KYC'nin Çelişen Kuralları
Müşterinizi Tanıyın (KYC) kuralları, fintech firmaları için gerçek bir gerilim yaratır. Düzenleyiciler kapsamlı kimlik doğrulaması ister. Firmalardan kişisel belgeler toplamasını ve doğrulamasını talep ederler. Ancak veri yasaları ters yönde zorlar; toplandıktan sonra bu verinin minimize edilmesini gerektirir.
Yeni hesap açan bir banka çok sayıda belge toplar. Ulusal kimlik kartları, pasaportlar ve sürücü belgeleri bunlar arasındadır. Ayrıca ikametgah belgesi ve finansal belgeler de toplanır. Bu dosyalar yoğun kişisel veri içerir. GDPR, AML kuralları ve bankacılık denetçileri sıkı işlem yapılmasını gerektirir.
Bu veriler dolandırıcılık sistemlerine veya analizlere aktarıldığında ek kurallar devreye girer. GDPR veri kuralları geçerli olur. Kişisel veriler ikincil kullanımdan önce maskelenmeli veya anonim hale getirilmelidir.
2 Günlük Birikim Sorunu
Bir dijital banka, 15 AB ülkesinde günde 5.000 KYC başvurusu işliyordu. PII tarama adımı ciddi bir sorun yarattı. Yanlış pozitif oranı çok yüksekti. İnceleme kuyrukları büyüyerek 2 günlük birikime ulaştı.
Temel neden açıktı. ML tabanlı araçları, PII olmayan metinlerin yaklaşık %8'ini kişisel veri olarak işaretliyordu. Her dosya çok sayıda sayfadan oluşuyordu. Günlük yanlış pozitif hacmi, ekibin bir günde temizleyebileceği miktarın çok üzerindeydi. Sürekli geride kalıyorlardı.
Yanlış pozitifler üç gruba ayrılıyordu:
- Şirket adlarının kişi adı olarak işaretlenmesi (model özel isimleri karıştırdı)
- Referans kodlarının kimlik numarası olarak işaretlenmesi (sağlama toplamı kontrolü kullanılmadı)
- Banka adlarındaki "Chase" gibi yaygın isimlerin kişi adı olarak işaretlenmesi
Her yanlış pozitif insan incelemesi gerektiriyordu. 5.000 günlük dosyada %8 oranı, her gün binlerce görev üretiyordu. Bunların hiçbiri otomatik olarak çözülemiyordu.
ACL Araştırması Ne Gösteriyor
ACL 2024 araştırması, PII tespiti için çok dilli NLP modellerini test etti. Bulgu çarpıcıydı. Çok dilli NLP modellerinin yalnızca %5'i, 24 AB dilinin tümünde İngilizce dışı PII için %85'ten yüksek F1 skoru elde ediyordu.
F1 skoru hassasiyet ve geri çağırmayı birleştirir. Düşük hassasiyet çok sayıda yanlış pozitif demektir. Düşük geri çağırma çok sayıda kaçırılan öğe demektir. Her iki sonuç da düşük puan alır. %85 F1'e ulaşamayan %95'lik oran, pratikte çapraz dilli PII taramanın ne kadar zor olduğunu gösterir.
Buna karşın XLM-RoBERTa, PII görevleri için %91,4 çapraz dilli F1 elde etmektedir. Bu rakam HuggingFace 2024 kıyaslamasından alınmıştır. %91,4 ile medyan model arasındaki fark, hazır araçların çok dilli KYC'de neden başarısız olduğunu açıklar.
Yüksek Hacimli KYC için Hibrit Tasarım
Yanlış pozitif sorunu çözülebilir. Üç tasarım tercihi bunu düzeltir.
Sağlama toplamı kontrolü olan regex: Ulusal kimlik numaralarının sabit kuralları vardır. Alman Steuer-ID, Hollanda BSN ve Polonya PESEL'in her biri sağlama toplamı matematiği kullanır. Bir sayı sağlama toplamı testinde başarısız olursa ulusal kimlik değildir. Format artı sağlama toplamı, bu kimlikler için neredeyse sıfır yanlış pozitif üretir.
Bağlam farkında NLP, isimler için: KYC dosyalarındaki kişi adları bilinen konumlarda görünür. Bunlar "Ad:", "Soyad:" ve belirli form alanlarıdır. Bir adı işaretlemeden önce bağlam sözcüğü aramak yanlış pozitifleri azaltır; firma adlarının kişi adı uyarısı tetiklemesini önler.
Dosya türüne göre eşik ayarı: KYC dosyaları destek e-postalarından veya tıbbi notlardan farklıdır. Her türün farklı bir PII karışımı vardır. Dosya türüne göre eşik belirlemek, ekiplerin ihtiyaçlarına göre ayarlama yapmasına olanak tanır. Yüksek hacimli KYC daha yüksek hassasiyet alır. Tıbbi anonim hale getirme daha yüksek geri çağırma alır.
2 günlük birikim, PII taramanın kaçınılmaz bir maliyeti değildir. Belirli bir iş akışında genel amaçlı araç kullanmanın maliyetidir. Çözüm daha büyük bir ekip değil, doğru konfigürasyondur.
GDPR uyumluluk kılavuzumuz veri minimize etme kurallarını kapsar. Güvenlik ve uyumluluk genel bakışımız uyumlu KYC iş akışlarını destekleyen teknik kontrolleri açıklar.