Quatro requisitos arquiteturais para deteção unificada de fraude e AML até 2026

As capacidades de fraude e combate ao branqueamento de capitais (AML) avançaram significativamente nos últimos anos. No entanto, em muitas instituições, as duas funções ainda operam com dados, sistemas e incentivos separados, criando exposições onde o compromisso inicial, o movimento de fundos e as atividades de branqueamento subsequentes nunca são conectados.

Identidades sintéticas passam do onboarding para produtos financiados, e a tomada de conta pode evoluir rapidamente para atividade de mula. No entanto, o evento de compromisso, o movimento de fundos e a obrigação de reporte regulatório frequentemente permanecem divididos entre diferentes sistemas e equipas.

Para o crime financeiro organizado, esses limites não existem.

O que é cada vez mais necessário é uma visão contínua do risco do cliente e da rede, abrangendo fraude, AML e crédito.

Por que controles separados de fraude e AML enfraquecem a deteção

As equipas de fraude geralmente concentram-se no momento da perda financeira, muitas vezes deixando passar transações mais lentas e de baixa velocidade que ocorrem dentro das contas de destino. As equipas de AML podem detectar a camada posterior de fundos, mas carecem dos sinais de fraude em tempo real necessários para conectar essas transações a um evento criminoso específico.

Essa desconexão permite que redes organizadas de mulas operem além dos controles institucionais.

Uma identidade sintética sinalizada por um modelo de fraude na fase de candidatura pode ainda passar por verificações de KYC desconectadas usadas pelos sistemas de AML. Os criminosos podem então estabelecer contas que parecem legítimas, mas são destinadas ao branqueamento a longo prazo.

Da mesma forma, quando a tomada de conta é tratada principalmente como um evento de cibersegurança ou fraude isolada, a inteligência muitas vezes não chega aos sistemas de monitorização de AML. Transferências subsequentes podem parecer comportamento normal do cliente, em vez de movimento de fundos roubados através de uma conta comprometida.

Como deve ser a convergência eficaz entre fraude e AML

A verdadeira convergência não é alcançada apenas ao ligar alertas entre equipas. É necessário uma visão partilhada do cliente e da rede envolvente.

Neste modelo, os sistemas de fraude e AML alimentam-se na mesma base de dados de grafos, ligando múltiplas categorias de inteligência:

• Dados iniciais de KYC e KYB no onboarding

• Inteligência biométrica em tempo real

• Inteligência de dispositivos

• Inteligência transacional

Isto permite às instituições mapear relações entre identidades, dispositivos e contas, em vez de analisar cada sinal isoladamente.

A movimentação de inteligência deve também operar em ambas as direções.

As tipologias de branqueamento de capitais identificadas durante investigações de AML podem ser usadas para ajustar os controles de fraude na frente. Redes de mulas descobertas através de análises de AML podem informar o onboarding e a monitorização de contas. Sinais comportamentais e transacionais em tempo real capturados pelos sistemas de fraude podem enriquecer as análises de AML.

Ligar esses sinais permite às instituições conectar atividades de camadas ao evento de compromisso original e visualizar a atividade dentro da rede criminosa mais ampla.

Por que sinais não financeiros se tornam mais valiosos

A deteção de fraude já depende fortemente de sinais não financeiros, como endereço IP, impressão digital do dispositivo, geolocalização e biometria comportamental.

Quando ligados à monitorização de AML, esses sinais tornam-se preditores úteis de atividade de preparação para branqueamento.

Ações administrativas, como redefinições de senha, alterações de endereço ou adição rápida de novos beneficiários, podem indicar que uma conta inativa está a ser preparada para atividade de mula antes de ocorrerem movimentos significativos de fundos.

Conectar esses sinais com a monitorização de transações de AML fornece aos investigadores um contexto mais cedo ao longo do ciclo do crime.

A vantagem analítica aumenta ainda mais quando o evento de vítima ou compromisso inicial, identificado pelos sistemas de fraude, é ligado diretamente às contas de destino e à atividade de camadas subsequentes monitorada pelo AML.

A análise de grafos permite às instituições mapear toda a rede de crime organizado e redes de mulas, em vez de examinar transações individuais.

Onde a governação e a propriedade se desmoronam

Mesmo quando os dados podem ser partilhados, a propriedade operacional muitas vezes permanece fragmentada.

Uma identidade sintética ou um fraudador de primeira-party que não paga um produto de crédito pode ser registado pelo risco de crédito simplesmente como dívida má, e não como crime financeiro. Assim, a inteligência não se propaga às equipas de fraude ou AML, permitindo que redes organizadas continuem a explorar a instituição.

A questão é reforçada pela forma como o desempenho é medido.

As equipas de fraude são geralmente avaliadas pela redução de perdas diretas e pelo atrito com o cliente. As funções de AML focam na conformidade regulatória e na qualidade das investigações. O risco de crédito acompanha as imparidades. Cada função atinge os seus próprios objetivos, mas a atividade criminosa subjacente atravessa todas as três.

Contas de recebimento usadas por mulas ilustram bem isso. Como os fundos recebidos não geram perda financeira direta para o banco receptor, as métricas de fraude podem permanecer inalteradas. A responsabilidade, portanto, transfere-se para as equipas de AML, que podem não ter o mandato operacional ou os controles automatizados necessários para intervir em tempo real.

O resultado é uma área cinzenta onde a gestão de redes de mula carece de uma propriedade clara.

O que uma arquitetura unificada de fraude–AML exige até 2026

Abordar essas questões requer mudanças estruturais na arquitetura de dados e monitorização.

1. Uma camada unificada de dados em streaming

Os sistemas de fraude dependem de sinais comportamentais em tempo real, enquanto a monitorização de AML muitas vezes depende de processamento em lote. Uma camada unificada de dados em streaming permite que a inteligência de fraude enriqueça imediatamente as análises de AML, reduzindo o atraso entre o compromisso e a deteção de atividades de branqueamento.

2. Orquestração sequenciada de modelos

Modelos de prevenção de fraude e análises de AML baseadas em grafos devem operar na mesma arquitetura de decisão. Sequenciar modelos especializados permite às instituições combinar deteção rápida na frente com análise mais profunda da rede.

3. Um ambiente consolidado de investigação

Alertas de fraude, indicadores de risco de identidade e monitorização de AML devem ser revistos num único ambiente de investigação. Sistemas de gestão de casos separados limitam o contexto disponível para os investigadores.

4. Ciclos de retroalimentação automatizados

As arquiteturas de monitorização devem permitir que os resultados das investigações alimentem tanto os controles de fraude quanto os modelos de AML. Isto cria um quadro de controlo em melhoria contínua e fornece aos reguladores provas de que os sistemas de monitorização estão ativos, e não estáticos.

Rumo a uma visão unificada do risco de crime financeiro

Identidades sintéticas registadas como dívida má. Contas de recebimento de mulas fora das métricas de perda de fraude. Monitorização de AML operando separadamente da deteção de fraude em tempo real.

Quando esses padrões existem, o problema muitas vezes não está nos modelos em si, mas na forma como os dados, sistemas e propriedade estão estruturados.

Conectar eventos de compromisso, movimento de fundos e atividade de branqueamento dentro de uma arquitetura partilhada permite às instituições passar de alertas isolados para uma visibilidade em rede do crime financeiro organizado.