Οι Αντιτιθέμενοι Κανόνες του KYC
Οι κανόνες Γνώσης του Πελάτη (KYC) δημιουργούν πραγματική ένταση για τις εταιρείες fintech. Οι ρυθμιστικές αρχές θέλουν διεξοδικούς ελέγχους ταυτότητας. Απαιτούν από τις εταιρείες να συλλέγουν και να επαληθεύουν προσωπικά έγγραφα. Αλλά οι νόμοι προστασίας δεδομένων πιέζουν στην αντίθετη κατεύθυνση. Απαιτούν από τις εταιρείες να ελαχιστοποιούν αυτά τα δεδομένα μόλις συλλεχθούν.
Μια τράπεζα που ανοίγει νέο λογαριασμό συλλέγει πολλά έγγραφα. Αυτά περιλαμβάνουν εθνικές ταυτότητες, διαβατήρια και άδειες οδήγησης. Συλλέγει επίσης αποδείξεις διεύθυνσης και οικονομικά έγγραφα. Αυτά τα αρχεία περιέχουν πυκνά προσωπικά δεδομένα. Ο ΓΚΠΔ, οι κανόνες AML και οι τραπεζικοί εποπτές απαιτούν αυστηρή διαχείριση.
Όταν αυτά τα δεδομένα μετακινούνται σε συστήματα απάτης ή αναλύσεων, εφαρμόζονται πρόσθετοι κανόνες. Ενεργοποιούνται οι κανόνες δεδομένων του ΓΚΠΔ. Τα προσωπικά δεδομένα πρέπει να αποκρύπτονται ή να απο-αναγνωρίζονται πριν από οποιαδήποτε δευτερεύουσα χρήση.
Το Πρόβλημα Καθυστέρησης 2 Ημερών
Μια ψηφιακή τράπεζα επεξεργαζόταν 5.000 αιτήσεις KYC ημερησίως σε 15 χώρες της ΕΕ. Το βήμα σάρωσης PII προκάλεσε σοβαρό πρόβλημα. Το ποσοστό ψευδώς θετικών ήταν πολύ υψηλό. Οι ουρές αναθεώρησης αυξήθηκαν μέχρι να φτάσουν σε καθυστέρηση 2 ημερών.
Η βασική αιτία ήταν σαφής. Το εργαλείο ML τους επισήμαινε περίπου 8% μη-PII κειμένου ως προσωπικά δεδομένα. Κάθε αρχείο είχε πολλές σελίδες. Ο ημερήσιος όγκος ψευδώς θετικών ήταν πολύ μεγάλος για να τον εκκαθαρίσει η ομάδα σε μία ημέρα. Συνέχισαν να υστερούν.
Τα ψευδώς θετικά χωρίστηκαν σε τρεις ομάδες:
- Εταιρικές επωνυμίες που επισημάνθηκαν ως ονόματα προσώπων (το μοντέλο μπέρδεψε τα κύρια ονόματα)
- Κωδικοί αναφοράς που επισημάνθηκαν ως αριθμοί ταυτότητας (δεν χρησιμοποιήθηκε έλεγχος αθροίσματος ελέγχου)
- Κοινά μικρά ονόματα όπως «Chase» σε τραπεζικές επωνυμίες που επισημάνθηκαν ως PII προσωπικού ονόματος
Κάθε ψευδώς θετικό χρειαζόταν ανθρώπινη αναθεώρηση. Στο 8% σε 5.000 ημερήσια αρχεία, αυτό παρήγαγε χιλιάδες ημερήσιες εργασίες. Καμία δεν μπορούσε να αυτοματοποιηθεί.
Τι Δείχνει η Έρευνα ACL
Έρευνα ACL 2024 δοκίμασε πολύγλωσσα μοντέλα NLP για ανίχνευση PII. Το εύρημα ήταν σαφές. Μόνο το 5% των πολύγλωσσων μοντέλων NLP επιτυγχάνουν F1-score καλύτερο από 85% για PII εκτός αγγλικής σε όλες τις 24 γλώσσες της ΕΕ.
Το F1-score συνδυάζει ακρίβεια και ανάκληση. Χαμηλή ακρίβεια σημαίνει πολλά ψευδώς θετικά. Χαμηλή ανάκληση σημαίνει πολλά παραλειπόμενα στοιχεία. Και τα δύο αποτελέσματα βαθμολογούνται κακά. Το ποσοστό αποτυχίας 95% για επίτευξη 85% F1 δείχνει πόσο δύσκολη είναι η διαγλωσσική σάρωση PII στην πράξη.
Αντίθετα, το XLM-RoBERTa επιτυγχάνει 91,4% διαγλωσσικό F1 για εργασίες PII. Αυτό το νούμερο προέρχεται από αξιολόγηση HuggingFace 2024. Το χάσμα μεταξύ 91,4% και του διαμέσου μοντέλου εξηγεί γιατί τα εύχρηστα εργαλεία αποτυγχάνουν στο πολύγλωσσο KYC.
Υβριδική Σχεδίαση για KYC Μεγάλου Όγκου
Το πρόβλημα ψευδώς θετικών είναι επιλύσιμο. Τρεις επιλογές σχεδίασης το διορθώνουν.
Regex με έλεγχο αθροίσματος ελέγχου: Οι εθνικοί αριθμοί ταυτότητας έχουν σταθερούς κανόνες. Το γερμανικό Steuer-ID, το ολλανδικό BSN και το πολωνικό PESEL χρησιμοποιούν μαθηματικά αθροίσματος ελέγχου. Εάν ένας αριθμός αποτύχει στο άθροισμα ελέγχου, δεν είναι εθνική ταυτότητα. Η μορφή συν το άθροισμα ελέγχου παράγει σχεδόν μηδενικά ψευδώς θετικά για αυτές τις ταυτότητες.
NLP με επίγνωση πλαισίου για ονόματα: Τα ονόματα προσώπων σε αρχεία KYC εμφανίζονται σε γνωστά σημεία. Αυτά περιλαμβάνουν «Όνομα:», «Επίθετο:» και συγκεκριμένα πεδία φόρμας. Η απαίτηση λέξης πλαισίου πριν από την επισήμανση ονόματος μειώνει τα ψευδώς θετικά. Σταματά τις επωνυμίες εταιρειών από το να ενεργοποιούν ειδοποιήσεις ονόματος προσώπου.
Ρύθμιση ορίου ανά τύπο αρχείου: Τα αρχεία KYC διαφέρουν από τα email υποστήριξης ή τις ιατρικές σημειώσεις. Κάθε τύπος έχει διαφορετική σύνθεση PII. Ο ορισμός ορίων ανά τύπο αρχείου επιτρέπει στις ομάδες να ρυθμίζουν ανάλογα με τις ανάγκες τους. Το KYC μεγάλου όγκου έχει υψηλότερη ακρίβεια. Η ιατρική απο-αναγνώριση έχει υψηλότερη ανάκληση.
Η καθυστέρηση 2 ημερών δεν είναι αναπόφευκτο κόστος σάρωσης PII. Είναι κόστος χρήσης γενικών εργαλείων σε συγκεκριμένη ροή εργασίας. Η λύση είναι η ρύθμιση, όχι μια μεγαλύτερη ομάδα.
Ο οδηγός συμμόρφωσης ΓΚΠΔ μας καλύπτει τους κανόνες ελαχιστοποίησης δεδομένων. Η επισκόπηση ασφάλειας και συμμόρφωσης μας εξηγεί τα τεχνικά ελέγχους που υποστηρίζουν ροές εργασίας KYC σε συμμόρφωση.