Inicia Sesión

Terminando con la plaga de los “falsos positivos” en los sistemas de monitoreo contra el blanqueo de dinero

Publicado en
  • Tamaño de fuente: Mayor Menor
  • Imprimir

Por Keith Furst*

Basado en un informe emitido por PricewaterhouseCoopers (PwC)**, entre 90% y 95% de todas las alertas generadas por los sistemas de monitoreo de transacciones (SMT) son falsos positivos. Esto no sólo se traduce en gastos operativos, sino que también puede generar que las alertas reales queden ocultas en la montaña de falsos positivos. Esto no es una novedad para quienes están en el mundo de la lucha contra el lavado de dinero. A menudo oigo la misma queja de mis colegas que implementan SMT en otras instituciones financieras. No es raro oír: "Nuestro SMT estaba generando cientos de alertas cada mes, pero después de actualizarlo… ¡está generando miles!".

El problema con las alertas que son falsos positivos es que crea una enorme sobrecarga operacional que no genera ningún reporte de operación sospechosa (ROS). Además, facilita a los delincuentes el burlar los sistemas de monitoreo implementados por las instituciones.

¿Por qué hay tantas alertas que son falsos positivos?

Existe una barrera técnica fundamental en los SMT tradicionales que conduce a una avalancha de falsos positivos. Los SMT se basan en reglas o modelos simples que tienen una visión “miope” del comercio global, del comportamiento humano, de la complejidad de las redes transaccionales y de los vínculos ocultos entre actores nefastos. Tienen una visión muy simplista de la actividad que se está supervisando, destilándola sólo en unas cuantas dimensiones para que la regla actúe.

Imagen No. 1

Aquí están los dos problemas fundamentales de los SMT existentes:

  1. Reglas amplias que resultan en la detección de muchos escenarios, la mayoría de los cuales no son realmente sospechosos.
  2. Utilizan sólo un subconjunto de tipos de eventos y de datos disponibles, lo que limita el número de señales que pueden utilizar para la detección.

Por ejemplo, al ver toda la información disponible en el diagrama No. 1, está claro que de esas diez transacciones, sólo una es sospechosa.

Sin embargo, los SMT existentes sólo buscan un subconjunto de los datos disponibles. Una regla en el SMT puede ser señalar todas las transacciones como sospechosas dentro de un plazo de tiempo específico si están entre US$ 9.500 y US$ 9.999. En este caso (imagen No. 2), todos tienen el mismo aspecto, por lo que las diez transacciones se marcan como sospechosas. Se trata de una tasa de 90% de falsos positivos.

¿Es posible que los SMT existentes tengan reglas menos amplias? No, porque el SMT sólo mira un subconjunto de tipos de eventos y si las reglas se configuran para ser más específicas, entonces se pierden actividades sospechosas reales. La conformación de una red amplia significa que el software podrá detectar algunas cuentas sospechosas, pero también generará alertas sobre muchas más cuentas buenas. No es suficiente 

Imagen No. 2

simplemente ajustar las reglas existentes o modelos simples. Más bien, es necesario buscar una nueva solución técnica para hacer frente a la plaga de los falsos positivos.

La promesa del “aprendizaje de la maquina sin supervisión”

El llamado aprendizaje sin supervisión de la maquina (UML por sus iniciales de Unsupervised Machine Learning), si se implementa adecuadamente, puede resolver estos problemas para los equipos de ALD. UML puede ser apalancado para reducir falsos positivos, mirando todas las actividades dentro de la institución financiera, desde una visión global y uniendo a actores comunes. Esto reduce drásticamente las alertas falsas sin comprometer el cumplimiento de las directrices reglamentarias.

Para ver cómo esto es posible, es importante entender la tecnología. UML puede detectar patrones ocultos en conjuntos de datos grandes, como cuentas de usuario fraudulentas, sin tener conocimiento previo de cómo luce o funciona una cuenta fraudulenta. Esto es diferente del aprendizaje de la máquina supervisado, que requiere el conocimiento de patrones anteriores para capturar similares en el futuro. En el contexto de ALD, UML encuentra automáticamente estos patrones ocultos para vincular cuentas y clientes aparentemente no relacionados. Estos enlaces pueden ser uno de los miles de campos de datos que el modelo UML digiere. La imagen No. 3 representa a los clientes detectados por UML, porque están vinculados por atributos compartidos, como una dirección de correo electrónico, una dirección física, un número de teléfono, una dirección de protocolo de Internet (IP) y un beneficiario común.

Imagen No. 3Por lo tanto, en contraste con el uso de reglas amplias, UML considera miles de campos de datos para detectar redes complejas. Esto permite a UML mirar una amplia gama de atributos y separar la alerta real (actividad sospechosa) del “ruido”. Además, UML puede ingerir todos los datos de eventos, lo que le permite determinar si las cuentas tienen actividades sospechosas relacionadas similares. Por ejemplo, UML puede enlazar cuentas que tienen un alto volumen de transacciones con cantidades bajas de dólares en el mismo período de tiempo, sin estar programado para buscar este caso específico.

UML también disminuye la detección de falsos positivos, porque puede atrapar a un grupo de cuentas relacionadas. Por lo tanto, tiene más seguridad de que estas cuentas son malas. Piense en lo siguiente: si usted ve que una cuenta hace algo extraño, puede ser que no esté seguro de si es malo, pero si usted ve a cincuenta cuentas relacionadas ejecutando una actividad sospechosa similar, puede estar muy seguro de que todas están haciendo algo malo. UML es mejor para diferenciar entre actividad buena y mala, y cuando se genera una alerta, puede estar mucho más seguro de que es una alerta real.

Lo que esto significa para los departamentos de cumplimiento

Con los crecientes costos del departamento de cumplimiento y sin disminución de las multas regulatorias a la vista, cada vez es más claro que necesitamos un nuevo enfoque de software de monitoreo. UML puede reducir los costos de cumplimiento reduciendo alertas falsas positivas y priorizando el tiempo invertido en las investigaciones. Al mismo tiempo, puede aumentar la calidad de las notificaciones de ROS. A medida que disminuye el número de alertas para investigar, los recursos de cumplimiento existentes pueden ser reasignados a otras actividades importantes como el control de calidad, la capacitación de analistas y las evaluaciones de riesgos.

Desde una perspectiva práctica, la transición de un SMT tradicional a uno que usa UML no tiene que pasar de la noche a la mañana. Más bien, el uso de UML junto con otro SMT puede ser una buena forma de comenzar. Esto puede ser una solución fácil y más gradual, que recomiendo cuando se implementa cualquier nuevo SMT, con supervisión o no.

En última instancia, las instituciones financieras han abrazado la tecnología UML en otras áreas de la banca como el fraude, el riesgo de crédito y el comercio, por lo que es sólo cuestión de tiempo antes de que los departamentos de cumplimiento hagan lo mismo. Ahora es cuestión de cuándo y qué instituciones llevarán el paquete de SMT tradicional para aumentar las apuestas en la lucha contra el lavado de dinero.

 

* Keith Furst es el fundador de Data Derivatives y tiene años de experiencia dentro de una variedad de instituciones financieras, incluyendo bancos mayoristas Tier One, bancos de inversión, sucursales bancarias extranjeras, bancos comerciales, bancos minoristas, corredores de bolsa, proveedores de tarjetas prepagas y compradores mercantiles, con un enfoque en la implementación, ajuste y validación de los sistemas de delincuencia financiera. Su experiencia se centra en el monitoreo de transacciones, la debida diligencia del cliente, el fraude y los sistemas de abuso de mercado. Este artículo fue publicado en inglés en Datavisor – 05/03/2017 (http://www.datavisor.com/technical-posts/guest-post-the-other-elephant-in-the-room-defeating-false-negatives-in-aml-systems/)

 

-------------------------------------------------

** From source to surveillance: the hidden risk in AML monitoring system optimization. September 2010. PWC