Betrugsprävention

Betrugsprävention! - O.K. welche konkreten Auswirkungen hat es für mich als tomorrow Kunde ?

Dass du ohne Zustimmung strenger manuell kontrolliert wirst als jemand, der zusätzliche Daten bereitstellt.

Die Solaris nennt ihn ihrer CDD drei „Prüfungsinstrumente“ die bei Kunden zum Einsatz kommen. Diese KÖNNTEN dann vielleicht regelmäßiger oder strenger angewendet werden können.

1. Screening gegen Datenquellen wie Sanktionslisten etc. ( Customer screening)
2. Risikoklassifizierung basierend auf den Kundendaten ( Risk classification)
3. Bekannte Betrugsmuster ( Customer vetting)

Hinweis: das Wording oben ist eine übersetzte Zusammenfassung von mir, kein wörtliches Zitat aus der Solaris Dokumenation

Sorry, dass ich hier kurz ergänze: Alle Kund:innen sind dem Prozess, der hier Customer Due Diligence genannt ist, ausgesetzt. Diese Sceenings sind periodisch, und betreffen jeden. Solaris sagt: Alle, die dem Device Monitoring nicht zustimmen, „may be subject to stricter Enhanced Due Diligence measures sooner than customers who consent to it.“

Mit Enhanced Due Diligence ist ein erweitertes manuelles Screening bezeichnet, dass zum Einsatz kommen kann. Die Prüfung geht dann über CDD hinaus. Ohne Zustimmung zum Device Monitoring kann es sein, dass eine solche striktere Prüfung eher einsetzt als mit.

Alle Banken arbeiten meiner Kenntnis nach im Prinzip mit einer Art internem Risiko-Score. Meist kommen verschiedene Risikofaktoren zusammen, die dann zum Beispiel zu einer manuellen Transaktionsüberprüfung bei Geldwäscheverdacht führen können. Wenn Solaris weniger Daten für eine automatisierte Prüfung zu Verfügung stehen, kann es sein, dass eine striktere Risikobewertung eher zu einer manuellen Überprüfung führt.

Das die Prüfung regelmäßig jeden trifft ist klar (auch weils in der CDD Guideline direkt im ersten Satz drin steht ).

Ansonsten hast du mit der Ergänzung natürlich recht.

Einen weiteren interessanten Punkt aus der Dev. Monitoring Guideline könnte ich noch sehen, unabhängig von irgendwelchen Prüfungen.
Ein technisches Detail, nämlich API Calls die das Device Monitoring voraussetzen.
Als (kritische) Beispiele mal zu nennen die Änderung der Karten PIN oder der Handynummer …

Mir war wichtig herauszuheben, dass es zwei Prozesse gibt, die Solaris CDD und EDD nennt. Der zweitere, Enhanced Due Diligence ist jener, auf den sich der Hinweis zur strikteren/früheren Anwendung bezog. Konkret ist das der Schritt der folgt, wenn CDD zu einer erhöhten Risikobewertung geführt hat.

Hast du geprüft, ob es legacy API endpoints gibt für bestimmte Funktionen, wenn Device monitoring nicht implementiert ist? Es kann sein, dass es zwei separate API endpoints für die gleiche Funktion gibt. Device binding funktionierte ja zum Beispiel bislang ohne, ebenso das ändern der Karten-PIN. Es gibt also offensichtlich API endpoints, die auch bei deaktiviertem Device monitoring diese Funktionen ermöglichen.

Ich finde leider keine explizite Dokumentation in der Richtung.
Das aus dem vorhandenen in der Dokumentation rauslesen kann zumindest ich nicht …

Für mich entsteht die große Verwirrung dadurch, dass der ganze Pop Up nach einer rechtlichen Anforderung klingt, die man aber ablehnen kann.

Der Hinweis hier aus dem Forum, dass man bei Ablehnung aufgrund weniger Informationen strikter bewertet wird, hätte schon geholfen.

Oder das die Wahrscheinlichkeit steigt, dass Aktivitäten fälschlicherweise als suspekt eingestuft werden. (Was ja anscheinend schon häufiger passiert)

Dieses allgemeine Gefasel von „Banking Experience“ hilft an der Stelle nicht

Ja, aber und das muss man dazu anmerken: der Text für diesen Consent Banner wird in der Dokumentation von Solaris mehr oder weniger wörtlich so vorgegeben …

Ich habe auf Einwilligen geklickt, weil es sonst wohl nicht weiter gegangen wäre, dachte ich.
Ich bin seit Juli 2022 Kundin und gelte als Neukundin und diese Aufforderung kommt jetzt erst?
Echt, keine andere - normale - Bank macht sowas.
Mich nervt das immer mehr, wirklich. Ich werde jetzt also rund um die Uhr von Tommorow/Solaris überwacht. Das kann doch wohl echt nicht wahr sein. Und wenn der Algorithmus irgendwas fälschlich verdächtig an meinem Bewegungsprofil findet, sperrt Ihr mein Konto???

Tomorrow hat dazu noch keine Stellung genommen, aber generell würde ich es als Kunde gut heißen, wenn verdächtige Aktivitäten erstmal überprüft. Lieber so als andersrum.

Natürlich finde ich das gut. Aber ich habe schlechte Erfahrungen mit Algorithmen gemacht. Wenn der was verdächtiges findet, wird das von einem Menschen überprüft? Bei N26 offenbar nicht. Da wird sofort das Konto gesperrt und gekündigt. Und bis man sein Geld wieder hat, kann es sehr lange dauern. Ich habe eine Weile gebraucht, um zu vermuten, dass es an einem Verkauf über ebay kleinanzeigen gelegen haben könnte, weil es keine andere Erklärung gab. Von N26 sowieso nicht. Seitdem nutze ich für solche - seltenen - Verkäufe mein Hauptkonto.
Deshalb frage ich mich, ob die Ergebnisse des Algorithmus von einem Menschen nochmal überprüft werden, bevor weitere Schritte unternommen werden.

Du wirst auch hier im Forum kritische Stimmen finden, bei denen unerwartet Sperrungen vorgekommen sind. Es gibt auch zahlreiche Für und Wider Threads hierzu.

Ich könnte mir wohl gut vorstellen, dass man sich durch diese Betrugspräventionssache mehr Transparenz verschaffen möchte, um dann auch sanfter mit „Vorfällen“ umzugehen. Ist aber jetzt erstmal nur meine Phantasie oder Erwartungshaltung.

Wir werden es nicht erfahren, da Solaris und Tomorrow mehr oder weniger still sein müssen, wenn es um die Geldwäschethematik/-verdacht geht.

Ich erwarte ja auch gar keine Details bezüglich Geldwäscheprävention. Ich möchte nur wissen, ob ein Mensch da nochmal drüber schaut, wenn der Alarm los geht. So könnten unnötige Sperrungen und Kündigungen vermieden werden. Und viel Ärger und Frust bei den Kunden.
Bei N26 passiert das offenbar wohl immer noch nicht. Da wurden ja auch massenhaft Konten gekündigt. Ich verstehe so eine Vorgehensweise nicht. Ich hoffe, Tomorrow macht das besser.

Diese zwei Sachen sollte man unbedingt getrennt betrachten. Unnötige Sperrung vermeiden geht möglicherweise gar nicht, sobald der Geldwäscheverdacht mal getriggert wurde, so rein rechtlich gesehen. Definitiv wissen tu ich das nicht, aber ich vermute es stark.

Eine Kündigung ohne Review durch einen Menschen finde ich auch völlig irre, allerdings wäre mir nicht bekannt, dass Tomorrow und/oder Solaris aktuell so agieren. Es kann natürlich sein, dass es ein paar harte Regeln gibt, bei denen Tomorrow und/oder Solaris in 100% der Fälle eine Kündigung aussprechen, weil es z.B. um einen AGB-Verstoß geht. Das mag dann wirken wie ein Algorithmus, weil es ganz schnell geht. Aber so, wie ich manchmal bei der Arbeit auf eine Mail innerhalb von Sekunden antworten kann, so ist vermutlich auch in solchen Fällen einfach jemand schnell.

Aber nochmal: Ich glaube nicht, dass wir hier von automatischen, maschinellen Prozessen sprechen.

Diese Zustimmung zur Betrugsverprävention scheint mehrere Prozessanpassung mit wenig Trennschärfe zu bündeln. Das Device Monitoring und die Datenweitergabe mit Informationen die scheinbar der Solaris Bank vorher nicht bekannt waren (Teln., Emailadresse,…). Fairerweise hätte ich gedacht das selbige Daten Solaris mit Kontoeröffnung bekannt sind.

Stichwort Duchgängige Überwachung durch Tomorrow/Solaris: das kann man glaub relativ leicht entschärfen. In der Dokumentation lässt sich das nachlesen.

Einfach und von mir zusammengefasst soweit ich es verstanden habe und natürlich ohne Gewähr:
Das Monitoring funktiort im Prinzip so, das ein einzigartiger Fingerabdruck erzeugt werden soll. Der setzt sich wohl aus verschiedenen Komponenten die im Text genannt werden (Standortdaten etc) zusammen und soll Abweichungen und z.B. damit verbundene Betrugsversuche durch Dritte (wie Kontoübernahme) leichter erkennbar machen. Das soll aber alles technisch auf dem Endgerät des Users bzw. im Backend des Anbieters also hier tomorrow passieren.
Das erzeugen dieses „Fingerabdrucks“ soll wohl nur bei start der App oder in Fällen wie einer Passwortänderung erfolgen. Also kein durchgängiges „Monitoring“ …

Danke, @tinu, das beruhigt mich jetzt doch ein wenig. Als diese Aufforderung zur Einwilligung aufploppte, kriegte ich gleich Panik. Ich dachte nur, nein, nicht die auch… Wenn man das einmal erlebt hat, ist man sensibilisiert. Nach der Erfahrung mit N26 wollte ich eigentlich mit Neobanken nichts mehr zu tun haben, dachte dann aber, einen Versuch mach ich noch…

Danke, @JohnDoe. Gut zu wissen. Wo finde ich diesen Text? In dem, was auf dem Handy aufploppte, stand das nicht.

Anbieter wie tomorrow kommunizieren technisch über Schnittstellen (APIs) mit den IT Systemen der Solaris Bank (nennt man im Englischen auch Banking as a Service). Dafür gibt es genau technische Beschreibungen von Solaris die man auf ihrer Webseite nachlesen kann. Da kann man viele Details herauslesen.
Habe ich oben in meinem ersten Post verlinkt.
Ist aber eben eine technische Dokumentation …

Ich ergänze hier, dass der „Fingerabdruck“ in der Doku von Solaris der Geräte-Fingerabdruck ist. Dieser dient in Zukunft für alle Neukunden, für Bestandskunden bei Einwilligung, dazu, bestimmte Funktionen zu signieren.

Die Risikobewertung kann man sich wie die Ampeln vorstellen, die Solaris ja ebenfalls in der Doku beschreibt. Wenn’s gelb oder rot wird, schaltet man von einfacher Überwachung auf verschärfte (manuelle) Überwachung. Ich glaube man kann annehmen, ohne sich zu weit aus dem Fenster zu lehnen, dass dieser Schritt von Solaris auch dazu dienen soll, den Aufwand fürs manuelle Screening zu reduzieren, vermutlich weniger Konten temporär zu blockieren, usw.

@Freebee Der Punkt ist, wie man den Posts und den von @JohnDoe verlinkten technischen Dokus entnehmen kann, durchs „Device Monitoring“ die Gefahr einer erhöhten Risikoeinstufung mit manueller Kontrolle zu reduzieren. Du musst dich im Grund, wie häufig, zwischen „Datenzugriff“ und „Komfortgewinn“ entscheiden. Bedenke, dass es bei klassischen Banken diese Trennung zwischen Datenschutz bei Tomorrow und Solaris so nicht gibt. Die kennen eh schon alles.