Fraud yönetimi, müşteri hesaplarından yapılabilecek olası sahtekarlıkların tespiti amacıyla kullanılan ve müşteri hesaplarından yapılacak işlemlerde gerekli durumlarda ek güvenlik sağlaması nedeniyle bankaların önem verdiği konuların başında gelir.
Fraud yönetimi temel olarak Başvuru Fraud ve Transaction Fraud olmak üzere 2’ye ayrılır. Bu yazıda Transaction Frauddan bahsedeceğim.
Peki bankalar transaction fraud yönetimini nasıl yapmaktadır?
Öncelikle bankalar geçmişte yaşanan ve ilerleyen dönemlerde yaşanması muhtemel fraud vakalarını belirler. Her bir vaka için ayrı ayrı senaryolar tanımlar.
Tanımlanan senaryolara uygun işlemlerin yakalanması durumunda alınacak aksiyonlar da fraud uygulamasında tanımlanır. Kısaca senaryo tanımı, Senaryo Koşulları ve Aksiyonlar olarak 2’ye ayrılabilir. Senaryo koşul tanımında belirlenen kritere uyan işlemler yakalanır, aksiyon tanımında ilgili koşula uyan işlemle ilgili alınacak aksiyon belirlenir.
Örneğin; Kriterleri aşağıdaki gibi belirlenmiş bir senaryoda;
- Havale işlemlerinde
- İşlem tutarı 10.000 TL ve üzerinde ise,
- Paranın gönderileceği hesaba ilgili hesaptan ilk defa havale yapılıyorsa,
- Müşteriye SMS gönder.
- Sms doğru ise işlemi gerçekleştir.
- Sms yanlış ise işlemi Engelle” şeklinde yazılmış bir senaryo düşünelim.
- Müşteriye SMS gönder.
- 9999 TLye kadar yapılan tüm havale işlemlerinde senaryo kurallarına takılmadığı için SMS gönderilmez.
- Ya da başka bir senaryo tanımlı değilse 10.000 TL ve üzeri EFT işlemlerinde de (Havale olmadığı için) SMS gönderilmez.
Aşağıdaki gibi tanımlanan Müşterinin ATM üzerinden yapılan Para Çekme işlem senaryosunda;
- 1.000 TL ve üzeri Para Çekme işlemlerinde
- 18:00-09:00 saatleri arasında,
- Eğer o ATMde o kartla yapılan ilk işlemse
- Doğum Tarihinin son 2 hanesini Sor.
- Doğum tarihi Doğru girilmiş ise işleme Devam Et
- Doğum tarihi Yanlış girilmiş ise işlemi Engelle” şeklinde yazılmış bir senaryo düşünelim.
- 09:01-17:59 arası yapılan Para Çekme işlemleri
- 1000 TL altında yapılan işlemler
- Müşteri ilgili ATMde daha önce başarılı Para Çekme işlemi yapmışsa müşteriye doğum tarihi sorulmaz, diğer durumlarda doğum tarihi sorulur.
Yukarıdaki bahsettiğim senaryolar real time dediğimiz işlem yapılmadan önce yapılan fraud kontrollerini içermektedir.
Peki transaction fraud yönetimi sadece işlemden önce mi yapılır? İşlemden sonra yapılmaz mı?
İşlemler gerçekleştikten hemen sonra da fraud yönetimi yapılabilir. Buna da Near Real time fraud yönetimi denir.
Near real time fraud yönetimi de tıpkı real time fraud yönetimi gibi senaryolarla yönetilmektedir. Senaryoların sonunda alınacak aksiyonlar burada da yer almaktadır.
Örneğin; aşağıdaki gibi yazılan bir senaryoda;
- Aynı kart ile 5 dakika içinde farklı ülkeler üzerinden yapılan,
- 3. provizyon işleminden sonra
- Kartı geçici olarak kapat ve
- Müşteriyi otomatik ara.” şeklinde tanımlanan bir senaryo düşünelim.
Aynı kartın farklı ülke lokasyonundan aynı zaman dilimi içinde gerçekleşmesi çok olası bir durum olmadığı için kart kontrol amaçlı geçici olarak kapatılarak sonraki işlemlerin gerçekleşmesi engellenmiş olur. Müşteri otomatik aranarak, ya müşterinin işlemi yaptığına dair işlem teyidi sağlanır ya da müşteri işlemlerin kendisi tarafından yapılmadığını ifade eder. İşlemler müşteri tarafından gerçekleşmişse kart açık duruma getirilir. Müşteri tarafından gerçekleşmemişse müşteri onayıyla kart tamamen kapatılır. Müşteri yeni kart talep ederse kart farklı bir kart numarası ile müşteriye tekrar basılır.
Yukarıda birkaç kez söylenen “İlk Defa yapılıyorsa” kontrolü nasıl yapılıyor?
Bu kontrol de istatistik yönetimi olarak ifade edilir. Örneğin; bir kartın bir ATMden yaptığı Para Çekme işleminin bir tabloda tutulacağına dair istatistik tanımı yapılır. Yapılan tanım sonrasında ilgili istatistik tablosunda veriler birikmeye başlar. Her istatistik tanımını ayrı bir tablo gibi düşünebilirsiniz. İlgili kartın ilgili ATMden işlem yapılıp yapılmadığına dair yapılan bir istatistik tanımı için Kart numarası ve Atm numarasından oluşan 2 sütunlu bir veri tutulması yeterlidir. İstatistik tabloları günlük olarak güncellenir.
İstatistik çalıştırılacak senaryolar için ayrıca istatistik tanımının yapılmış olması, senaryo tanımından önce istatistik tanımının çalışıyor olması önemlidir.
Ödeme sistemleri işlemlerinde işlemlerin uçtan uca belirli bir süre içinde (genellikle 20 saniye)cevaplanması önemlidir. Fraud uygulaması da uçtan uca tamamlanma süresi içindeki bir adım olduğu için Fraud yönetiminde sadece fraud işlemlerin yakalanması önemli değildir. Aynı zamanda işlemlerde fraud kontrollerini yaparak işlemi en kısa zamanda cevaplamak da önemlidir. Bu nedenle Fraud sistemini yönetirken yapılan senaryo ve istatistik tanımlarının performansının çok iyi olması gerekmektedir.
Fraud Yönetiminin performansı, Bankacılık uygulamaları- Banka provizyon sistemi-Fraud sistemi arasındaki entagrasyonunun sağlam temeller üzerinde kurulması ile doğrudan ilgilidir. Bu nedenle bu tür sistemleri kurarken yukarıdaki belirtilen 3 yapının mevcut durumu ve birbirine etkilerinin net bir şekilde belirlenmesi fraud sisteminin performansında etkilidir.
Daha önce bulunduğum bir projede uçtan uca çalışan Fraud sistemini tüm yapıları göz önünde bulundurarak tasarlamıştık. Hem işlem performansı, hem kullacının yönetebileceği parametrik yapı, hem de kullanıcı memnuniyeti açısından çok başarılı bir proje yapmıştık. İlk haftada tüm proje maliyetletini karşılayacak bir fraud vakasının yakalanması da projenin ayrı bir ödülü olmuştu bizim için.
Kısaca belirtmek gerekirse, fraud bankalar için çok önemli olmakla beraber işlem performansı ve parametrik yönetimi de üst düzeyde tutulduğunda etkinliği ve kullanım performansı da memnuniyet verici düzeyde olmaktadır.