепятстват достъпа само когато това е необходимо за защита на специфичен риск (като оперативен, кредитен или бизнес риск). Следователно от операторите на платежни системи ще се изисква да разполагат с обективни, недискриминационни, прозрачни и пропорционални правила за достъп до платежна система от страна на оторизирани или регистрирани доставчици на платежни услуги.
Посочените мерки ще реформират драстично пазара на плащанията. Към момента само банките имат достъп до структурата за сетълмент на плащания, което принуждава лицензираните платежни институции да разчитат изцяло на банковите партньори за обработка на техните плащания. Цялостното преразглеждане има за цел да предложи на потребителите по-голям избор от доставчици на платежни услуги на пазара на ЕС и да води към подобряване на клиентското изживяване.
Какви промени за борба с измамите се предвиждат допълнително с новото законодателство?
Промените предвиждат и въвеждането на множество допълнителни мерки за борба с измамите. Това са:
· Разширение за всички кредитни преводи на услугите за проверка на IBAN/име, които бяха въведени за незабавните плащания в евро. Всички потребители трябва да се възползват от тях както за редовни, така и за незабавни кредитни преводи;
· Правно основание за доставчиците на услуги да споделят помежду си информация, свързана с измама, при пълно спазване на GDPR чрез специализирани платформи;
· Засилване на мониторинга на транзакциите;
· Задължение на доставчиците на услуги да извършват образователни действия за повишаване на осведомеността за измами с плащания сред своите клиенти и персонал;
· Разширяване на правата за възстановяване на средства на потребителите в определени ситуации.
Трябва да отбележим, че по отношение на възстановяване на суми при измама такова няма да бъде позволено в случаи на „груба небрежност“ от страна на жертвата. Това ще се случи включително, ако е жертва повече от веднъж на един и същ вид измама, а „измамата“ ще трябва да бъде убедителна например копиране на точния имейл адрес на банката или телефонен номер.
Как ще работи новата услуга за проверка на IBAN/име?
За да се постигне съгласувана рамка за всички кредитни преводи, новото предложение ще разшири тази услуга за всички кредитни преводи в ЕС. Тази услуга ще трябва да се предоставя безплатно на потребителите. От PSP на получателя ще се изисква, по искане на PSP на платеца, да провери дали уникалният идентификатор (IBAN номер) и името на получателя, предоставени от платеца, съвпадат. Когато те не съвпадат, PSP на платеца ще бъде длъжен да уведоми платеца за всяко такова несъответствие, преди платецът да финализира платежното нареждане. Платецът остава свободен да реши дали да разреши кредитен превод, когато е открито несъответствие и е уведомен.
Тази мярка е продиктувана от зачестилите измами с подмяна на IBAN на сметката, които притесняват цялата индустрия на плащанията. След уведомлението за съответствие или несъответствие платецът носи отговорност за изпълнението на превода.
Фокус в работата на IBS Bulgaria е предотвратяването на измами, а постоянно чуваме за ръст на измамите, но увеличава ли се делът на засечените и предотвратени атаки?
Измамите са съпътствали винаги платежната индустрия. Това, което се променя са методите на атаки, които отговарят на новите начини, по които ние банкираме и се разплащаме. Броят на транзакциите се увеличава драстично по дигиталните и картовите канали, а това води и до по-висок брой измами при тях. Съотношението в проценти вероятно се запазва, но със сигурност обемът в парично изражение и броя на измамените клиенти нараства драстично.
Цялата индустрия се бори непрекъснато с тези заплахи и никак не са случайни и предложенията за засилване на мерките за борба с транзакционните измами от страна на регулатора.
С какви нови методи противодейства финансовата индустрия и бизнеса на новите методи за измами?
Мерки като тези за съответствие на IBAN и титуляр на сметката увеличават сигурността на системата като цяло. В индивидуален план всяка платежна институция е задължена да осигури строг мониторинг на транзакциите и да търси непрекъснато подобрение на поведенческите модели на своите клиенти, за да открива аномалиите и да взема превантивни мерки.
В момента в индустрията се инвестира в две основни направления. Първото е да се осигури централизиран мониторинг над транзакциите по всички канали, за да може да се проследява цялостното поведение на клиента. Второто направление е да се засили контрола над дигиталните канали, като се събират данни за така наречената дигитална биометрия на клиента. Това включва множество индикатори като данни от всички устройства, инсталирани приложения, проверка за malware, мрежата, начин на боравене с устройството и други. Системите, които подпомагат тези мерки, ги допълват с много други индикатори, които събират глобално – дали устройството е ползвано за измама, дали клиентът не е жертва на фишинг атака и т.н.
Тенденцията е да се събират максимално много данни, а това предполага и задължителното включване на ML/AI модели за тяхната обработка.
Предизвикателствата са сериозни, защото скорирането на всяка транзакция трябва да е в рамките на милисекунди, което предполага и съответната технология и инфраструктура.
Къде най-често се къса нишката на сигурността, на ниво защита на данните, платежни трансакции и може ли да се проследи пътят на парите?
Нишката се къса в най-слабото звено на веригата, което обикновено е човешкият фактор. Днешните измами с транзакциите са често резултат на добре замислени хибридни атаки, които включват техники за събиране на данни, задълбочено проучване на жертвата и процесите на платежните институции, социално инженерство и кибер престъпления.
Поради естеството на работа на платежните институции, конфиденциалност на информацията и други особености на индустрията, проследяването на пътя на парите изисква сериозни ресурси, с които платежните институции не разполагат. Тук се намесват правоохранителните органи. Платежните институции трябва да се фокусират върху надлежен мониторинг, защитата на данните и превенцията на измамите.
Може ли да кажем, че най-често се стига в края на веригата до ситуации с пране на пари?
Това можем да го кажем за всички средства, които са придобити по престъпен начин, а не само за измамите с банкови транзакции. В крайна сметка парите са средство за придобиване на блага, а за тази цел е необходимо да могат да се влеят в официалните канали.
Какви законодателни мерки са необходими в тази посока и какво трябва да се промени?
Сложно ми е да отговоря на този въпрос. Трябва да се търсят варианти за по-задълбочено меджуинституционално сътрудничество и то на международно ниво. Да се търсят методи за обмен на ключова информация, без да се нарушава конфиденционалността. Виждаме, че регулаторите работят в тези насоки.
Трябва да отчетем факта, че какъвто и контрол да се наложи над системата, измамите няма да спрат. Във всяка система има слаби звена и винаги може да се намерят начини да бъде компрометирана. Ето защо борбата с измамите е непрекъснат процес, който не може да се повлияе изцяло нито чрез законодателни мерки, нито чрез развитие на технологиите за защита. Ключът винаги ще е в хората, които са заети да защитават индустрията и да се борят с измамите.
Какви резултати може да споделите година след започването работата на Антифрод Центъра (Anti-Fraud Center), създаден заедно с БОРИКА и представен за първи път на конференцията DIGI PAY?
Работата на колегите от БОРИКА в момента е фокусирана върху миграция на клиентите към модернизирана платформа за мониторинг на транзакциите, която изградихме. Успоредно работим по развитие и подобряването на превенцията на измамите.
Може би по-важното е рестартирането през тази година на Анти-фрод форума под егидата на БОРИКА, който цели да обедини в една общност всички институции и професионалисти в областта. Борбата с измамите не бива да е самотна работа. Само чрез обмяна на опит и експертиза е възможно да се противодейства ефективно. Както казах вече – ключът е в хората. Надявам се, че тази професионална общност ще се развие и ще допринесе за подобряването на сигурността на всички клиенти в България.
Фокус на събитието DIGI PAY са отвореното банкиране, защита на данните и предотвратяването на измами? Кои важни теми ще засегнете Вие тази година?
Ние можем да споделим опита си и в отвореното банкиране и в превенцията на измами. Това са две направления, в които работим непрекъснато от години и съм сигурен, че има с какво да допринесем. Вероятно ще се обсъждат и предстоящите изменения в PSD2, които вече коментирахме по-горе, а те пряко засягат и фокус темите на събитието.