Introducción a la gestión de riesgos para plataformas de software

Si bien no es posible eliminar por completo todos los riesgos en los pagos, en esta guía te contamos cómo evaluar y gestionar tu exposición, y te ayudamos a tomar una decisión informada sobre el mejor camino a seguir.

Radar
Radar

Descubre cómo combatir el fraude con la eficacia de la red de Stripe.

Más información 
  1. Introducción
  2. Introducción al riesgo crediticio y al riesgo de fraude
  3. Estrategias de gestión del riesgo crediticio
    1. Onboarding
    2. Supervisión
    3. Mitigación
  4. Estrategias de gestión de riesgos para el riesgo de fraude
    1. Onboarding
    2. Supervisión
    3. Mitigación
  5. Estrategias de gestión de riesgos para apropiaciones fraudulentas de cuentas
  6. Sus opciones de gestión de riesgos con Stripe
  7. Empezar con Stripe 

Todas las empresas que operan por Internet tienen que gestionar riesgos. De hecho, hay muchos tipos diferentes de riesgo, desde el riesgo reputacional (como la forma en que se percibe tu marca) hasta el riesgo operativo (como el tiempo de inactividad).

risk guide tree - MX

Esta guía se centra en tres tipos de riesgo de pagos: riesgo crediticio, riesgo de fraude y apropiación fraudulenta de cuentas. Si bien no es posible eliminar por completo todos los riesgos en los pagos, en esta guía te contamos cómo evaluar y gestionar tu exposición, y te ayudamos a tomar una decisión informada sobre el mejor camino a seguir.

Introducción al riesgo crediticio y al riesgo de fraude

Cuando las plataformas de software añaden la facilitación de pagos a sus ofertas, se enfrentan a tres tipos de riesgo únicos y complejos debido a su modelo de negocio tripartito (formado por la plataforma, los vendedores o proveedores de servicios que aceptan pagos a través de la plataforma de software y los titulares de tarjetas que pagan a esos vendedores o proveedores de servicios):

risk guide platform role - MX

  • Riesgo crediticio: El riesgo crediticio tiende a manifestarse en la forma de vendedores que tienen toda la intención de cumplir con los pedidos de bienes o servicios, pero carecen de recursos financieros para hacerlo, acumulan más reembolsos y contracargos de los que pueden cubrir financieramente, y potencialmente salen del negocio. Los titulares de tarjetas pueden solicitar un contracargo, ya no se cumplió con la entrega de los bienes o servicios. Como consecuencia, usted debería dinero a esos clientes porque, en general, las plataformas que facilitan los pagos aceptan ser responsables de la actividad de sus vendedores.

  • Riesgo de fraude: Las plataformas también tienen que gestionar el riesgo relacionado con vendedores y cuentas fraudulentos. Por ejemplo: podría tener a la misma persona actuando como vendedor y titular de tarjeta fraudulento, donde ese mismo individuo tiene acceso a datos de una tarjeta robada, crea una cuenta en su plataforma y se paga a sí mismo con la tarjeta robada. O bien, podría tener un vendedor fraudulento y un titular de tarjeta honesto, en el que un vendedor engaña a un titular de tarjeta para que le dé dinero (vendiendo bienes que no tiene intención de entregar, por ejemplo). Las plataformas también pueden hacer frente a un tipo de fraude denominado uso propio indebido o fraude amistoso. Esto ocurre cuando un titular de tarjeta legítimo realiza una compra, pero la disputa posteriormente. Puede ser accidental, porque esa persona no reconoció la transacción en su extracto, o deliberado (por ejemplo: debido a remordimiento del comprador o como un intento de obtener mercadería de forma fraudulenta sin pagar).

  • Apropiación fraudulenta de cuentas: Tener un buen vendedor y un buen titular de tarjeta no alcanza para eliminar por completo los riesgos en los pagos. Las plataformas también deben gestionar las apropiaciones fraudulentas de cuentas, en las que un actor malintencionado externo obtiene acceso a las credenciales de la cuenta de un vendedor y roba sus fondos.

risk guide merchant intent - MX

Estrategias de gestión del riesgo crediticio

La mayoría de los vendedores suelen tener contacto con operaciones de crédito (en la forma de contracargos y reembolsos que tienen que cubrir), pero cuentan con el flujo de caja necesario para cubrirla. Esto representa un riesgo para usted cuando sus vendedores tienen menos ventas y más solicitudes de reembolso, lo que podría provocar que no puedan devolver el dinero a los clientes.

Por ejemplo: supongamos que tiene una plataforma en la que los organizadores de eventos pueden vender entradas y le paga al organizador del evento antes de que este se lleve a cabo. Si se cancela el evento presencial, los organizadores deben reembolsar el dinero los clientes. Pero si los organizadores del evento no tienen suficiente dinero para realizar estos reembolsos, usted, como plataforma, podría ser responsable de compensar esa pérdida. Como resultado, usted asume un gran riesgo crediticio en nombre de sus vendedores, lo que podría exponerlo a pérdidas.

Hay varias maneras de gestionar el riesgo crediticio. Hemos organizado estas estrategias en tres secciones: onboarding, supervisión y mitigación.

Onboarding

Las cuentas nuevas conllevan un riesgo inherente cuando se unen a su plataforma por primera vez, simplemente porque no tienen antecedentes de registros o de procesamiento con usted. Cuanta más información recopile sobre ellos, mejor podrá evaluar su propio riesgo y mantener su plataforma en buen estado. Por ejemplo: en función de su actividad financiera, podría identificar las cuentas que tienen más probabilidades de enfrentar problemas de liquidez y tener saldos negativos antes de que suceda.

  • Evaluar el riesgo: Evalúe el riesgo de las cuentas potenciales durante el proceso de onboarding, antes de permitirles entrar en su plataforma. Asegúrese de recopilar suficiente información sobre los servicios que se ofrecen, de modo que pueda determinar si se encuentran dentro de una categoría de alto riesgo. Puede preguntar sobre su política de reembolso o sobre el volumen de pagos brutos previsto, además de investigar su historial operativo en plataformas similares a la suya. En el caso de los vendedores de mayor magnitud, considere la posibilidad de realizar una evaluación más manual que incluya una revisión financiera y comprobaciones de crédito de los propietarios o directores de la empresa.

  • Limitar temporariamente las transacciones: En el caso de las cuentas nuevas o de alto riesgo, puede introducir una serie de controles temporarios hasta que pueda comprender mejor su actividad en su plataforma. Por ejemplo: puede limitar el volumen total de transacciones en un día o mes determinado. Si superan estos límites, puede suspender sus transferencias para poder revisar las transacciones.

  • Cobrar reservas: Reserve determinada cantidad de dinero como garantía para los vendedores potencialmente riesgosos utilizando la API de reservas de Stripe, que forma parte de Radar for Platforms. Puede liberar la reserva con el tiempo a medida que los vendedores establezcan una vía positiva con usted.

Supervisión

Las empresas no suelen ser simples ni estáticas y, a medida que evolucionan con el correr del tiempo, también lo hacen sus perfiles de riesgo. Supervise constantemente la actividad de disputas, los saldos negativos, el volumen de procesamiento y las quejas de los clientes para ayudar a identificar comportamientos fraudulentos y tomar medidas inmediatas.

  • Configurar alertas: Cree alertas para supervisar a los vendedores de mayor riesgo, de modo que pueda ajustar rápidamente su estrategia de gestión de riesgos. Los vendedores de mayor riesgo tienen un volumen muy reducido, saldos negativos o tasas de disputas más altas (una actividad de disputas por encima del 0,75 % se suele considerar excesiva).

  • Realizar revisiones periódicas: Si bien configurar alertas puede ayudarlo a monitorear a los vendedores en el día a día, también es importante realizar revisiones periódicas y detalladas. Debe revisar las tasas de disputas y reembolsos, el volumen de procesamiento y los reclamos de los clientes de cada vendedor.

  • Instruir a los vendedores: Cree recursos para ayudar a sus vendedores a prepararse para lo inesperado. Algunos ejemplos son los recursos COVID-19 de Shopify y Xero, o la información para empresas sobre el huracán Harvey de Mindbody.

Mitigación

Una vez que comprenda los perfiles de riesgo de sus vendedores nuevos y existentes, podrá empezar a gestionar su exposición de manera proactiva. Por ejemplo: en el caso de los vendedores que parecen más propensos a representar un riesgo para su plataforma, puede cambiar su calendario de transferencias y alentarlos a cambiar la forma en la que se manejan los reembolsos y contracargos.

  • Retrasar las transferencias: Retrase las transferencias hasta que se haya familiarizado con los volúmenes medios y las tasas de contracargos de los vendedores. Incluso puede vincular el calendario de transferencias a la categoría de riesgo del vendedor; por ejemplo: cuanto mayor sea la categoría de riesgo, más extenso será el calendario de transferencias. En el caso de bienes y servicios que no se suministran de inmediato, retenga las transferencias hasta que se entreguen. Esto reduce la probabilidad de contracargos y reembolsos porque puede confirmar que los clientes recibieron lo que pagaron antes de liberar los fondos.

  • Gestionar saldos negativos: Configure un proceso para recuperar fondos de los vendedores que tengan grandes saldos negativos (los vendedores con saldo negativo no podrán procesar contracargos ni reembolsos, por lo que el riesgo recaerá en su plataforma). Según dónde se encuentren sus vendedores, es posible que pueda configurar débitos automáticos para retirar fondos automáticamente de sus cuentas bancarias y recuperar saldos negativos.

  • Definir su concentración de riesgos: Considere la posibilidad de fijar un umbral máximo de exposición al riesgo para determinadas zonas geográficas (p. ej.: solo el X % de su exposición total al riesgo debe proceder de un solo país) o para determinados vendedores (p. ej.: solo el X % de su exposición total debe proceder de un solo vendedor). Si sus exposiciones superan ese umbral, puede intensificar sus políticas de gestión de riesgos.

  • Capturar fondos en la fecha de entrega: Reduzca la brecha entre la fecha de pago y la de gestión logística para disminuir la exposición al riesgo. Esto es especialmente importante para vendedores de alto riesgo que procesan pagos mucho antes de la entrega de los bienes o servicios (como organizadores de eventos que venden entradas para un acontecimiento deportivo o un concierto). Para capturar los fondos en la fecha de entrega (o lo más cerca posible), cree un cargo para retener los fondos de los titulares de las tarjetas, pero capture los fondos una vez que el vendedor haya entregado los bienes o servicios.

Estrategias de gestión de riesgos para el riesgo de fraude

En el nivel más básico, un pago se considera fraudulento cuando el titular de una tarjeta no autoriza el cargo. Esto puede ser el resultado de tarjetas robadas o de ataques de prueba de tarjetas. Un ejemplo común es cuando un estafador realiza una compra utilizando una tarjeta robada. Este tipo de riesgo de fraude puede prevenirse y gestionarse utilizando software antifraude (como <i>Stripe Radar</i>).

Además de titulares de tarjetas fraudulentos, las plataformas también tienen que gestionar el riesgo relacionado con vendedores fraudulentos. Hay varias maneras de gestionar el riesgo de fraude. Hemos organizado estas estrategias en tres secciones: onboarding, supervisión y mitigación.

Onboarding

El onboarding de cuentas o de vendedores es su oportunidad de recopilar toda la información que pueda para verificar la legitimidad de una empresa. Sin embargo, hay factores adicionales que debe tener en cuenta para prevenir el riesgo de fraude, como la comprobación cruzada de cuentas existentes y rechazadas anteriormente para identificar cuentas duplicadas.

  • Evaluar el riesgo: Confirme la identidad de un vendedor durante el onboarding y asegúrese de que su empresa sea legítima. Examine los perfiles de redes sociales del vendedor, reúna las licencias comerciales adecuadas, revise su sitio web (busque señales de alerta como sitios web con plantillas, texto copiado de otros sitios web, etc.) y verifique información adecuada para la plataforma, como una dirección física, una lista de inventario o un historial de ventas.

  • Comprobar si hay cuentas duplicadas: Los actores fraudulentos pueden abrir varias cuentas en su plataforma. Para evitarlo, compruebe si hay información de cuentas duplicadas asociada a cuentas rechazadas anteriormente (como información de la cuenta bancaria, información fiscal o nombre y fecha de nacimiento). También puede considerar la posibilidad de establecer vínculos entre cuentas, como varias cuentas de la misma dirección IP o del mismo dominio de correo electrónico.

  • Reunir reservas: Reserve cierta cantidad de dinero como garantía para vendedores potencialmente riesgosos. Puede liberar la reserva con el tiempo a medida que los vendedores establezcan un historial de procesamiento positivo con su plataforma.

Supervisión

Los vendedores fraudulentos pueden tomarse el tiempo necesario para establecer un historial positivo en su plataforma antes de cometer fraudes, lo que destaca la importancia de una supervisión continua. Asegúrese de conocer las características de la actividad normal de los vendedores, configure alertas de detección de anomalías para detectar cualquier cambio o pico importante y prepárese para solicitar información adicional si nota actividad sospechosa.

  • Identificar el comportamiento normal: Supervise la actividad de sus vendedores para comprender su comportamiento típico. ¿Cuál es su volumen medio mensual de transacciones? ¿Cuáles son sus tasas medias de contracargos y disputas? Esto sirve como punto de referencia para que pueda detectar comportamientos sospechosos (como los montos y la frecuencia de los cargos) y tomar las medidas adecuadas.

  • Personalizar sus alertas: Cree alertas basadas en reglas para supervisar a los vendedores con más riesgo y así poder ajustar rápidamente su estrategia de gestión de riesgos. Investigue a los vendedores fraudulentos confirmados para encontrar patrones en su actividad que lo ayuden a ajustar y personalizar sus alertas.

  • Solicitar información adicional: Si observa algún comportamiento sospechoso en una transacción, póngase en contacto con el vendedor para obtener más información. Puede solicitar facturas, fotos de inventario o números de seguimiento.

Mitigación

Una vez que comprenda los perfiles de riesgo de sus vendedores nuevos y existentes, podrá empezar a gestionar su exposición de manera proactiva. Por ejemplo: en el caso de los vendedores que parecen más propensos a representar un riesgo para su plataforma, puede modificar su calendario de transferencias y alentarlos a cambiar la forma en la que se manejan los reembolsos y contracargos.

  • Retrasar las transferencias: Retrase las transferencias hasta que se haya familiarizado con los volúmenes medios y las tasas de contracargos de los vendedores. Incluso puede vincular el calendario de transferencias a la categoría de riesgo del vendedor; por ejemplo: cuanto mayor sea la categoría de riesgo, más extenso será el calendario de transferencias. En el caso de bienes y servicios que no se proporcionan de inmediato, retenga las transferencias hasta que se entreguen. Esto reduce la probabilidad de contracargos y reembolsos porque puede confirmar que los clientes recibieron lo que pagaron antes de liberar los fondos.

  • Prevenir ataques de prueba de tarjetas: Puede identificar la mayor parte de la actividad de pruebas de tarjetas porque se produce un importante aumento en los rechazos (estos rechazos se clasifican como errores 402 en sus registros de solicitudes fallidas). Para evitar estos ataques, debe introducir medidas de seguridad adicionales durante el proceso de confirmación de compra, como un CAPTCHA.

Estrategias de gestión de riesgos para apropiaciones fraudulentas de cuentas

Podría confirmar personalmente la legitimidad de todos los vendedores que usan su plataforma y seguir siendo susceptible de sufrir fraudes en los pagos mediante apropiaciones fraudulentas de cuentas. Si bien los actores maliciosos externos siempre existirán en Internet, puede invertir en estrictos esfuerzos de seguridad e identificación para evitar que personas malintencionadas pirateen las cuentas de sus vendedores.

  • Aplicar medidas de verificación de la identidad: Una de las mejores maneras de prevenir la apropiación de cuentas es aplicar estrictas medidas de seguridad y verificación de la identidad. Por ejemplo: aplique políticas de contraseñas únicas e implemente autenticación de dos factores al iniciar sesión.

  • Monitorear actividades sospechosas: Es importante que conozca las señales de una apropiación fraudulenta de cuenta para poder suspender las transferencias de inmediato. Los indicios más comunes de apropiación de una cuenta incluyen un gran aumento en el volumen de procesamiento o en el tamaño medio de los pedidos, o inicios de sesión desde dispositivos nuevos o direcciones IP no locales.

Sus opciones de gestión de riesgos con Stripe

Las plataformas que utilizan Stripe tienen dos opciones a la hora de gestionar el riesgo: 1) Pueden hacer que Stripe los ayude a gestionar el riesgo de los pagos por ellas; o 2) Pueden asumir la gestión del riesgo ellos mismos. El enfoque más popular es hacer que Stripe ayude a gestionar el riesgo de pagos, reduciendo los gastos operativos y disminuyendo su exposición. Con <i>Stripe Managed Risk</i>, usted se beneficia gracias a nuestra solución integral de gestión de riesgos, que incluye supervisión y mitigación continuas del riesgo crediticio y del fraude. Stripe supervisa y gestiona de forma activa el riesgo en su nombre; eso incluye cubrir saldos negativos irrecuperables atribuidos a empresas en su plataforma. Esta opción es ideal para descongestionar la gestión de riesgos, lo que le permite centrarse en sus prioridades principales, independientemente de su experiencia en riesgos.

Con el objetivo de ayudar a las empresas a adaptarse a una economía cada vez más digitalizada, Salesforce, una de las empresas de software más grandes del mundo, se asoció con Stripe para lanzar Salesforce Commerce Cloud. Dado que los pagos están fuera de sus principales competencias, Salesforce delegó la gestión de riesgos a Stripe, para que pudiera centrarse en crear una solución de comercio potente para sus clientes.

Si tiene experiencia en riesgos y conoce bien quiénes son sus vendedores, puede encargarse usted mismo de la gestión del riesgo. Las plataformas que optan por gestionar el riesgo por su cuenta suelen contar con recursos dedicados a operaciones e ingeniería para crear y mantener una solución propia contra el fraude, asignar suficiente capital para las pérdidas que pudieran producirse, integrar herramientas de otros proveedores y supervisar e informar sobre las pérdidas por fraude.

Además de dedicar equipos específicos a la gestión de riesgos, deberá asociarse con otros departamentos internos que pudieran verse afectados por el riesgo, incluidos los siguientes:

  • Equipos legales: Los generalistas legales o especialistas legales en productos de pagos internos deberán mantenerse actualizado sobre las leyes, reglamentaciones y normas de la industria, además de asociarse con equipos multifuncionales para responder a auditorías y consultas.

  • Equipos de soporte: Los equipos de atención al cliente internos o de los proveedores deberán estar preparados para responder a las preguntas de los usuarios relacionadas con actividades de gestión de riesgos; eso incluye contracargos, disputas y retrasos en las transferencias.

Cuando gestione el riesgo por su cuenta, puede personalizar su enfoque con el potente conjunto de herramientas de prevención y supervisión de Stripe, que incluye lo siguiente:

Prevenir fraudes en cuentas y transacciones: <i>Stripe Radar for Platforms</i> ofrece protección contra el riesgo financiero diseñada para plataformas, utilizando IA entrenada en la red de Stripe para prevenir el fraude en pagos y cuentas. Las plataformas pueden utilizar esta herramienta para detectar y bloquear cuentas potencialmente riesgosas, establecer reglas personalizadas a nivel de cuentas y acceder a análisis avanzados. El motor de reglas de Radar puede configurarse para actuar tanto a nivel de cuentas como de transacciones y ayuda a las plataformas a adaptar su protección contra fraudes a las necesidades de su empresa. Stripe ofrece revisión continua de cuentas para bloquear las cuentas conectadas fraudulentas al momento del onboarding y proporcionar protección contra posibles apropiaciones de cuentas.

Proceso de onboarding para cuentas: Integre cuentas de forma rápida y segura con interfaces de usuario (IU) prediseñadas y optimizadas para la conversión que recopilan de forma segura los datos personales confidenciales y los documentos de identificación necesarios para la verificación. Stripe aprovecha su experiencia de haber verificado millones de cuentas y utiliza sistemas propios para aprobar más empresas con menos fricción. Los flujos de <i>onboarding</i> de Stripe se actualizan dinámicamente conforme cambian las normativas y las ubicaciones, proporcionando así experiencias de onboarding sin fisuras a medida que su empresa crece y se introduce en nuevos mercados.

Verificación de identidades: Las plataformas que son especialmente susceptibles a los estafadores profesionales pueden evitar pérdidas por fraude de cuentas falsas con <i>Stripe Identity</i>, que confirma de forma programática la identidad de los vendedores globales a la vez que minimiza la fricción para los clientes legítimos.

Sacar a la luz información sobre disputas y reembolsos: Supervise el estado general (y el riesgo) de sus vendedores con el panel Stripe prediseñado, que proporciona una serie de análisis y gráficos en tiempo real sobre el rendimiento de su plataforma, o utilice <i>Stripe Sigma</i> para analizar de forma rápida sus datos de Stripe escribiendo consultas SQL directamente en el panel. Con acceso estructurado a sus datos, puede identificar qué cuentas procesan más disputas y reembolsos e identificar tendencias a lo largo del tiempo. Cree webhooks para generar alertas de comportamientos potencialmente fraudulentos e investigue cuentas con saldos negativos o altas tasas de reembolsos y contracargos.

Habilitar calendarios de transferencias flexibles: <i>Stripe Connect</i> ofrece distintas opciones de calendario de transferencias que puede utilizar en función de los perfiles de riesgo de sus vendedores. Puede elegir que los fondos se abonen de forma automática instantánea o diariamente en el caso de vendedores establecidos, o establecer un calendario de transferencias personalizado para ralentizar o aplazar los pagos a las cuentas de mayor riesgo.

Para obtener más información sobre las ofertas de gestión de riesgos de Stripe, póngase en contacto con nuestro equipo de ventas.

¿Todo listo para empezar?

Crea una cuenta y empieza a aceptar pagos sin necesidad de firmar contratos ni proporcionar datos bancarios. Si lo prefieres, puedes ponerte en contacto con nosotros para que diseñemos un paquete personalizado para tu empresa.
Radar

Radar

Combate el fraude con la solidez de la red de Stripe.

Documentación de Radar

Utiliza Stripe Radar para proteger tu empresa contra fraude.