CH715150A2 - Procedure for securing payments. - Google Patents

Procedure for securing payments. Download PDF

Info

Publication number
CH715150A2
CH715150A2 CH00836/18A CH8362018A CH715150A2 CH 715150 A2 CH715150 A2 CH 715150A2 CH 00836/18 A CH00836/18 A CH 00836/18A CH 8362018 A CH8362018 A CH 8362018A CH 715150 A2 CH715150 A2 CH 715150A2
Authority
CH
Switzerland
Prior art keywords
payment
values
payments
comparison
properties
Prior art date
Application number
CH00836/18A
Other languages
German (de)
Inventor
Christoph Lucas
Naef André
Sigg Rolf
Lehmann Alain
Original Assignee
Ergon Informatik Ag
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ergon Informatik Ag filed Critical Ergon Informatik Ag
Priority to CH00836/18A priority Critical patent/CH715150A2/en
Publication of CH715150A2 publication Critical patent/CH715150A2/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4016Transaction verification involving fraud or risk level assessment in transaction processing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/405Establishing or using transaction specific rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/10Services

Landscapes

  • Business, Economics & Management (AREA)
  • Engineering & Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • General Business, Economics & Management (AREA)
  • Strategic Management (AREA)
  • Finance (AREA)
  • Computer Security & Cryptography (AREA)
  • Economics (AREA)
  • Tourism & Hospitality (AREA)
  • Development Economics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Human Resources & Organizations (AREA)
  • Marketing (AREA)
  • Primary Health Care (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

Das erfindungsgemässe Verfahren zur Sicherung von Zahlungen umfasst einen ersten Vorbereitungsschritt, in dem für Vergleichszahlungen aus mindestens vier Kontexten pro Kontext für mindestens drei Eigenschaften je die Werte aller Zahlungen für eine statistische Auswertung vorbereitet und statistisch ausgewertet werden, einen zweiten Vorbereitungsschritt, in dem für eine zu bewertende Zahlung für die mindestens drei Eigenschaften je ein Wert der zu bewertenden Zahlung so vorbereitet wird, wie die entsprechenden Werte der Vergleichszahlungen, einen Vergleichsschritt, in dem die vorbereiteten Werte der mindestens drei Eigenschaften der zu bewertenden Zahlung für jeden der mindestens vier Kontexte mit den statistischen Auswertungen der Werte der entsprechenden Eigenschaften verglichen werden, wobei jedem Vergleich mindestens ein Vergleichswert zugeordnet wird, sodass mindestens 12 Vergleichswerte entstehen, und einen Bewertungsschritt, in dem unter Verwendung der mindestens 12 Vergleichswerte eine Gesamtbewertung der zu bewertenden Zahlung erstellt wird, wobei die zu bewertende Zahlung abhängig von der Gesamtbewertung entweder zur Ausführung oder zur Überprüfung durch einen Experten geführt wird. Ferner betrifft die Erfindung ein Computerprogrammprodukt.The method according to the invention for securing payments comprises a first preparatory step in which the values of all payments are prepared and statistically evaluated for comparative payments from at least four contexts per context for at least three properties, a second preparatory step in which to a value of the payment to be valued is prepared for each of the at least three properties, such as the corresponding values of the comparison payments, a comparison step in which the prepared values of the at least three properties of the payment to be valued for each of the at least four contexts with the statistical Evaluations of the values of the corresponding properties are compared, with each comparison being assigned at least one comparison value, so that at least 12 comparison values arise, and an evaluation step in which, using the at least 12 comparisons a total evaluation of the payment to be evaluated is created, the payment to be evaluated depending on the overall evaluation either for execution or for verification by an expert. The invention further relates to a computer program product.

Description

Beschreibung [0001] Die vorliegende Erfindung betrifft ein Verfahren zur Sicherung von Zahlungen. Die Erfindung betrifft ferner ein Computerprogrammprodukt, welches das Verfahren zur Sicherung von Zahlungen auf einer programmgesteuerten Vorrichtung veranlasst.Description: The present invention relates to a method for securing payments. The invention further relates to a computer program product which initiates the method for securing payments on a program-controlled device.

[0002] Verfahren zur Sicherung von Zahlungen finden immer breitere Anwendungsfelder, weil immer mehr Zahlungsaufträge über verschiedene Kanäle an Zahlungsdienste gelangen, insbesondere an Banken, und von diesen ausgeführt oder weitergeleitet werden. Banken erhalten Aufträge über E-Banking, unterschriebene Papiere, Telefongespräche, Mitteilungen am Bankschalter, E-Mail, Fax, Open Banking API und andere Kanäle. Jeder dieser Kanäle kennt spezifische Schutzmassnahmen, sogenannte Channel Security, wie z.B. starke Zwei-Faktor-Authentisierung (2FA) beim E-Banking, Voice Fingerprint bei Telefon, Unterschriftenvergleich beim Papierauftrag. Channel Security ist notwendig, mit Channel Security alleine können aber gewisse Arten von Betrugsversuchen systematisch nicht detektiert werden, beispielsweise der sogenannte «CEO Betrug», eine Form von Social Engineering Angriff. Jede Channel Security Massnahme greift zudem definitionsgemäss nur für einen Kanal.Methods of securing payments are finding ever broader fields of application because more and more payment orders reach payment services via various channels, in particular banks, and are executed or forwarded by them. Banks receive orders via e-banking, signed papers, phone calls, messages at the bank counter, email, fax, Open Banking API and other channels. Each of these channels has specific protective measures, so-called channel security, such as strong two-factor authentication (2FA) for e-banking, voice fingerprint for telephone, signature comparison for paper orders. Channel security is necessary, but channel security alone cannot systematically detect certain types of fraud attempts, for example the so-called “CEO fraud”, a form of social engineering attack. By definition, each channel security measure only applies to one channel.

[0003] Mit der Digitalisierung wird Backoffice Security wichtiger, da Services möglichst niederschwellig angeboten werden sollen. Die Architektur von Zahlungsdienstleistern erlaubt es meist nicht, für jede Zahlung sämtliche vorhandenen Informationen zu berücksichtigen. Regulation verbietet zwischen Banken den Austausch von Informationen zur Fraud Detection weitgehend.With digitization, back office security is becoming more important since services should be offered as low-threshold as possible. The architecture of payment service providers usually does not allow all available information to be taken into account for each payment. Regulation largely prohibits the exchange of information on fraud detection between banks.

[0004] Es existieren regelbasierte Systeme, welche einen Zahlungsauftrag in seinem Verarbeitungsprozess blockieren bzw. auslenken können. Für einen ausgelenkten Zahlungsauftrag muss mittels Expertenwissen entschieden werden, ob der Zahlungsauftrag ausgeführt werden soll oder nicht. Der Experte benutzt dazu erweitertes Kontextwissen, beispielsweise das Wissen, ob dieser Kunde tatsächlich eine Geschäftsbeziehung in das Land hat, in welches die Zahlung gemacht werden soll, oder er kontaktiert den Kunden und fragt nach der Gültigkeit des Zahlungsauftrags.[0004] There are rule-based systems which can block or deflect a payment order in its processing process. For a deflected payment order, experts must decide whether the payment order should be executed or not. For this purpose, the expert uses expanded contextual knowledge, for example the knowledge whether this customer actually has a business relationship in the country to which the payment is to be made, or he contacts the customer and asks for the validity of the payment order.

[0005] Wenn bei einem regelbasierten System beispielsweise ein Zahlungsbetrag über einer vorgegebenen Grenze bereits zur Auslenkung des Zahlungsauftrags führt, ergeben sich viele unspezifische Auslenkungen, deren Bearbeitung mit viel Aufwand verbunden ist. Wenn die Regeln differenzierter werden, ist die Pflege der Regeln sehr aufwändig. Wenn Entscheidungsbäume (Decision Trees) zur Klassifikation eingesetzt werden, kann sich das Ändern einzelner Entscheidungskriterien stark auf die Anzahl Auslenkungen auswirken. Gegebenenfalls sind gleichzeitige Änderungen von Entscheidungskriterien nicht miteinander kompatibel, ohne dass dies direkt erkennbar ist.If in a rule-based system, for example, a payment amount above a predetermined limit already leads to the deflection of the payment order, there are many non-specific deflections, the processing of which is associated with a great deal of effort. If the rules become more differentiated, the maintenance of the rules is very complex. If decision trees are used for classification, changing individual decision criteria can have a major impact on the number of deflections. If necessary, simultaneous changes to decision criteria are not compatible with one another without this being immediately recognizable.

[0006] Um möglichst viele Betrugsversuche zu detektieren bevor der Zahlungsauftrag ausgeführt oder eine Zahlung angenommen wird, müssen die Regeln immer feinmaschiger definiert werden. Weil die Fehlalarme ebenfalls minimiert werden sollen, ergeben sich weitere Probleme. Die Regeln detektieren zudem immer nur bereits erkannte Fälle. Neue Angriffsmuster müssen zuerst entdeckt und dann manuell in Regeln abgebildet werden.In order to detect as many attempts at fraud as possible before the payment order is carried out or a payment is accepted, the rules must be defined more and more finely. Because the false alarms should also be minimized, further problems arise. The rules also only detect cases that have already been recognized. New attack patterns must first be discovered and then manually mapped into rules.

[0007] EP 3 208 759 A1 ermittelt missbräuchliche Transaktionen unter Verwendung des Benutzerverhaltens bei dessen Interaktion mit einem Server der Bank. Die dazu verwendete Datenbank umfasst gerätebezogenes Verhalten des Benutzers, welches für einen Klassifikationsalgorithmus verwendet wird. Diese Lösung ist nur für direkt an einen Server gegebene Zahlungsaufträge verwendbar, die über ein Gerät eingegeben werden, zu dem ein gerätebezogenes Verhalten des Benutzers erfassbar ist. Andere Zahlungsaufträge, beispielsweise solche, die per Post eingehen, können damit nicht behandelt werden.[0007] EP 3 208 759 A1 determines abusive transactions using the user behavior when interacting with a server of the bank. The database used for this includes device-related behavior of the user, which is used for a classification algorithm. This solution can only be used for payment orders given directly to a server, which are entered via a device for which a device-related behavior of the user can be recorded. It cannot handle other payment orders, such as those that are received by post.

[0008] EP 2 922 265 A1 beschreibt eine weitere Lösung, die nur für Online-Banking geeignet ist. Um festzustellen, ob auf einem Computer eine Online-Transaktion von einem Benutzer oder von einem Programm ausgelöst wurde, werden Informationen des Computers beispielsweise die Version einer Antivirusdatenbank, Hinweise auf Schadprogramme, eine Computer Identifikation oder Netzwerkinformationen verwendet. Zudem werden auch Informationen des Zahlungsservice verwendet, beispielsweise Informationen des Browsers, der Webseite oder Eingabemuster des Benützers.[0008] EP 2 922 265 A1 describes a further solution which is only suitable for online banking. In order to determine whether an online transaction was triggered on a computer by a user or by a program, information from the computer, for example the version of an antivirus database, information about malware, computer identification or network information is used. Information from the payment service is also used, for example information from the browser, the website or the user's input pattern.

[0009] Von Verkaufsplattformen ist es bekannt, dass mit schwarzen Listen betrügerische Benutzer von weiteren Käufen abgehalten werden sollen, bzw. mit weissen Listen vertrauenswürdigen Käufern Käufe erleichtert werden sollen. Weil Benützeridentitäten geändert oder auch vorgetäuscht werden können, ist das Erstellen von schwarzen bzw. weissen Listen oderauch differenzierteren Bewertungen keine genügende Sicherheitsmassnahme. Zudem ist die Bereitstellung von solchen Listen aufgrund des Schutzes von Personendaten auch problematisch.From sales platforms it is known that fraudulent users are to be prevented from making further purchases with black lists, or purchases are to be made easier with white lists of trustworthy buyers. Because user identities can be changed or faked, the creation of black or white lists or even more differentiated assessments is not a sufficient security measure. The provision of such lists is also problematic due to the protection of personal data.

[0010] Die Aufgabe der vorliegenden Erfindung besteht darin, bei einem Zahlungsdienst betrügerische Zahlungen mit möglichst kleinem Aufwand möglichst präzise erkennen zu können, ohne dabei gegen Datenschutzvorschriften zu verstossen.The object of the present invention is to be able to detect fraudulent payments as precisely as possible with as little effort as possible without violating data protection regulations.

[0011] Diese Aufgabe wird durch ein Verfahren nach Anspruch 1 bzw. durch ein Computerprogrammprodukt nach Anspruch 11 gelöst. Die abhängigen Patentansprüche beschreiben alternative bzw. vorteilhafte Ausführungsvarianten, welche weitere Aufgaben lösen.[0011] This object is achieved by a method according to claim 1 or by a computer program product according to claim 11. The dependent claims describe alternative or advantageous embodiment variants which solve further tasks.

[0012] Gemäss der erfinderischen Lösung werden zur Detektion von Betrugsversuchen im Zahlungsverkehr die bei einem Zahlungsdienst eingehenden Zahlungsaufträge bewertet und bei Verdacht ausgelenkt. Dazu werden Daten des zu bewertenden Zahlungsauftrags und Daten von bereits ausgeführten Zahlungen des Zahlungsdienstes verwendet. Der einzelneAccording to the inventive solution, the incoming payment orders received by a payment service are evaluated and detected when suspected to detect fraud attempts in payment transactions. For this purpose, data from the payment order to be evaluated and data from payments already made by the payment service are used. The only one

Zahlungsauftrag wird dabei anhand einer Mindestzahl von Eigenschaften bzw. Angaben der jeweiligen Zahlung in einer Mindestzahl von statistischen Kontexten mit bereitstehenden Daten von Zahlungen des Zahlungsdienstes bewertet. Jeder Kontext bildet somit für jede Eigenschaft einen Ereignisraum, wobei die zum jeweiligen Kontext und zur jeweiligen Eigenschaft gehörenden Eigenschafts-Werte der jeweiligen Zahlungen die Ereignisse des entsprechenden Ereignisraumes bilden. Wenn zu einem spezifischen Kontext keine Zahlungen vorhanden sind, so sind die entsprechenden Ereignisräume ohne Ereignisse.Payment order is evaluated on the basis of a minimum number of properties or details of the respective payment in a minimum number of statistical contexts with available data from payments of the payment service. Each context thus forms an event space for each property, the property values of the respective payments belonging to the respective context and property forming the events of the corresponding event space. If there are no payments for a specific context, the corresponding event rooms are without events.

[0013] In einem Vergleichsschritt werden Eigenschafts-Werte einer zu bewertenden Zahlung mit statistischen Auswertungen entsprechender Eigenschafts-Werte der verwendeten Kontexte verglichen. Das Vergleichen wird vorzugsweise so durchgeführt, dass für die Eigenschafts-Werte einer zu bewertenden Zahlung anhand der Wahrscheinlichkeitsverteilungen von zu berücksichtigenden Eigenschafts-Werten eines Kontextes Wahrscheinlichkeiten für das Eintreten der Eigenschafts-Werte der zu bewertenden Zahlung ermittelt werden. Bei einem Kontext ohne Zahlungen sind Eigenschafts-Werte einer zu bewertenden Zahlung mit Ereignisräumen ohne Ereignisse zu vergleichen, wobei dann in diesem Kontext der Vergleichswert der zu bewertenden Zahlung mit einer vorgebbaren kleinen Eintretens-Wahrscheinlichkeit festgelegt wird. Die Eintretens-Wahrscheinlichkeiten von Eigenschafts-Werten einer zu bewertenden Zahlung in den beim Vergleich zugeordneten Ereignisräumen der zu berücksichtigenden Kontexte bilden Vergleichswerte. Mit drei Eigenschaften und vier Kontexten können 12 Vergleichswerte gebildet werden.[0013] In a comparison step, property values of a payment to be evaluated are compared with statistical evaluations of corresponding property values of the contexts used. The comparison is preferably carried out in such a way that probabilities for the occurrence of the property values of the payment to be assessed are determined on the basis of the probability distributions of property values of a context to be taken into account for the property values of a payment to be assessed. In a context without payments, property values of a payment to be evaluated are to be compared with event spaces without events, in which context the comparison value of the payment to be evaluated is then determined with a predeterminable small probability of occurrence. The occurrence probabilities of property values of a payment to be evaluated in the event spaces assigned during the comparison of the contexts to be taken into account form comparison values. With three properties and four contexts, 12 comparison values can be formed.

[0014] In einem Bewertungsschritt wird unter Verwendung der mindestens 12 Vergleichswerte eine Gesamtbewertung der zu bewertenden Zahlung erstellt. Versuche haben gezeigt, dass eine Gesamtbewertung bereits mit drei Eigenschaften und vier Kontexten bzw. mit 12 Vergleichswerten betrügerische Zahlungen genügend präzise erkennt.[0014] In an evaluation step, an overall evaluation of the payment to be evaluated is created using the at least 12 comparison values. Experiments have shown that an overall assessment recognizes fraudulent payments with sufficient precision even with three characteristics and four contexts or with 12 comparison values.

[0015] Die mindestens drei Eigenschaften umfassen vorzugsweise einen aus dem jeweiligen Zahlungsbetrag abgeleiteten Wert, die Währung und den benützten Kanal des jeweiligen Zahlungsauftrags. Aus Normierungsgründen ist es vorteilhaft, wenn als vom Zahlungsbetrag abgeleiteter Wert der Logarithmus eines den Zahlungsbetrag umfassenden Wertes (LogAmount) gewählt wird. Der vom Zahlungsbetrag abgeleitete Wert ist eine kontinuierliche Grösse und die statistische Auswertung solcher Werte, die einem Kontext zugeordnet sind, liefert eine Wahrscheinlichkeitsdichtefunktion zu diesem Kontext. Die Währung muss bei jeder Zahlung festgelegt werden. Der benützte Kanal des jeweiligen Zahlungsauftrags gibt an, wie der Zahlungsauftrag zum Zahlungsdienst gelangt ist, beispielsweise über Online-Banking, per Post, per Telefongespräch, per Mitteilungen am Bankschalter, per E-Mail, per Fax, mit Open Banking API oder über andere Kanäle. Die Eigenschaften der Währung und des Kanals des Zahlungsauftrags sind Eigenschaften mit diskreten Werten, bzw. mit einer abzählbaren Menge von Werten. Diese werden auf vorgegebene Werte, vorzugsweise Zahlen, transformiert. Für diskrete Werte ergibt sich zum jeweiligen Kontext je eine Wahrscheinlichkeitsmassenfunktion.The at least three properties preferably include a value derived from the respective payment amount, the currency and the channel used for the respective payment order. For standardization reasons, it is advantageous if the logarithm of a value comprising the payment amount (LogAmount) is selected as the value derived from the payment amount. The value derived from the payment amount is a continuous quantity and the statistical evaluation of such values that are assigned to a context provides a probability density function for this context. The currency must be set with every payment. The channel used for the respective payment order indicates how the payment order came to the payment service, for example via online banking, by post, by telephone, by messages at the bank counter, by email, by fax, with the Open Banking API or via other channels , The properties of the currency and the channel of the payment order are properties with discrete values or with a countable number of values. These are transformed to predetermined values, preferably numbers. For discrete values, a probability mass function results for the respective context.

[0016] Die mindestens vier Kontexte werden vorzugsweise für ein je wählbares Zeitintervall aus folgenden Kontexten ausgewählt:[0016] The at least four contexts are preferably selected from the following contexts for a selectable time interval:

1) Zahlungen des Zahlungsdienstes (global)1) Payments from the payment service (global)

2) Zahlungen des Kunden zu dem eine neue Zahlung bewertet werden soll (bp)2) Payments by the customer for whom a new payment is to be valued (bp)

3) Zahlungen an den Empfänger an den eine neue Zahlung bewertet werden soll (beneficiary)3) Payments to the recipient to whom a new payment is to be valued (beneficiary)

4) Zahlungen in das Zielland in das eine neue Zahlung bewertet werden soll (country)4) Payments to the target country into which a new payment is to be valued (country)

5) Zahlungen des Kunden, von dem eine neue Zahlung bewertet werden soll, und zwar in das Zielland der zu bewertenden Zahlung (bpCountry)5) Payments by the customer from whom a new payment is to be valued, to the target country of the payment to be valued (bpCountry)

6) Zahlungen des Kunden, von dem eine neue Zahlung bewertet werden soll, und zwar an den Empfänger der zu bewertenden Zahlung (bpBeneficiary) [0017] Für eine zu bewertende Zahlung werden ihre Werte für mindestens drei Eigenschaften mit den Wahrscheinlichkeitsdichtefunktionen bzw. Wahrscheinlichkeitsmassenfunktionen der mindestens vier Kontexte verglichen und anhand von Vergleichswerten gesamthaft bewertet. Für die Bewertung stehen somit mindestens 12 Vergleichswerte zur Verfügung. Die Vergleichswerte können auf dem Hintergrund des jeweiligen Kontextes über Eintretens-Wahrscheinlichkeiten, über Abweichungen von Mittelwerten oder über Angaben zum prozentualen Anteil grösserer oder kleinerer Werte des für den Vergleich verwendeten Ereignisraumes ermittelt werden. Entsprechend ist der Vergleichsschritt als Schritt zu verstehen, bei dem Werten der zu bewertenden Zahlung unter Verwendung statistischer Auswertungen von Zahlungen eines Kontextes Vergleichswerte zugeordnet werden.6) Payments by the customer from whom a new payment is to be valued, to the recipient of the payment to be valued (bpBeneficiary). For a payment to be valued, its values for at least three properties are compared with the probability density functions or probability mass functions of the at least four contexts compared and assessed overall using comparative values. At least 12 comparative values are therefore available for the evaluation. The comparison values can be determined against the background of the respective context by occurrence probabilities, by deviations from mean values or by information on the percentage of larger or smaller values of the event space used for the comparison. Accordingly, the comparison step is to be understood as a step in which values of the payment to be evaluated are assigned to comparison values using statistical evaluations of payments of a context.

[0018] Das erfinderische Verfahren zur Sicherung von Zahlungen umfasst somit zumindest die folgenden Verfahrensschritte, in einem ersten Vorbereitungsschritt werden für Vergleichszahlungen aus mindestens vier Kontexten pro Kontext für mindestens drei Eigenschaften je die Werte aller Zahlungen für eine statistische Auswertung vorbereitet und statistisch ausgewertet, in einem zweiten Vorbereitungsschritt wird für eine zu bewertende Zahlung für die mindestens drei Eigenschaften je ein Wert der zu bewertenden Zahlung so vorbereitet, wie die entsprechenden Werte der Vergleichszahlungen vorbereitet werden, in einem Vergleichsschritt werden die vorbereiteten Werte der mindestens drei Eigenschaften der zu bewertenden Zahlung für jeden der mindestens vier Kontexte mit den statistischen Auswertungen der Werte der entsprechenden Eigenschaften verglichen, wobei jedem Vergleich mindestens ein Vergleichswert zugeordnet wird, sodass mindestens 12 Vergleichswerte entstehen, und in einem Bewertungsschritt wird unter Verwendung der mindestens 12 Vergleichswerte eine Gesamtbewertung der zu bewertenden Zahlung erstellt, wobei die zu bewertende Zahlung abhängig von der Gesamtbewertung entweder zur Ausführung oder zur Überprüfung durch einen Experten geführt wird.The inventive method for securing payments thus comprises at least the following method steps, in a first preparation step for comparative payments from at least four contexts per context for at least three properties, the values of all payments are prepared for statistical evaluation and statistically evaluated in one In the second preparation step, a value of the payment to be valued is prepared for a payment to be valued for the at least three properties, in the same way as the corresponding values of the comparison payments are prepared comparing at least four contexts with the statistical evaluations of the values of the corresponding properties, each comparison being assigned at least one comparison value, so that at least 12 comparison values arise, and in one evaluation step, an overall evaluation of the payment to be evaluated is created using the at least 12 comparison values, the payment to be evaluated depending on the overall evaluation either being carried out or checked by an expert.

[0019] Es versteht sich von selbst, dass die Qualität der Bewertung mit der Verwendung von weiteren Eigenschaften und/oder weiteren Kontexten erhöht wird.It goes without saying that the quality of the evaluation is increased with the use of further properties and / or further contexts.

[0020] Das Verfahren zur Sicherung von Zahlungen kann bei einem erstmaligen Einsatz bereits mit kleinem Aufwand in Betrieb genommen werden. Dazu ist die einfachste Ausführungsform als unbeaufsichtigtes Modell bzw. «unsupervised model» ausgebildet, das bereits ohne Expertenwissen im Wesentlichen alle missbräuchlichen Zahlungen auslenkt, ohne dabei zu viele korrekte Zahlungen ebenfalls auszulenken. Es handelt sich um ein statistisches Modell, das kontinuierliche und diskrete Werte von entsprechenden Eigenschaften verwendet. Eigenschaften mit kontinuierlichen Werten können eine unendliche Menge von Werten annehmen und zu ihrer Bewertung wird die Wahrscheinlichkeitsdichtefunktion der Normalverteilung verwendet. Bei der Normalverteilung ist die jeweils vorliegende Verteilung durch den Mittelwert und die Standardabweichung vollständig beschrieben.The method for securing payments can be put into operation with little effort when used for the first time. For this purpose, the simplest embodiment is designed as an unsupervised model or “unsupervised model”, which, without expert knowledge, essentially deflects all improper payments without also deflecting too many correct payments. It is a statistical model that uses continuous and discrete values of corresponding properties. Properties with continuous values can take an infinite number of values and the probability density function of the normal distribution is used to evaluate them. In the case of the normal distribution, the respective distribution is fully described by the mean and the standard deviation.

[0021] Wenn nun bei ausgeführten Zahlungen eines Kontextes die Verteilung der Werte einer Eigenschaft mit einem Mittelwert 5 und einer Standardabweichung von 1.5 charakterisiert ist, so wird einer zu bewertende Zahlung anhand ihres jeweiligen Wertes zu dieser Eigenschaft dann ein hoher Vergleichswert zugeordnet, wenn der jeweiligen Wert nahe am Mittelwert 5 liegt. Ein im Vergleichsschritt ermittelter Vergleichswert, wird in Abhängigkeit der Eintretens-Wahrscheinlichkeit eines Wertes der zu bewertenden Zahlung in der zum Vergleichen verwendeten Verteilung ermittelt. Die Eintretens-Wahrscheinlichkeit entspricht dem Funktionswert der Wahrscheinlichkeitsdichtefunktion zu diesem Wert. Anstelle von Funktionswerten, können auch Eintretens-Wahrscheinlichkeiten für Bereiche mit dem zu vergleichenden Wert verwendet werden. Dass bei einer verwendeten Verteilung ein Wert in einem bestimmten Bereich liegt, beispielsweise zwischen 4 und 6, entspricht der Fläche unter der Wahrscheinlichkeitsdichtefunktion für diesen Bereich. Die gesamte Fläche unter der Wahrscheinlichkeitsdichtefunktion beträgt 1.If the distribution of the values of a property with a mean value 5 and a standard deviation of 1.5 is now characterized when payments are carried out in a context, then a payment to be evaluated is assigned a high comparative value based on its respective value for this property if the respective one Value is close to mean 5. A comparison value determined in the comparison step is determined as a function of the probability of occurrence of a value of the payment to be evaluated in the distribution used for the comparison. The probability of occurrence corresponds to the function value of the probability density function at this value. Instead of function values, occurrence probabilities can also be used for areas with the value to be compared. That a value lies in a certain range, for example between 4 and 6, corresponds to the area under the probability density function for this range. The total area under the probability density function is 1.

[0022] Eigenschaften mit diskreten Werten haben eine abzählbare Menge von Werten. Für jeden Wert entspricht die Wahrscheinlichkeit der relativen Auftrittshäufigkeit. Dies lässt sich gut am Beispiel der Eingangskanäle von Zahlungen aufzeigen. Für einen Kunden, der für die Zahlungen Aufträge per Post und per Online-Banking gibt, und dabei fast nur Online-Banking nutzt, sieht die Situation beispielsweise folgendermassen aus:Properties with discrete values have a countable set of values. The probability of the relative frequency of occurrence corresponds to each value. This can be demonstrated well using the example of the input channels of payments. For a customer who places orders by post and online banking for payments and uses almost only online banking, the situation is as follows:

Kanal channel Auftrittshäufigkeit frequency of occurrence Wahrscheinlichkeit probability Post post Office 5 5 0.05 00:05 Online-Banking Online Banking 95 95 0.95 0.95

[0023] Wenn nun ein zu bewertender Zahlungsauftrag mit Zahlungsaufträgen des in der Tabelle dargestellten Kontextes mit überwiegender Auftragserteilung per Online-Banking verglichen wird, so ist der Vergleichswert dann hoch, wenn der Auftrag per Online-Banking eingereicht wurde. Als Vergleichswert kann dabei ein von der Wahrscheinlichkeit des Kanals abhängiger Wert bereitgestellt werden.If a payment order to be evaluated is now compared with payment orders in the context shown in the table with predominant order placement via online banking, the comparison value is high if the order was submitted via online banking. A value dependent on the probability of the channel can be provided as a comparison value.

[0024] Tiefe Vergleichswerte weisen darauf hin, dass die entsprechenden Eigenschaften der zu bewertenden Zahlung bezogen auf die zum Vergleich verwendeten Kontexte eine kleine Eintretens-Wahrscheinlichkeit haben, bzw. selten sind.Deep comparison values indicate that the corresponding properties of the payment to be evaluated, based on the contexts used for the comparison, have a low probability of occurrence or are rare.

[0025] Im Bewertungsschritt wird unter Verwendung der ermittelten Vergleichswerte eine Gesamtbewertung der zu bewertenden Zahlung bestimmt. Wenn die Gesamtbewertung in der Form eines Ausgabewertes bereitgestellt wird, so liegt dieser vorzugsweise zwischen 0 und 1. Er drückt die Wahrscheinlichkeit aus, dass eine Zahlung bezüglich Betrugsverdacht positiv ist. Diese Bewertungswahrscheinlichkeit ist somit bei hohen Vergleichswerten klein und bei tiefen Vergleichswerten hoch. Die im Bewertungsschritt zur Ermittlung der Wahrscheinlichkeit verwendeten Vergleichswerte können unter Verwendung einer vorgegebenen Gewichtung in der Berechnung der Bewertungswahrscheinlichkeit eingehen. Dabei werden Vergleichswerte von Eigenschaften oder spezifischen Werten von Eigenschaften, die besonders gewichtige Hinweise auf das Vorliegen oder nicht Vorliegen einer betrügerischen Zahlung geben, vorzugsweise höher gewichtet als andere Vergleichswerte. Für die Klassifizierung der zu bewertenden Zahlung anhand der Bewertungswahrscheinlichkeit wird ein Schwellwert verwendet, vorzugsweise 0.5, und Zahlungen mit einer Wahrscheinlichkeit, die grösser ist als dieser Schwellwert, werden zur Prüfung ausgelenkt.In the evaluation step, an overall evaluation of the payment to be evaluated is determined using the determined comparison values. If the overall rating is provided in the form of an output value, this is preferably between 0 and 1. It expresses the probability that a payment is positive regarding suspected fraud. This valuation probability is therefore small for high comparison values and high for low comparison values. The comparison values used in the evaluation step to determine the probability can be included in the calculation of the evaluation probability using a predetermined weighting. Comparative values of properties or specific values of properties that give particularly important indications of the presence or not of a fraudulent payment are preferably weighted higher than other comparative values. A threshold value, preferably 0.5, is used to classify the payment to be valued based on the valuation probability, and payments with a probability that is greater than this threshold value are deflected for checking.

[0026] In einer bevorzugten Darstellung wird eine Zahlung als Vektor X von Zufallsvariablen betrachtet:[0026] In a preferred representation, a payment is considered as vector X of random variables:

fL<)gAiiK>i I s 11 ~ ΛΓ(μ, σ )\ ___ Currency ~ ( 'at.(p)fL <) gAiiK> i I s 11 ~ ΛΓ (μ, σ) \ ___ Currency ~ ('at. (p)

Medium -- C'at(p) \ BPA<-count ~ Cat(p) / [0027] Beim dargestellten Vektor X entspricht LogAmount dem natürlichen Logarithmus von 1 plus Betrag der Zahlung in CHF. Currency repräsentiert die Währung, Medium den genutzten Kanal (e-Banking, Post, persönliche Vorsprache, etc.) und BPAccount das spezifische Konto des Business Partners, d.h. des Bankkunden. Die Komponenten des Vektors X haben verschiedene statistische Eigenschaften, was mit den Angaben Ν(μ,σ2) und Cat(p) hervorgehoben ist. Eindimensionale Normalverteilungen werden durch die Angabe von Erwartungswert μ und Varianza2 vollständig beschrieben. Mit den Symbolen Xi ~ Ν(μ,σ2) wird dargestellt, dass die erste Komponente Xi des Vektors X eine stetige Zufallsvariable mit einer Normalverteilung ist. Cat(p) verweist auf Zufallsvariablen mit diskreten Werten, bzw. mit einer abzählbaren Menge von Werten.Medium - C'at (p) \ BPA <-count ~ Cat (p) / [0027] In the vector X shown, LogAmount corresponds to the natural logarithm of 1 plus the amount of the payment in CHF. Currency represents the currency, medium the channel used (e-banking, post, personal interview, etc.) and BPAccount the specific account of the business partner, ie the bank customer. The components of the vector X have different statistical properties, which is emphasized with the information Ν (μ, σ 2 ) and Cat (p). One-dimensional normal distributions are completely described by specifying the expected value μ and Varianza 2 . The symbols Xi ~ Ν (μ, σ 2 ) show that the first component Xi of the vector X is a continuous random variable with a normal distribution. Cat (p) refers to random variables with discrete values or with a countable number of values.

[0028] Zum Ermitteln von Vergleichswerten für eine zu bewertende Zahlung, bzw. für den Vektor X, wird eine Wahrscheinlichkeitsdichtefunktion pd beispielsweise folgendermassen definiert:To determine comparison values for a payment to be evaluated, or for the vector X, a probability density function pd is defined, for example, as follows:

niax(—U-e~......χχ . ¢) wenn AA ~ A/ì/t.σ2) σν'2,7 = < inax(/j4...,Ç wenn A”,, ~ Cat.(p)niax (—Ue ~ ...... χχ. ¢) if AA ~ A / ì / t.σ 2 ) σν'2.7 = <inax (/ j 4 ..., Ç if A ”,, ~ Cat. (p)

I c wenn A’r Undefiniert ist fur .v , [0029] Diese entspricht der Wahrscheinlichkeitsdichtefunktion der Normalverteilung bzw. der Wahrscheinlichkeitsmassenfunktion der kategorischen Verteilung. Die Funktion verwendet eine kleine Konstante, Epsilon, mit Wert 0.0001 (1E-4) für Undefinierte und degenerierte Fälle.I c if A ' r is undefined for .v, [0029] This corresponds to the probability density function of the normal distribution or the probability mass function of the categorical distribution. The function uses a small constant, epsilon, with the value 0.0001 (1E-4) for undefined and degenerate cases.

[0030] Im Bewertungsschritt kann pro Kontext unter Verwendung der Wahrscheinlichkeitsdichtewerte pd(xv) der Komponenten des Vektors X eine Bewertung der zu bewertenden Zahlung bestimmt werden. Dazu werden die Wahrscheinlichkeitsdichtewerte pd(xv) beispielsweise pro Kontext zu einem Kontextwert verarbeitet. Die Wahrscheinlichkeitsdichtewerte pd(xv) können dazu unterschiedlich gewichtet summiert und/oder multipliziert werden. Unter Verwendung der Kontextwerte mehrerer Kontexte kann eine Gesamtbewertung in einem gewünschten Zahlenbereich, beispielsweise im Bereich von 0 bis 1 oder von - 9 bis + 9, ermittelt werden.In the evaluation step, an evaluation of the payment to be evaluated can be determined per context using the probability density values pd (x v ) of the components of the vector X. For this purpose, the probability density values pd (x v ) are processed into a context value, for example per context. For this purpose, the probability density values pd (x v ) can be summed and / or multiplied differently weighted. Using the context values of several contexts, an overall evaluation can be determined in a desired number range, for example in the range from 0 to 1 or from - 9 to + 9.

[0031] Wenn die verschiedenen Kontexte mit dem Index «expert» gekennzeichnet werden und dem jeweiligen Kontext die Eigenschaften vexpert zugeordnet sind, so kann eine auf der Wahrscheinlichkeitsdichtefunktion pd basierende Bewertungsfunktion fexpert einer Zahlung x als /expert (x) = ( JJ ΡΦϊ·))Μ If the different contexts are identified with the index “expert” and the properties v exp ert are assigned to the respective context, an evaluation function based on the probability density function pd can fxpert a payment x as / expert (x) = (JJ ΡΦϊ ·)) Μ

V G WxpertV G Wxpert

definiert werden, wobei die zweite Formulierung die numerisch stabilere ist. Wenn «expert» für den Kontext «Zahlungen des Zahlungsdienstes (global)» steht, so steht veXpert beispielsweise für die folgenden drei Eigenschaften:can be defined, the second formulation being the numerically more stable. If «expert» stands for the context «payments of the payment service (global)», v eX pert stands for the following three properties, for example:

- ein aus dem jeweiligen Zahlungsbetrag abgeleiteter Wert (LogAmount),- a value derived from the respective payment amount (LogAmount),

- eine Währung (Currency) oder- a currency or

- ein benutzter Kanal, auf dem der Zahlungsauftrag eingegangen ist (Medium).- A used channel on which the payment order was received (medium).

[0032] Bei einem anderen Kontext, beispielsweise bei den Zahlungen des Kunden (bp), zu dem eine neue Zahlung bewertet werden soll, kann vexpert nebst den oben aufgeführten Eigenschaften auch beispielsweis noch die Eigenschaft des spezifischen Kontos des Kunden (BPAccount) umfassen, falls dieser mehr als ein Konto hat. Für jeden Kontext werden mindesten drei Eigenschaften berücksichtigt.In another context, for example in the payments of the customer (bp) for which a new payment is to be evaluated, v exp ert can also include, for example, the property of the customer's specific account (BPAccount) in addition to the properties listed above if he has more than one account. At least three properties are taken into account for each context.

[0033] Die Bewertungsfunktion betrachtet die kombinierte Wahrscheinlichkeitsdichte der Zufallsvariablen, was eine naive Unabhängigkeitsannahme impliziert. Die statistische Unabhängigkeit ist effektiv nicht exakt gegeben. Diverse Studien zeigen jedoch, dass der Ansatz in hohem Masse tauglich ist, wenn keine exakten Wahrscheinlichkeiten, sondern nur eine relative Ordnung der Wahrscheinlichkeiten benötigt wird, wie dies bei der Betrugserkennung der Fall ist.[0033] The evaluation function considers the combined probability density of the random variables, which implies a naive assumption of independence. The statistical independence is effectively not exactly given. However, various studies show that the approach is highly suitable if no exact probabilities, but only a relative order of the probabilities is required, as is the case with fraud detection.

[0034] Für eine Gesamtbewertung über alle Kontexte und alle den Kontexten zugeordneten Eigenschaften werden die einzelnen Wahrscheinlichkeitsdichten pd so verwendet, dass Bewertungen mit einer abweichenden Anzahl von Zufallsvariablen in der anschliessenden Misch-Funktion vergleichbar gehalten sind. Die abschliessende Gesamtbewertung m für eine Zahlung x lautet dannFor an overall evaluation of all contexts and all properties assigned to the contexts, the individual probability densities pd are used in such a way that evaluations with a different number of random variables are kept comparable in the subsequent mixing function. The final overall rating m for a payment is then x

und entspricht dem Logarithmus des arithmetischen Mittels der Bewertung. Die bei dieser Berechnung für verschiedene Zahlungen entstehenden Werte liegen innerhalb eines Wertebereichs in dem auch ein Grenzwert festgelegt wird. Der Grenzwert wird so festgelegt, dass für betrügerische Zahlungen die Gesamtbewertungen möglichst sicher auf einer Seite des Grenzwertes liegen und dass für einen möglichst hohen Anteil der korrekten Zahlungen die Gesamtbewertungen auf der anderen Seite des Grenzwertes liegen. Bei verschiedenen Anwendungen des erfinderischen Verfahrens lagen die Gesamtbewertungen zu einem überwiegenden Teil im Wertebereich von - 9 bis + 9. Wenn die Werte in einem anderen Bereich liegen sollen, so müssen die Werte entsprechend abgebildet werden. Mit einer passenden Normierung können die Werte beispielsweise auf einen Bereich von 0 bis 1 abgebildet werden, wobei dann auch der Grenzwert in diesem Bereich festgelegt wird.and corresponds to the logarithm of the arithmetic mean of the evaluation. The values resulting from this calculation for different payments lie within a range of values in which a limit value is also set. The limit is set in such a way that for fraudulent payments the overall ratings are as safely as possible on one side of the limit and that for as high a proportion of the correct payments as possible the overall ratings are on the other side of the limit. In various applications of the inventive method, the overall ratings were predominantly in the value range from -9 to + 9. If the values are to be in a different range, the values must be mapped accordingly. With a suitable standardization, the values can, for example, be mapped to a range from 0 to 1, the limit value then also being defined in this range.

[0035] Die für die Gesamtbewertung zu verwendenden mindestens vier Kontexte und mindestens drei Eigenschaften werden aus den nachfolgenden Zusammenstellungen ausgewählt. Die Zusammenstellungen zeigen, dass beim Kontext bp, also bei allen Zahlungen des spezifischen Kunden (BP) an alle Begünstigten, bei Kunden mit mehreren Konten nebst den bereits erwähnten Eigenschaften des Betrages, der Währung und des Kanals auch noch das Kundenkonto als Eigenschaft verwendet werden kann. Zum Kontext global, also alle Zahlungen der Bank, werden pro Zeitintervall wesentlich mehr Zahlungen durchgeführt, als für die anderen Kontexte. Darum ist das Zeitintervall aus dem die statistischen Zahlungsinformationen zusammengestellt werden für den Kontext global wesentlich kleiner als für die anderen Kontexte.The at least four contexts and at least three properties to be used for the overall assessment are selected from the following compilations. The compilations show that in the context of bp, i.e. for all payments from the specific customer (BP) to all beneficiaries, for customers with multiple accounts, in addition to the properties of the amount, currency and channel already mentioned, the customer account can also be used as a property , In the context of global, i.e. all payments by the bank, significantly more payments are made per time interval than for the other contexts. That is why the time interval from which the statistical payment information is compiled is much smaller for the global context than for the other contexts.

[0036] In der nachfolgenden Tabelle sind bevorzugten Kontexte, Zeitintervalle, Beschreibungen der Kontexte und Eigenschaften, die bei den jeweiligen Kontexten vorzugsweise verwendet werden, aufgeführt:The following table lists preferred contexts, time intervals, descriptions of the contexts and properties that are preferably used in the respective contexts:

Kontext context Tage days Beschreibung description Eigenschaften characteristics global global 30 30 Betrachtet die Bank als Ganzes (alle Zahlungen) Views the bank as a whole (all payments) LogAmount, Currency, Medium LogAmount, Currency, Medium bp bp 400 400 Betrachtet die Zahlungen des spezifischen Kunden (BP) an alle Begünstigten Looks at specific customer (BP) payments to all beneficiaries LogAmount, Currency, Medium, B PAcco unt LogAmount, Currency, Medium, B PAcco und beneficiary beneficiary 400 400 Betrachtet die Zahlungen aller Kunden an den spezifischen Begünstigten Looks at all customers' payments to the specific beneficiary LogAmount, Currency, Medium LogAmount, Currency, Medium country country 400 400 Betrachtet die Zahlungen aller Kunden in das spezifische Zielland Looks at the payments of all customers in the specific target country LogAmount, Currency, Medium LogAmount, Currency, Medium bpCountry bpCountry 400 400 Betrachtet die Zahlungen des spezifischen Kunden (BP) in das spezifische Zielland Looks at the specific customer's (BP) payments to the specific target country LogAmount, Currency, Medium LogAmount, Currency, Medium bpBeneficiary bpBeneficiary 400 400 Betrachtet die Zahlungen des spezifischen Kunden (BP) an den spezifischen Begünstigten Looks at the specific customer (BP) payments to the specific beneficiary LogAmount, Currency, Medium LogAmount, Currency, Medium

[0037] Die Bestimmung der ausreichenden Statistiken und Wahrscheinlichkeitsdichten erfolgt beispielsweise unter Berücksichtigung zumindest eines Teils der folgenden Punkte:The determination of the sufficient statistics and probability densities takes place, for example, taking into account at least some of the following points:

) Es werden die Zahlungen berücksichtigt, die über die in der Tabelle genannten Anzahl vergangener Tage ausgeführt wurden, wobei gegebenenfalls nicht mehr als die 25 000 neuesten Zahlungen betrachtet werden) Payments made using the number of days past in the table will be taken into account, and may not be considered more than the 25,000 most recent payments

2) Kontoüberträge zwischen Konten des gleichen Kunden (bp) werden nicht berücksichtigt, weil keine Eigentumsveränderungen stattfinden.2) Account transfers between accounts of the same customer (bp) are not taken into account because there are no changes in ownership.

3) Zur Vermeidung von Poisoning Attacken werden nur Zahlungen betrachtet, die bereits seit 3 Kalendertagen im System sind und kein positives Prüfungsergebnis aufweisen. Die Anzahl Tage sind hierbei ein Parameter, der bei Bedarf angepasst werden kann3) To avoid poisoning attacks, only payments are considered that have been in the system for 3 calendar days and do not have a positive test result. The number of days is a parameter that can be adjusted if necessary

4) Zur Vermeidung von Splitting Attacken werden innerhalb eines vorgegebenen Zeitfensters, beispielsweise am selben Bankwerktag, geprüfte Zahlungen betragsmässig aufsummiert, wenn BP und Beneficiary identisch sind. Wenn ein BP beispielsweise zwei Zahlungen zu CHF 1000 leistet, dann wird die zweite Zahlung mit einem Betrag von CHF 2000 geprüft. Wenn auf derselben Paarung am selben Bankwerktag anschliessend noch eine Zahlung über CHF 2000 erfolgt, dann wird sie mit einem Betrag von CHF 4000 geprüft, etc. Der eine Kalendertag ist hierbei ebenfalls ein Parameter, der bei Bedarf angepasst werden kann. Für die Identifikation der selben Begünstigten ist es angebracht Zahlungen aufzusummieren, auch wenn die Identität nicht sicher übereinstimmt.4) In order to avoid splitting attacks, verified payments are summed up within a specified time window, for example on the same bank working day, if the BP and beneficiary are identical. For example, if a BP makes two payments of CHF 1000, then the second payment is checked with an amount of CHF 2000. If a payment of CHF 2000 is then made on the same pairing on the same bank working day, then it is checked with an amount of CHF 4000, etc. The one calendar day is also a parameter that can be adjusted if necessary. To identify the same beneficiary, it is appropriate to add up payments, even if the identity does not match.

[0038] Bei einer besonders vorteilhaften Ausführungsform werden weitere Eigenschaften aus der nachstehenden Tabelle verwendet:[0038] In a particularly advantageous embodiment, further properties from the table below are used:

Eigenschaft property Beschreibung description amountChf amountChf Betrag der Zahlung in CHF Payment amount in CHF standingOrder standing order Zahlung aus Dauerauftrag (0,1) Payment from standing order (0.1) esr esr Zahlung hat ESR (0,1) Payment has ISR (0.1) directDebit direct debit Zahlung aus LSV(0,1) Payment from LSV (0.1) bpXfermon bpXfermon Zahlung ist Kontoübertrag innerhalb eines BP (0,1) Payment is account transfer within a BP (0.1) currencyChf currencyChf Zahlung in CHF (0,1) Payment in CHF (0.1) currencyEur currencyEur Zahlung in EUR (0, 1) Payment in EUR (0, 1) currencyUsd currencyUsd Zahlung in USD (0,1) Payment in USD (0.1) currencyOther currency other Zahlung in sonstiger Währung (0,1) Payment in other currency (0.1) countryFI countryFI Zahlung nach FL (0,1) Payment according to FL (0.1) countryCh countryCh Zahlung nach CH (0,1) Payment to CH (0.1) country At country At Zahlung nach AT (0,1) Payment according to AT (0.1) countryDe countryDe Zahlung nach DE (0,1) Payment to DE (0.1) countryUs countryUs Zahlung nach US (0,1) Payment to US (0.1) country Other country Other Zahlung nach sonstigem Land (0,1) Payment by other country (0.1)

[0039] Die Eigenschatten der Zahlung in einer sonstigen Wahrung und nach einem sonstigen Land kann ein spezifisches anderes Land oder gegebenenfalls auch eine Gruppe von Ländern betreffen. Entsprechend wird «Other» durch die Angabe des jeweiligen Landes oder der jeweiligen Länder ersetzt.The characteristics of the payment in another currency and according to another country can relate to a specific other country or possibly also a group of countries. Accordingly, “Other” is replaced by the specification of the respective country or countries.

[0040] Zu den verwendbaren Eigenschaften zeigt die nachfolgende Tabelle die statistischen Auswertungen, die für den jeweiligen Kontext möglich sind:For the properties that can be used, the table below shows the statistical evaluations that are possible for the respective context:

Eigenschaft property Statistische Auswertung statistical evaluation medium medium Wahrscheinlichkeitsmassenfunktion des Kanals Probability mass function of the channel currency currency Wahrscheinlichkeitsmassenfunktion der Währung Probability mass function of the currency logAmountChfPdf logAmountChfPdf Wahrscheinlichkeitsdichtefunktion von log(1 + amountChf) Probability density function of log (1 + amountChf) logAmountChfCdf logAmountChfCdf Verteilungsfunktion von log(1 + amountChf) Distribution function of log (1 + amountChf) count count Anzahl Zahlungen Number of payments bpAccount bpAccount Wahrscheinlichkeitsmassenfunktion des Belastungskontos Probability mass function of the debit account bpCountDistinct bpCountDistinct Anzahl verschiedener Business Partner, die eine Zahlung geleistet haben Number of different business partners who made a payment beneficiaryCountDistinct beneficiaryCountDistinct Anzahl verschiedener Begünstigter, die eine Zahlung erhalten haben Number of different beneficiaries that have received a payment countryCountDistinct countryCountDistinct Anzahl verschiedener Ländern, in welche eine Zahlung ergangen ist Number of different countries in which a payment was made IpCountry IPCountry Wahrscheinlichkeitsmassenfunktion des Landes der IP Adresse Probability mass function of the country of the IP address IpNet IPnet Wahrscheinlichkeitsmassenfunktion des Netzes der IP Adresse U22) Probability mass function of the network of the IP address U22) clientOs clientOs Wahrscheinlichkeitsmassenfunktion des Betriebssystems des Clients Probability mass function of the client's operating system

Eigenschaft property Statistische Auswertung statistical evaluation clientRuntime runtime client Wahrscheinlichkeitsmassenfunktion der Java Laufzeitumgebung des Clients Probability mass function of the client Java runtime environment [0041] In der nachfolgenden Tabelle sind für bevorzugte Kontexte und Zeitintervalle weitere vorteilhafte Sets von Eigenschaften aufgeführt: The following table lists further advantageous sets of properties for preferred contexts and time intervals: Kontext context Tage days Eigenschaften characteristics global global 30 30 medium, currency, logAmountChfPdf, logAmountChfCdf, count, bpCountDistinct, beneficiaryCountDistinct, countryCountDistinct, ipCountry, ipNet, clientOs, clientRuntime medium, currency, logAmountChfPdf, logAmountChfCdf, count, bpCountDistinct, beneficiaryCountDistinct, countryCountDistinct, ipCountry, ipNet, clientOs, clientRuntime bp bp 400 400 medium, currency, logAmountChfPdf, logAmountChfCdf, count, bpAccount, beneficiaryCountDistinct, countryCountDistinct medium, currency, logAmountChfPdf, logAmountChfCdf, count, bpAccount, beneficiaryCountDistinct, countryCountDistinct country country 400 400 medium, currency, logAmountChfPdf, logAmountChfCdf, count, bpCountDistinct, beneficiaryCountDistinct medium, currency, logAmountChfPdf, logAmountChfCdf, count, bpCountDistinct, beneficiaryCountDistinct beneficiary beneficiary 400 400 medium, currency, logAmountChfPdf, logAmountChfCdf, count, bpCountDistinct medium, currency, logAmountChfPdf, logAmountChfCdf, count, bpCountDistinct bpCountry bpCountry 400 400 medium, currency, logAmountChfPdf, logAmountChfCdf, count, beneficiaryCountDistinct medium, currency, logAmountChfPdf, logAmountChfCdf, count, beneficiaryCountDistinct bpBeneficiary bpBeneficiary 400 400 medium, currency, logAmountChgPdf, logAmountChfCdf, count medium, currency, logAmountChgPdf, logAmountChfCdf, count

[0042] Beispielsweise werden für das Feature bpAccount des Kontexts bp sämtliche Zahlungen des Business Partners in den vergangenen 400 Tagen berücksichtigt. Die Wahrscheinlichkeitsmassenfunktion drückt die Wahrscheinlichkeit aus, dass das besagte Belastungskonto verwendet wird. Im selben Kontext drückt das Feature count die Anzahl Zahlungen des Business Partners in den vergangenen 400 Tagen aus. Das Feature bpCountDistinct wird nicht verwendet, weil es im Kontext des Experten bp konstant 1 ist.For example, for the feature bpAccount of the context bp, all payments made by the business partner in the past 400 days are taken into account. The probability mass function expresses the probability that the said debit account will be used. In the same context, the feature count expresses the number of payments made by the business partner in the past 400 days. The feature bpCountDistinct is not used because it is constant 1 in the context of the expert bp.

[0043] In einer weiteren Ausführungsform werden für die Bewertung auch Verdachtsmomente aus einer Kanal-Beurteilung verwendet, welche alleine zu wenig stark sind um eine direkte Schliessung des Kanals bzw. eine Verwerfung des Zahlungsauftrags auf diesem Kanal zu bewirken. Beispiele dazu sind eine allgemeine Internet Gefährdungslage, erkannte Denial of Service Angriffe, leichte Veränderungen im Session Kontext, leichte Veränderung des Voice Fingerprints etc.In a further embodiment, suspicions from a channel assessment are used for the assessment, which alone are not strong enough to cause a direct closure of the channel or a rejection of the payment order on this channel. Examples include a general Internet risk situation, identified denial of service attacks, slight changes in the session context, slight changes in the voice fingerprint etc.

[0044] In einer weiteren Ausführungsform wird ein Schutz gegen Fragmentierungsangriffe eingesetzt. Damit soll verhindert werden, dass 10 Zahlungen ÜberCHF 1000,- nicht weniger verdächtig sind als eine Zahlung über CHF 10 000.-. Dieser Schutz ist erzielbar durch verschiedene Stacking Windows, bei denen Zahlungen innerhalb eines Fensters aggregiert und dann bewertet werden.In another embodiment, protection against fragmentation attacks is used. This is to prevent 10 payments over CHF 1000 that are no less suspicious than a payment over CHF 10,000. This protection can be achieved through various stacking windows, in which payments are aggregated within a window and then evaluated.

[0045] Um die Aussagekraft der Bewertung zu erhöhen, wird vorzugsweise eine semantische Erklärung zur ermittelten Bewertung erstellt. Beispielsweise in dem angegeben wird, welcher Aspekt am stärksten zur Bewertung beigetragen hat. Dadurch werden kürzere Bearbeitungszeiten bei ausgelenkten Zahlungen erzielt.[0045] In order to increase the significance of the evaluation, a semantic explanation of the evaluation determined is preferably created. For example, it indicates which aspect contributed the most to the evaluation. This results in shorter processing times for deflected payments.

[0046] In einer bevorzugten Ausführungsform werden zu den ausgelenkten Zahlungen nach der Beurteilung durch Experten Expertenentscheide zur Verwendung im Vergleichsschritt bereitgestellt. Dadurch entsteht ein beaufsichtigtes Modell bzw. «supervised model», das aufgrund der Expertenentscheide lernt. Expertenentscheide umfassen zumindest die Werte zu mindestens drei Eigenschaften eines von einem Experten als betrügerisch beurteilten Zahlungsauftrags. Im Vergleichsschritt kann nun geprüft werden, ob eine zu beurteilende Zahlung so ähnlich ist zu einem als betrügerisch beurteilten Zahlungsauftrag, dass auch bei der zu beurteilenden Zahlung mit einer genügend hohen Wahrscheinlichkeit von einer betrügerischen Zahlung ausgegangen werden kann und diese daher ausgelenkt wird. Damit auch bereits vor dem Vorliegen von ausgelenkten Zahlungen Expertenentscheide dem beaufsichtigten Modell zugeführt werden können, wird eine Auswahl von Zahlungen dem Experten zur Beurteilung vorgelegt. Die dazu erstellen Expertenentscheide werden dann dem beaufsichtigten Modell, bzw. einem Lernalgorithmus desselben zugeführt.In a preferred embodiment, expert decisions for use in the comparison step are provided for the deflected payments after the assessment by experts. This creates a supervised model that learns based on expert decisions. Expert decisions include at least the values for at least three properties of a payment order that an expert deems to be fraudulent. In the comparison step, it can now be checked whether a payment to be assessed is so similar to a payment order that is deemed to be fraudulent that a fraudulent payment can be assumed with a sufficiently high probability that the payment to be assessed and it is therefore deflected. A selection of payments is presented to the expert for assessment so that expert decisions can be made to the supervised model even before deflected payments are available. The expert decisions created for this are then fed to the supervised model or a learning algorithm of the same.

[0047] Bei einer bevorzugten Ausführungsform umfasst der Expertenentscheid auch einen Hinweis auf die mindestens eine Eigenschaft, bzw. deren Wert, der zur Erkennung als betrügerisch geführt hat. Entsprechend wird eine zu beurteilende Zahlung mit diesem mindestens einen Wert als betrügerisch beurteilt. Hier kann also für das Auslenken bereits eine Übereinstimmung mit einem spezifischen Wert, beispielsweise einem Empfänger-Konto genügen. Gegebenenfalls geht aber der Hinweis auf einen betrügerischen Zahlungsauftrag aus Werten von mindestens zwei Eigenschaften hervor, beispielsweise aus dem Land und der Bank des Empfänger-Kontos. Die relative Ordnung der Werte von Eigenschaften kann für die Erkennung einer betrügerischen Transaktion eine wesentliche Rolle spielen.[0047] In a preferred embodiment, the expert decision also includes an indication of the at least one property or its value, which has led to the detection as fraudulent. Accordingly, a payment to be assessed with this at least one value is assessed as fraudulent. Here, a match with a specific value, for example a recipient account, can already suffice for the deflection. However, the indication of a fraudulent payment order may result from values of at least two properties, for example from the country and the bank of the recipient account. The relative order of property values can play an important role in detecting a fraudulent transaction.

[0048] Für eine Ausführung mit Supervised Learning wird das Lernproblem als eine logistische Regression betrachtet. Diese logistische Regression lernt eine Funktion zur Bestimmung der Wahrscheinlichkeit, dass eine Zahlung positiv ist, d.h. ungewöhnlich ist und geprüft werden muss. Für das Training wird die abhängige Zielvariable deshalb auf 0 gesetzt, wenn eine Zahlung negativ ist, und auf 1, wenn eine Zahlung positiv ist. Der Ausgabewert der gelernten Funktion ist dann zwischen 0 und 1. Er drückt die Wahrscheinlichkeit aus, dass eine Zahlung positiv ist. Für die Klassifizierung wird ein Schwellwert verwendet (Default 0.5), und Zahlungen mit einer Wahrscheinlichkeit grösser als dieser Schwellwert werden zur Prüfung ausgewiesen. Als Lernalgorithmus kann ein aus dem Stand der Technik bekannter Ansatz, beispielsweise Random Forest, XGBoost oder Deep Neural Network, verwendet werden. Bei einem baumbasierten Lernverfahren, bei dem nur die relative Ordnung der Eigenschaften eine Rolle spielt, nicht jedoch deren absoluter Werte, ist keine Normalisierung der Eigenschaften notwendig.For execution with supervised learning, the learning problem is considered a logistic regression. This logistic regression learns a function to determine the probability that a payment is positive, i.e. is unusual and needs to be checked. For training, the dependent target variable is therefore set to 0 if a payment is negative and 1 if a payment is positive. The output value of the learned function is then between 0 and 1. It expresses the probability that a payment is positive. A threshold is used for the classification (default 0.5), and payments with a probability greater than this threshold are shown for checking. An approach known from the prior art, for example Random Forest, XGBoost or Deep Neural Network, can be used as the learning algorithm. With a tree-based learning method, in which only the relative order of the properties plays a role, but not their absolute values, no normalization of the properties is necessary.

[0049] Bei einem beaufsichtigten Modell bzw. «supervised model» werden zu bewertende Zahlungen, deren Gesamtbewertungen in einem vorgegebenen Bereich liegen, ausgelenkt, um von einem Experten beurteilt zu werden. Expertenentscheide mit Werten zu mindestens drei Eigenschaften eines vom Experten als betrügerisch beurteilten Zahlungsauftrags werden zur Verwendung im Vergleichsschritt bereitgestellt, sodass ein beaufsichtigtes Modell bzw. «supervised model», entsteht, das aufgrund der Expertenentscheide mit einem Lernalgorithmus lernt und bei der Ermittlung der Gesamtbewertung mindestens einen Vergleichswert verwendet, der aus mindestens einem aus den Daten des Lernalgorithmus ermittelten Mass der Zuordnung der zu bewertenden Zahlung zu einem als betrügerisch beurteilten Zahlungsauftrag hervorgeht. Wenn dieser Vergleichswert darauf hinweist, dass die zu bewertende Zahlung Ähnlichkeiten mit einer betrügerischen Zahlung hat, so trägt dieser Vergleichswert bei der Erstellung der Gesamtbewertung dazu bei, dass die Gesamtbewertung auf eine betrügerische Zahlung hinweist.In the case of a supervised model or “supervised model”, payments to be assessed, the overall ratings of which lie in a predetermined range, are deflected in order to be assessed by an expert. Expert decisions with values for at least three properties of a payment order that the expert deems to be fraudulent are provided for use in the comparison step, so that a supervised model is created that learns from the expert decisions with a learning algorithm and when determining the overall rating, at least one Comparative value is used, which results from at least one measure of the assignment of the payment to be evaluated to a payment order assessed as fraudulent, determined from the data of the learning algorithm. If this comparative value indicates that the payment to be valued has similarities to a fraudulent payment, then this comparative value contributes to the creation of the overall valuation so that the overall valuation indicates a fraudulent payment.

[0050] Bei einer weiteren bevorzugten Ausführungsform wird ein Netzwerkmodell (Networked Model) verwendet. Dieses Modell verwendet zwischen Banken bzw. Zahlungsdiensten ausgetauschte Daten zu betrügerischen Transaktionen. Von anderen Zahlungsdiensten erhaltene Informationen werden so eingesetzt wie die Expertenentscheide. Das Netzwerkmodell (Networked Model) lernt mit einem Lernalgorithmus aufgrund der von anderen Zahlungsdiensten erhaltenen Daten zu betrügerischen Transaktionen und verwendet bei der Ermittlung der Gesamtbewertung mindestens einen Vergleichswert, der aus mindestens einem aus den Daten des Lernalgorithmus ermittelten Mass der Zuordnung der zu bewertenden Zahlung zu einem als betrügerisch beurteilten Zahlungsauftrag hervorgeht. Wenn dieser Vergleichswert darauf hinweist, dass die zu bewertende Zahlung Ähnlichkeiten mit einer betrügerischen Zahlung hat, so trägt dieser Vergleichswert bei der Erstellung der Gesamtbewertung dazu bei, dass die Gesamtbewertung auf eine betrügerische Zahlung hinweist.In a further preferred embodiment, a network model (Networked Model) is used. This model uses data exchanged between banks and payment services for fraudulent transactions. Information received from other payment services is used in the same way as expert decisions. The network model (Networked Model) learns with a learning algorithm based on the data received from other payment services for fraudulent transactions and uses at least one comparative value in the determination of the overall evaluation, which is based on at least one measure of the assignment of the payment to be evaluated determined from the data of the learning algorithm emerges as a fraudulently assessed payment order. If this comparative value indicates that the payment to be valued has similarities to a fraudulent payment, then this comparative value contributes to the creation of the overall valuation so that the overall valuation indicates a fraudulent payment.

[0051] Die beschriebenen Verfahren und Modelle werden vorzugsweise als computerimplementierte Verfahren und als Vorrichtungen zur Datenverarbeitung mit Mitteln zur Ausführung der Verfahren eingesetzt. Bei den beanspruchten Verfahren wird eine bis anhin nicht bekannte Kombinationen von Eigenschaften und Kontexten gemacht und es werden bis anhin unbekannte Vergleichswerte ermittelt. Die festgelegte Mindestzahl der Vergleichswerte ist so gross, dass für eine zeitnahe Bestimmung der Gesamtbewertung ein computerimplementiertes Verfahren und eine Vorrichtungen zur Datenverarbeitung vorteilhaft sind. Das beschriebene Ermitteln von Vergleichswerten und die anschliessende Verwendung derselben zum Erstellen einer Gesamtbewertung ist eine neue technische Lösung mit der bei einem Zahlungsdienst betrügerische Zahlungen mit möglichst kleinem Aufwand möglichst präzise erkannt werden, ohne dabei gegen Datenschutzvorschriften zu verstossen.The methods and models described are preferably used as computer-implemented methods and as devices for data processing with means for executing the methods. In the claimed methods, a hitherto unknown combination of properties and contexts is made and previously unknown comparison values are determined. The specified minimum number of comparison values is so large that a computer-implemented method and a device for data processing are advantageous for a timely determination of the overall evaluation. The described determination of comparison values and the subsequent use of the same to create an overall assessment is a new technical solution with which fraudulent payments can be detected as precisely as possible with the least possible effort at a payment service provider without violating data protection regulations.

[0052] Die Figur erläutert die Erfindung anhand eines Ausführungsbeispiels, auf das sie aber nicht eingeschränkt ist.The figure explains the invention using an exemplary embodiment, but to which it is not restricted.

[0053] Die Figur zeigt in einem grossen äusseren Rechteckrahmen die bei einem Zahlungsdienstleister, insbesondere bei einer Bank, einem Service oder BPO durchgeführten Verfahrensschritte. Zur Durchführung des erfinderischen Verfahrens werden einem Betrugserkennungssystem die Daten von ausgeführten Zahlungsaufträgen und von mindestens einem zu prüfenden Zahlungsauftrag zugeführt. Das Betrugserkennungssystem umfasst eine Vorverarbeitung, in der die Werte der Zahlungsaufträge vorbereitet werden. Die Vorverarbeitung transformiert die Werte von Eigenschaften der Zahlungsaufträge in gewünschte Wertebereiche. Eine Verhaltensberechnung gewährleistet, dass die ausgeführten Zahlungsaufträge für die vorgegebenen Kontexte und Zeitintervalle ausgewertet und in der Form von Verhaltensdaten bereitgehalten werden. Die Verhaltensdaten, bzw. daraus abgeleitete statistische Informationen pro Kontext und Eigenschaft werden zum Vergleichen mit den zugeordneten Werten der zu bewertenden Zahlungen einem gemeinsamen Berechnungsbereich für alle Modelle zugänglich gemacht.The figure shows in a large outer rectangular frame the method steps carried out at a payment service provider, in particular at a bank, a service or BPO. To carry out the method according to the invention, the data of executed payment orders and of at least one payment order to be checked are fed to a fraud detection system. The fraud detection system includes preprocessing in which the values of the payment orders are prepared. The preprocessing transforms the values of the properties of the payment orders into the desired value ranges. A behavior calculation ensures that the executed payment orders for the given contexts and time intervals are evaluated and kept ready in the form of behavior data. The behavior data, or statistical information derived therefrom per context and property, are made accessible to a common calculation area for all models for comparison with the assigned values of the payments to be assessed.

[0054] Damit die Daten eines zu beurteilenden Zahlungsauftrags mit den für verschiedene Kontexte vorbereiteten Verhaltensdaten vergleichbar sind, werden die Werte der Eigenschaften der zu beurteilenden Zahlungsaufträge wie die entsprechenden Werte für die Ermittlung der Verhaltensdaten vorbereitet. Für den Vergleich mit einem Kontext aller Zahlungen eines Kunden (bp) an beliebige Empfänger, muss gegebenenfalls bei der zu beurteilenden Zahlung auch das jeweilige vom Kunden für die Transaktion verwendete Konto in der Vorverarbeitung mit einem passenden Wert versehen werden. Dazu erhält die Vorverarbeitung die nötigen Informationen von den Verhaltensdaten.In order that the data of a payment order to be assessed are comparable with the behavior data prepared for different contexts, the values of the properties of the payment orders to be assessed are prepared like the corresponding values for the determination of the behavior data. For a comparison with a context of all payments made by a customer (bp) to any recipient, the respective account used by the customer for the transaction must also be assigned a suitable value in the preprocessing for the payment to be assessed. For this purpose, the preprocessing receives the necessary information from the behavior data.

[0055] Die Verhaltensdaten und falls Daten zu Expertenentscheiden vorliegen, werden auch diese zum Trainieren des mindestens einen verwendeten Modells eingesetzt. Jedes Modell ermöglicht einen Vergleich einer zu beurteilenden Zahlung mit Kontext bezogenen Verhaltensdaten. Das unbeaufsichtigte Modell bzw. «unsupervised model» verwendet keine Expertenentscheide. Das beaufsichtigte Modell bzw. «supervised model» verwendet kontinuierlich mehr Expertenentscheide, sodass die Qualität der Beurteilung kontinuierlich zunimmt. Das Netzwerkmodell (Networked Model) verwendet auch zwischen Banken bzw. Zahlungsdiensten ausgetauschte Daten zu betrügerischen Transaktionen.The behavior data and, if data on expert decisions are available, these are also used to train the at least one model used. Each model enables a payment to be assessed to be compared with context-related behavioral data. The unsupervised model or “unsupervised model” does not use expert decisions. The supervised model continuously uses more expert decisions, so that the quality of the assessment increases continuously. The networked model also uses data exchanged between banks or payment services for fraudulent transactions.

[0056] Das Betrugserkennungssystem gibt die Information zur Bewertung mindestens eines zu beurteilenden Zahlungsauftrags zumindest in der Form eines Scores bzw. einer Gesamtbewertung über alle Kontexte und alle den Kontexten zugeordneten Eigenschaften ab. Die Gesamtbewertung ermöglicht eine Auslenkentscheidung. Um die Aussagekraft der Bewertung zu erhöhen, wird vorzugsweise eine Erklärung zur ermittelten Bewertung abgegeben. Die ausgelenkten Zahlungsaufträge und die gegebenenfalls zugeordneten Erklärungen werden einem Betrugsexperten vorgelegt. Die Expertenentscheide werden dann dem Betrugserkennungssystem zugefügt und ermöglichen ein zusätzliches Modell Training und dabei die Verwendung des beaufsichtigten Modells. Über den Austausch mit einem Interbank Service können dem Betrugserkennungssystem analog zu den Expertenentscheiden zusätzliche Betrugsinformationen zugeführt werden, welche die Verwendung eines Netzwerkmodells ermöglichen.The fraud detection system provides the information for evaluating at least one payment order to be assessed, at least in the form of a score or an overall evaluation of all contexts and all properties assigned to the contexts. The overall evaluation enables a decision to deflect. In order to increase the informative value of the evaluation, an explanation of the evaluation determined is preferably made. The deflected payment orders and any associated declarations are presented to a fraud expert. The expert decisions are then added to the fraud detection system and enable additional model training and thereby the use of the supervised model. By exchanging information with an interbank service, additional fraud information can be added to the fraud detection system, which enables the use of a network model.

Claims (11)

Patentansprücheclaims 1. Verfahren zur Sicherung von Zahlungen, bei dem in einem ersten Vorbereitungsschritt für Vergleichszahlungen aus mindestens vier Kontexten pro Kontext für mindestens drei Eigenschaften je die Werte aller Zahlungen für eine statistische Auswertung vorbereitet und statistisch ausgewertet werden, in einem zweiten Vorbereitungsschritt für eine zu bewertende Zahlung für die mindestens drei Eigenschaften je ein Wert der zu bewertenden Zahlung so vorbereitet wird, wie die entsprechenden Werte der Vergleichszahlungen vorbereitet werden, in einem Vergleichsschritt die vorbereiteten Werte der mindestens drei Eigenschaften der zu bewertenden Zahlung für jeden der mindestens vier Kontexte mit den statistischen Auswertungen der Werte der entsprechenden Eigenschaften verglichen werden, wobei jedem Vergleich mindestens ein Vergleichswert zugeordnet wird und somit mindestens 12 Vergleichswerte entstehen, und in einem Bewertungsschritt unter Verwendung der mindestens 12 Vergleichswerte eine Gesamtbewertung der zu bewertenden Zahlung erstellt wird, wobei die zu bewertende Zahlung abhängig von der Gesamtbewertung entweder zur Ausführung oder zur Überprüfung durch einen Experten geführt wird.1. Method for securing payments, in which in a first preparation step for comparative payments from at least four contexts per context for at least three properties, the values of all payments are prepared and statistically evaluated for a statistical evaluation, in a second preparation step for a payment to be evaluated for each of the at least three properties, a value of the payment to be valued is prepared in the same way as the corresponding values of the comparison payments are prepared, in a comparison step the prepared values of the at least three properties of the payment to be valued for each of the at least four contexts with the statistical evaluations of the Values of the corresponding properties are compared, with each comparison being assigned at least one comparison value and thus resulting in at least 12 comparison values, and a total in one evaluation step using the at least 12 comparison values official valuation of the payment to be valued is created, the payment to be valued depending on the overall valuation either for execution or for verification by an expert. 2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die mindestens vier Kontexte der Vergleichszahlungen eine Auswahl aus den nachfolgend aufgeführten Zahlungskontexten sind;2. The method according to claim 1, characterized in that the at least four contexts of the comparison payments are a selection from the payment contexts listed below; Zahlungen des Zahlungsdienstes (global);Payments of the payment service (global); Zahlungen des Kunden zu dem eine neue Zahlung bewertet werden soll (bp); Zahlungen an den Empfänger an den eine neue Zahlung bewertet werden soll (beneficiary);Payments by the customer for whom a new payment is to be valued (bp); Payments to the recipient to whom a new payment is to be assessed (beneficiary); Zahlungen in das Zielland, in das eine neue Zahlung bewertet werden soll (country);Payments to the target country into which a new payment is to be valued (country); Zahlungen des Kunden, von dem eine neue Zahlung bewertet werden soll, und zwar in das Zielland der zu bewertenden Zahlung (bpCountry);Payments from the customer from whom a new payment is to be valued, to the target country of the payment to be valued (bpCountry); Zahlungen des Kunden, von dem eine neue Zahlung bewertet werden soll, und zwar an den Empfänger der zu bewertenden Zahlung (bpBeneficiary).Payments by the customer from whom a new payment is to be valuated, to the recipient of the payment to be valued (bpBeneficiary). 3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass das Zeitintervall der Vergleichszahlungen eines Kontextes im Bereich von 10 Tagen bis 1.5 Jahren liegt, vorzugsweise aber bei 30 Tagen oder bei 400 Tagen, wobei insbesondere die Anzahl der Vergleichszahlungen pro Zeitintervall und Kontext auf maximal 25'000 beschränkt wird.3. The method according to claim 1 or 2, characterized in that the time interval of the comparison payments of a context is in the range of 10 days to 1.5 years, but preferably 30 days or 400 days, with in particular the number of comparison payments per time interval and context a maximum of 25,000 is restricted. 4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass die mindestens drei Eigenschaften einen aus dem jeweiligen Zahlungsbetrag abgeleiteten Wert, die Währung und den benützten Kanal des jeweiligen Zahlungsauftrags umfassen, wobei der vom Zahlungsbetrag abgeleitete Wert vorzugsweise als Logarithmus eines den Zahlungsbetrag umfassenden Wertes (LogAmount) gewählt wird.4. The method according to any one of claims 1 to 3, characterized in that the at least three properties comprise a value derived from the respective payment amount, the currency and the channel used for the respective payment order, the value derived from the payment amount preferably as a logarithm of the payment amount comprehensive value (LogAmount) is selected. 5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass die mindestens drei Eigenschaften mindestens eine der nachfolgenden Eigenschaften mit den in Klammern angegebenen Kurzbezeichnungen und möglichen Werten umfassen:5. The method according to any one of claims 1 to 4, characterized in that the at least three properties include at least one of the following properties with the short names and possible values given in parentheses: Zahlung aus Dauerauftrag (standingOrder: 0, 1),Payment from standing order (standingOrder: 0, 1), Zahlung hat ESR (esr: 0,1),Payment has ISR (esr: 0.1), Zahlung aus LSV (directDebit: 0,1),Payment from LSV (directDebit: 0.1), Zahlung ist Kontoübertrag innerhalb eines BP (bpXfermon: 0,1),Payment is account transfer within a BP (bpXfermon: 0.1), Zahlung in CHF (currencyChf: 0,1),Payment in CHF (currencyChf: 0.1), Zahlung in EUR (currencyEur: 0,1),Payment in EUR (currencyEur: 0.1), Zahlung in USD (currencyUsd: 0,1),Payment in USD (currencyUsd: 0.1), Zahlung in sonstiger Währung (currencyOther: 0,1),Payment in other currency (currencyOther: 0.1), Zahlung nach FL (countryFI: 0,1),Payment according to FL (countryFI: 0.1), Zahlung nach CH (countryCh: 0,1),Payment to CH (countryCh: 0.1), Zahlung nach AT (countryAt: 0,1),Payment to AT (countryAt: 0.1), Zahlung nach DE (countryDe: 0,1),Payment to DE (countryDe: 0.1), Zahlung nach US (countryUs: 0,1) undPayment to US (countryUs: 0.1) and Zahlung nach sonstigem Land (countryOther: 0,1).Payment to other country (countryOther: 0.1). 6. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass für Eigenschaften mit kontinuierlichen Werten im ersten Vorbereitungsschritt die Werte zur Vorbereitung auf die statistische Auswertung auf eine vorgegebene Skala transformiert werden sowie bei der statistischen Auswertung zu den transformierten Werten eine Wahrscheinlichkeitsdichtefunktion in der Form einer Normalverteilung ermittelt wird, und im Vergleichsschritt der auf die gleiche vorgegebene Skala transformierte Eigenschafts-Wert einer zu bewertenden Zahlung dadurch mit der statistischen Auswertung der entsprechenden Eigenschafts-Werte des jeweiligen Kontextes verglichen wird, dass dessen Eintretens-Wahrscheinlichkeit im jeweiligen Kontext unter Verwendung der zu den Zahlungen des Kontextes ermittelten Wahrscheinlichkeitsdichtefunktion bestimmt und davon abgeleitet ein Vergleichswert zugeordnet wird.6. The method according to any one of claims 1 to 5, characterized in that for properties with continuous values in the first preparation step, the values for preparation for the statistical evaluation are transformed to a predetermined scale and in the statistical evaluation of the transformed values, a probability density function in the Form of a normal distribution is determined, and in the comparison step the property value of a payment to be evaluated, which has been transformed to the same predetermined scale, is compared with the statistical evaluation of the corresponding property values of the respective context by using its probability of occurrence in the respective context for the payments of the context determined probability density function is determined and derived a comparison value is assigned. 7. Verfahren nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass für Eigenschaften mit diskreten Werten im ersten Vorbereitungsschritt die Werte zur Vorbereitung auf die statistische Auswertung auf vorgegebene diskrete Werte transformiert werden sowie bei der statistischen Auswertung zu den transformierten Werten eine Wahrscheinlichkeitsmassenfunktion ermittelt wird, und im Vergleichsschritt der auf einen der vorgegebenen diskreten Werte transformierte Eigenschafts-Wert einer zu bewertenden Zahlung dadurch mit der statistischen Auswertung der entsprechenden Eigenschafts-Werte des jeweiligen Kontextes verglichen wird, dass dessen Eintretens-Wahrscheinlichkeit im jeweiligen Kontext unter Verwendung der zu den Zahlungen des Kontextes ermittelten Wahrscheinlichkeitsmassenfunktion bestimmt und davon abgeleitet ein Vergleichswert zugeordnet wird.7. The method according to any one of claims 1 to 6, characterized in that for properties with discrete values in the first preparation step, the values are transformed to predetermined discrete values in preparation for the statistical evaluation, and a probability mass function is determined in the statistical evaluation for the transformed values , and in the comparison step, the property value of a payment to be evaluated, transformed to one of the predetermined discrete values, is compared with the statistical evaluation of the corresponding property values of the respective context in such a way that its probability of occurrence in the respective context using the payments for the Determined context-determined probability mass function and derived a comparison value is assigned. 8. Verfahren nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass im Bewertungsschritt unter Verwendung der mindestens 12 Vergleichswerte eine Gesamtbewertung der zu bewertenden Zahlung dadurch erstellt wird, dass die Vergleichswerte mit einer vorgegebenen Gewichtung summiert und/oder multipliziert werden und daraus eine Gesamtbewertung ermittelt wird.8. The method according to any one of claims 1 to 7, characterized in that in the evaluation step using the at least 12 comparison values, an overall evaluation of the payment to be evaluated is created in that the comparison values are summed and / or multiplied by a predetermined weighting and an overall evaluation is derived therefrom is determined. 9. Verfahren nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass zu bewertende Zahlungen, deren Gesamtbewertungen in einem vorgegebenen Bereich liegen, ausgelenkt werden, um von einem Experten beurteilt zu werden, wobei Expertenentscheide mit Werten zu mindestens drei Eigenschaften eines vom Experten als betrügerisch beurteilten Zahlungsauftrags zur Verwendung im Vergleichsschritt bereitgestellt werden, sodass ein beaufsichtigtes Modell bzw. «supervised model», entsteht, das aufgrund der Expertenentscheide mit einem Lernalgorithmus lernt und bei der Ermittlung der Gesamtbewertung mindestens einen Vergleichswert verwendet, der aus mindestens einem aus den Daten des Lernalgorithmus ermittelten Mass der Zuordnung der zu bewertenden Zahlung zu einem als betrügerisch beurteilten Zahlungsauftrag hervorgeht.9. The method according to any one of claims 1 to 8, characterized in that payments to be evaluated, the total ratings of which are in a predetermined range, are deflected in order to be assessed by an expert, expert decisions with values relating to at least three properties being one of the experts as fraudulently assessed payment orders are made available for use in the comparison step, so that a supervised model or “supervised model” arises, which learns on the basis of the expert decisions with a learning algorithm and uses at least one comparison value when determining the overall rating, which is based on at least one from the data of the Learning algorithm determines the extent of the assignment of the payment to be evaluated to a payment order assessed as fraudulent. 10. Verfahren nach einem der Ansprüche 1 bis 9, dadurch gekennzeichnet, dass zwischen Banken bzw. Zahlungsdiensten ausgetauschte Daten zu betrügerischen Transaktionen mit Werten zu mindestens drei Eigenschaften eines als betrügerisch beurteilten Zahlungsauftrags zur Verwendung im Vergleichsschritt bereitgestellt werden, sodass ein Netzwerkmodell (Networked Model) entsteht, das aufgrund der Daten zu betrügerischen Transaktionen mit einem Lernalgorithmus lernt und bei der Ermittlung der Gesamtbewertung mindestens einen Vergleichswert verwendet, der aus mindestens einem aus den Daten des Lernalgorithmus ermittelten Mass der Zuordnung der zu bewertenden Zahlung zu einem als betrügerisch beurteilten Zahlungsauftrag hervorgeht.10. The method according to any one of claims 1 to 9, characterized in that data exchanged between banks or payment services on fraudulent transactions with values for at least three properties of a payment order assessed as fraudulent are provided for use in the comparison step, so that a network model (Networked Model) arises, which learns on the basis of data on fraudulent transactions with a learning algorithm and uses at least one comparative value when determining the overall rating, which results from at least one measure of the assignment of the payment to be assessed to a payment order assessed as fraudulent from the data of the learning algorithm. 11. Computerprogrammprodukt, welches die Durchführung eines Verfahrens nach einem der Ansprüche 1 bis 10 auf einer programmgesteuerten Vorrichtung veranlasst.11. Computer program product which causes the implementation of a method according to one of claims 1 to 10 on a program-controlled device.
CH00836/18A 2018-07-04 2018-07-04 Procedure for securing payments. CH715150A2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CH00836/18A CH715150A2 (en) 2018-07-04 2018-07-04 Procedure for securing payments.

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CH00836/18A CH715150A2 (en) 2018-07-04 2018-07-04 Procedure for securing payments.

Publications (1)

Publication Number Publication Date
CH715150A2 true CH715150A2 (en) 2020-01-15

Family

ID=69147321

Family Applications (1)

Application Number Title Priority Date Filing Date
CH00836/18A CH715150A2 (en) 2018-07-04 2018-07-04 Procedure for securing payments.

Country Status (1)

Country Link
CH (1) CH715150A2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210042757A1 (en) * 2019-08-09 2021-02-11 Mastercard Technologies Canada ULC Determining a fraud risk score associated with a transaction

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210042757A1 (en) * 2019-08-09 2021-02-11 Mastercard Technologies Canada ULC Determining a fraud risk score associated with a transaction
US11727406B2 (en) * 2019-08-09 2023-08-15 Mastercard Technologies Canada ULC Determining a fraud risk score associated with a transaction

Similar Documents

Publication Publication Date Title
Paruchuri et al. Investor perceptions of financial misconduct: The heterogeneous contamination of bystander firms
Driffield et al. How does ownership structure affect capital structure and firm value? Recent evidence from East Asia 1
Malaescu et al. The reliance of external auditors on internal audit's use of continuous audit
Omgba On the duration of political power in Africa: the role of oil rents
Maart‐Noelck et al. Measuring the risk attitude of decision‐makers: are there differences between groups of methods and persons?
Boutchkova et al. Gender diversity and the spillover effects of women on boards
Abu Khadra et al. Nonprofit organization fraud reporting: does governance matter?
WO1999048056A1 (en) Method and device for verifying a biometric characteristic
Singhvi et al. Market reactions to departures of audit committee directors
Lopez-Sanchez et al. Delving into the determinants of default risk in savings groups: empirical evidence from Ecuador
Bai et al. Financial and other frauds in the United States: a panel analysis approach
Angosto‐Fernández et al. Independence day: Political risk and cross‐sectional determinants of firm exposure after the Catalan crisis
CH715150A2 (en) Procedure for securing payments.
Ngugi et al. Reducing tax identity theft by identifying vulnerability points in the electronic tax filing process
DE202022107234U1 (en) Online banking fraud detection system using blockchain and artificial intelligence through backlogging
Mollers The Wirecard accounting scandal in Germany, and how the financial industry failed to spot it
EP4329243A1 (en) Computer implemented method for automated securing of a computer system
Warf Corruption in the Middle East and North Africa: A geographic perspective
Agostini et al. Accounting Fraud, Business Failure and Creative Auditing: A Micro-Analysis of the Strange Case of Sunbeam Corp.
EP2077658A1 (en) Method for providing a service for a user
EP1208541B1 (en) Expert system
Osterrieder et al. Panel regression estimators in corporate finance: a plea for efficiency
Rafaiani et al. A functional approach to cyber risk assessment
Grottke et al. First the stick, then the carrot? A cross-country evaluation of the OECD's initiative against harmful tax competition
AIGHEYISI DETERMINANTS OF FDI INFLOWS TO NIGERIA: DOES CRIME RATE MATTER?

Legal Events

Date Code Title Description
AZW Rejection (application)