Blog | Incognia

Troca de dispositivo: desafios para fintechs, dor de cabeça para usuários

Written by Eduardo Pires | 30/mar/2021 19:28:08

Trocar de celular faz parte da vida das pessoas, especialmente no Brasil, país em que estar conectado à internet é sinônimo de smartphone, já que mais de 98% dos brasileiros acessam a internet pelo celular. Com o acesso cada vez mais fácil ao crédito e o parcelamento em suaves prestações, modalidade de compra utilizada por pelo menos metade da população brasileira, não faltam incentivos para a população fazer um upgrade no celular. No entanto, a troca do celular apresenta um desafio para instituições financeiras com aplicativos mobile: a autenticação dos novos logins, separando os bons usuários trocando de dispositivo de fraudadores, tentando roubar contas com dispositivos novos. Como fazer essa distinção?

O crescimento da economia digital, que facilitou pedidos de delivery, transporte particular e acesso à serviços financeiros trouxe consigo a atenção de pessoas má intencionadas. Fraudadores estão dia e noite procurando por novas brechas e usando estratégias cada vez mais sofisticadas de engenharia social para invadir contas e roubar os usuários dessa nova economia. Em meio a este cenário, a simples compra do smartphone dos sonhos e a instalação dos aplicativos essenciais traz de brinde um grande desafio para bancos e fintechs: validar que o acesso do novo dispositivo está sendo feito, de fato, pela mesma pessoa do dispositivo antigo.

Obstáculos para os bons usuários

Para as empresas, separar o bom usuário do fraudador tem sido cada vez mais difícil. Nomes de usuário e senhas não são mais suficientes para a validação de identidade dos usuários, e o momento de fazer o primeiro login de um novo dispositivo deixa isso muito claro: são intermináveis passos e barreiras para conseguir acessar sua própria conta na forma de múltiplos fatores de autenticação, como tokens por SMS ou email, por exemplo.  Os usuários também estão se acostumando com novidades como biometria facial, ou as famosas selfies, que tornam impossível de conciliar com um mundo que demanda por mais privacidade, conforme descrito nesta análise.

Falamos com frequência disso: Fricção para bons usuários pode custar mais caro do que fraudes. Para 79% das plataformas digitais de pagamentos nos EUA, as perdas com falso positivo, ou seja, bons usuários erroneamente identificados como fraudadores, são muito superiores às perdas com fraude, segundo a PYMNTS.

Não trate seu usuário como um criminoso

Garantir taxas controladas de fraude e a segurança de contas tem cobrado um preço alto: a experiência do usuário - reconhecidamente um ponto crucial para o sucesso dos aplicativos dessa nova economia. Os modelos e formas de autenticação atuais estão falidos e mais parecem querer impedir que um usuário logue de um novo dispositivo. É fato que a troca de um dispositivo que acessa uma conta merece um cuidado especial. É nesse momento que uma falta de verificação vai culminar em uma conta invadida. Hoje é comum impor a todos os usuários que trocam de dispositivo uma série de verificações - tokens, verificação de email e por aí vai. 

A boa notícia é que descobrimos formas de autenticar a legitimidade de uma troca de dispositivo sem impor fricção ao bom usuário na grande maioria dos casos. Dois exemplos de comportamentos comuns de usuários mobile que podem ajudar a identificar usuários legítimos, são que 90% dos logins acontecem de localizações comuns em sua rotina, como sua casa, a casa de familiares ou no trabalho. Ainda, 95% das transações sensíveis acontecem neste tipo de localização. Outro dado chama bastante a atenção: em um cliente de Incognia foi identificado que apenas 0,5% das tentativas de trocas de dispositivo resultaram em uma fraude de roubo de conta, ou seja, na maior parte das vezes são de fato usuários legítimos de fato trocando de celular. 

A conclusão: as 90% das trocas de dispositivo não precisam pagar o pato por causa dos 0,5% mal intencionados.

Portanto, fraudadores, que não podem estar com um dispositivo fisicamente nestes locais, não conseguem se passar por um usuário legítimo quando analisados sob a ótica da tecnologia de biometria comportamental por localização. A fricção sendo imposta apenas para situações extremas, quando o comportamento de localização não é suficiente para fazer aquela autenticação, barra as fraudes e não incomoda o usuário legítimo.

Essa pequena parcela de fraudadores, unido às técnicas de prevenção à fraude ultrapassadas faz com que a maioria dos usuários tenham a experiência comprometida, e sejam tratados pelas instituições como criminosos. Diferentemente do campo jurídico, em que há presunção de inocência quando um cidadão é acusado de um crime, os usuários que trocam de celular precisam provar que não são criminosos. Isso não deveria ser a maneira padrão da indústria de tratar seus clientes, e até pouco tempo atrás, profissionais de segurança tinham poucas saídas para interromper essa situação.

Quando o comportamento do usuário legítimo é usado para identificá-lo, é possível deixá-lo passar com facilidade, e impor fricção unicamente para casos extremos, e é exatamente essa a proposta da biometria comportamental por localização. As empresas de aplicativos mobile que derem uma experiência melhor para seus usuários impondo menos fricção em momentos como a troca de dispositivo, por exemplo, têm mais chances de serem as vencedoras no mercado.