Nel suo libro Megatrends del 1982, John Naisbitt ha scritto: “Stiamo affogando nelle informazioni, ma siamo affamati di conoscenza“. Questa è una delle mie citazioni preferite, poiché trovo che rispecchi pienamente lo stato in cui viviamo oggi e si adatti anche a una descrizione sintetica di quello che sta accadendo a molti programmi aziendali di fraud and risk management, la maggior parte dei quali si trova ad affrontare un livello estremamente elevato di falsi positivi e a contrastare un forte “rumore di fondo” che ne riducono l’efficacia.
Per capire meglio questo concetto di “rumore” e il perché rappresenti un problema rilevante nella gestione delle frodi e dei rischi, dobbiamo comprendere che cosa comporta per i team operativi che lavorano sulle frodi.
Uno dei primi effetti riguarda i “cicli sprecati”, ovvero – per i team che gestiscono le frodi – doversi dedicare alla creazione di nuovi flussi di lavoro e la conseguente rivalutazione e riclassificazione di tutti gli eventi registrati. In questo caso, il rumore contribuisce non poco alla coda di elementi che rappresentano un lavoro extra ma non aggiungono nessun valore al programma di fraud and risk management.
Un ulteriore rischio è non riuscire a cogliere gli elementi veramente critici; il detto “trovare un ago in un pagliaio” si adatta perfettamente alla descrizione di cosa significhi cercare una frode nell’ampio volume di dati ed eventi che caratterizzano mediamente un’azienda. In questa analogia, l’ago rappresenta il vero positivo (l’incidente di frode), mentre il pagliaio è l’insieme di tutti i falsi positivi che non sono frodi.
Il rumore comporta anche un costo aggiuntivo delle infrastrutture perché ogni registro, alert o evento, indipendentemente dal fatto che aggiunga valore al programma di enterprise fraud and risk management, deve essere conservato. Pertanto, se il team sta raccogliendo una grande quantità di informazioni che aggiungono poco o nessun valore, sta semplicemente utilizzando un’infrastruttura in eccesso con un costo che sottrae budget alle aree in cui potrebbe generare molto più valore.
Infine, i falsi positivi hanno l’abitudine di distorcere le metriche. Alcuni parametri, in particolare quelli legati alla percentuale del tempo dedicato agli incidenti di frode reali o al rapporto tra veri e falsi positivi, al volume degli eventi registrati o gestiti, o al tempo che vi ha dedicato l’analista, saranno fortemente influenzati dal volume di questo rumore. Più basso è il tasso di falsi positivi, più accurate saranno le metriche.
Conoscere i principali motivi per cui i falsi positivi e il rumore influiscono negativamente sulla gestione delle frodi consente di immaginare un percorso che aiuti le aziende a dare solidità e concretezza al proprio programma aziendale.
Un primo passaggio, che riguarda tutti i percorsi di successo, è partire da una solida comprensione e consapevolezza del rischio, ovvero una attenta valutazione di quali sono i rischi e le minacce per l’azienda, di come si ripercuotono su di essa e dei potenziali costi (o perdite) associati a ciascuno di essi.
Una volta chiariti rischi e minacce, sarà necessario definire obiettivi e priorità, perché scegliere che cosa affrontare è di gran lunga una delle decisioni strategiche più importanti che un team antifrode e rischio può prendere. Questo significa assegnare la priorità a ciascun rischio o minaccia identificati nel passaggio precedente e stabilire obiettivi e priorità che verranno affrontati sia a breve che a lungo termine.
L’identificazione degli asset aziendali principali da tutelare – risorse critiche o strategiche, dati in possesso dell’azienda e altro – consentirà di comprendere pienamente il potenziale impatto di un incidente. Inoltre, sapere dove si trovano le risorse e i dati più sensibili e importanti consentirà al team di compiere il passaggio successivo, e concentrarsi su dove vi siano discrepanze nella telemetria.
È necessario comprendere come avvenga la raccolta di dati di telemetria esistente e valutare se ciascuna fonte di dati contribuisca al programma di fraud and risk management. Se non si compie questo passaggio, la raccolta dei dati aggiunge solo costi di infrastruttura senza generare valore. Identificare le lacune nella telemetria significa dare al team visibilità sulle potenziali frodi e consentirgli di sviluppare un piano per colmare tali mancanze.
La tecnologia esistente gioca un ruolo importante ed è necessario coglierne le eventuali lacune. Per farlo, bisogna comprendere dove il suo intervento risulti più utile, ad esempio per rilevare le frodi in modo affidabile con bassi volumi di falsi positivi o per raccogliere dati di telemetria preziosi o rendere più efficienti processi e flussi di lavoro. Tuttavia, bisognerà gettare un occhio anche alle aree dove risulta meno utile nel supportare il team antifrode, nonché dove esistono lacune nella telemetria e nel rilevamento.
Dal punto di vista della tecnologia, inoltre, è importante notare che le firme e le altre tecniche di detection generano un volume di rumore elevato e non aggiungono valore al programma antifrode. Può sembrare una scelta radicale, ma sono convinto che vi siano molti più vantaggi che svantaggi nell’eliminare questi rumorosi meccanismi che inondano i team di lavoro di falsi positivi e ostacolano il rilevamento tempestivo e accurato di incidenti di frode.
L’implementazione di tecniche di fraud detection rigorose comporta un approccio “less is more“, in cui si comprenda la necessità di interrogare in modo maggiormente incisivo i dati e produrre alert ed eventi altamente affidabili e sicuri. Infatti, sebbene l’implementazione di approcci più sofisticati per la detection richieda un investimento significativo in termini di tempo, si tratta di una scelta in grado di ripagarli.
Gli ultimi due aspetti sui quali a mio avviso è fondamentale concentrarsi sono l’affidabilità del processo (anche una coda di lavoro con la qualità più elevata al mondo non aiuta quando ci sono processi interrotti o inesistenti) e il miglioramento continuo. Nessun team antifrode, infatti, è perfetto e i migliori sono proprio quelli che possiedono una consapevolezza maggiore dei propri punti deboli e delle opportunità di miglioramento.
L’opinione comune che un numero sempre maggiore di dati, eventi e alert consentiranno un rilevamento sempre più accurato delle frodi è obsoleta e ormai classificabile come disinformazione.
Solo con un’attenzione strategica al rischio e un approccio metodico alla riduzione del rumore, le aziende potranno migliorare sia lo stato del rilevamento delle frodi che la maturità dei loro programmi, migliorando così la relazione tra segnale/rumore e, attraverso l’adozione dell’approccio “less is more”, sprecando sempre meno tempo e risorse per gestire i falsi positivi.
Di Joshua Goldfarb, EMEA Fraud Solutions Architect di F5
