Конкуриращите се правила на KYC
Правилата за Опознай своя клиент (KYC) създават реално напрежение за финтех фирмите. Регулаторите искат задълбочени проверки на самоличността. Те изискват от фирмите да събират и проверяват лични документи. Но законите за данните натискат в обратна посока. Те изискват от фирмите да минимизират тези данни, след като са събрани.
Банка, която открива нова сметка, събира много документи. Те включват национални лични карти, паспорти и шофьорски книжки. Включват и доказателство за адрес и финансови документи. Тези файлове съдържат гъсти лични данни. GDPR, правилата за AML и банковите надзорници изискват стриктно управление.
Когато тези данни се преместват към системи за измами или анализ, се прилагат допълнителни правила. Влизат в сила правилата на GDPR за данните. Личните данни трябва да бъдат маскирани или деидентифицирани преди всяка повторна употреба.
Проблемът с 2-дневното забавяне
Дигитална банка обработваше 5 000 KYC заявления дневно в 15 държави от ЕС. Тяхната стъпка за сканиране на PII причини сериозен проблем. Процентът на фалшивите положителни резултати беше твърде висок. Опашките за преглед нараснаха, докато достигнаха 2-дневно забавяне.
Коренната причина беше ясна. Техният инструмент, базиран на ML, маркираше около 8% от текстовете без PII като лични данни. Всеки файл имаше много страници. Дневният обем на фалшивите положителни резултати беше твърде голям за екипа, за да го изчисти за един ден. Те продължаваха да изостават.
Фалшивите положителни резултати попадаха в три групи:
- Имена на компании, маркирани като имена на лица (моделът обърка собствените имена)
- Референтни кодове, маркирани като идентификационни номера (не се използваше проверка на контролна сума)
- Общи лични имена като "Chase" в имена на банки, маркирани като PII с лично име
Всеки фалшив положителен резултат изискваше преглед от човек. При 8% от 5 000 дневни файла, това произведе хиляди дневни задачи. Нито една не можеше да бъде автоматизирана.
Какво показва изследването на ACL
Изследването на ACL 2024 тества многоезикови NLP модели за засичане на PII. Констатацията беше категорична. Само 5% от многоезиковите NLP модели постигат F1-оценка по-добра от 85% за PII на неанглийски езици за всичките 24 езика на ЕС.
F1-оценката съчетава прецизност и изтегляне. Ниската прецизност означава много фалшиви положителни резултати. Ниското изтегляне означава много пропуснати елементи. И двата резултата отбелязват лошо. 95%-ният процент на провал за достигане на 85% F1 показва колко трудно е многоезиковото сканиране за PII на практика.
За разлика от тях, XLM-RoBERTa постига 91,4% многоезиков F1 за PII задачи. Тази цифра е от бенчмарка на HuggingFace 2024. Разликата между 91,4% и медианния модел обяснява защо готовите инструменти се провалят при многоезиков KYC.
Хибриден дизайн за KYC с голям обем
Проблемът с фалшивите положителни резултати е разрешим. Три дизайнерски избора го поправят.
Регулярен израз с проверка на контролна сума: Националните идентификационни номера имат фиксирани правила. Германският Steuer-ID, холандският BSN и полският PESEL всички използват контролна аритметика. Ако число не издържи контролната сума, то не е национален идентификатор. Формат плюс контролна сума произвежда почти нулеви фалшиви положителни резултати за тези идентификатори.
NLP, съобразен с контекста, за имена: Имената на лица в KYC файловете се появяват на известни места. Те включват "Ime:", "Prezime:" и зададени полета на формуляри. Изискването на контекстна дума преди маркирането на дадено име намалява фалшивите положителни резултати. Спира имената на фирми да задействат сигнали за лично ими.
Настройка на прага по тип файл: KYC файловете се различават от имейлите за поддръжка или медицинските бележки. Всеки тип има различна смес от PII. Задаването на прагове по тип файл позволява на екипите да настроят според нуждите си. KYC с голям обем получава по-висока прецизност. Медицинската деидентификация получава по-голямо изтегляне.
2-дневното забавяне не е неизбежен разход от сканирането за PII. То е разход от използването на общи инструменти в специфичен работен процес. Поправката е в настройката, не в по-голям екип.
Нашето ръководство за съответствие с GDPR обхваща правилата за минимизиране на данните. Нашият преглед на сигурността и съответствието обяснява техническите контроли, поддържащи съвместимите KYC работни процеси.