Strategi AI Berlapis Untuk Hapus Penipuan Kewangan

AI dalam Perkhidmatan Kewangan (Bank, Insurans, Fintek)••By 3L3C

Bank di Malaysia tak lagi cukup dengan satu sistem anti-penipuan. Ketahui bagaimana AI berlapis – generatif, heuristik, agentik & prediktif – boleh lindungi semua saluran.

AI dalam kewanganpengesanan penipuanbank digital Malaysiafintech Malaysiarisk managementfraud preventionfinancial crime
Share:

Pertahanan Penipuan Bukan Lagi Soal “Satu Sistem Cukup”

Pada 2024, Bank Negara Malaysia melaporkan ribuan kes penipuan kewangan melibatkan transaksi dalam talian, pemindahan segera, dan scam panggilan telefon. Setiap kali bank tutup satu lubang, penjenayah buka dua lagi. Itulah realitinya.

Kebanyakan institusi kewangan di Malaysia sudah ada sistem pemantauan transaksi dan peraturan AML. Tetapi penipu hari ini tak lagi ikut “pattern lama”. Mereka guna AI, deepfake suara, spoofing nombor telefon, social engineering yang sangat meyakinkan. Kalau bank masih guna satu jenis model AI atau satu lapisan kawalan, memang sentiasa ketinggalan.

Dalam siri AI in Financial Services (Banks, Insurance, Fintech) ini, fokus kita ialah macam mana bank, insurans dan fintech di Malaysia boleh guna AI secara berlapis – defence in depth – untuk melawan “all-cause fraud”: dari penipuan kad, mule account, social engineering, sampai ke penipuan dalaman.

Artikel ini ambil inspirasi daripada perbincangan Yogesh Patel (CTO & Chief Data Scientist, Outseer) di FinextraTV, tapi kita akan terjemahkannya kepada konteks Malaysia: apa yang praktikal untuk bank tempatan, fintech e-wallet, dan juga syarikat insurans.

Apa Maksud “Defence in Depth” Dalam Penipuan Kewangan?

Defence in depth dalam kewangan ialah pendekatan di mana beberapa jenis AI dan kawalan keselamatan digabungkan dalam beberapa lapisan, dari onboarding pelanggan sampai ke transaksi harian dan tuntutan insurans.

Bukannya harap satu model “super AI” yang kononnya boleh buat semua. Sebaliknya, setiap lapisan AI ada peranan khusus:

  • Ada yang fokus pada tingkah laku transaksi
  • Ada yang fokus pada peranti dan lokasi
  • Ada yang fokus pada tingkah laku pengguna dalam app
  • Ada yang fokus pada teks dan suara (scam mesej, panggilan palsu)

Kenapa pendekatan ini makin penting di Malaysia?

  1. Scam semakin pelbagai – mule account, scam pelaburan, scam e-dagang, penipuan kad, penggodaman akaun, semua guna strategi berbeza.
  2. Regulasi makin ketat – BNM, IFSA, AMLA dan garis panduan risiko operasi digital menuntut kawalan fraud yang “kukuh dan berterusan”.
  3. Pelanggan makin digital – DuitNow, FPX, QR Pay, e-wallet, BNPL; lagi banyak saluran, lagi tinggi permukaan serangan.

Pendek kata, satu jenis AI = satu sudut pandang sahaja. Untuk melindungi bank dan pelanggan, kita perlukan gabungan beberapa jenis AI yang saling mengukuhkan.

Empat Jenis AI Utama Dalam Pertahanan Penipuan

Yogesh Patel menyentuh empat bentuk AI yang relevan: Generative, Heuristic, Agentic, dan Predictive. Dalam konteks Malaysia, kombinasi keempat-empat ini boleh membina pertahanan yang jauh lebih kukuh.

1. AI Generatif: Faham, Kenal & Tiru Penipu

AI generatif (Generative AI) sangat berguna untuk dua perkara utama dalam fraud:

  1. Mensimulasikan serangan baharu
    Bank boleh guna model generatif untuk:

    • Menjana contoh SMS phishing palsu dalam Bahasa Melayu, Inggeris dan dialek tempatan
    • Menghasilkan variasi email scam “akaun akan digantung”, “pengesahan TAC”, dan sebagainya
    • Mensimulasikan dialog scam call centre palsu

    Dari sini, pasukan risiko boleh uji sama ada model pengesanan semasa masih “nampak” tak pattern baharu tersebut.

  2. Menganalisis kandungan scam sebenar

    • Mengklasifikasikan mesej pelanggan yang dihantar ke hotline bank untuk dikenal pasti scam
    • Menilai tone, struktur ayat, dan permintaan yang mencurigakan

Aplikasi di Malaysia:
Sebuah bank runcit besar boleh bina “library scam nasional” – ribuan contoh mesej dan skrip panggilan yang pernah diterima pelanggan. AI generatif digunakan untuk:

  • Mengelompokkan jenis scam (pelaburan, love scam, work-from-home, e-dagang)
  • Menjana versi baharu yang mirip, supaya model sentiasa “dilatih” dengan pattern terkini

2. AI Heuristik: Peraturan Pintar Yang Belajar

AI heuristik gabungkan peraturan (rules) dengan logik yang fleksibel. Ia bukan sekadar “jika jumlah > RM10,000, tandakan sebagai risiko tinggi”, tetapi:

  • Menilai gabungan ciri seperti masa transaksi, jenis penerima, sejarah hubungan, dan peranti
  • Mengemaskini “threshold” berdasarkan trend terkini

Kenapa ini penting?

  • Penipu sentiasa “split transaction” kepada jumlah kecil
  • Mereka guna akaun yang kelihatan biasa pada awalnya
  • Mereka cuba nampak seperti pelanggan legit

Contoh praktikal:
Fintech pembayaran di Malaysia boleh guna heuristik AI untuk:

  • Menyemak sama ada akaun penerima baru dibuka dan tiba-tiba terima banyak transaksi DuitNow dalam masa singkat
  • Menjejak rangkaian akaun yang berulang kali saling memindah dana (indikasi rangkaian mule)

Heuristik yang baik bukan statik. Ia diperhalusi apabila model predictive dan agentic AI menemui corak baharu.

3. AI Agentic: “Ejen Digital” Yang Bertindak Balas Secara Masa Nyata

Agentic AI ialah sistem yang bukan sahaja menganalisis, tetapi membuat tindakan susulan secara automatik berdasarkan polisi risiko yang dipersetujui.

Contoh peranan ejen AI dalam bank Malaysia:

  • Bila nampak transaksi luar biasa ke akaun baru di luar negara, ejen AI:

    • Melambatkan transaksi beberapa minit
    • Menghantar notifikasi dalam app: “Adakah anda yang buat transaksi ini?”
    • Menyediakan soalan senang-untuk-fahami dalam Bahasa Melayu sebelum benarkan transaksi

  • Bila ada percubaan login dari peranti baru + lokasi tak biasa:

    • Ejen AI mengaktifkan pengesahan biometrik tambahan
    • Kalau gagal, akaun digantung sementara dan pelanggan dihubungi

Kelebihan besar agentic AI untuk institusi kewangan di Malaysia:

  • Kurangkan masa respon – tak perlu tunggu manusia semak manual
  • Konsisten dengan polisi risiko – tiada isu “human bias atau penat”
  • Boleh audit – tindakan ejen AI boleh direkod untuk keperluan pematuhan

4. AI Predictive: Model Ramalan Tingkah Laku & Risiko

Predictive AI ialah “tulang belakang” fraud analytics di kebanyakan bank besar:

  • Menggunakan data sejarah transaksi, laporan penipuan, tuntutan insurans, dan data luaran
  • Melatih model untuk menganggarkan kebarangkalian sesuatu transaksi atau akaun itu fraud

Contoh:

  • Skor risiko 0–1 untuk setiap transaksi DuitNow, FPX, kad kredit, atau tuntutan insurans motor
  • Skor risiko akaun (customer risk rating) berdasarkan tingkah laku jangka panjang

Di Malaysia, predictive AI yang matang biasanya ambil kira:

  • Pola gaji dan perbelanjaan bulanan (contoh: gaji masuk sekitar 25hb, perbelanjaan besar hujung minggu)
  • Corak penggunaan kanal (cawangan, ATM, mobile, internet banking)
  • Sejarah interaksi dengan call centre dan aduan scam

Model ini memberikan lapisan analitik mendalam yang kemudian digunakan oleh:

  • AI heuristik untuk peraturan dinamik
  • Ejen AI untuk tindakan automatik

Bagaimana Nak Gabungkan Semua Ini Jadi “Defence in Depth”?

Strategi yang berkesan bukan tentang guna semua AI sekali gus, tetapi bagaimana menyusun lapisan mengikut perjalanan pelanggan (customer journey).

Lapisan 1: Onboarding & Pengesahan Identiti

Di peringkat buka akaun atau daftar e-wallet:

  • Predictive AI menilai risiko identiti berdasarkan dokumen, gaya selfie, lokasi, dan sejarah nombor telefon
  • Heuristik AI mengesan dokumen meragukan atau percanggahan maklumat
  • Agentic AI boleh minta bukti tambahan atau bawa proses ke semakan manual jika skor risiko tinggi

Hasilnya:
Akaun mule dan identiti palsu boleh dikurangkan sebelum mereka sempat guna sistem.

Lapisan 2: Login & Akses Akaun

Semasa pelanggan log masuk:

  • Predictive AI skor risiko berdasarkan peranti, lokasi, masa, dan kelajuan taip
  • Heuristik AI menanda aktiviti mencurigakan seperti percubaan login berturutan dari IP berbeza
  • Agentic AI mencetuskan MFA tambahan atau hadkan fungsi akaun

Lapisan 3: Transaksi & Pembayaran Masa Nyata

Ini kawasan paling sensitif – DuitNow, FPX, QR Pay, kad kredit, payout insurans.

  • Predictive AI mengira skor risiko setiap transaksi dalam milisaat
  • Heuristik AI menambah konteks: adakah penerima baru? Adakah jumlah di luar kebiasaan? Adakah pattern rangkaian mule?
  • Agentic AI memutuskan: benarkan, tunda, minta pengesahan, atau sekat
  • Generative AI menyokong dari belakang tabir – sentiasa menambah dataset latihan dengan pattern scam terkini

Lapisan 4: Pemantauan Berterusan & Siasatan

Selepas transaksi selesai, pertahanan tak berhenti:

  • Predictive AI menjejak rangkaian akaun mencurigakan dari masa ke masa
  • Heuristik AI membina peraturan baharu berdasar kes penipuan yang disahkan
  • Generative AI membantu pasukan siasatan menghasilkan naratif dan visualisasi kes yang kompleks

Bila setiap lapisan ini digabungkan, kadar pengesanan meningkat, false positive berkurang, dan pengalaman pelanggan kekal lancar.

Cabaran Nyata Bank & Fintech Malaysia – Dan Cara Menanganinya

Bila bercakap dengan pasukan risiko dan IT di bank tempatan, isu yang sama sering muncul:

  1. Data berselerak – sistem lama, core banking, e-wallet, dan aplikasi baharu tak “cakap bahasa sama”.
  2. Tekanan operasi – kena seimbangkan antara keselamatan dan pengalaman pelanggan (jangan sentiasa block transaksi).
  3. Kekurangan kepakaran AI khusus fraud – pasukan data sedia ada sibuk dengan scoring kredit, pemasaran, dan reporting.

Berikut pendekatan yang biasanya lebih realistik berbanding cuba bina semuanya sendiri:

a) Mulakan Dengan Use Case Paling “High Impact”

Contoh untuk bank runcit Malaysia:

  • Penipuan DuitNow pemindahan segera ke akaun baru
  • Penipuan kad kredit dalam talian rentas sempadan

Fokus bina atau guna platform yang boleh:

  • Skor risiko masa nyata
  • Sokong tindakan automatik (tahan, tanya, atau sekat)

b) Guna Model “Specialist + Generalist”

Saya lebih menyokong pendekatan di mana:

  • Model AI umum: data team dalaman fokus kepada data pelanggan meluas, segmentasi, dan model predictive asas.
  • Model AI khusus fraud: gunakan platform yang memang dibangunkan selama bertahun-tahun untuk fraud detection – seperti apa yang ditekankan oleh Yogesh Patel, di mana kepakarannya dibina melalui fokus jangka panjang.

Kedua-dua ini disatukan melalui API dan pipeline data yang jelas.

c) Bina “Fraud Playbook” Yang Didokumenkan

AI sehebat mana pun tetap perlukan:

  • Polisi risiko yang jelas
  • Ambang tindakan yang dipersetujui (contoh: bila perlu tahan transaksi vs bila sekadar beri amaran)
  • Proses incident response yang boleh diuji dan diaudit

Ini juga sangat membantu bila berurusan dengan audit dalaman dan regulator.

Bagaimana Nak Mula: Rangka Kerja 90–180 Hari

Untuk bank, insurans atau fintech di Malaysia yang serius nak perkemas pertahanan penipuan berasaskan AI, satu rangka kerja mudah boleh digunakan:

Fasa 1 (0–30 hari): Penilaian & Pemetaan

  • Peta jenis penipuan terbesar mengikut nilai kerugian dan volum kes
  • Kenal pasti data yang sedia ada dan jurang data
  • Nilai sistem fraud semasa: peraturan manual, model statistik, vendor luar

Fasa 2 (30–90 hari): Reka Bentuk Lapisan AI

  • Pilih 1–2 high impact use case sebagai permulaan
  • Tentukan lapisan AI yang relevan (predictive + heuristik + agentic dahulu, generative di belakang tabir)
  • Bina data pipeline asas untuk latihan dan pemantauan model

Fasa 3 (90–180 hari): Ujian Langsung & Penambahbaikan

  • Lancarkan secara limited rollout kepada subset pelanggan atau jenis transaksi
  • Pantau metrik utama:
    • kadar pengesanan fraud
    • false positive
    • masa respon
  • Laksanakan feedback loop: kes fraud baharu masuk, model dikemas kini, peraturan ditambah baik

Pendekatan bertahap seperti ini jauh lebih realistik berbanding cuba buat “transformasi total” sekali gus.

Masa Depan Pertahanan Penipuan Di Malaysia: Multi-AI Adalah Normal Baharu

Realitinya, penjenayah kewangan di Malaysia dan serantau sudah guna AI untuk menipu. Respons yang berkesan bukan sekadar tambah staf di unit fraud, tetapi membina pertahanan berlapis dengan pelbagai jenis AI yang saling melindungi antara satu sama lain.

Untuk sektor kewangan tempatan – bank, insurans, dan fintech – kombinasi Generative, Heuristic, Agentic, dan Predictive AI ialah arah yang paling masuk akal:

  • AI generatif untuk memahami dan mensimulasikan taktik penipu
  • AI heuristik untuk peraturan pintar yang sentiasa disesuaikan
  • Agentic AI untuk respon automatik dan konsisten
  • Predictive AI sebagai enjin skor risiko yang sentiasa belajar

Institusi yang mula susun lapisan ini sekarang akan berada beberapa langkah di hadapan, bukan sahaja dari segi keselamatan dan pematuhan, tetapi juga kepercayaan pelanggan – aset paling kritikal dalam ekonomi digital Malaysia.

Jika organisasi anda sedang menilai strategi AI untuk fraud detection, ini masa yang sesuai pada hujung tahun 2025 untuk menyemak semula pelan 2026:
Adakah anda masih bergantung pada satu sistem, atau sudah bersedia membina pertahanan berlapis yang benar-benar mampu menahan semua jenis penipuan?