As fraudes custam às empresas mais do que apenas mercadorias perdidas. Na verdade, cada US$ 1,00 em fraude de pagamento em serviços financeiros dos EUA custa em média US$ 5,75. Os custos são em camadas: estornos corroem margens e as investigações de fraude consomem o tempo da equipe. A sobrecarga da gestão de fraudes pode limitar severamente o crescimento. Uma estrutura de gestão de riscos de fraude oferece uma maneira estruturada de minimizar esses custos. Ela permite entender a sua exposição, priorizar os riscos mais importantes e implementar controles que resistem à medida que os padrões de ataque mudam.
Abaixo, discutiremos o que é gestão de riscos de fraude, como o ciclo de quatro fases funciona na prática e como criar uma estrutura que se adapte à sua empresa.
Destaques
A gestão de riscos de fraude normalmente segue um ciclo de identificação, avaliação, mitigação e monitoramento contínuo.
Os tipos de fraude que tendem a atingir as empresas online com mais força, como fraude CNP (cartão não presente), roubo de conta e fraude amigável, exploram as lacunas deixadas pelas transações digitais remotas.
Uma política de gestão de riscos de fraude só funciona se incluir responsabilidade explícita, um apetite ao risco definido e uma cadência de revisão incorporada desde o início.
O que é gestão de riscos de fraude?
A gestão de riscos de fraude é o processo de identificar, avaliar e responder às formas como sua empresa pode ser explorada para ganhos financeiros. Ela se difere da gestão de riscos geral em um aspecto importante: a fraude envolve intenção. Você se protege contra o comportamento de pessoas que tentam ativamente burlar seus controles.
Como funciona a gestão de riscos de fraude?
O ciclo da gestão de riscos de fraude tem quatro fases: identificação, avaliação, mitigação e monitoramento contínuo. Cada uma se baseia na anterior.
Identificação de risco de fraude
Comece com a sua superfície de ataque: como é o seu fluxo de transação, onde os humanos interagem com ele e onde ele é automatizado. Empresas com altos volumes de transações CNP enfrentam vetores de ataque diferentes daquelas que aceitam pagamentos presenciais. Dados históricos de fraude são um ponto de partida, mas informam apenas sobre as fraudes que você já viu. A análise de padrões e o mapeamento do modelo de negócio ajudam a revelar vulnerabilidades antes que sejam exploradas.
Avaliação de risco de fraude
Nem todos os riscos de fraude são iguais e você não pode tratá-los dessa maneira. Pontue cada risco em dois eixos: probabilidade e impacto. A probabilidade reflete com que frequência um tipo de fraude ocorre em empresas como a sua. Por exemplo, a fraude CNP é comum no e-commerce, enquanto o uso indevido por primeira parte é mais prevalente em produtos de assinatura e empréstimos. O impacto abrange perda financeira, taxas de estorno, custos de remediação e degradação da experiência do cliente. Riscos de alta probabilidade e alto impacto devem receber atenção imediata e controles dedicados.
Mitigação de risco de fraude
A mitigação traduz sua avaliação em controles por meio de três camadas. Controles preventivos impedem a fraude antes que ela aconteça. Controles detectivos capturam a fraude em andamento ou logo em seguida. Os procedimentos de resposta definem o que acontece após a confirmação da fraude, como suspensão da conta, coleta de comprovantes para contestações e escalonamento para a polícia, se justificado. Confiar apenas na prevenção pode deixar você despreparado quando um novo vetor de ataque aparecer.
Monitoramento e revisão contínuos
Os padrões de fraude mudam, e controles que funcionavam há seis meses podem não funcionar hoje. Fraudadores compartilham técnicas, novos recursos de produtos criam novas vulnerabilidades e vetores de ataque se desenvolvem mais rápido do que os ciclos anuais de revisão podem acompanhar. Revisões trimestrais são uma base razoável, com revisões ad hoc acionadas por grandes mudanças nas taxas de estorno, lançamentos de novos produtos ou incidentes de fraude confirmados.
Como conduzir uma avaliação de risco de fraude?
A avaliação de risco de fraude é uma auditoria estruturada da sua exposição. Confira as etapas envolvidas:
Defina seu escopo: decida se você está avaliando toda a sua empresa, uma linha de produtos específica ou um tipo de transação particular. O escopo determina o que você inclui no seu inventário de ativos e quem precisa ser envolvido.
Crie um mapa de transações: documente todos os pontos do seu fluxo de transações onde pode ocorrer fraude. Em uma empresa de e-commerce, isso inclui checkout, criação de conta, armazenamento da forma de pagamento, reembolsos e contestações. Cada um é uma possível superfície de ataque.
Identifique cenários de fraude: em cada ponto de contato, pergunte o que um fraudador poderia fazer (por exemplo, teste de cartões no checkout, roubo de conta no login, fraude amigável na fase de contestação) e o que ele ganharia. Especificar o cenário torna muito mais fácil avaliar e mitigar.
Pontue a probabilidade e o impacto: use dados históricos, benchmarks do setor e informações do seu provedor de pagamento. As pontuações de probabilidade devem refletir o volume real de transações e o perfil do cliente, e não médias genéricas do setor. As pontuações de impacto devem levar em conta perdas financeiras diretas, taxas de estorno, custos de remediação e degradação da experiência do cliente.
Priorize e atribua responsabilidades: riscos de alta prioridade precisam de uma pessoa ou equipe específica responsável pelo controle. Sem um responsável, os controles não são implementados e as revisões não acontecem.
Documente e defina uma data de revisão: o resultado de uma avaliação de risco de fraude é um documento dinâmico e precisa de uma cadência de revisão definida desde o início.
Quais riscos de fraude são mais importantes para plataformas financeiras e de e-commerce?
Os tipos de fraude que costumam atingir as empresas online com mais força exploram a ausência de verificação física. Eles incluem:
Fraude CNP
A fraude CNP (cartão não presente) acontece quando credenciais de cartão roubadas ou comprometidas são usadas para fazer compras em qualquer canal em que o cartão não esteja fisicamente presente: checkouts online, pedidos por telefone, cobrança recorrente e compras no aplicativo. O próprio cartão nunca muda de mãos, o que dificulta a detecção sem uma verificação em camadas. As taxas de fraude CNP tendem a atingir o pico após grandes violações de dados, quando novos conjuntos de credenciais entram nos mercados da dark web.
Fraude por violação de conta
O credential stuffing (ataques automatizados que testam combinações de nome de usuário e senha roubadas em vários sites) tem um custo baixo, o que tornou a fraude de roubo de conta uma ameaça comum. Fraudadores usam combinações de nome de usuário e senha vazadas para acessar contas de clientes e, em seguida, alteram endereços de entrega, adicionam novas formas de pagamento ou esgotam o valor armazenado. É particularmente prejudicial porque corrói a confiança do cliente, mesmo quando a empresa responde corretamente.
Fraude amigável
A fraude amigável, também chamada de fraude de estorno (e, às vezes, agrupada na categoria mais ampla de fraude de primeira parte), ocorre quando um titular do cartão legítimo faz uma compra e depois abre uma contestação da cobrança com o banco. Ele alega que nunca recebeu as mercadorias ou não autorizou a transação. Taxas de contestação acima de cerca de 1% do volume de transações são um sinal de alerta comum, embora os limites variem de acordo com o provedor de pagamento e a categoria da empresa.
Abuso de políticas
Situado entre a fraude e o comportamento legítimo do cliente, o abuso de políticas abrange a fraude de reembolso, o acúmulo de códigos promocionais e o abuso de indicações. Nem sempre é obra de criminosos organizados. Às vezes, são clientes comuns explorando brechas nas suas políticas. O impacto financeiro é real de qualquer forma, e os controles relevantes se sobrepõem à prevenção a fraudes de pagamento.
Como uma estrutura de gestão de riscos de fraude se conecta às ferramentas que você usa no dia a dia?
Uma estrutura de gestão de riscos de fraude sem execução é apenas documentação. A tradução da estratégia para a prevenção a fraudes no dia a dia acontece por meio de três categorias de ferramentas:
Mecanismos de regras: são controles baseados em lógica que permitem bloquear transações acima de um determinado valor em novas contas, sinalizar pedidos onde os países de faturamento e entrega não coincidem ou exigir verificação adicional para categorias de produtos de alto risco. As regras são rápidas e transparentes, mas estáticas. Fraudes sofisticadas se adaptam rapidamente às regras conhecidas, e é por isso que os sistemas baseados em regras por si só não são suficientes.
Modelos de machine learning: eles analisam as transações em relação a conjuntos de recursos muito maiores do que qualquer mecanismo de regras poderia lidar manualmente. Um modelo bem treinado pode pesar centenas de variáveis simultaneamente e gerar uma pontuação de risco em milissegundos. A desvantagem é a opacidade, já que os modelos de machine learning nem sempre oferecem uma explicação clara do motivo pelo qual uma transação foi suspeita, o que pode complicar a resolução da contestação e o atendimento ao cliente.
Sistemas de monitoramento e alerta: eles fecham o ciclo. Dashboards em tempo real, integrações de alertas de estorno e relatórios automatizados informam quando algo está mudando. Sem o monitoramento, você não conseguirá identificar vulnerabilidades entre os ciclos de revisão.
O Stripe Radar reúne as três camadas na infraestrutura de pagamento da Stripe. O modelo de machine learning do Radar é treinado com dados de transação de toda a rede da Stripe, o que significa que ele se beneficia de sinais que a sua empresa não conseguiria gerar sozinha. Você pode sobrepor suas próprias regras personalizadas e exigir o 3D Secure para determinados tipos de transação ou adicionar fricção para pedidos que correspondam a padrões de fraude conhecidos. A inteligência no nível da rede e as regras específicas da empresa operam em conjunto, e não isoladamente.
Como criar uma política de gestão de riscos de fraude para sua empresa?
Uma política de gestão de riscos de fraude formaliza sua estrutura. Ela define o que você está protegendo, quem é responsável pela proteção e o que acontece quando algo dá errado.
Veja um passo a passo de como criar essa política:
Defina o escopo e os objetivos da política: seja específico. "Manter-se abaixo dos limites de fraude e contestação padrão do setor" é um objetivo útil. "Reduzir fraudes" não é.
Elabore uma declaração explícita de apetite ao risco: isso ajuda sua equipe a tomar decisões consistentes. "Aceitamos uma taxa de fraude de no máximo 0,1% em transações com cartão antes de escalar os controles" é uma declaração clara. "Levamos as fraudes a sério" não é.
Liste os controles específicos que você implementou: inclua o que eles devem prevenir e quem é responsável por eles. Não precisa ser exaustivo, mas deve ser específico o suficiente para que um novo membro da equipe entenda sua postura de prevenção ao ler.
Estabeleça procedimentos de escalonamento: defina o que aciona um escalonamento, quem é notificado quando os limites de fraude são excedidos e qual é o cronograma de resposta para incidentes confirmados. Esses procedimentos são mais importantes quando as coisas estão acontecendo rapidamente e não há tempo para aprender o processo do zero.
Defina sua cadência de revisão: quando a política é revisada e o que gera uma revisão fora do ciclo? Defina isso com antecedência, ou pode não acontecer.
Como o Stripe Radar pode ajudar
O Stripe Radar usa modelos de IA para detectar e prevenir fraudes, treinados com dados da rede global da Stripe. Ele atualiza continuamente esses modelos com base nas últimas tendências de fraude, protegendo sua empresa à medida que a fraude evolui.
A Stripe também disponibiliza o Radar for Fraud Teams, que permite aos usuários adicionar regras personalizadas voltadas a cenários de fraude específicos aos seus negócios e acessar informações avançadas de fraude.
O Radar pode auxiliar sua empresa a:
Prevenir perdas por fraude: a Stripe processa mais de US$ 1 trilhão em pagamentos por ano. Essa escala permite que o Radar detecte e previna fraudes com alta precisão, ajudando você a economizar.
Aumentar a receita: os modelos de IA do Radar são treinados com dados reais de contestações, informações de clientes, dados de navegação e muito mais. Isso permite identificar transações de risco e reduzir falsos positivos, impulsionando sua receita.
Economizar tempo: o Radar é integrado à Stripe e não requer nenhuma linha de código para configuração. Você também pode monitorar o desempenho da prevenção a fraudes, criar regras e muito mais em uma única plataforma, aumentando a eficiência.
Saiba mais sobre o Stripe Radar, ou comece hoje mesmo.
O conteúdo deste artigo é apenas para fins gerais de informação e educação e não deve ser interpretado como aconselhamento jurídico ou tributário. A Stripe não garante a exatidão, integridade, adequação ou atualidade das informações contidas no artigo. Você deve procurar a ajuda de um advogado competente ou contador licenciado para atuar em sua jurisdição para aconselhamento sobre sua situação particular.