تقلب و کلاهبرداری در تمامی جنبههای زندگی افراد حضور دارد و تاثیرگذار است. اکثر شرکتها صرفا زمانی که تقلبی رخ میدهد قادر به شناسایی آن هستند و بعد از آن، اقداماتی را به منظور جلوگیری از وقوع مجدد آن انجام میدهند. طبق بررسیهایی که صورت گرفته، کشف تقلب بهموقع باعث حفظ حدودا ۱۰ درصد از درآمد شرکتها خواهد شد؛ بنابراین استفاده از سامانههای کشف تقلب در سازمانهای مالی و غیرمالی ضروری است؛ چراکه وجود تقلب در هرسازمانی مانع رشد آن سازمان خواهد شد. همچنین با توجه به مسائلی همانند سایتهای قمار و تخلف در زمینه دستگاههای کارتخوان اهمیت این سامانهها بیشتر از گذشته شده است.
در ایران شرکتهای مختلفی در حوزه ارائه سرویسها و خدمات کشف تقلب فعال هستند و سامانههای مبتنی بر قاعده (Rule base) و مبتنی بر هوش مصنوعی (AI) نیز راهاندازی شده است. با وجود پیشرفتهتر بودن سیستمهای مبتنی بر هوش مصنوعی اما بخت با این فناوری چندان در کشور یار نبوده و سیستمهای مبتنی بر AI چندان مورد استفاده بانکها قرار نگرفتهاند. کارشناسان و صاحبنظران در این حوزه ملموس نبودن مفهوم هوش مصنوعی و آشنا نبودن با نحوه کاری که این فناوری در تشخیص تقلب انجام میدهد را عامل اصلی عدم استقبال از این سامانهها در کشور میدانند.
در این گزارش قصد داریم علاوه بر توضیحاتی درباره ضرورت شناخت تقلب در سامانهها، انواع شیوههای شناخت تقلب و تفاوتی که با یکدیگر دارند، از وضعیت و جایگاه سامانههای کشف تقلب در کشور بگوییم. در همین راستا در ادامه گزارش شما را با محصولات حوزه کشف تقلب سه شرکت فعال در این حوزه یعنی داتین، رادین و دادهکاوان هوشمند توسن آشنا میکنیم و به قابلیتهایی که دارند میپردازیم.
اهمیت ضرورت شناخت تقلب
یکی از مهمترین موانع برای استفاده از بانکداری الکترونیکی، عدم امنیت تراکنشها و بروز تقلب در مسیر انجام مبادلات مالی است. رشد روز افزون تقلب باعث از دست دادن سرمایههای زیادی در سطح جهان و ایران شده است. باتوجه به اینکه روشهای زیادی برای کشف تقلب ارائه شده ولی روشهای تقلب نیز مدرنتر شده و در حوزههای مختلف در حال رشد است. از طرف دیگر حجم بالای داده و شباهت زیاد بین آنها باعث میشود طبقهبندی داده به متقلبانه و سالم، کار دشواری باشد. یکی از مشکلات در تشخیص تقلب، تنوع و تغییر مداوم شیوههای تقلب است و موفقیت در پیشگیری یا تشخیص یک نوع تقلب باعث به وجود آمدن روشی دیگر میشود.
مدیریت تقلب یکی از زیرمجموعههای مدیریت ریسک محسوب میشود. هر تقلب و تخلفی که اتفاق میافتد مسلما روی نقدینگی، اعتبار و شهرت بانک تاثیر میگذارد و ضرر مالی برایشان دارد. اهمیت ضرورت شناخت تقلب در کشورهای پیشرفته مشخص شده و زودتر به سمتش رفته و دو روش برای جلوگیری از تقلب در نظر گرفتهاند: روش مبتنی قاعده و مبتنی بر هوش مصنوعی.
در گزارشی به بررسی سیستمهای کشف تقلب در دنیا پرداختهایم که چطور میتوانند جلوی خسارتها را بگیرند.
شناخت تقلب مبتنی بر قاعده و مبتنی بر هوش مصنوعی
روش مبتنی بر قاعده شامل تقلبهایی است که از قبل به وجود آمده و شناسایی شدهاند و مشخص است دقیقا چه اتفاقی رخ میدهد که منجر به ایجاد آن تقلب میشود. برای مثال کپی کارت. زمانی که از یک کارت در دو مکانی که فاصله مکانی زیادی با یکدیگر دارند و در فاصله زمانی کمی، دو تراکنش انجام شود؛ این اتفاق به عنوان تقلب شناخته میشود. در توضیح بیشتر این مورد میتوان اینطور گفت که اگر در کمتر از یک ساعت یک تراکنش در تهران و یک تراکنش در کیش از یک کارت انجام شده باشد، چون امکانپذیر نیست که در این فاصله زمانی فردی از تهران به کیش رفته باشد، بنابراین کارت کپی شده و دو فیزیک کارت وجود دارد. این قبیل اتفاقها را میشود از قبل فرموله کرد و برایش قاعدهای چید.
روشهای مبتنی بر هوش مصنوعی برای حالتها و زمانهایی است که هیچ ذهنیتی نسبت به اینکه اتفاق تقلب یا تخلف است وجود ندارد و نمیشود برایش قاعدهای تعریف کرد تا شناسایی شوند.
در واقع روشهای متقلبانهای وجود دارد که هم جدید هستند و هم هوشمندانه که قابلیت تشخیص آنها به راحتی وجود ندارد. شناسایی این موارد که در دل دادهها پنهان شده و نسبت به موارد دیگر هوشمندانهتر هستند را به ماشین میسپارند و یک مدل مبتنی بر هوش مصنوعی طراحی میکنند تا تمام پارامترهای تاثیرگذار در تراکنشها یا عملیات مالی را شناسایی و مشخص میکند که هرکدام نسبت به همدیگر چه رفتارهایی دارند و آن رفتارها را بهعنوان رفتارهای نرمال شناسایی میکند. هر زمان هرکدام از این رفتارها از حالت نرمال خودشان فاصله بگیرند به عنوان ناهنجاری (Anomaly) شناخته میشوند. میزان فاصله گرفتن، مشخصکننده این است که برای هرکدام از فاکتورها چه میزان ریسک وجود دارد. این فاکتورها در صنعتی مانند صنعت بانکی میتواند شامل مشتری، حساب، کارت، پایانه و آیپی و تمام آیتمهای تاثیرگذار باشد. هر کدام از این فاکتورها رفتاری خارج از حالت نرمال نشان دهند، نسبت به تمام فاکتورهای دیگر بررسی میشوند و درصورتی که آنرمال شناسایی شوند، بهعنوان تقلب به کاربر سامانه معرفی میشود.
تفاوت سامانههای مبتنی بر قاعده و هوش مصنوعی
تفاوتی که سامانه کشف تقلب مبتنی بر هوش مصنوعی با قاعده دارد در این است که زمانی که مورد مشکوک شناسایی میشود، در سیستمهای مبتنی بر قاعده کاملا مشخص است که چه اتفاقی رخ داده اما در سیستمهای مبتنی بر هوش مصنوعی فقط گفته میشود که این رفتار آنرمال است و دلیل آنرمال بودنش مشخص نمیشود. درواقع شرکتها و بانکها باید بدانند که AI نمیتواند خروجی ملموسی به آنها بدهد. اینجا دیگر وظیفه بازرسان بانک و ابزارهای تحلیلی که خود سامانه در اختیار کاربر قرار میدهد است تا بفهمند چرا ماشین این مورد را به عنوان مدل مشکوک شناسایی کرده است.
سیستمهای کشف تقلب مبتنی بر هوش مصنوعی در ایران کمتر مورد توجه قرار گرفتهاند. شاید دلیلش آشنا نبودن با کاری باشد که هوش مصنوعی برای کشف تقلب و انجام عملیات انجام میدهد. هوش مصنوعی را میتوان بلک باکسی تعریف کرد که معلوم نیست درونش چه اتفاقاتی در جریان است؛ پیچیدگیهای زیادی دارد و توصیف کردنش در قالب یک نمودار و متن نمیشود. گفته میشود که برخی شرکتها مجبور شدند سیستمهای مبتنی بر هوش مصنوعی را کمی شبیه به مدل مبتنی بر قاعده کنند تا برای استفادهکنندگان ملموستر باشد. به عبارتی کاری که شرکتها کردند این است که موارد مشکوک از نظر بانک یا شرکتهای پیاسپی را به عنوان دلیل مشخص کردند. به عبارتی برای مفهوم کردن علت اینکه چرا هوش مصنوعی رفتاری را مشکوک اعلام کرده، قاعدهای تعریف کردند اما این قاعده تعریف کردن موجب میشود دلایل دیگری که منجر به رفتار مشکوک میشود، پنهان بماند چراکه خروجی AI صرفا به چند دلیل محدود شده است. اشکال این کار در این است که به این ترتیب، یک سری دلایلی که به عنوان پیش فرض در نظر گرفته نشدهاند، پنهان میماند.
سامانه کشف تقلب داتین
فاطمه سلطانی، مدیر سامانه کشف تقلب داتین میگوید بهدلیل زیرساختهایی که در شبکه پرداخت کشور وجود دارد و ممانعت رگولاتوری، امکان استفاده از سامانههای کشف تقلب خارجی با توجه به بومی بودن شبکه پرداخت، فراهم نیست. به همین خاطر داتین تلاش کرده تا همسو با محصولات مشابه خارجی گام بردارد و ورژن جدید سامانه کشف تقلب خود را اواخر آذرماه بهصورت پایلوت در بانک پاسادگاد پیادهسازی کند. به گفته سلطانی این سامانه با استفاده از انبار داده و تکنولوژی کلانداده امکان توزیعپذیری و مقیاسپذیری حجم بالایی از دادههای بانکی را فراهم آورده است. این سامانه با استفاده از تکنولوژی هوش مصنوعی میتواند به صورت آنلاین و نیمه آنلاین گزارش تهیه کند و مانع تراکنش مشکوک، قبل از وقوع آن شود.
کشف تقلب مبتنی بر هوش مصنوعی
قنبری میگوید در صورتی که هدف از استفاده از این سامانه شناسایی رفتارهای متقلبانه نوین است، استفاده از روشهای مبتنی بر قاعده کمکی به ما نمیکند و ناگزیر به استفاده از مدلهای یادگیری ماشین هستیم. امری که در کشورهای پیشرفته جهان به عنوان یک نیاز شناخته شده است. در ایران شاهد این هستیم که هنوز هوش مصنوعی از حالت مزیت رقابتی خارج نشده و لازم است برای زنده ماندن کسبوکارها به سمت «نیاز» تغییر کند.
او در رابطه با مزیتی که سامانههای هوش مصنوعی دارند توضیح میدهد: «سامانههای هوش مصنوعی از میان خیل عظیمی از دادهها، تنها مواردی که نیاز به بررسی بیشتر توسط انسان دارد را ارائه میدهد و از صرف زمان زیاد توسط متخصصان جلوگیری میکند، کاری که در صورت نبود تکنولوژی هوش مصنوعی معمولا با خطای زیادی همراه است و ریسک از دست رفتن فرصت را نیز با خود به همراه دارد.»
در سامانه فانوس مدلی بر اساس دادههای تاریخی، دادههای اخیر و انواع عوامل تاثیرگذار در روند رفتاری موجودیتهای مختلف توسط متخصصان شرکت رادین ایجاد شده است. این مدل ورودیهای این سامانه شامل انواع تراکنشها، عملیاتی و رویدادها، با استفاده از مدل یادگیری ماشین فاصله هر موجودیت از رفتار نرمال خودش و موجودیتهای هم خوشه خودش را محاسبه میکند و به آنها نمره ریسک اختصاص میدهد. در نهایت تصمیم میگیرد مواردی که بیشترین میزان ریسک را دارند را به عنوان مورد مشکوک به عنوان خروجی سامانه ارائه دهد.
استفاده از ماژول Investigation
در سامانه فانوس برای تفسیرپذیر کردن موارد یافت شده بر اساس هوش مصنوعی از ماژول Investigation استفاده شده است. این ماژول شامل جزئیات مورد کشف شده، پروفایل هر یک از موجودیتهای مورد کشف شده (مشتری، حساب، کارت، پایانه، IP و… )، تاریخچه تراکنشها، عملیات و رویدادهای گذشته مورد کشف شده و نمودارهای تحلیلی و آماری منحصر به آن مورد کشف است. با استفاده از این ابزارها امکان ریشهیابی علل وقوع تقلب و تصمیمگیری در خصوص هر یک از موارد برای بازرسان و کاربران سامانه فراهم میشود.
فانوس محدود به صنعت مالی نیست
به گفته قنبری ارائه خدمات و محصولات رادین صرفا محدود به صنعت مالی نیست به همین دلیل سامانه فانوس به گونهای طراحی شده است که در صنایع مختلف قابلیت استفاده داشته باشد. مدیر دپارتمان راهکارهای مبتنی بر داده، رادین را جزو اولین شرکتهایی معرفی میکند که سامانه مدیریت تقلب را در شرکت پرداخت الکترونیک عملیاتی کرده است.
او درباره برنامههای آتی شرکت و قابلیتهای جدیدی که قرار است اضافه شود، میگوید: «قرار است ابزارهای تحلیلی و آماری دیگر مانند تحلیل گراف را نیز به قابلیتهای خود در جهت تسهیلسازی فرآیند بازرسی اضافه کند. هدف دیگری که در این شرکت داریم، توسعه سرویس کشف آنومالی عمومی برای سایر موارد استفاده است. برای مثال کشف آنومالی در شناخت بیماریها، شناخت خرابیهای تجهیزات صنعتی و … نیز میتواند مورد استفاده قرار بگیرد.»
چالشهای توسعه سامانههای کشف تقلب در کشور
ازجمله چالشهایی که قنبری به آن اشاره میکند عدم وجود داده کافی در مورد تقلبهای پیشین است که امکان توسعه مدل هوش مصنوعی به صورت Supervised که بسیار دقیق تر از حالت Unsupervised است را غیر ممکن میکند. محرز نبودن شناخت تقلبها برای بانکها، کمینهسازی false positiveها و عدم اعتماد به امنیت دادهها از دیگر مشکلاتی است که به آنها اشاره شد.
سامانه کشف تقلب دادهکاوان هوشمند توسن
برای آشنایی با سامانهای که دادهکاوان هوشمند توسن در حوزه کشف تقلب ارائه کرده است با بهزاد چناقلو مدیرعامل شرکت صحبت کردیم. او با اشاره به اینکه هرچقدر هم آییننامهها و فرایندها کامل باشند باز هم راههایی برای سواستفاده وجود دارد، تقلبهای حوزه بانکی را به سه دسته طبقهبندی میکند و میگوید: «دسته اول تقلبهایی هستند که در حوزه کسبوکار اتفاق میافتد؛ برای مثال وامی پرداخت میشود و وثیقهاش مشکل دارد یا ملکی ارزیابی میشود و ارزیاب ارزش واقعی ملک را چندین برابر بیشتر اعلام میکند. دسته دوم دستهای است که در آن یک سری تراکنشهای مالی اتفاق میافتد و در این تراکنشها سواستفادههایی به وجود میآید مانند سایتهای قمار. دسته سوم تقلب شامل افراد به شدت تکنیکال میشود که در شبکه نفوذ میکنند؛ افرادی که توانایی فنی بالایی دارند و از طرف مقابل هم توسط افرادی که دانش بالایی دارند جلویشان گرفته میشود؛ درواقع به نوعی جنگ میان افراد آیتی به شمار میآید.»
به گفته چناقلو دادهکاوان توسن به نوعی برای هرکدام از این دستهبندیها، راهکاری ارائه کرده است و برای توضیح هرکدام میگوید: «برای دسته اول سامانهای به نام سامانه جامع بازرسی داریم. این سامانه به سه شیوه کار میکند. شیوه اول به این صورت است که ما آییننامهای را به سیستم میدهیم و میخواهیم که هر اتفاقی برخلاف آییننامه افتاد، سیستم به ما خبر بدهد. شیوه دیگر به این صورت است که سیستم گزارشهایی را با رویکرد بازرسی به بازرس نشان میدهد. شیوه سوم هم استفاده از هوش مصنوعی است.»
به گفته چناقلو شیوه اول که Rule base (مبتنی بر قاعده) است برای کشف تخلفات به کار گرفته میشود. شیوه دوم برای کشف تقلبها و شیوه سوم هم برای موارد مشکوک است. او در ادامه توضیح میدهد: «در تخلف، یعنی در بخش آییننامه ما میدانیم دنبال چه هستیم و کجا باید دنبال آن بگردیم و پیدایش کنیم. در مانیتورینگ و گزارشدهی ما نمیدانیم دنبال چه هستیم ولی میدانیم کجا را باید بگردیم که احتمال تقلب در آنجا زیاد است. در موارد مشکوک ما بهعنوان طراح سیستم نه میدانیم که دنبال چه هستیم و نه میدانیم کجاها را باید جستجو کنیم درنتیجه موارد این چنینی را به هوش مصنوعی میسپاریم.» سامانه جامع بازرسی با این سه شیوه، در دسترس واحد بازرسی بانکها قرار می گیرد.
داده کاوان هوشمند توسن برای تقلبهای دسته دوم هم سامانهای طراحی کرده است که ذینفعان اصلیاش، واحد آیتی بانکها خواهند بود. چناقلو در توضیح تفاوت میان این سامانه با سامانه تقلبهای دسته اول میگوید: «در این دسته، سامانه ما آنلاین کار میکند. در مدل بازرسی، سامانه تحلیل میکند و اتفاقهایی که افتاده را نشان میدهد ولی در دسته دوم کاری که سامانه میکند این است که به صورت آنلاین مانیتور میکند. در این دسته هم سامانه هر سه شیوه مبتنی بر قاعده، مانیتورینگ و هوش مصنوعی را دارد ولی چون به صورت آنلاین مانیتور میکند، پیشبینی میکند که قدم بعدی ممکن است به ایجاد تخلف منجر شود و همان لحظه جلوی تراکنش را میگیرد؛ اما در لایه اول جلوی چیزی گرفته نمیشود.»
ملموس نبودن هوش مصنوعی
همانطور که در ابتدای این گزارش هم به آن اشاره کردیم، اگر بخواهیم به طور کلی سیستمهای کشف تقلب را دستهبندی کنیم، میتوان آنها را به دو دسته Rule base (مبتنی بر قاعده) و هوش مصنوعی دستهبندی کرد. هر دو مدل این سیستمها توسط شرکتها در کشور ارائه شده است اما گویا میزان استقبال از مدلهای مبتنی بر قاعده به مراتب بیشتر از مدلهای هوش مصنوعی است. چناقلو دلیل تمایل افراد به سامانههای مبتنی بر قاعده را ملموس نبودن هوش مصنوعی برای افراد و جا نیفتادن فرهنگ استفاده از این سیستمها در کشور عنوان میکند.
او در این باره مثال میزند: «همانطور که ما یک پلیس داشتیم و بعدا پلیس فتا شکل گرفت که مبتنی بر آیتی داشت کار پلیس را انجام میداد، باید یک چنین بازرسی هم در بانکها وجود داشته باشد؛ یعنی هم یک بازرس فیزیکی و عادی باشد و هم یک بازرسی مبتنی بر هوش مصنوعی. به این ترتیب بحث هوش مصنوعی بیشتر در بانکها جا میافتد.»
در تقلبهای فضای بانکی مقصر کیست؟
مدیرعامل شرکت دادهکاوان هوشمند توسن رضایت چندانی نسبت به سیستمهای کشف تقلب در کشور ندارد. به گفته چناقلو یکی از مشکلاتی که وجود دارد این است که بانک در نهایت به دنبال ارزش افزوده است و کسی بابت سیستمهای مبتنی بر هوش مصنوعی هزینه نمیکند. فضای بانکی فضایی است که همه به دنبال مقصر هستند و درنهایت هم همه تقصیرها بر گردن مشتری میافتد. او معتقد است بانک برایش فرقی ندارد که بفهمد در بانکش تقلبی رخ داده یا نه. اگر آییننامهای وجود داشته باشد که برای مثال در صورت بروز اتفاقی، بانک مقصر خواهد بود و باید بابت آن جریمهای پرداخت کند و از طرف بانک مرکزی هم نظارتی روی این مسائل وجود داشته باشد، حتما بانکها به سمت استفاده از سیستمهای مبتنی بر هوش مصنوعی در سامانههایشان خواهند رفت.