VoP: możliwe wyzwania dla banków przy weryfikacji danych – cz.3

Zapraszamy na trzecią część naszego cyklu informacyjnego o VoP, czyli weryfikacji danych odbiorców przelewów SEPA (Verification of Payee). Jest to nowy mechanizm, który już od 9 października będzie obowiązywać w strefie euro. Będzie dotyczyć również wszystkich, którzy wykonują operacje finansowe z krajami z tej strefy. Dziś opisujemy możliwe wyzwania, przed jakimi staną banki dokonując weryfikacji danych.

W pierwszej części naszego cyklu podzieliliśmy się podstawowymi informacjami o VoP,  m.in. od kiedy i kogo będzie dotyczyć. W drugiej części szczegółowo wyjaśniliśmy zasady weryfikacji danych w przelewach. Oba artykuły i kolejne części komiksu, który im towarzyszy, są dostępne na naszym firmowym blogu: https://bms.com.pl/wiedza/

Dlaczego warto wiedzieć więcej o VoP?

W BMS stworzyliśmy cykl informacyjny o VoP, ponieważ jako zaufany dostawca systemów informatycznych dla sektora bankowego, wiemy, jak ważne jest cyberbezpieczeństwo. VoP ma na celu ograniczenie oszustw finansowych, w których przestępcy wykorzystują mechanizm podstawiania swoich danych w trakcie wykonywanej operacji (np. poprzez przejęcia ekranu osoby zlecającej przelew).

Wszelkie regulacje prawne dla sektora usług finansowych skutkują koniecznością dostosowania się banków do określonych prawem wymagań technologicznych. W BMS na bieżąco śledzimy informacje na ten temat i dzielimy się wiedzą. A o VoP warto wiedzieć jak najwięcej, bo ten mechanizm może zaskoczyć użytkowników.

Wytyczne EPC – ujednolicenie danych językowych

Proces weryfikacji danych odbiorcy jest stosunkowo prosty. Po otrzymaniu zapytania w ramach rozpoczętego przelewu SEPA, bank odbiorcy zweryfikuje, czy dane odbiorcy wprowadzone w zleceniu są zgodne z danymi właściciela rachunku w systemach banku. Bank ten będzie musiał również określić stopień tej zgodności, przypisując jej jeden z czterech możliwych komunikatów zwrotnych: MATCH – pełne dopasowanie, CLOSE MATCH – bliskie dopasowanie, NO MATCH – brak dopasowania, NONE – brak informacji/weryfikacja niedostępna. Pisaliśmy o tym szczegółowo w części drugiej cyklu. Komunikat nie spowoduje blokady operacji – stanowi jedynie informację dla nadawcy, który uzyskawszy ją, sam zdecyduje o działaniu (czy wysłać przelew, czy wstrzymać jego realizację).

Zgodnie z wytycznymi EPC (European Payment Council), porównywane teksty (czyli dane odbiorcy z zapytania i z bazy banku) powinny być ujednolicone poprzez:

• zignorowanie wielkich i małych liter (ujednolicenie do jednej postaci)
• zamianę znaków diakrytycznych/akcentów wg. zaproponowanej przez EPC listy np. ü = u; ê = e; â = a; à = a; ö = o = ø = oe; ä = a = æ = ae; å = a = aa; é = e = ee
• usunięcie oprócz cyfr także innych znaków nie alfabetycznych np. ` ~ @ # $ % ^ & * – + = | \ { } [ ] : ; „'<>,.?
• usunięcie tytułów grzecznościowych i tytułów w ciągu imienia i nazwiska – np. Dr, Pan, Pani 
• obcięcie spacji na początku i na końcu

Możliwe wyzwania przy weryfikacji

Ponieważ mechanizm VoP jest nowością, pojawia się szereg scenariuszy, które mogą stanowić wyzwanie przy weryfikacji danych. Bank odbiorcy ma za zadanie porównać imię i nazwisko czy nazwę firmy z zapytania z danymi w swojej bazie.  Jakkolwiek banki dbają o jakość gromadzonych danych, to nie były one zbierane w sposób uwzględniający stosowanie mechanizmu VoP. Oznacza to, że banki będą polegały na posiadanych danych, porównując je z zapytaniami przychodzącymi w ramach VoP. Może wówczas powstać sytuacja, z której nadawca poda w danych przelewu dwa imiona i nazwisko osoby, do której wykonuje operację, a w banku odbiorcy funkcjonują dane z jednym imieniem. 

Wówczas bank odbiorcy stanie przed wyzwaniem, jak ma do tego podejść – jaki wynik weryfikacji zwrócić? 

Drugi hipotetyczny scenariusz, który może stanowić problem, to sytuacja, gdy nadawca przelewu poda pojedyncze nazwisko odbiorcy (bo tylko takie zna albo ma w zapisanych odbiorcach). Tymczasem bank odbiorcy ma już po swojej stronie nazwisko składające się z dwóch członów. 

Kolejnym wyzwaniem mogą być nazwy firm – stosowane niekiedy w zapisach w różnoraki sposób; a także skróty nazw oraz oznaczenia form prawnych (S.A., Sp. z o.o, GmbH, itp.). 

Tutaj również algorytmy porównujące będą musiały przyjąć jakieś określone zasady, by zwracać sensowną odpowiedź.

Jak banki zaadresują te wyzwania?

Wdrożenie VoP wymaga zatem od banków stworzenia mechanizmów „inteligentnego dopasowania” – algorytmów, które nie tylko literalnie porównują dane, ale potrafią wykrywać i interpretować podobieństwa. Jednym z takich rozwiązań jest wprowadzenie progów zgodności (z ang. fuzzy matching – dopasowanie przybliżone), w którym system ocenia prawdopodobieństwo, że dane wprowadzone przez nadawcę są na tyle zbliżone do danych posiadacza rachunku, że zwracany komunikat VoP będzie brzmiał CLOSE MATCH.

Banki mogą także stosować dodatkowe reguły biznesowe, np. ignorowanie niewielkich różnic. W praktyce oznacza to, że użytkownik, który wpisze dane z niewielkimi rozbieżnościami, nadal otrzyma pozytywną weryfikację VoP, co zwiększa użyteczność systemu, a jednocześnie minimalizuje ryzyko zwrotu komunikatu NO MATCH dla  prawidłowego przelewu.

Samo EPC zaproponowało zastosowanie różnych metod porównywania danych, np. metodę Damerau-Levenstheina. Oto przykład zastosowania takiej logiki:

Z banku nadawcy otrzymujemy dane beneficjenta: JAŚ KOWALSKI

Po stronie bazy klientów banku odbiorcy mamy: JAN KOWALSKI

Widać, że zgodności 1:1 nie ma, zatem należy sprawdzić podobieństwo. Stosując metodę Damerau-Levenstheina konieczne jest wykonanie jednej zmiany, aby porównywane frazy były zgodne. 

Wykorzystując tę regułę, bank odbiorcy określi możliwe limity zmian w porównywanych frazach. Jeśli liczba zmian będzie mieściła się w tychże limitach, uzna on frazy za wystarczająco podobne i odpowie do banku nadawcy: CLOSE MATCH (bliskie dopasowanie).

Warto wspomnieć, że banki od dawna korzystają z metod takich jak fuzzy matching przy sprawdzaniu danych klientów, np. w procesach AML, weryfikacji dokumentów czy przy obsłudze płatności międzynarodowych (gdzie różnice w zapisie imion/nazwisk są częste).

Istotną zmienną będzie tutaj też wymóg użyteczności. Gdyby VoP działał tylko na zasadzie – 1:1 (identyczne dane), zwróciłby komunikat NO MATCH dla wielu poprawnych przelewów. To nie byłoby akceptowalne dla klientów, banków ani regulatorów, więc banki muszą zaprojektować systemy, które rozpoznają nieistotne różnice.

Jak na VoP powinni przygotować się klienci?

Klienci banków, których VoP będzie dotyczyć, (a więc ci, którzy mają do czynienia z przelewami z podmiotami ze strefy euro) – przede wszystkim powinni być świadomi wprowadzenia VoP.  Tym bardziej ponownie zachęcamy do przeczytania wcześniejszych części naszego cyklu. VoP oznacza konieczność zachowania większej dokładności w podawaniu danych odbiorcy przelewu. Aby uniknąć niepotrzebnych ostrzeżeń czy opóźnień w realizacji płatności, dobrze jest zwracać uwagę na poprawny zapis imienia, nazwiska oraz nazwy firmy, a także na stosowanie pełnych danych, bez skrótów czy uproszczeń. 

O czym powinni pamiętać klienci indywidualni

Klienci indywidualni muszą pamiętać, że warto zawsze korzystać z pełnych i poprawnych danych oraz regularnie aktualizować dane odbiorców zdefiniowanych w bankowości internetowej lub mobilnej. Dzięki temu przelewy będą realizowane sprawniej, a ryzyko pomyłki zostanie zminimalizowane.

A na co zwrócić uwagę w przypadku firm

Przedsiębiorcom zalecamy zadbanie o spójność danych kontrahentów w systemach księgowych i finansowych z danymi widniejącymi w bankach. Firmy powinny zwrócić uwagę, czy w bazach nie występują skrócone nazwy, stare dane rejestrowe lub różne warianty tego samego kontrahenta, które mogłyby powodować niezgodności przy weryfikacji VoP. Z pewnością dobrym krokiem będzie zrobienie okresowego przeglądu i ujednolicenie bazy dostawców i klientów. W ten sposób firmy unikną problemów z realizacją przelewów i niepotrzebnych opóźnień w swoich rozliczeniach biznesowych.

BMS od ponad 27 lat dostarcza systemy informatyczne dla sektora usług finansowych. Z naszych rozwiązań korzystają największe banki w Polsce. Zapraszamy do kontaktu!