Detección de fraude con aprendizaje automático: guía para fintech españolas

El fraude evoluciona más rápido que las reglas estáticas. En España, las fintech operan bajo PSD2 (autenticación reforzada SCA), AMLD5 y vigilancia de SEPBLAC; a la vez, deben preservar una experiencia cliente fluida. ¿Cómo lograr ese equilibrio? Un motor antifraude moderno combina modelos de ML, grafos y reglas orquestadas en tiempo real con explicabilidad y controles de privacidad.

Mapa de amenazas en España

• Phishing/Smishing: robo de credenciales y OTP. SCA no lo elimina si el usuario es engañado.
• Cuentas mula: redes organizadas mueven fondos fragmentados entre IBANs.
• Identidades sintéticas: mezcla de datos reales y falsos para pasar KYC inicial.
• Card‑not‑present en e‑commerce: testing de BINs y compras en ráfagas.
• Account takeover: accesos desde dispositivos/ubicaciones anómalas.

Señales y features imprescindibles

• Dispositivo: huella (entropía de fingerprint), jailbreak, idioma, zona horaria, cambios bruscos.
• Comportamiento: velocidad de tecleo/desplazamiento, patrones de navegación, campos pegados vs. tecleados.
• Transacción: importes, merchant MCC, hora, país, consistencia con histórico y límites SCA.
• Relaciones: grafos de titular‑dispositivo‑IBAN‑tarjeta‑dirección para detectar estructuras tipo mulas.
• Contexto: listas negras, reputación de IP/tor, y eventos recientes de phishing en España.

Modelos: del tabular a grafos

Un ensemble equilibrado suele superar a un único modelo:

• Gradient boosting para tabular con alta interpretabilidad.
• Modelos secuenciales (HMM/LSTM) para patrones en tiempo.
• GNN o graph embeddings para redes de cuentas y dispositivos.
• Autoencoders para anomalías en segmentos escasos de fraude.

Entrene por segmentos (onboarding, pagos P2P, tarjetas, cash‑out) y defina umbrales distintos. Imprescindible: explicabilidad con SHAP, destacando por qué una operación se bloqueó o pasó a revisión.

Reglas + ML: orquestación inteligente

Las reglas no mueren: viven junto al ML. Un motor de decisiones evalúa en milisegundos señales y dispara acciones graduadas:

• Aceptar: bajo riesgo; no añadir fricción (beneficio para conversión).
• Desafiar: aplicar SCA adicional (biometría, OTP) si el riesgo supera umbral.
• Revisión manual: colas priorizadas con explicaciones y evidence contextual.
• Bloquear: alto riesgo; registrar para case management y reportes AML.

Tiempo real y arquitectura

Para parar fraudes “ráfaga”, la latencia es clave:

• Ingesta de eventos en streaming y feature store de baja latencia.
• Modelos servidos en contenedores con autoscaling; canary para cambios.
• Cacheo de explicaciones y reglas; fallback a reglas si el modelo no responde.
• Registro de decisiones para auditoría SEPBLAC y análisis forense.

Métricas que importan al negocio

Un antifraude excelente, pero que hunde la conversión, es un fracaso. Mida simultáneamente:

• Tasa de fraude y pérdida neta (EUR).
• False positive rate y tasa de “desafíos” (fricción).
• Tiempo de resolución en revisión manual.
• Conversión por canal después de controles SCA.

Implemente pruebas A/B o shadow mode para evaluar modelos nuevos sin impactar clientes.

Privacidad y cumplimiento

Con RGPD y el AI Act, la proporcionalidad y minimización son obligatorias. Reglas de oro:

• Anónimo o seudonimiza identificadores; separa datos brutos de features.
• Conserva solo lo necesario para AML/KYC; define plazos de borrado.
• Para biometría conductual, informa de forma transparente y ofrece alternativas.
• Evalúa impacto de IA de alto riesgo si las decisiones son significativas para clientes.

Operación y respuesta

El fraude es dinámico: crea un equipo híbrido datos‑fraude‑operaciones. Tareas clave: ajuste de umbrales por campaña, incorporación de nuevas señales, etiquetado rápido de casos y aprendizaje continuo. Construye un playbook de respuesta a incidentes (p. ej., SMAISHING masivo) con comunicación a clientes, bloqueo preventivo y coordinación con bancos y fuerzas de seguridad.

Hoja de ruta de 10 pasos

1. Inventario de amenazas y canales.
2. Mapa de datos y latencias objetivo.
3. Selección de features y señal mínima viable.
4. Entrenamiento inicial y calibración.
5. Orquestación de reglas SCA y rutas de desafío.
6. Despliegue en shadow y evaluación.
7. Activación progresiva por segmento.
8. Cuadros de mando de fraude vs. conversión.
9. Proceso de revisión y etiquetado continuo.
10. Auditoría y cumplimiento periódicos (SEPBLAC).

Nota: Este material es informativo y no sustituye asesoramiento legal o de cumplimiento. Valide cada cambio con su equipo de Riesgos y Cumplimiento.