欢迎阅读PCI安全标准委员会的博客系列《AI交流：支付安全创新者》。本专题作为我们PCI Perspectives博客的常设栏目，为支付安全行业参与者提供了一个交流平台，分享他们在组织中采用和实施人工智能（AI）的经验。

在本期《AI交流》中，Elavon Inc.客户数据安全总监Candice Pressinger分享了她的公司如何利用AI，以及这项快速发展的技术如何塑造支付安全的未来。

问：贵机构最近如何将人工智能纳入业务体系？

在Elavon，AI现在构成了我们的欺诈编排层基础。我们已在商户组合中部署了自适应评分和动态规则应用，能够基于每笔交易数千个上下文信号进行实时决策。使用这种AI驱动能力，Elavon在欧洲市场的基于豁免的授权批准率提高了3.6个百分点。

另一个主要好处是使工程师能够通过使用GitHub co-pilot的AI辅助完成代码编写。Elavon软件工程总监Richie Walsh正在努力实现AI代理能够从用户故事开始，一直到部署到生产环境并监控生产应用程序。我们将为平台工程/DevOps团队配备新工具，以自动化代码生成质量门控、部署和监控。

最后，我们计划通过AI帮助在我们的开发者门户中为商户和合作伙伴生成API集成。

问：随着AI应用日益普及，贵机构发生的最大变化是什么？

AI重新定义了我们处理风险和优化的方式，无论是内部还是为我们的商户。曾经是线性的欺诈流程现在变成了动态的编排模型，层层叠加了实时机器学习洞察。在我们最新的区域试点中，AI驱动的决策将豁免准确性提高了29%，并将结账时的客户摩擦减少了9%。

从纯运营角度来看，最大的变化之一是人们以不同的眼光看待一些繁琐的日常工作。AI为解决这些挑战提供了机会和动力。虽然（生成式）AI可能并不总是答案，但对不同方法有了新的开放态度和兴奋感。

问：您如何看待AI在未来演变并影响支付安全？

我们多年来一直试图阻止欺诈。这在一定程度上是有效的。但这还不够。在支付领域，现在的真正机会不仅是保护，更是精确性。在实时大规模启用信任，同时不破坏客户旅程。这就是正确实施AI所能实现的。我们正在从传统的规则和反应性防御转向更智能的方式：能够预测风险、动态适应并从每笔交易中学习的AI。这对中小企业尤其强大，他们长期以来无法承担企业级欺诈工具的成本。通过合适的AI，他们获得的不仅是安全性，还有优化。

超过50%的被拒绝交易是误报，这是一个价值6000亿美元的行业问题，因为商户正在加强安全以阻止欺诈。这不仅是摩擦，更是收入损失。在Elavon，我们的早期AI模型已将误报减少了高达65%。商户能够留住合适的客户，保护转化率，并减少退款，同时不引入摩擦。不再需要权衡。

还有机器人的问题。欺诈者正在使用自动化来淹没结账流程。但我们并非毫无防备。像Spec这样的工具使用AI蜜罐、行为生物特征识别和意图分析来在机器人行动前捕获它们。这些系统通过行为方式而非具体操作来区分人类和脚本。Spec的方法已显示出机器人驱动攻击减少高达99%。这很重要，因为欺诈者不会等待。我们也不应该等待。

AI不再仅仅是欺诈预防。它是欺诈编排。它融合了上下文、行为和企业逻辑，在毫秒内做出更智能的决策。对行业来说，这是一个警醒。

安全不应以转化为代价，有了合适的AI，就不必如此。

问：随着AI更深入地融入支付安全，组织应考虑哪些潜在风险？

随着AI的每一次飞跃，我们获得的不仅是力量，还有责任。随着AI深度嵌入支付安全，追逐速度、规模和优化成果很诱人。但真正的韧性在于认识并积极管理与规模同步增长的风险。

最大威胁并不总是恶意的。更多时候是系统性的。未经检查，AI可能引入盲点，如错误分类交易、扭曲风险评分或无法跟上不断演变的欺诈策略。在一个毫秒就能决定是捕获欺诈还是扼杀合法销售（前面提到的误报）的世界里，这些盲点很重要。

根据世界经济论坛和麦肯锡的数据，51%的组织已经经历过AI相关故障，但只有五分之一实施了防止复现所需的治理。最近的一份IBM报告发现，75%的CEO表示没有适当监督就无法信任AI，只有39%报告目前对生成式AI有治理措施。这里的信息很明确：信任不会自动发生。它是建立起来的。

在Elavon，我们不仅运行模型，还构建模型，并实施了严格的模型风险治理。我们的欺诈专用AI由专门的数据科学团队开发和维护，按商户细分实时调整，并接受持续学习。这意味着我们的系统进化速度比攻击者转向更快。但我们更进一步，部署的每个模型都经过可解释性测试。我们嵌入漂移检测、人在环监督和透明可审计逻辑。

因为在支付安全中，不仅关乎正确，更关乎问责。我们相信信任不是副产品。它是设计的产出。治理、透明度和可解释性不是"锦上添花"，而是安全、可扩展AI的基础。监管正在快速跟进。2024年8月1日，欧盟AI法案（法规2024/1689）生效，这是世界上首个全面管理AI系统的法律。它标志着一个全球转变，正在改变每个在支付、欺诈预防和安全中部署AI的企业的格局。AI法案不会取代像GDPR这样的现有数据保护法，而是加强了它们。根据AI法案，大多数欺诈检测系统可能被归类为高风险，触发关于人类监督、透明度、稳健性、监控和可解释性的严格义务。与GDPR的重叠不再是可选的。如果您在AI中使用个人数据，无论是训练、推断还是记录结果，都需要法律依据、数据最小化、目的限制以及关于第22条自动决策权利的清晰说明。即使是假名化或合成的训练数据集也可能落入AI法案的可追溯性规则之下，这意味着双重合规：AI问责和GDPR兼容性。仅证明性能已经不够。监管机构和客户将期望可解释性。组织必须进行有记录的AI影响评估（AIPA）以及数据保护影响评估（DPIA），并建立能够经受内部审计和外部审查的清晰治理模型。

我最后的想法是：为董事会和法庭构建。支付安全的下一个前沿不仅是更智能的AI，更是更安全的系统。要实现这一点，组织必须从第一天起就嵌入治理。映射您的数据流。协调您的AI和隐私团队。

问：对于刚刚开始使用AI的组织，您有什么建议？

从治理开始，而不是华丽。很容易被AI能做什么所迷惑。但真正的力量和真正的风险在于您如何治理它。在追逐自动化成果或优化收益之前，停下来问一些难题。我们将如何治理这个系统？谁将监控它？我们将如何解释它的决策，特别是那些出错的决策？

在Elavon，我们很早就认识到负责任的AI不是从模型开始。而是从边界开始。我们构建的每个模型都以透明、可审计的逻辑和可解释性作为要求开始，而不是特性。我们为高风险决策嵌入人在环控制，以及按用例和细分进行持续调整，因为欺诈在演变，防御也必须如此。

太多组织等到AI失败后才测试漂移。但AI模型仅与其训练数据一样好——当数据变化时，模型会悄悄退化。这就是为什么我们构建早期预警系统，并在每次部署中为怀疑留出空间。要明确，信任不是您假设的东西，而是您设计的东西。

我对任何刚开始的组织的建议是从治理开始。谨慎扩展。构建您不仅能在董事会而且能在法庭上自豪解释的系统。如果您不内部构建AI，与那些已经在负责任地做的伙伴合作。安全AI的未来不是从雄心开始。而是从问责开始。

问：您对哪个AI趋势（不限于支付）最感兴趣？

我对从黑盒AI向可解释、负责任的AI转变感到最兴奋，这涉及每个行业。我们正在进入一个时代，AI仅强大是不够的，它还需要可理解、可审计并与人类意图一致。

无论是在医疗保健、金融服务还是欺诈预防领域，我密切关注的是能够自主行动并实时解释其推理的代理AI系统的兴起。这影响合规性和信任。

我也对AI和网络安全的融合感到振奋。安全系统现在使用实时行为建模在毫秒内预测和适应威胁，而不仅仅是对已知风险做出反应。就像给您的欺诈防御赋予第六感。

但最让我兴奋的不只是技术。而是背后成熟的心态。我们终于以与创新相同的速度进行关于治理、公平性、风险和问责的正确对话。对我来说，这是最令人兴奋的转变。

有兴趣了解更多吗？立即注册观看Candice Pressinger在2025年欧洲社区会议上的演讲，她将发表以AI为主题的演讲《AI在门口：在支付欺诈开始前阻止它》。

注册参加欧洲社区会议 了解更多关于Elavon Inc.的信息