Brex Treasury LLC telah setuju untuk membayar denda sebesar $900.000 sebagai bagian dari penyelesaian dengan Otoritas Pengatur Industri Keuangan (FINRA).
Brex Treasury terutama mengandalkan algoritma verifikasi identitas otomatis yang tidak dirancang secara wajar untuk mencapai kepatuhan terhadap persyaratan AML yang berlaku.
Pada bagian yang relevan, algoritme verifikasi identitas Brex Treasury berupaya mencocokkan informasi pemilik manfaat tertentu yang diberikan oleh nasabah melalui aplikasi akun daring dengan identitas yang diketahui yang tercatat pada berbagai vendor identitas. Jika ada kecocokan yang dianggap cukup oleh algoritme, maka algoritme akan melakukan serangkaian pemeriksaan penipuan berbasis risiko.
Dimulai pada awal tahun 2021, algoritma tersebut menggabungkan model pembelajaran mesin untuk menetapkan skor kepada setiap pelanggan yang membantu menentukan cara mengevaluasi hasil pemeriksaan penipuan tertentu.
Jika algoritme menganggap pemeriksaan penipuan yang berlaku telah lulus, maka akun tersebut dapat disetujui secara otomatis. Jika tidak, algoritme dapat menolak akun tersebut secara otomatis; meminta dan menganalisis informasi tambahan (seperti tanda pengenal berfoto, jika belum diperlukan); atau mengajukan permohonan peninjauan manual.
Algoritme verifikasi identitas Brex Treasury tidak dirancang secara wajar untuk mencapai kepatuhan terhadap persyaratan AML yang berlaku. Algoritme tersebut memiliki kelemahan substantif, termasuk tidak mengumpulkan semua informasi pengenal yang diperlukan dari nasabah dan memungkinkan akun dibuka tanpa peninjauan informasi yang wajar dari pemeriksaan penipuan perusahaan yang mungkin telah menimbulkan tanda bahaya tentang identitas sebenarnya nasabah badan hukum atau pemilik manfaat.
Algoritme verifikasi identitas Brex Treasury sebagian bergantung pada pencocokan informasi tentang pemilik manfaat yang diduga dengan identitas yang diketahui. Namun, pada awalnya, firma tersebut tidak mengumpulkan semua informasi pengenal yang diperlukan untuk pemilik manfaat sesuai dengan peraturan pelaksanaan BSA.
Sebaliknya, firma tersebut hanya mengumpulkan nama dan nomor telepon pemilik manfaat dari calon pelanggan dan bukan tanggal lahir, alamat, atau nomor identifikasi. Dengan hanya menggunakan informasi terbatas tersebut, firma tersebut meminta identitas serupa kepada vendor pihak ketiga.
Jika berkas vendor berisi identitas yang dianggap paling tidak cocok dengan nama pemohon dan cocok dengan nomor telepon pemohon, maka firma tersebut mencari informasi pengenal yang tersisa yang diperlukan untuk pemilik manfaat secara tidak langsung dari vendor. Jika vendor dapat memberikan informasi tersebut, maka algoritma verifikasi identitas firma tersebut menganggap pemilik manfaat pemohon cocok dengan identitas yang tercatat di vendor.
Pada bulan Januari 2021, firma tersebut mulai mengumpulkan nama, tanggal lahir, alamat, dan nomor identifikasi untuk setiap pemilik manfaat langsung dari nasabah badan hukum. Firma tersebut kemudian menyerahkan informasi ini kepada vendor identitasnya. Jika vendor memiliki identitas yang cocok dalam arsipnya dengan nama dan nomor identifikasi yang sama, firma tersebut menganggap identitas pemilik manfaat telah diverifikasi, selama tanggal lahir atau alamatnya juga sama persis.
Namun, dalam skenario ini, firma tidak mempertimbangkan secara wajar apakah tanggal lahir atau alamat yang tidak cocok menunjukkan perbedaan substantif atau memerlukan penyelesaian agar firma dapat mencapai keyakinan wajar bahwa firma mengetahui identitas sebenarnya dari pemilik manfaat atau badan hukum pelanggan.
Brex Treasury juga melakukan pemeriksaan penipuan otomatis pada akun-akun baru, beberapa di antaranya menyertakan “skor penipuan” eksternal yang disediakan oleh vendor pihak ketiga. Skor penipuan eksternal ini dimaksudkan untuk mencerminkan risiko relatif potensi penipuan identitas yang terkait dengan informasi pemilik manfaat yang disajikan untuk ditinjau dan berkisar dari nol hingga satu, dengan satu mewakili risiko tertinggi.
Skor tersebut disertai dengan “kode alasan” yang menunjukkan perbedaan atau indikator tertentu dari potensi penipuan identitas yang ada atau berkontribusi terhadap skor penipuan. Misalnya, ada kode alasan untuk menunjukkan bahwa identitas yang disajikan sebelumnya telah dilaporkan sebagai dicuri.
Algoritma verifikasi identitas Brex Treasury tidak mengevaluasi secara wajar informasi yang diperoleh perusahaan selama pemeriksaan penipuan yang mungkin mempertanyakan identitas sebenarnya dari nasabah badan hukum atau pemilik manfaat.
Pada awal tahun 2021, Brex Treasury mengizinkan aplikasi untuk melewati tinjauan manual atas hasil pemeriksaan penipuan tertentu berdasarkan hasil model risiko akun pembelajaran mesin yang menghasilkan “skor ARM” untuk akun prospektif menggunakan berbagai atribut calon pelanggan dan pemilik manfaat sebagai masukan.
Skor ARM dimaksudkan untuk secara kasar sesuai dengan risiko penipuan secara umum, termasuk risiko penipuan akun baru yang melibatkan identitas pemilik manfaat yang dicuri atau dipalsukan. Kadang-kadang selama periode yang relevan, jika skor ARM calon pelanggan turun di bawah ambang batas yang dianggap perusahaan sebagai indikasi akun berisiko rendah, maka algoritma verifikasi identitas perusahaan tidak memerlukan peninjauan manual untuk pemeriksaan penipuan tertentu.
Akan tetapi, perusahaan tersebut awalnya mengembangkan model risiko akun dengan mengambil data terutama dari basis pelanggan historisnya yang terdiri dari perusahaan yang didukung modal ventura dan perusahaan pasar menengah dan mencoba menerapkannya ke basis pelanggan potensial yang lebih luas yang mencakup pelanggan usaha kecil. Pelanggan tersebut relatif berisiko lebih tinggi karena, misalnya, usaha kecil cenderung tidak memperoleh pendanaan dari investor profesional dan cenderung tidak dirujuk ke perusahaan melalui jaringan mitra strategisnya di komunitas rintisan.
Namun karena perusahaan tersebut tidak memiliki kebijakan dan prosedur yang wajar yang mengatur desain, pengujian, dan validasi model risiko akun atau algoritma verifikasi identitas secara umum, teknologi tersebut tidak dapat digeneralisasi ke populasi yang lebih luas.
Karena kelemahan dalam algoritma verifikasi identitasnya, Brex Treasury memverifikasi identitas tertentu dan menyetujui akun baru meskipun terdapat perbedaan substansial dan tanda-tanda potensi penipuan identitas.
Brex Treasury juga mengandalkan proses penyaringan nasabah manual yang tidak dirancang secara wajar untuk mencapai kepatuhan terhadap persyaratan AML yang berlaku.
Dari tahun 2020 hingga 2021, Brex Treasury menyetujui ratusan akun yang berpotensi melakukan penipuan yang mencoba melakukan transaksi senilai lebih dari $15 juta menggunakan dana yang disetorkan namun gagal diselesaikan. Dalam insiden ini, akun baru yang telah disetujui menggunakan proses verifikasi identitas perusahaan yang tidak masuk akal memulai penyetoran ACH atau cek dari akun eksternal, lalu menarik atau menghabiskan dana yang disediakan perusahaan.
Selanjutnya, setoran tersebut ditarik kembali karena tidak sah, ditolak karena dana tidak mencukupi, atau ditolak karena alasan lain. Setelah membatalkan setoran tersebut, perusahaan dalam banyak kasus tidak dapat memperoleh kembali dana atau mengonfirmasi identitas nasabah yang sebenarnya.
Oleh karena itu, Brex Treasury melanggar Aturan FINRA 3310(b) dan 2010.
Selain denda sebesar $900.000, firma tersebut telah setuju untuk melakukan kecaman.