Pagamentos instantâneos e irrevogáveis exigem uma reinicialização na prevenção de fraudes

Quando um comprador é enganado a fazer uma compra fraudulenta, ele espera recorrer ao seu provedor de serviços financeiros. Essas barreiras de proteção são uma das razões pelas quais os cartões de crédito se tornaram predominantes nos EUA — não apenas os consumidores podem contestar cobranças após o fato, mas muitos emissores alertam proativamente os usuários quando atividades suspeitas ocorrem.

Proteções semelhantes existem para pagamentos ACH, mas elas dependem em grande parte do atraso entre a iniciação do pagamento e a liquidação. Com pagamentos em tempo real, como os facilitados pelo FedNow e a rede RTP, esse buffer desaparece.

À medida que ambos os sistemas ganham força, especialmente em casos de uso B2B, as estratégias de prevenção de fraudes devem evoluir para lidar com pagamentos que são instantâneos e irreversíveis.

Em um podcast recente do PaymentsJournal, Darren Beyer, Diretor de Produto na Qolo, e Suzanne Sando, Analista Líder de Gestão de Fraudes na Javelin Strategy & Research, discutiram como a convergência de pagamentos mais rápidos e fraudes cada vez mais sofisticadas está impulsionando uma reformulação completa da arquitetura de prevenção de fraudes. Isso também colocou uma responsabilidade exigente sobre as instituições financeiras de implementar controles de risco altamente precisos, preservando a experiência do cliente.

A Janela Está Se Fechando

À medida que pagamentos mais rápidos eliminam a rede de segurança tradicional em torno das transações, as instituições precisam transferir a detecção de fraudes para estágios mais iniciais do processo de pagamento. No passado, as organizações se beneficiavam de períodos de revisão estendidos, durante os quais os fundos poderiam ser revertidos, se necessário. Essa capacidade está rapidamente se tornando coisa do passado.

“No mundo dos pagamentos instantâneos, especificamente em torno do RTP e do FedNow, você tem um movimento e liquidação de dinheiro instantâneos. E é aí que está o problema, porque não há mais tempo para puxar essas coisas de volta,” disse Beyer. “Não há uma janela onde você possa dizer, ‘Eu realmente não quis enviá-lo’ ou ‘Fiz um erro de digitação neste número de conta específico’.”

“Com isso desaparecendo, fica menos oportunidade para as pessoas que enviam pagamentos corrigirem problemas, e isso abre a janela para fraudadores,” ele afirmou.

Nesse ambiente, equilibrar uma forte prevenção de fraudes com uma experiência de cliente fluida é difícil, especialmente considerando as altas expectativas moldadas por transações com cartão e ACH.

Esses desafios estão acelerando a necessidade de decisões em tempo real, onde as empresas analisam múltiplos pontos de dados para avaliar o risco do pagamento antes de processar. No entanto, alcançar alta precisão nas decisões provavelmente exigirá a introdução de algum nível de atrito. Embora isso possa parecer novo no contexto de pagamentos em tempo real, métodos como autenticação multifator já são familiares tanto para bancos quanto para clientes.

“Toda vez que faço login no YouTube, recebo um código de uso único de seis dígitos,” disse Beyer. “Se tenho que fazer isso no YouTube, por que minha instituição financeira não me faz fazer o mesmo? Eles fazem quando faço login, mas se estou fazendo um pagamento grande, não deveria acontecer a mesma coisa? O ‘atrito’ de obter um código de uso único vale os dois ou três segundos extras que leva para colocá-lo no site? Acho que sim.”

O desafio está em aplicar a quantidade certa de atrito em um modelo de pagamentos emergente. É aqui que a autenticação reforçada desempenha um papel fundamental. Ela permite que as instituições ajustem os controles, possibilitando que pagamentos de baixo risco prossigam suavemente, enquanto transações de maior risco passam por uma fiscalização mais rigorosa.

Mesmo assim, introduzir qualquer atrito na jornada do cliente pode gerar preocupações para as instituições financeiras.

“Houve uma suposição de que segurança forte arruinaria a experiência do cliente, mas a Javelin descobriu que uma boa segurança pode melhorar a confiança e a adoção de certos canais e métodos de pagamento e novas tecnologias,” disse Sando. “Consumidores e empresas querem saber que suas contas e seu dinheiro estão protegidos e que podem confiar na instituição e nas organizações com as quais escolhem fazer negócios.”

A Ampliação da Lacuna Tecnológica

Implementar salvaguardas que permaneçam invisíveis para usuários legítimos, mas altamente eficazes contra atores mal-intencionados, não é tarefa fácil, mas as ferramentas para otimizar esse equilíbrio estão melhorando rapidamente.

A inteligência artificial tem sido fundamental no avanço dessas capacidades, assim como em quase todos os setores. No entanto, muitas instituições financeiras têm ficado para trás na adoção dessas tecnologias.

“Este é um cenário onde a mudança na indústria é tão rápida, mas os players tradicionais — processadores e bancos que operam sob um ambiente regulatório e sob restrições de acesso ao dinheiro — têm todas essas limitações,” disse Beyer. “Fraudadores não têm, e podem começar a usar todas essas novas ferramentas de IA.”

“Sempre houve uma lacuna,” ele afirmou. “Fraudadores sempre estiveram à frente das instituições financeiras e dos processadores, e a razão disso é que eles são mais ágeis; conseguem fazer as coisas mais rapidamente. Se essa lacuna não existisse, não haveria fraude.”

Infelizmente, essa lacuna não só persiste, como está se ampliando. Avanços rápidos em IA generativa e o surgimento de agentes de IA permitiram que cibercriminosos escalem tanto a velocidade quanto o escopo de seus ataques.

“Atuantes mal-intencionados podem adotar essas tecnologias rapidamente, e são incrivelmente criativos. Não quero dar a eles aplausos por isso, mas eles são extremamente inventivos na forma como assumem riscos ao usar novas tecnologias,” disse Sando. “É difícil para as instituições financeiras acompanharem a adoção de qualquer inovação.”

“Não é surpresa que a IA seja um problema para manipulação criminosa,” ela afirmou. “Mas também sabemos que ela é um grande ativo para os serviços financeiros, que podem fazer ótimo uso dela na automação de certos aspectos da experiência do cliente. Ou até na experiência dos funcionários, para tarefas que antes eram manuais, como revisão de transações ou investigações de fraudes.”

Fortalecendo o Sistema

A IA rapidamente se tornou central nas defesas modernas contra fraudes, dada sua capacidade de detectar anomalias em grandes conjuntos de dados. No entanto, o crescimento dos pagamentos em tempo real está impulsionando a demanda por infraestrutura inteligente que possa atuar como uma camada de autenticação dentro do fluxo de pagamento.

Isso é especialmente crítico em ambientes comerciais, onde controles excessivamente restritivos podem levar a recusas ou atrasos falsos — problemas que podem rapidamente escalar para danos operacionais e de reputação graves.

Em última análise, pagamentos mais rápidos não apenas impulsionam a necessidade de tecnologia melhor, mas também forçam as instituições financeiras a repensar toda a sua abordagem à prevenção de fraudes.

“As organizações que estão tendo sucesso com pagamentos instantâneos serão aquelas que conseguem tomar decisões de risco tão rapidamente quanto o dinheiro está se movendo nesse ambiente em tempo real,” disse Sando. “A detecção de fraudes não é mais uma função de back-office que acontece no background sem conhecimento real disso. Você precisa destacar a detecção de fraudes porque ela agora é uma peça crítica da experiência de pagamento.”

Essa mudança de mentalidade é essencial. A ameaça de fraude não desaparece, mas as instituições podem aproveitar uma constante: a busca por dinheiro fácil muitas vezes leva criminosos ao caminho de menor resistência.

“Fraudadores sempre vão encontrar uma maneira, mas eles são fundamentalmente iguais a qualquer outro negócio,” disse Beyer. “Eles têm um retorno sobre investimento, seu tempo é valioso, e vão para onde podem aproveitar ao máximo seu tempo. Se seu banco ou processador for mais difícil de acessar do que o banco ou processador do seu vizinho, eles vão procurar seu vizinho.”

“Faça sua fortaleza, sua muralha, seu portão de castelo — toda a armadura ao redor do seu sistema. Faça isso melhor do que sua concorrência, e eles vão procurar sua concorrência,” ele afirmou. “Você nunca vai ter um sistema 100% à prova de fraudes. Fraudadores sempre estarão à frente, mas se você se tornar melhor do que as pessoas ao seu redor, então você não será o alvo, eles serão.”