Nell’articolo “La gestione del rischio operativo in ambito finanziario” sono state discusse le metodologie ed i trend di innovazione tecnologica per la gestione del Rischio Operativo finanziario; in questo articolo, invece, discutiamo la soluzione di Regtech operativa offerta da Revelis e dei casi d’uso realizzati.
La soluzione di Regtech di Revelis usa un approccio al monitoraggio dei rischi operativi che combina:
- una metodologia standard per l’analisi dei dati;
- una piattaforma tecnologica che integra una serie di funzionalità che rientrano nei trend di innovazione tecnologica descritti nell’articolo su citato.
Metodologia di analisi: CRISP-DM
L’erogazione dei servizi di analisi dei dati e di addestramento dei modelli di Machine Learning avverrà secondo la metodologia Cross-Industry Standard Process for Data Mining; si tratta di un metodo standard per l’esecuzione interattiva ed iterativa di processi di data mining e analysis caratterizzato da 3 fasi e 6 attività come illustrato nella figura seguente.
Fase 1
La fase di valutazione preliminare delle esigenze ha l’obiettivo di affiancare il cliente nella stima, valutazione e progettazione della soluzione di analisi dei dati. Nell’ambito di questa fase rientrano le seguenti attività:
- Business Understanding. È finalizzata all’analisi degli obiettivi applicativi da parte del cliente, sulla base dei seguenti task: (i) analisi dello scenario “as-is; (ii) definizione dei risultati attesi, definiti dai decision maker del cliente; (iii) definizione dei criteri utilizzati per determinare l’esito del processo di analisi dei dati;
- Data Understanding. È finalizzata alla comprensione dei dati ed è fondamentale per evitare problemi imprevisti durante la fase di Data Preparation. Nell’ambito di questa attività sono eseguiti i seguenti task: (i) individuazione delle sorgenti interne/esterne; (ii) individuazione delle entità e degli attributi significativi per l’analisi; (iii) analisi descrittiva dei dati messi a disposizione, tramite valutazione di funzioni statistiche di base e/o l’utilizzo di grafici ed aggregazioni; (iv) valutazione della qualità dei dati, individuando eventuali problemi collegati ad errori di formato e/o di rappresentazione delle informazioni.
Fase 2
La fase 2 prevede l’attività di “Data Acquisition and Preparation” ed è funzionale alla connessione alle sorgenti informative individuate nella fase 1, nonché alla preparazione e cleaning dei dati acquisiti. In questa fase sono eseguiti i seguenti task:
- Filtraggio dei dati. Questo task ha l’obiettivo di selezionare i dati pertinenti al raggiungimento degli obiettivi del cliente. A tal fine si procede al “filtraggio” dei dati e degli attributi tramite tecniche di campionamento e/o rimozione dei dati “sporchi”;
- Cleaning. Nell’ambito di questo task sono applicate tecniche statistiche per ricostruire i dati mancanti, gestire gli errori sui dati, sistemare gli errori di misurazione, gestire i dati sparsi;
- Creazione di dati sintetici. Spesso i dati grezzi non sono sufficienti per effettuare in maniera efficace l’analisi prefissata. In questi casi si può procedere alla creazione di nuovi dati “verosimili” a partire da quelli esistenti, tramite tecniche per derivazione la di attributi o per la generazione di record;
- Integrazione dei dati. I dati provenienti da sorgenti diverse e che sono riferiti alle medesime entità possono essere integrati per “merge” (ovvero arricchimento dell’entità tramite un maggior numero di attributi) o “unione” (arricchimento del numero di entità disponibili).
Fase 3
La Fase 3 prevede due distinti macro-step di processo:
- Formulazione e implementazione del modello di analisi. Tale fase ha l’obiettivo di definire (tramite tecniche statistiche induttive) e valutare (tramite metriche standard) uno o più modelli di data mining, e prevede le seguenti attività:
- Sviluppo di connettori. I connettori sono interfacce software che permettono l’import dai sistemi esterni dei dati da sottoporre agli algoritmi di Data-Mining o l’export dei risultati verso sistemi/piattaforme esterne.
- Modeling. Consiste nell’applicazione di algoritmi ad un opportuno subset dei dati disponibili detto training set. I dati del training set verranno sottoposti ad opportune attività di preprocessing per consentire l’elaborazione da parte degli algoritmi statistici. Il risultato è un modello di supporto alle decisioni, che può essere finalizzato a scopi di: Classificazione; Regressione; Segmentazione; Sommarizzazione; Analisi dei legami o associazione; Analisi delle sequenze. Gli algoritmi sono basati su tecniche di machine learning e deep learning.
- Evaluation. Questa attività verte sulla misurazione delle performance del modello tramite opportune metriche tra quelle definite nella letteratura scientifica. In tal modo è possibile valutare in maniera oggettiva la bontà dei modelli indotti, e conseguentemente verificare il soddisfacimento degli obiettivi di business definiti. La valutazione delle performance avviene su un opportuno subset dei dati disponibili detto test set, disgiunto rispetto al training set usato nella fase di addestramento del modello.
- Conduzione della soluzione di analisi. Tale prevede l’attività di “Deployment”, ovvero di implementazione di una versione eseguibile del modello indotto, che possa essere utilizzata presso l’infrastruttura applicativa del cliente.
Framework tecnologico di riferimento: la piattaforma Moneying™
Moneying™ è la soluzione di Regtech sviluppata da Revelis e consiste in una piattaforma che applica tecniche di Intelligenza Artificiale per l’analisi dei dati funzionali ai controlli operativi, come ad esempio le transazioni finanziarie e le comunicazioni da parte dei clienti.
La combinazione di tecniche di Machine Learning e Deep Learning consente di ottimizzare le attività di verifica nell’ambito dei controlli. L’uso di tecniche di Text Analytics consente l’elaborazione automatica dei testi in linguaggio naturale, abilitando in tal modo l’automazione della gestione documentale, sia relativa ai documenti interni che a quelli provenienti dall’esterno o dai clienti.
Le caratteristiche principali della piattaforma Moneying™, ovvero la soluzione di Regtech, sono le seguenti:
- Scalabilità. Moneying™ è una piattaforma altamente scalabile che integra tecnologie per l’analisi dei Big Data, e può essere distribuita sia on-premises che as-a-service tramite erogazione in cloud.
- Big Data Analytics. Moneying™ mette a disposizione oltre 100 algoritmi per l’elaborazione dei dati e la previsione dei comportamenti. Gli algoritmi possono essere variamente combinati tra loro definendo dei processi di elaborazione flessibili ed altamente personalizzabili.
- Sicurezza. Moneying™ dispone di un sistema di autenticazione e profiling degli utenti che consente di profilare l’accesso alle analisi dei dati ed alle informazioni, garantendo in tal modo elevati standard di sicurezza nei contesti operativi dei clienti.
- Interfaccia Web. L’analisi dei casi sospetti avviene tramite un’interfaccia web potente e di facile utilizzo. Gli utenti possono estrarre dei report personalizzati ed hanno a disposizione cruscotti informativi relativi alle attività effettuate.
L’architettura funzionale della piattaforma Moneying™, ovvero la soluzione per il RegTech, è rappresentata nella figura seguente.
Sul lato sinistro (Area 1) viene rappresentato l’insieme delle possibili tipologie di sorgenti informative che possono interessare i processi di analisi. In particolare, la piattaforma supporta:
- Dati provenienti da sorgenti informative interne ed esterne. In entrambi i casi l’acquisizione avviene tramite l’uso di appositi connettori alle sorgenti informative.
- Dati di diversa tipologia: strutturati/semi-strutturati (database, CSV, XML); non strutturati (testi); dati relativi ai processi (log); dati multimediali (video, immagini, audio); dati geospaziali; dati in streaming (provenienti da sorgenti continue o da sensori); dati da web e social media.
- Dati che, con riferimento ai clienti su cui effettuare i controlli, possono essere di tipo:
- Soggettivo, ovvero direttamente riferibili al soggetto in analisi. Rientrano in questa categoria i dati anagrafici, la professione, la residenza.
- Oggettivo, ovvero riconducibili all’operatività del soggetto rispetto ai rapporti in essere con la banca. Rientrano in questo ambito le transazioni finanziarie, le informazioni relative ad eventuali segnalazioni per operazioni sospette, o qualunque altro tipo di segnalazione effettuata.
Le sorgenti informative elencate sono sottoposte a processi di memorizzazione e/o analisi nella parte di architettura relativa alla Cloud Infrastructure (Area 2). Tale area è suddivisa, dal punto di vista logico, in 2 sotto-aree distinte, la prima riguardante la memorizzazione dei dati (Big Data Storage) e la seconda relativa all’analisi degli stessi (AI/Big Data Analytics).
I processi di memorizzazione e di analisi possono essere realizzati in maniera del tutto distinta e separata sia in cloud che “on-premises”. In maniera trasversale alle due sotto-aree, trovano collocazione i vari servizi di sicurezza, monitoraggio, audit e backup e disaster recovery.
La sezione di AI/Big Data Analytics è suddivisa logicamente in una sezione di Core Capabilities ed un’altra di AI Capabilities. La prima sezione menzionata contiene meccanismi di calcolo distribuito, accesso a File System (locale o distribuito), accesso ai dati In-Memory, gestione del Workload, accesso a dati SQL e NO SQL.
La parte di AI Capabilities mette a disposizione una serie di funzionalità coerenti con la metodologia CRISP-DM, al fine di abilitare le fasi di acquisizione dei dati, preparazione delle informazioni, addestramento dei modelli e visualizzazione dei risultati. Con riferimento ai modelli, in particolare, si evidenzia che la piattaforma offre sia algoritmi di Machine Learning e Deep Learning, che meccanismi per abilitare il ragionamento automatico.
In tal modo è possibile realizzare soluzioni di AI che siano in grado di combinare la conoscenza che deriva dai dati (approcci sub-simbolici, ovvero Machine e Deep Learning) con la conoscenza degli esperti di dominio (approcci simbolici, ovvero ragionamento automatico). Questa caratteristica della piattaforma, se da un lato rende possibile l’automazione di processi decisionali anche nei casi in cui i dataset disponibili siano troppo piccoli per l’addestramento dei modelli di Machine/Deep Learning (poiché è possibile automatizzare le logiche adottate dall’uomo tramite sistemi esperti), dall’altro consente di intervenire sulle problematiche degli approcci sub-simbolici, come ad esempio le “allucinazioni” dei modelli GPT, che possono essere corrette grazie alla realizzazione di sistemi di controllo basati su ragionamento automatico.
Infine, sul lato destro della figura (Area 3) vengono rappresentati i servizi applicativi relativi ai controlli in ambito bancario, un cui elenco, non esaustivo, è rappresentato di seguito:
- KYC
- Adeguata Verifica Rafforzata
- Controlli apertura conto
- Valutazione dei profili di rischio (di credito, inadempienza, relativo agli investimenti, ecc.)
- AML tramite Transaction Monitoring
- Monitoraggi (autorizzazioni e limiti di spesa, limiti di esposizione)
- Profiling (merito creditizio, adeguatezza dei prodotti, …)
Esperienze (usecases) realizzate
AML – Transaction Monitoring, Risk Management, Gestione dei rapporti con gli enti inquirenti
La soluzione per il Regtech Moneying™ applica tecniche di Machine Learning e Reasoning per analizzare le transazioni finanziarie a scopi di AML e Risk Management.
Tramite tecniche di pattern recognition e profiling è possibile individuare comportamenti fraudolenti o illeciti, ed abilitare la valutazione del profilo di rischio dei clienti (KYC).
Le funzionalità messe a disposizione dalla piattaforma sono le seguenti:
- Profilo di Rischio. Moneying abilita la profilazione dei clienti in base ad un «Profilo di Rischio», calcolato sulla base di caratteristiche oggettive e soggettive dei clienti. Tutte le informazioni dei clienti sono integrate in modo da mettere a disposizione un “fascicolo cliente” che contiene tutte le informazioni peculiari dei clienti B2C e B2B.
- Anti Money-Laundering. Moneying offre funzionalità per l’elaborazione di Big Data relativi alle transazioni finanziarie, allo scopo di individuare anomalie nell’uso degli strumenti finanziari da parte di uno o più soggetti. La piattaforma offre un modulo per la generazione di segnalazioni di operazioni sospette verso UIF.
- Risk Management. La piattaforma consente l’esecuzione di analisi per la valutazione del rischio; gli utenti possono personalizzare i processi di analisi dei dati volti al calcolo di opportuni Key Risk Indicators.
- Monitoraggio dei clienti B2C e B2B. Moneying mette a disposizione un modulo per gestire il sanzionamento di clienti B2C o B2B che violano gli accordi contrattuali nell’uso degli strumenti di pagamento.
- Gestione dei rapporti con gli Enti Inquirenti. Moneying consente di ottimizzare le interazioni con gli enti inquirenti, velocizzando la produzione di risposte per le richieste che giungono da autorità giudiziarie, forze di polizia e tribunali.
Analisi automatica di comunicazioni dei clienti relativi a reclami e lamentele
Oggi, in ambito bancario, l’assistenza ai clienti si basa sulla gestione di grandi quantità di e-mail, che richiede un’enorme quantità di tempo e risorse da parte degli operatori umani. Utilizzando tecniche di Intelligenza Artificiale e Machine Learning, è possibile automatizzare il processo di lettura e classificazione delle e-mail, riducendo notevolmente il carico di lavoro degli operatori, evitando loro compiti ripetitivi, così da dedicare più tempo ad attività diverse e migliorando così il rendimento complessivo.
La verticalizzazione denominata “AIOM” della piattaforma Moneying usa tecniche di Text Intelligence per leggere e classificare automaticamente le e-mail inviate all’Ufficio Reclami ed all’Ufficio Legale di una Banca di primaria importanza internazionale, tramite l’analisi del contenuto (corpo della mail e allegati), in modo da indirizzare la lavorazione dei reclami e delle lamentele e, quando possibile, rispondere al cliente in modo automatico.
I vantaggi di MoneyingAIOM
L’uso della piattaforma come la soluzione per il Regtech MoneyingAIOM ha determinato i seguenti impatti:
- Riduzione del carico di lavoro degli operatori: il modello di Text Analytics è in grado di gestire automaticamente la lettura e la classificazione delle e-mail, riducendo significativamente il carico di lavoro degli operatori umani;
- Maggiore efficienza: la classificazione automatica delle e-mail avviene in un tempo drasticamente più breve rispetto alla classificazione manuale, consentendo una risposta più rapida e un flusso di lavoro più fluido;
- Scalabilità e flessibilità: il sistema di classificazione automatica delle e-mail può essere facilmente adattato per gestire un volume elevato di e-mail, senza richiedere un aumento proporzionale delle risorse umane. Inoltre, il modello di machine learning può essere adattato e migliorato nel tempo, a seconda delle nuove esigenze e dei cambiamenti nel contenuto delle e-mail;
- Risparmio sui costi: riducendo la dipendenza dagli operatori umani per leggere e classificare le e-mail, sono stati ridotti del 65% i costi associati alla gestione di grandi volumi di comunicazioni aziendali.
L’implementazione di un sistema di questo tipo richiede una particolare attenzione al rispetto delle normative, quindi norme come il Regolamento generale sulla protezione dei dati (GDPR) e alla tutela della privacy. Le e-mail, infatti, contengono informazioni personali o riservate che devono essere protette. Una volta letti dalla piattaforma MoneyingAIOM, i testi delle e-mail, degli allegati esaminati e del mittente, vengono archiviati in maniera crittografata.
Adeguata Verifica Rafforzata
L’adeguata verifica rafforzata (AVR) è un processo volto a mitigare il rischio di riciclaggio e finanziamento del terrorismo. L’esecuzione manuale del processo di AVR prevede le seguenti fasi:
-
Acquisizione di informazioni. Gli operatori si collegano manualmente a diversi sistemi, interni ed esterni alla banca, al fine di acquisire le informazioni necessarie all’analisi, come ad esempio:
- la verifica dell’esistenza del codice fiscale e della partita IVA (informazioni desumibili pubblicamente dal sito dell’Agenzia delle Entrate);
- l’elenco delle transazioni effettuate;
- il profilo di rischio del soggetto;
- l’appartenenza del soggetto agli elenchi PEP o antiterrorismo;
- Analisi e valutazione del rischio. Gli operatori esaminano le informazioni acquisite per identificare eventuali fattori di rischio, e procedono alla valutazione del rischio complessivo del cliente, considerando:
- Il profilo di rischio intrinseco (attività svolta, PEP, paesi coinvolti);
- Il comportamento del cliente (transazioni sospette, coerenza con le informazioni fornite);
- Il livello di rischio associato al prodotto o servizio monitorato;
- Misure di verifica rafforzate. Per i soggetti rischiosi, si procede alla predisposizione di un questionario tramite il quale si richiede al soggetto in esame di giustificare una serie di operazioni, ed eventualmente di fornire documentazione supplementare (es. visure camerali, estratti conto). In questa fase è anche possibile, talvolta, richiedere informazioni a fonti terze (es. banche dati, autorità competenti).
- Aggiornamento e monitoraggio. Gli operatori procedono all’invio dei questionari ed al monitoraggio della risposta del soggetto analizzato. In caso di mancata risposta, è possibile proporre la chiusura dei rapporti in essere.
L’esecuzione manuale dell’AVR richiede:
- Personale qualificato: Addetti formati sulle procedure antiriciclaggio e in grado di valutare il rischio.
- Procedure interne definite: Documentazione dettagliata delle procedure di AVR e dei criteri di valutazione del rischio.
- Supervisione e controllo: Sistema di supervisione per garantire l’adeguata applicazione delle procedure.
L’automazione delle operazioni di AVR avviene tramite un sistema informatico, la cui architettura funzionale è rappresentata nella figura che segue.
In particolare, tramite opportune procedure RPA, è possibile acquisire tutte le informazioni necessarie all’analisi, che si sostanziano in una serie di file PDF o excel che vengono memorizzati in un apposito folder.
A partire da questi dati, la piattaforma utilizzerà la piattaforma Moneying™ di Revelis per:
- Effettuare automaticamente l’estrazione delle informazioni dai file, tenendo conto della tipologia (PDF, CSV, …) e della struttura degli stessi;
- Implementare le logiche decisionali relative all’AVR, a partire da una serie di “Golden rules” indicate dagli operatori e che sono rappresentate attraverso opportuni formalismi dell’Answer Set Programming.
Il processo realizzato tramite Moneying ™ produce, per ogni posizione da analizzare, un esito per indicare se il soggetto debba essere o meno sottoposto al questionario AVR, e, in alcuni casi, la struttura del questionario da somministrare.
Altre possibili applicazioni dell’AI nell’ambito dei controlli a presidio dei rischi operativi
Automatizzare KYC con l’intelligenza artificiale
L’intelligenza artificiale (AI) offre un enorme potenziale per automatizzare il processo di Verifica dell’Identità del Cliente (KYC) nel settore bancario e finanziario. Di seguito si elencano alcune applicazioni che utilizzano tecniche di AI per migliorare l’efficienza e l’efficacia di queste procedure:
- Riconoscimento facciale e biometria. Tramite tecniche di computer vision è possibile analizzare i volti e le impronte digitali dei clienti per verificarne l’identità in tempo reale, a partire da un video in streaming. In tal modo, non c’è necessità di documenti cartacei, ed è possibile eseguire da remoto il controllo.
- Analisi del linguaggio naturale (NLP). Come è stato già analizzato per il caso di analisi delle comunicazioni dei clienti e per il caso dell’AVR, le tecniche di Text Analytics possono essere utilizzate per analizzare le informazioni fornite dai clienti nei moduli KYC e AML per identificare potenziali rischi. In particolare, l’uso del Natural Language Processing consente di estrarre dati da documenti come fatture e bonifici bancari per identificare eventuali transazioni sospette.
Automatizzare i controlli dei requisiti di apertura del conto con AI
L’intelligenza artificiale (AI) può essere utilizzata per automatizzare i controlli dei requisiti di apertura del conto in diversi modi:
- Analisi del rischio. È possibile utilizzare sistemi esperti (approcci “simbolici”) al fine di applicare regole di valutazione delle informazioni fornite dai clienti nei moduli di richiesta di apertura del conto, identificando potenziali rischi. Gli approcci “simbolici” possono essere combinati con quelli “sub-simbolici”, correlati al Machine Learning ed alle Reti Neurali, in modo da profilare i clienti in base al rischio di frode, finanziamento del terrorismo e altri rischi finanziari.
- Verifica dell’identità. Come è già stato descritto per il caso del KYC, l’AI può essere utilizzata per verificare l’identità dei clienti mediante il riconoscimento facciale, l’analisi del documento d’identità e la verifica biometrica, prevenendo frodi e furti d’identità.
- Controllo dei precedenti. L’AI può essere utilizzata per controllare i precedenti dei clienti per identificare eventuali precedenti penali o sanzioni finanziarie. In tal modo è possibile proteggere la banca da rischi reputazionali e legali.
Autore: Francesco Cupello