5 min Security

SurePay bestrijdt bankfraude met hulp van Okta

SurePay bestrijdt bankfraude met hulp van Okta

Van banken wordt verwacht dat ze klanten kunnen behoeden voor fraude. SurePay helpt ze te voldoen aan nieuwere, strengere regelgeving. Daarbij schiet Okta te hulp om transparantie en veiligheid te bieden.

SurePay begon in 2016 als start-up binnen de Rabobank. De oplossing van het bedrijf richt zich op fraudebestendige betalingen. Wie ooit een betaling online heeft gedaan, is wellicht al indirect bekend ermee. Een rekeningnummer gekoppeld aan de juiste rekeninghouder krijgt een groen vinkje in de UI van de bank, terwijl een twijfelachtige of verdachte ontvanger voorzien wordt van een gele of rode waarschuwing. Onderhuids is dit bij SurePay respectievelijk een ‘match’, ‘close match’ of ‘no match’, dat fraude ingrijpend tegenwerkt.

In Nederland sloeg deze aanpak direct aan. Binnen een paar jaar tijd voorzag SurePay al 99,5 procent van banken in Nederland van API-gedreven verificatie van betalingen. Vanuit het Verenigd Koninkrijk ontstond grote interesse destijds. SurePay bezit tegenwoordig 40 procent marktaandeel in dat land en heeft bijgedragen aan de regelgeving aldaar, net als binnen Europa. De aanstormende standaard van de IBAN-Naam Check is verplicht voor banken die in euro’s transacties afhandelen vanaf oktober 2025. Wie nog in een andere munteenheid opereert binnen het SEPA-gebied, heeft een jaartje extra.

De resultaten van SurePay’s aanpak liegen er niet om. In Nederland is er sinds de introductie van SurePay 81 procent minder betaalfraude, terwijl dit 60 procent bedraagt voor Britse gebruikers. Ook zijn er door de extra controle 67 procent minder betalingen die naar de verkeerde ontvanger zijn gegaan.

Tip: Oktane 2024: agents, security en de strijd tegen SaaS-chaos

Auth0 als fundament

Banken hebben echter meer vereisten dan veilige betalingen. Hoge compliance-eisen dwingen hen om elke transactie inzichtelijk te kunnen maken. Naast de oplossing voor banken biedt SurePay de IBAN-Naam Check ook aan honderden bedrijven en overheidsinstellingen aan. Die gebruiken de oplossing voor KYC (Know Your Customer), vendor checks en ter voorkoming van fraude bij betalingen. Dit kan via een API of via een online portal. SurePay faciliteert dit via Auth0 by Okta. Het fungeert als portaal voor inloggen op basis van MFA & SSO, laat SurePay organisaties onboarden en staat management vanuit de klanten zelf toe. Kortom: een veelvuldige oplossing met een kritieke functie.

Een laptopscherm met een SurePay-interface integreert naadloos met Okta en toont bankgegevens zoals rekeningnamen en IBAN's, naast een gedeelte voor het invoeren van cheque-informatie.
De SurePay Portal-interface

Friso Schutte, CTO bij SurePay, is positief over de flexibiliteit van Auth0 by Okta. Hoewel banken en andere financiële spelers wellicht van een concurrent als Azure AD gebruikmaken, is de integratie soepel en snel. De keuze voor deze oplossing viel al voordat het in 2021 definitief door Okta was overgenomen. Nu het binnen het bredere Okta-portfolio valt, zijn er dus genoeg opties om identity & access management verder uit te breiden. Maar voor nu is Auth0 de manier om klanten een frontend te geven en aan de knoppen te laten zitten.

De keuzevrijheid voor SurePay was vanaf het begin groot. Schutte vertelt dat de Rabobank-spinoff nooit aan de eerdere IT-keuzes van die bank vastzat. “Dat vertel ik ook altijd aan sollicitanten,” zegt de SurePay-CTO. “We zijn weliswaar vanuit de Rabobank begonnen, maar helemaal los van de lijnorganisatie.” Vanaf het prille begin was SurePay dus al cloud native op AWS en kon het zelf kiezen voor Auth0.

Schaalbaar en inzetbaar

De verplichting van de IBAN-Naam Check op Europees niveau is hard nodig. SurePay heeft gemerkt dat fraudeurs continu banken opzoeken die hun illegale praktijken te weinig weren. In de verwoording van Product Manager Martin Heere: “We noemen dat het waterbed-effect. Maar nu worden fraudeurs dus steeds meer gesnapt.” Uiteindelijk zullen fraudeurs steeds exotischere landen moeten raadplegen voor betalingen zonder een IBAN-Naam Check.

Voor consumenten is dit één zaak, maar de complexe eisen van SurePay-klanten laten zich moeilijk vangen. Heere geeft hiervan een voorbeeld: “Veel corporates doen hun betalingen niet in een betaalscherm van een bank. Die hebben misschien een ERP-systeem waar elke maand of elke week of elke dag een betaalbestand uitkomt. Zij zijn hierdoor nog niet beschermd door de IBAN-Naam Check.” Met andere woorden: zonder een betaal-app of e.dentifier heb je een andere oplossing nodig.

Grotere banken en andere financiële organisaties hebben de technische kennis in huis om een API te integreren. Maar SurePay heeft een kans gezien om ook de kleinere partijen van een dashboard te voorzien. Wederom komt Auth0 by Okta hierbij van pas, dat de user management en permissies kan beheren zonder allerlei doe-het-zelven. Daarbovenop ondersteunt het meerdere talen, waardoor de stap naar andere Europese landen een stuk eenvoudiger is geworden.

Meerdere doeleinden

Financiële regelgeving dwingt banken om op Europees niveau de IBAN-Naam Check uit te voeren. Logischerwijs willen deze partijen eigenlijk ook zonder regels hun zaken op orde hebben. Immers leidt fraude tot een verlies van vertrouwen in de bank in kwestie bij de klant. Toch zijn de specifieke verwachtingen bij SurePay wel gevormd door de regelgeving. Denk aan het feit dat men in Nederland álle betalingen moet verifiëren op basis van de rekeninghouder, terwijl dit in het Verenigd Koninkrijk enkel geldt voor iemand die buiten het adresboek valt.

Mensen zitten in een schemerige ruimte en kijken naar een Okta-presentatie op grote schermen.
Martin Heere, Product Manager bij SurePay, tijdens het Exclusive Dinner Event van Okta te Rotterdam

De Digital Operational Resiliency Act (DORA) is al in werking getreden binnen de Europese Unie. Dit plaatst SurePay in de rol van een ‘critical supplier’. Oftewel: het moet eigenlijk aan regels voldoen waar een grote bank tevens zich aan te houden heeft. En dit met grofweg 85 medewerkers die steeds meer banken in steeds meer landen moeten bijstaan. Dit vraagt om maatwerk binnen een kader dat schaalbaar en overal inzetbaar is.

Met dit in het achterhoofd is het denkbaar dat SurePay verder kijkt dan alleen Auth0 binnen het Okta-portfolio. Het is al wel geïntegreerd binnen het eigen intrusion detection-systeem en voorziet andere oplossingen binnen de eigen IT-stack van verdachte signalen. Schutte geeft echter toe dat een geplatformiseerde aanpak iets is waar SurePay zich op zal willen richten.

Lees ook: Okta-CEO: “We voeren al geruime tijd een cyberoorlog”