Threshold optimization of risk-based authentication under costly regulatory restrictions of PSD2

Authors

  • D.P. Kurnitsky Vinnytsia National Technical University
  • R.N. Kvyetnyy Vinnytsia National Technical University

DOI:

https://doi.org/10.31649/1681-7893-2025-50-2-79-86

Keywords:

PSD2, Strong Customer Authentication, Risk-Based Authentication, value-based fraud threshold, Neyman–Pearson classification, core calibration, conformal risk control, fraud

Abstract

This paper addresses the problem of threshold decision optimization in risk-based authentication (RBA) systems under the value-based fraud rate constraints of PSD2. We propose a mathematical model for deciding whether to allow a transaction, require additional Strong Customer Authentication (SCA), or deny the transaction based on a risk score and transaction amount. We introduce constraints on the value-fraud-rate – the fraction of fraud by value among allowed transactions – in accordance with PSD2 thresholds (0.13%, 0.06%, 0.01%)[1][2]. An algorithm for tuning decision thresholds for each transaction amount range is developed, providing guarantees that fraud rates remain below the regulatory limits. A simulation experiment on a generated transaction dataset with risk scores and fraud labels is conducted. The results demonstrate that the proposed approach satisfies regulatory requirements (value-fraud-rate not exceeding 0.13%/0.06%/0.01% for the respective amount tiers) while allowing a significantly higher proportion of transactions to proceed without additional authentication compared to baseline strategies. We analyze how the threshold settings affect SCA trigger frequency and fraud levels, and discuss practical implications of deploying the proposed method in cloud-based banking and Payment Service Provider (PSP) platforms to support trusted transaction authentication.

Author Biographies

D.P. Kurnitsky, Vinnytsia National Technical University

аспірант

R.N. Kvyetnyy, Vinnytsia National Technical University

доктор  технічних наук, професор

References

European Parliament and Council. (2015). Directive (EU) 2015/2366 on payment services (PSD2). Official Journal of the EU, L337, 23.12.2015, p.35.

European Commission. (2018). Commission Delegated Regulation (EU) 2018/389 of 27 November 2017 (RTS on strong customer authentication and secure communication). Official Journal of the EU, L69, 13.3.2018, pp. 23–43.

Xin Tong, Yang Feng, Jingyi J. Li. (2018). Neyman–Pearson classification algorithms and NP receiver operating characteristics. Science Advances, 4(2): eaao1659.

Guo C., Pleiss G., Sun Y., Weinberger K.Q. (2017). On Calibration of Modern Neural Networks. Proceedings of the 34th ICML, PMLR 70:1321–1330.

Angelopoulos A.N., Bates S., Fisch A., Lei L., Schuster T. (2022). Conformal Risk Control. arXiv:2208.02814.

Dal Pozzolo A., Caelen O., Le Borgne Y.A., Waterschoot S., Bontempi G. (2014). Learned lessons in credit card fraud detection from a practitioner perspective. Expert Systems with Applications, 41(10): 4915–4928.

Thales Group. (2022). Banking on the cloud: Why Risk Based Authentication is Vital for Financial Institutions. [Online]. Доступно: dis-blog.thalesgroup.com.

Stripe. (2023). Strong Customer Authentication: Exemptions for low-risk payments. [Online]. Доступно: stripe.com/guides/strong-customer-authentication.

Downloads

Abstract views: 0

Published

2026-01-12

How to Cite

[1]
D. Kurnitsky and R. Kvyetnyy, “Threshold optimization of risk-based authentication under costly regulatory restrictions of PSD2”, Опт-ел. інф-енерг. техн., vol. 50, no. 2, pp. 79–86, Jan. 2026.

Issue

Vol. 50 No. 2 (2025)

Section

OptoElectronic/Digital Methods and Systems for Image/Signal Processing

Metrics

Downloads

Download data is not yet available.

License

Автори, які публікуються у цьому журналі, погоджуються з наступними умовами:

  1. Автори залишають за собою право на авторство своєї роботи та передають журналу право першої публікації цієї роботи на умовах ліцензії Creative Commons Attribution License, котра дозволяє іншим особам вільно розповсюджувати опубліковану роботу з обов'язковим посиланням на авторів оригінальної роботи та першу публікацію роботи у цьому журналі.
  2. Автори мають право укладати самостійні додаткові угоди щодо неексклюзивного розповсюдження роботи у тому вигляді, в якому вона була опублікована цим журналом (наприклад, розміщувати роботу в електронному сховищі установи або публікувати у складі монографії), за умови збереження посилання на першу публікацію роботи у цьому журналі.
  3. Політика журналу дозволяє і заохочує розміщення авторами в мережі Інтернет (наприклад, у сховищах установ або на особистих веб-сайтах) рукопису роботи, як до подання цього рукопису до редакції, так і під час його редакційного опрацювання, оскільки це сприяє виникненню продуктивної наукової дискусії та позитивно позначається на оперативності та динаміці цитування опублікованої роботи (див. The Effect of Open Access).