Joshua Goldfarb, Emea Fraud Solutions Architect di F5: l’importanza di conoscere i motivi per cui falsi positivi e rumore influiscono negativamente sulla gestione delle frodi.
Nel suo libro Megatrends del 1982, John Naisbitt ha scritto: “Stiamo affogando nelle informazioni, ma siamo affamati di conoscenza”. Questa è una delle mie citazioni preferite, poiché trovo che rispecchi pienamente lo stato in cui viviamo oggi. Un’affermazione che si adatta anche a una descrizione sintetica di quello che sta accadendo a molti programmi aziendali di fraud and risk management. La maggior parte di essi affronta un livello estremamente elevato di falsi positivi e a contrastare un forte “rumore di fondo” che ne riducono l’efficacia.
Il problema “rumore” nella gestione delle frodi
Per capire meglio questo concetto di “rumore” e il perché rappresenti un problema rilevante nella gestione delle frodi e dei rischi, dobbiamo comprendere che cosa comporta per i team operativi che lavorano sulle frodi. Uno dei primi effettiriguarda i “cicli sprecati”. Ovvero – per i team che gestiscono le frodi – doversi dedicare alla creazione di nuovi flussi di lavoro e la conseguente rivalutazione e riclassificazione di tutti gli eventi registrati.
La gestione delle frodi
In questo caso, il rumore contribuisce non poco alla coda di elementi che rappresentano un lavoro extra. Ma non aggiungono nessun valore al programma di fraud and risk management. Un ulteriore rischio è non riuscire a cogliere gli elementi veramente critici. Il detto “trovare un ago in un pagliaio” si adatta alla descrizione di cosa significhi cercare una frode nell’ampio volume di dati ed eventi che caratterizzano mediamente un’azienda. In questa analogia, l’ago rappresenta il vero positivo (l’incidente di frode), mentre il pagliaio è l’insieme di tutti i falsi positivi che non sono frodi.
I falsi positivi distorcono le metriche
Il rumore comporta anche un costo aggiuntivo delle infrastrutture. Infatti ogni registro, alert o evento, indipendentemente dal fatto che aggiunga valore al programma di enterprise fraud and risk management, deve essere conservato. Pertanto, se il team sta raccogliendo una grande quantità di informazioni che aggiungono poco o nessun valore, sta semplicemente utilizzando un’infrastruttura in eccesso. Un costo che sottrae budget alle aree in cui potrebbe generare molto più valore.
La gestione delle frodi e la riduzione dei falsi positivi
Infine, i falsi positivi hanno l’abitudine di distorcere le metriche. Alcuni parametri, in particolare quelli legati alla percentuale del tempo dedicato agli incidenti di frode reali o al rapporto tra veri e falsi positivi, al volume degli eventi registrati o gestiti, o al tempo che vi ha dedicato l’analista, saranno fortemente influenzati dal volume di questo rumore. Più basso è il tasso di falsi positivi, più accurate saranno le metriche. Conoscere i principali motivi per cui i falsi positivi e il rumore influiscono negativamente sulla gestione delle frodi consente di immaginare un percorso che aiuti le aziende a dare solidità e concretezza al proprio programma.
Comprensione e consapevolezza
Un primo passaggio, che riguarda tutti i percorsi di successo, è partire da una solida comprensione e consapevolezza del rischio. In altre parole un’attenta valutazione di quali sono i rischi e le minacce per l’azienda, di come si ripercuotono su di essa, dei potenziali costi (o perdite) associati a ciascuno di essi. Una volta chiariti rischi e minacce, sarà necessario definire obiettivi e priorità. Infatti scegliere che cosa affrontare è di gran lunga una delle decisioni strategiche più importanti che un team antifrode e rischio può prendere. Questo significa assegnare la priorità a ciascun rischio o minaccia identificati nel passaggio precedente. E inoltre stabilire obiettivi e priorità che verranno affrontati sia a breve che a lungo termine.
Visibilità sulle potenziali frodi
L’identificazione degli asset aziendali principali da tutelare – risorse critiche o strategiche, dati in possesso dell’azienda e altro – consentirà di comprendere il potenziale impatto di un incidente. Inoltre, sapere dove si trovano risorse e dati più sensibili e importanti consentirà al team di compiere il passaggio successivo, e concentrarsi su dove vi siano discrepanze nella telemetria.
Raccogliere i dati
È necessario comprendere come avvenga la raccolta di dati di telemetria esistente e valutare se ciascuna fonte di dati contribuisca al programma di fraud and risk management. Se non si compie questo passaggio, la raccolta dei dati aggiunge solo costi di infrastruttura senza generare valore. Identificare le lacune nella telemetria significa dare al team visibilità sulle potenziali frodi e consentirgli di sviluppare un piano per colmare tali mancanze.
Rilevamento di incidenti di frode
La tecnologia esistente gioca un ruolo importante ed è necessario coglierne le eventuali lacune. Per farlo, bisogna comprendere dove il suo intervento risulti più utile. Ad esempio per rilevare le frodi in modo affidabile con bassi volumi di falsi positivi. Oppure per raccogliere dati di telemetria preziosi o rendere più efficienti processi e flussi di lavoro. Tuttavia, bisognerà gettare un occhio anche alle aree dove risulta meno utile nel supportare il team antifrode, nonché dove esistono lacune nella telemetria e nel rilevamento.
Il parere di F5 sulla gestione delle frodi
Dal punto di vista della tecnologia, inoltre, è importante notare che le firme e le altre tecniche di detection generano un volume di rumore elevato e non aggiungono valore al programma antifrode. Può sembrare una scelta radicale. Tuttavia sono convinto che vi siano molti più vantaggi che svantaggi nell’eliminare questi rumorosi meccanismi che inondano i team di lavoro di falsi positivi. Meccanismi che ostacolano anche il rilevamento tempestivo e accurato di incidenti di frode.
Cos’è il fraud detection
L’implementazione di tecniche di fraud detection rigorose comporta un approccio “less is more”. Un approccio in cui si comprenda la necessità di interrogare in modo maggiormente incisivo i dati e produrre alert ed eventi altamente affidabili e sicuri. Infatti, sebbene l’implementazione di approcci più sofisticati per la detection richieda un investimento significativo in termini di tempo, si tratta di una scelta in grado di ripagarli.
Gli ultimi due aspetti sui quali a mio avviso è fondamentale concentrarsi sono l’affidabilità del processo (anche una coda di lavoro con la qualità più elevata al mondo non aiuta quando ci sono processi interrotti o inesistenti) e il miglioramento continuo. Nessun team antifrode, infatti, è Perfetto. I migliori sono proprio quelli che possiedono una consapevolezza maggiore dei propri punti deboli e delle opportunità di miglioramento.
Meno tempo e risorse per gestire i falsi positivi
L’opinione comune che un numero sempre maggiore di dati, eventi e alert consentiranno un rilevamento sempre più accurato delle frodi è obsoleta e classificabile come disinformazione. Solo con un’attenzione strategica al rischio e un approccio metodico alla riduzione del rumore, le aziende potranno migliorare sia lo stato del rilevamento delle frodi che la maturità dei loro programmi. Questo migliorerà la relazione tra segnale/rumore e, attraverso l’adozione dell’approccio “less is more”, sprecherà sempre meno tempo e risorse per gestire i falsi positivi.
