Regulile contradictorii ale KYC
Regulile Know Your Customer (KYC) creează o tensiune reală pentru companiile fintech. Autoritățile de reglementare doresc verificări amănunțite ale identității. Ele solicită companiilor să colecteze și să verifice documentele personale. Dar legile privind datele împing în direcția opusă. Ele solicită companiilor să minimizeze aceste date odată colectate.
O bancă care deschide un cont nou colectează numeroase documente. Acestea includ acte de identitate naționale, pașapoarte și permise de conducere. Colectează de asemenea dovezi de adresă și documente financiare. Aceste fișiere conțin date cu caracter personal dense. GDPR, regulile AML și supraveghetorii bancari solicită cu toții o gestionare strictă.
Când aceste date sunt transferate în sistemele de fraudă sau analiză, se aplică reguli suplimentare. Regulile GDPR privind datele intră în vigoare. Datele cu caracter personal trebuie să fie mascate sau anonimizate înainte de orice utilizare secundară.
Problema backlog-ului de 2 zile
O bancă digitală a procesat 5.000 de cereri KYC zilnic în 15 țări UE. Etapa de scanare PII a cauzat o problemă gravă. Rata fals pozitivelor era prea mare. Cozile de revizuire au crescut până au ajuns la un backlog de 2 zile.
Cauza fundamentală era clară. Instrumentul lor bazat pe ML marca aproximativ 8% din textul non-PII ca date cu caracter personal. Fiecare fișier avea mai multe pagini. Volumul zilnic de fals pozitive era prea mare pentru ca echipa să îl rezolve într-o zi. Rămâneau mereu în urmă.
Fals pozitivele se încadrau în trei grupuri:
- Nume de companii marcate drept nume de persoane (modelul a confundat substantivele proprii)
- Coduri de referință marcate drept numere de identificare (nu s-a folosit verificarea sumei de control)
- Prenume comune precum „Chase” în numele băncilor marcate drept PII cu nume de persoană
Fiecare fals pozitiv necesita revizuire umană. La 8% din 5.000 de fișiere zilnice, aceasta producea mii de sarcini zilnice. Niciuna nu putea fi automatizată.
Ce arată cercetarea ACL
Cercetarea ACL 2024 a testat modele NLP multilingve pentru detectarea PII. Concluzia a fost tranșantă. Doar 5% dintre modelele NLP multilingve ating un F1-score mai bun de 85% pentru PII în limbi non-engleze în toate cele 24 de limbi UE.
F1-score combină precizia și recall-ul. Precizia scăzută înseamnă multe fals pozitive. Recall-ul scăzut înseamnă multe elemente ratate. Ambele rezultate primesc scoruri slabe. Rata de eșec de 95% în atingerea unui F1 de 85% arată cât de dificilă este scanarea PII cross-lingvistică în practică.
Prin contrast, XLM-RoBERTa atinge un F1 cross-lingvistic de 91,4% pentru sarcinile de PII. Această cifră provine din testele HuggingFace 2024. Decalajul dintre 91,4% și modelul median explică de ce instrumentele standard eșuează în KYC multilingv.
Proiectare hibridă pentru KYC cu volum mare
Problema fals pozitivelor este rezolvabilă. Trei decizii de proiectare o rezolvă.
Regex cu verificarea sumei de control: Numerele naționale de identificare au reguli fixe. Steuer-ID-ul german, BSN-ul olandez și PESEL-ul polonez folosesc fiecare matematica sumei de control. Dacă un număr eșuează la suma de control, nu este un act de identitate național. Format plus sumă de control produce aproape zero fals pozitive pentru aceste identificatoare.
NLP conștient de context pentru nume: Numele de persoane în fișierele KYC apar în locuri cunoscute. Acestea includ câmpurile „Nume:”, „Prenume:” și câmpurile prestabilite din formulare. Solicitarea unui cuvânt de context înainte de marcarea unui nume reduce fals pozitivele. Oprește numele de firme să declanșeze alerte pentru nume de persoane.
Ajustarea pragului pe tip de fișier: Fișierele KYC diferă de e-mailurile de asistență sau notele medicale. Fiecare tip are un mix diferit de PII. Setarea pragurilor pe tip de fișier permite echipelor să ajusteze în funcție de necesități. KYC cu volum mare necesită precizie mai mare. De-identificarea medicală necesită recall mai mare.
Backlog-ul de 2 zile nu este un cost inevitabil al scanării PII. Este costul utilizării instrumentelor generice pe un flux de lucru specific. Remediul constă în configurare, nu într-o echipă mai mare.
Ghidul nostru de conformitate GDPR acoperă regulile de minimizare a datelor. Prezentarea noastră generală privind securitatea și conformitatea explică controalele tehnice care susțin fluxurile de lucru KYC conforme.