Fraudes no Turismo: parte 3 - a tecnologia contra o hacker
Autenticação da compra, token, big data, machine learning, inteligência artificial, PCI da Iata... Como o mercado tem investido no combate às fraudes no Turismo
Nesta terceira e última reportagem do especial Fraudes no Turismo, analisaremos como a indústria tem trabalhado no sentido de combater os golpistas. E para isso, a arma utilizada tem sido a mesma que os hackers usam para clonar cartões, roubar dados de agências de viagens, realizar compras fraudulentas: a tecnologia.
Consolidadoras e empresas aéreas têm adotado uma série de soluções que buscam filtrar as compras e impedir que aquelas com alto risco de serem um golpe sejam aprovadas, e até entidades como a Iata têm atuado neste sentido.
Confira abaixo algumas delas, e como o mercado tem investido para reverter essa situação
LEIA MAIS:
Fraudes no Turismo: parte 1 - nosso mercado é um alvo fácil?
Fraudes no Turismo: parte 2 - como agentes podem combatê-las
Boa leitura, e participe enviando seus comentários!
E é nesse ponto que entra a tecnologia, mais especificamente as soluções anti-fraude que o mercado se viu obrigado a criar diante dessa situação.
Nisso, porém, surge um problema. Muitas vezes a solução envolve burocratizar mais o processo, algo temido pelas empresas que buscam agilidade nos negócios. “Esses caras têm uma criatividade muito grande. E é esse tema eu quero tomar com a Air TKT. Que solução adotar? Engessar o processo?”, comenta, por exemplo, o diretor da BRT Consolidadora, Marco Aurelio Di Ruzze. Para ele, criar mais etapas para vender para seus clientes que já contam com crédito para compra na consolidadora apenas as afastará, e as agências buscarão alguma empresa de consolidação que aceite vender sem essa tarefa a mais - o que inclui acrescentar dados como CPF, RG, endereço do passageiro…
Logo, sistemas automáticos tiveram de ser criados. Programas de autenticação da compra, tokens, big data e até inteligência artificial surgiram como possíveis soluções.
Confira abaixo algumas delas:
Lançada no ano passado, trata-se de um conjunto de 12 requisitos exigidos desde março deste ano a todas as agências credenciadas na Iata (no Brasil são cerca de 800). São medidas que, caso seguidas à risca, devem proteger a empresa de golpes na venda on-line; ou, nas palavras da associação, “nada mais é do que um conjunto de regras para gerar mais proteção nas transações via internet e também em lojas físicas. Elas devem sempre ser realizadas em ambiente totalmente seguro, acompanhadas por certificados digitais SSL”, resumiu a Iata.
Entre as exigências, instalar e manter a configuração de firewall de proteção de dados em transações pela internet; codificar a transmissão dos dados do titular do cartão e demais informações por meio de redes públicas; usar regularmente o antivírus, sempre atualizado; e, para tornar mais rigoroso o acesso o controle de acesso, restringir o acesso aos dados, atribui um ID único para cada pessoa com acesso ao computador e também restringir o acesso físico aos dados do portador do cartão - tudo para que impedir que tais dados caiam em mãos “erradas”.
Mas a ação da Iata, embora necessária, contou com falhas. Reclamações vieram das consolidadoras pela falta de auxílio da Iata na implementação de tais medidas.
“Sentimos muita imposição e pouco auxílio efetivo em formas preventivas e ordenadas”, reclamou Tiago Souza, da Sakuratur. “O PCI foi imposto com prazo apertado (tamanha complexidade da norma e do mercado que atuamos), informações desencontradas, falta de um apoio para intermediar tais ações entre consolidadoras, sistemas e companhias aéreas”, complementou.
E a reclamação por uma maior atuação das entidades neste sentido foi evidenciada pelas demais consolidadoras consultadas. “Precisamos de uma maior colaboração entre as entidades e trade para evoluirmos no combate à fraude”, comentou Juliana Abrantes, da Esferatur, por exemplo, enquanto Márvio Mansur, diretor comercial da Skyteam, relatou que observou pouco ou nenhum envolvimento delas no assunto.
De fato, quando se pensa em golpes ou fraudes, cartões de crédito clonados vêm logo à mente. Seria responsabilidade das empresas destes cartões, assim, barrar tais compras?
Para Mansur, sim. Em sua visão, precisa ter mais critério de validação para a empresa de cartão aceitar compras no crédito - só ter limite aprovado, em sua visão, não deveria ser o suficiente para a bandeira liberar o pagamento.
Por outro lado, a Iata destaca o papel delas na criação do PCI, que embora controverso, já é, ao menos, algo.
"Por conta de enormes prejuízos, as principais bandeiras de cartão de crédito do mundo, como American Express, Visa e Mastercard, se uniram na criação do PCI-DSS (Payment Card Industry – Data Security Standard)", resumiu a Iata.
“Precisamos fazer pressão para sensibilizar as autoridades sobre esse problema, para enfim poder causar constrangimento no consumidor que se valer deste tipo de golpe para comprar passagens. Hoje eles são protegidos por leis, que não permitem que eles sejam abordados pela companhia aérea, e isso precisa mudar. Se a gente não puder chegar no comprador que comprovadamente está com uma passagem fraudada, e questionar com quem ele comprou, jamais poderemos chegar nos golpistas”, descreve o diretor da associação que representa consolidadoras no Brasil.
“E digo mais: se o cliente está com a passagem comprada com um cartão de crédito clonado, ele ou é o delinquente, que roubou, ou é vítima igual, e caiu em um golpe. De um modo ou de outro, a companhia aérea deveria poder abordar esse passageiro e questionar a origem do bilhete fraudado”, declara Ralf Aasmann
Ele recomenda, enfim, que as agências emitam passagens apenas nas consolidadoras membros da Air TKT, todas elas com bons sistemas de prevenção à fraude.
Consolidadoras e empresas aéreas têm adotado uma série de soluções que buscam filtrar as compras e impedir que aquelas com alto risco de serem um golpe sejam aprovadas, e até entidades como a Iata têm atuado neste sentido.
Confira abaixo algumas delas, e como o mercado tem investido para reverter essa situação
LEIA MAIS:
Fraudes no Turismo: parte 1 - nosso mercado é um alvo fácil?
Fraudes no Turismo: parte 2 - como agentes podem combatê-las
Boa leitura, e participe enviando seus comentários!
SOLUÇÕES ANTI-FRAUDES
Nas primeiras duas matérias deste especial ficou claro como a primeira e principal barreira do crescimento das fraudes no Turismo é a conscientização do mercado. Descobrir os perfis de compradores fraudulentos, seus métodos, meios de se certificar da confiabilidade de uma compra… Tudo isso, porém, enfrenta o lado oposto: golpistas que criam novos tipos de armadilhas para enganar os agentes quando os métodos antigos deixam de ser efetivos. A inventividade de quem quer ganhar dinheiro roubando é grande, assim como o tempo investido nisso.E é nesse ponto que entra a tecnologia, mais especificamente as soluções anti-fraude que o mercado se viu obrigado a criar diante dessa situação.
Nisso, porém, surge um problema. Muitas vezes a solução envolve burocratizar mais o processo, algo temido pelas empresas que buscam agilidade nos negócios. “Esses caras têm uma criatividade muito grande. E é esse tema eu quero tomar com a Air TKT. Que solução adotar? Engessar o processo?”, comenta, por exemplo, o diretor da BRT Consolidadora, Marco Aurelio Di Ruzze. Para ele, criar mais etapas para vender para seus clientes que já contam com crédito para compra na consolidadora apenas as afastará, e as agências buscarão alguma empresa de consolidação que aceite vender sem essa tarefa a mais - o que inclui acrescentar dados como CPF, RG, endereço do passageiro…
Logo, sistemas automáticos tiveram de ser criados. Programas de autenticação da compra, tokens, big data e até inteligência artificial surgiram como possíveis soluções.
Confira abaixo algumas delas:
- Programas de Autenticação - São programas plugados no sistema de venda, que consideram uma série de parâmetros para aprovar, ou não, uma venda - tudo de forma automática. Entre os critérios analisados, o período de antecedência da compra, a origem ou destino da rota coincidir com a cidade da agência, a categoria do voo, os documentos fornecidos junto ao cartão de crédito…
“Nas compras que não são aprovadas nesse processo, nossa equipe analisa pessoalmente os pontos de risco nessa venda. Ele então liga pra agência e fala: você conhece mesmo? Tem essa certeza de que é confiável? E ás vezes, mesmo a agência confirmando, os sinais são tão claros de que se trata de uma fraude que nossa consolidadora simplesmente nega a venda”, descreve Ruzze sobre a atuação da BRT Consolidadora.
Esferatur e Skyteam disseram usar programas similares.
- Token - O método mais repetido entre as consolidadoras. Utilizar tokenização em etapas e transações como acesso ao sistema, emissões, cancelamentos, remissões… Usar isso como segundo fator de aprovação fez, por exemplo, com que a Sakuratur reduzisse seu prejuízo com fraudes para zero - isso somado às demais práticas de segurança internas da empresa.
- Inteligência artificial, Big Data, Machine Learning… - Tecnologias diferentes, mas utilizadas em consonância para coletar dados dos viajantes, aprender seus costumes e tipos de compra e, assim, identificar as compras suspeitas - quando saem do comum para o cliente,
As vendas on-line da Sakuratur, por exemplo, passam por uma análise de risco utilizando inteligência artificial. “O equipamento aprende o comportamento dos clientes, horários de acesso, trechos que costumam vender, valores, trechos de alta incidência de fraudes… isso tem garantido um sucesso na mitigação de riscos e fraudes tanto para a Sakuratur quanto para nossos inúmeros clientes”, explica Tiago Sousa, supervisor de TI da empresa.
Já na Esferatur, Juliana Abrantes, gerente de Marketing e Relações com Fornecedores, explica que o sistema de análise de risco da empresa utiliza big data e machine learning para “ajudar na identificação de emissões suspeitas.”
IATA E A PCI DSS: SOLUÇÃO OU MAIS UM PROBLEMA?
Falar da atuação das entidades quanto às fraudes no Turismo pode se resumir à Iata, ou, mais especificamente, à certificação Payment Card Industry Data Security Standard - ou apenas PCI DSS.Lançada no ano passado, trata-se de um conjunto de 12 requisitos exigidos desde março deste ano a todas as agências credenciadas na Iata (no Brasil são cerca de 800). São medidas que, caso seguidas à risca, devem proteger a empresa de golpes na venda on-line; ou, nas palavras da associação, “nada mais é do que um conjunto de regras para gerar mais proteção nas transações via internet e também em lojas físicas. Elas devem sempre ser realizadas em ambiente totalmente seguro, acompanhadas por certificados digitais SSL”, resumiu a Iata.
Entre as exigências, instalar e manter a configuração de firewall de proteção de dados em transações pela internet; codificar a transmissão dos dados do titular do cartão e demais informações por meio de redes públicas; usar regularmente o antivírus, sempre atualizado; e, para tornar mais rigoroso o acesso o controle de acesso, restringir o acesso aos dados, atribui um ID único para cada pessoa com acesso ao computador e também restringir o acesso físico aos dados do portador do cartão - tudo para que impedir que tais dados caiam em mãos “erradas”.
Mas a ação da Iata, embora necessária, contou com falhas. Reclamações vieram das consolidadoras pela falta de auxílio da Iata na implementação de tais medidas.
“Sentimos muita imposição e pouco auxílio efetivo em formas preventivas e ordenadas”, reclamou Tiago Souza, da Sakuratur. “O PCI foi imposto com prazo apertado (tamanha complexidade da norma e do mercado que atuamos), informações desencontradas, falta de um apoio para intermediar tais ações entre consolidadoras, sistemas e companhias aéreas”, complementou.
E a reclamação por uma maior atuação das entidades neste sentido foi evidenciada pelas demais consolidadoras consultadas. “Precisamos de uma maior colaboração entre as entidades e trade para evoluirmos no combate à fraude”, comentou Juliana Abrantes, da Esferatur, por exemplo, enquanto Márvio Mansur, diretor comercial da Skyteam, relatou que observou pouco ou nenhum envolvimento delas no assunto.
RESPONSABILIDADE DAS EMPRESAS DE CARTÃO DE CRÉDITO?
"A fraude hoje está 100% ligada ao cartão de crédito", declara Márvio Mansur, diretor comercial da Skyteam. "75% dos calotes que levamos são fraudes, pagamentos com cartões clonados que foram aceitos pelas agências e aprovados no banco", diz Marco Aurelio Di Ruzze, da BRT Consolidadora.De fato, quando se pensa em golpes ou fraudes, cartões de crédito clonados vêm logo à mente. Seria responsabilidade das empresas destes cartões, assim, barrar tais compras?
Para Mansur, sim. Em sua visão, precisa ter mais critério de validação para a empresa de cartão aceitar compras no crédito - só ter limite aprovado, em sua visão, não deveria ser o suficiente para a bandeira liberar o pagamento.
Por outro lado, a Iata destaca o papel delas na criação do PCI, que embora controverso, já é, ao menos, algo.
"Por conta de enormes prejuízos, as principais bandeiras de cartão de crédito do mundo, como American Express, Visa e Mastercard, se uniram na criação do PCI-DSS (Payment Card Industry – Data Security Standard)", resumiu a Iata.
AIR TKT: DEVE-SE AGIR SOBRE OS FRAUDADORES
Quando questionado sobre o assunto, o diretor da Air Tkt, entidade dos consolidadores, Ralf Aasmann, foi sucinto: as associações do Turismo devem pressionar políticos para permitirem a abordagem de consumidores que usufruam de passagens fraudadas.“Precisamos fazer pressão para sensibilizar as autoridades sobre esse problema, para enfim poder causar constrangimento no consumidor que se valer deste tipo de golpe para comprar passagens. Hoje eles são protegidos por leis, que não permitem que eles sejam abordados pela companhia aérea, e isso precisa mudar. Se a gente não puder chegar no comprador que comprovadamente está com uma passagem fraudada, e questionar com quem ele comprou, jamais poderemos chegar nos golpistas”, descreve o diretor da associação que representa consolidadoras no Brasil.
“E digo mais: se o cliente está com a passagem comprada com um cartão de crédito clonado, ele ou é o delinquente, que roubou, ou é vítima igual, e caiu em um golpe. De um modo ou de outro, a companhia aérea deveria poder abordar esse passageiro e questionar a origem do bilhete fraudado”, declara Ralf Aasmann
Ele recomenda, enfim, que as agências emitam passagens apenas nas consolidadoras membros da Air TKT, todas elas com bons sistemas de prevenção à fraude.
E AS AÉREAS?
As companhias aéreas Avianca Brasil, Azul e Latam se manifestaram sobre o assunto através de comunicados. Confira abaixo, na íntegra:- Avianca Brasil: "A Avianca Brasil desenvolveu uma série de medidas preventivas e corretivas para combater golpes. Além de políticas, regulamento interno e código de conduta para colaboradores e fornecedores, a companhia conta com uma equipe de inteligência cibernética treinada e dedicada. Também investimos em mecanismos como canais de denúncias para stakeholders, sistemas antifraude e tecnologias para melhoria dos controles internos e monitoramentos periódicos de acessos aos canais de venda. Outros pontos importantes são estratégias bem elaboradas, controle de indicadores, atuação investigativa, sinergia entre as áreas de segurança da informação e o trabalho em parceria com os adquirentes e bancos.
Os parceiros precisam estar sempre atentos, avaliando riscos, criando diretrizes éticas, canais de report de denúncias e controles de governança em seus processos internos. É importante atualizar e “limpar” constantemente as bases de acesso a sistemas críticos, pois isso ajuda no controle de fraudes, além de acessos indevidos. Entre outras recomendações, que são simples, mas efetivas, estão: manter os computadores protegidos com softwares de segurança, nunca armazenar dados de cartão de crédito seja no computador ou em papel, alterar as senhas de uso periodicamente, nunca compartilhar senhas, sempre bloquear o computador quando se afastar dele e também verificar a integridade dos sistemas onde os dados são armazenados. Como é um setor dinâmico, que se reinventa periodicamente, também é recomendado que se mantenham atualizados sobre as notícias de segurança da informação.
O papel das entidades também é fundamental. A Iata, por exemplo, lidera as iniciativas de prevenção a fraude globalmente. Localmente, ela trabalha em parceria com a Alta (Associação Latino Americana de transporte Aéreo) e com a Abear (Associação Brasileira das Empresas Aéreas). Além disso, existem comitês regionais e no mundo que contam com a participação de todas as companhias. Nesses grupos são compartilhadas tendências de mercado, métricas e melhores práticas. Entre outras ações, a entidade promove eventos de prevenção a fraude e cria canais de comunicação entre as aéreas para gerar ainda mais sinergia e sucesso nas ações realizadas." - Azul: "A empresa realiza a venda de passagens aéreas apenas em seus canais oficiais (site, aplicativo, call center, agências de Turismo credenciadas, além de lojas próprias e balcões de check-in nos aeroportos em que opera). A Azul não se responsabiliza por compra realizadas através de canais não oficiais e lembra que quaisquer comercializações paralelas são ilegais e passíveis de sanções de acordo com o artigo 171 do Código Penal."
- Latam: "A Latam Airlines Brasil informa que adota os mais modernos sistemas antifraudes disponíveis no mercado e possui uma série de processos internos para proteção em tentativas de golpes. A companhia entende que a segurança é um valor imprescindível, que perpassa todas as suas atividades e relações."