Порогова оптимізація risk-based автентифікації під вартісні регуляторні обмеження PSD2

Abstract

У статті розглянуто задачу оптимізації порогових рішень у системах автентифікації на основі ризику (Risk-Based Authentication, RBA) з урахуванням вартісних обмежень регулятора PSD2. Запропоновано математичну модель прийняття рішень про дозвіл транзакції, додаткову перевірку (SCA) або відхилення на основі ризикового скору та вартості транзакції. Введено обмеження на value-fraud-rate – частку шахрайства за сумою серед дозволених транзакцій – відповідно до порогів PSD2 (0,13%, 0,06%, 0,01%)[1][2]. Розроблено алгоритм налаштування порогових значень для кожного вартісного діапазону транзакцій, що гарантує невихід за встановлені ліміти шахрайства. Проведено імітаційний експеримент на згенерованому датасеті транзакцій із ознаками ризику та мітками шахрайств. Результати показали, що запропонований підхід дозволяє забезпечити дотримання регуляторних вимог (value-fraud-rate не перевищує 0,13%/0,06%/0,01% у відповідних діапазонах сум) при значно більшій частці транзакцій, що проходять без додаткової аутентифікації, порівняно з базовими стратегіями. Проаналізовано вплив порогових налаштувань на частоту спрацювання SCA та рівень шахрайства, а також можливості практичного застосування розробленої методики в хмарних платформах банків та платіжних провайдерів (PSP) для підтримки трастової автентифікації транзакцій.

This paper addresses the problem of threshold decision optimization in risk-based authentication (RBA) systems under the value-based fraud rate constraints of PSD2. We propose a mathematical model for deciding whether to allow a transaction, require additional Strong Customer Authentication (SCA), or deny the transaction based on a risk score and transaction amount. We introduce constraints on the value-fraud-rate – the fraction of fraud by value among allowed transactions – in accordance with PSD2 thresholds (0.13%, 0.06%, 0.01%)[1][2]. An algorithm for tuning decision thresholds for each transaction amount range is developed, providing guarantees that fraud rates remain below the regulatory limits. A simulation experiment on a generated transaction dataset with risk scores and fraud labels is conducted. The results demonstrate that the proposed approach satisfies regulatory requirements (value-fraud-rate not exceeding 0.13%/0.06%/0.01% for the respective amount tiers) while allowing a significantly higher proportion of transactions to proceed without additional authentication compared to baseline strategies. We analyze how the threshold settings affect SCA trigger frequency and fraud levels, and discuss practical implications of deploying the proposed method in cloud-based banking and Payment Service Provider (PSP) platforms to support trusted transaction authentication.