Todos los negocios que operan en Internet tienen que gestionar riesgos. De hecho, existen muchos tipos de riesgos, desde los que dañan la reputación (por ejemplo, cómo tu público percibe tu marca) hasta los operativos (como el tiempo de inactividad).
Esta guía se centra en tres tipos de riesgos en los pagos: riesgo de crédito, riesgo de fraude y usurpación de cuentas. Aunque es imposible acabar con todos los riesgos en los pagos, en esta guía te contamos cómo evaluar y gestionar tu exposición, y te ayudamos a tomar una decisión bien fundamentada sobre tus siguientes pasos.
Introducción sobre los riesgos de crédito y fraude
Cuando una plataforma de software incorpora la facilitación de pagos a su oferta, se enfrenta a tres tipos de riesgos únicos y complejos, al componerse su negocio de tres partes bien diferenciadas: la propia plataforma, los vendedores o proveedores de servicios que aceptan pagos a través de la plataforma y los titulares de las tarjetas que pagan a dichos vendedores o proveedores de servicios.
Riesgo de crédito: este tipo de riesgo tiende a manifestarse a medida que los vendedores o proveedores de servicios acumulan más reembolsos y contracargos de los que pueden asumir. Esto suele ocurrir cuando, a pesar de querer proveer a sus clientes, los vendedores carecen de los recursos financieros necesarios para hacerlo y, a menudo, conlleva el abandono del negocio. Los titulares de las tarjetas pueden solicitar un contracargo por no recibir los productos o servicios. En este caso, deberías dinero a esos clientes porque, en términos generales, las plataformas que facilitan los pagos aceptan asumir la responsabilidad por la actividad de sus vendedores.
Riesgo de fraude: las plataformas también tienen que lidiar con el riesgo que entrañan los vendedores fraudulentos. Por ejemplo, una misma persona podría actuar como vendedor y titular de la tarjeta de forma fraudulenta al mismo tiempo, si tiene acceso a los datos de una tarjeta robada, crea una cuenta en tu plataforma y realiza varios pagos a su propia cuenta de vendedor con dicha tarjeta. También podría haber un vendedor fraudulento y un titular de la tarjeta legítimo, y el vendedor podría engañar al titular de la tarjeta para obtener su dinero, por ejemplo, vendiéndole productos que no tiene la intención de abastecer.
Usurpación de cuentas: un vendedor y un titular de la tarjeta legítimos no son suficientes para erradicar por completo los riesgos en los pagos. Las plataformas también tienen que hacer frente a la usurpación de cuentas, en la que un tercero malicioso logra acceder a las credenciales de la cuenta de un vendedor para robar sus fondos.
Estrategias para la gestión de riesgos de crédito
La mayoría de los vendedores suelen enfrentarse a riesgos de crédito (en forma de contracargos y reembolsos que deben cubrir), pero disponen de flujo de caja para afrontarlos. Se convierte en un problema cuando tus vendedores tienen menos ventas y más solicitudes de reembolso, ya que podrían no tener solvencia para devolver el dinero a los clientes.
Por ejemplo, supongamos que operas una plataforma en la que los organizadores de eventos pueden vender entradas y que pagas a un organizador antes de que se celebre el evento. Si el evento presencial se cancela, los organizadores tienen que reembolsar a los clientes. Pero, si los organizadores no tienen suficiente dinero para cubrir todos los reembolsos, tú, por ser responsable de la plataforma, tendrías que compensar dicha pérdida. Por tanto, asumes un gran riesgo de crédito en nombre de tus vendedores y, en consecuencia, estás expuesto a sufrir pérdidas.
Puedes lidiar con el riesgo de crédito con diferentes estrategias, que hemos organizado en tres secciones: onboarding, supervisión y mitigación.
Onboarding
Los nuevos vendedores plantean un riesgo inherente la primera vez que se unen a la plataforma, por el mero hecho de que no tienes ningún registro ni historial de su procesamiento. Cuanta más información recojas sobre ellos, mejor podrás evaluar el riesgo que entrañan y velar por la seguridad de tu plataforma. Por ejemplo, si tomas como referencia su actividad financiera, podrías identificar las cuentas más propensas a tener problemas de flujo de caja y saldos negativos antes de que se dé el caso.
Evalúa el riesgo: evalúa el riesgo de los vendedores potenciales durante el proceso de onboarding antes de admitirlos en la plataforma. Recopila suficiente información sobre los servicios que ofrecen para que puedas determinar si estarían dentro de alguna categoría de alto riesgo. Puedes preguntarles por su política de reembolsos o el volumen previsto de pagos en bruto e indagar en su historial de actividad en plataformas similares a la tuya. Si se trata de vendedores de mayor envergadura, es conveniente que realices una evaluación más manual, con una revisión financiera y comprobaciones de crédito de todos los propietarios y directores de la empresa.
Limita las transacciones temporalmente: para los vendedores nuevos o de alto riesgo, podrías introducir una serie de controles temporales hasta que sepas mejor cómo operan en tu plataforma. Por ejemplo, puedes limitar el volumen total de transacciones en un solo día o mes. Si sobrepasan los límites, podrías interrumpir sus transferencias para revisar sus transacciones mientras tanto.
Cobra reservas: reserva un importe concreto como garantía por los vendedores que puedan plantear riesgos. Puedes devolver la reserva con el tiempo a medida que los vendedores vayan registrando un historial positivo en tu plataforma.
Supervisión
Las empresas no suelen ser sencillas ni estáticas y, a medida que evolucionan, también lo harán sus perfiles de riesgo. Supervisa la actividad de disputas, los saldos negativos, el volumen de procesamiento y las reclamaciones de los clientes con regularidad para que te resulte más fácil identificar comportamientos fraudulentos y actuar de inmediato.
Configura alertas: crea alertas para controlar a los vendedores de mayor riesgo para poder adaptar rápidamente tu estrategia de gestión de riesgos. Estos vendedores se caracterizan por tener un volumen de procesamiento mucho más bajo, saldos negativos o tasas de disputa más altas (toda actividad de disputas por encima del 0,75 % se considera excesiva).
Completa revisiones periódicas: si bien configurar alertas puede ayudarte a controlar a los vendedores cada día, es igual de importante efectuar revisiones periódicas y minuciosas. Revisa las tasas de disputas y reembolsos de un vendedor, su volumen de procesamiento y las reclamaciones de los clientes.
Capacita a los vendedores: crea recursos para ayudar a tus vendedores a prepararse para los imprevistos. Entre otros ejemplos, se incluyen los recursos para la COVID-19 de Shopify y Xero o la información sobre el Huracán Harvey para empresas proporcionada por Mindbody.
Mitigación
Una vez que conozcas los perfiles de riesgo de tus vendedores nuevos y existentes, puedes empezar a gestionar tu exposición de forma proactiva. Por ejemplo, en el caso de los vendedores con más probabilidades de entrañar un riesgo para tu plataforma, puedes cambiar el calendario de transferencias o recomendarles que modifiquen su forma de gestionar los reembolsos y contracargos.
Retrasa las transferencias: retrasa las transferencias hasta que conozcas las tasas de contracargos y los volúmenes promedio de los vendedores. Puedes vincular incluso el calendario de transferencias a la categoría de riesgo del vendedor; por ejemplo, cuanto más alta sea la categoría de riesgo, más deberías prolongar el calendario de transferencias. Para los productos y servicios no proporcionados de inmediato, retén las transferencias hasta que se hayan suministrado. De esta manera, se reduce la probabilidad de contracargos y reembolsos porque puedes confirmar que los clientes han recibido lo que pagaron antes de liberar los fondos.
Gestiona saldos negativos: configura un proceso para recuperar fondos de vendedores que registran saldos excesivamente negativos (los vendedores con saldo negativo no podrán procesar contracargos ni reembolsos, por lo que el riesgo recaerá en tu plataforma). En función de la ubicación de tus vendedores, puedes configurar adeudos automáticos para retirar fondos de su cuenta bancaria automáticamente y poder regularizar sus saldos negativos.
Define tu concentración de riesgo: puedes definir un umbral máximo de exposición a riesgos para determinadas regiones (por ejemplo, en un único país solo puedes tener un X % de tu exposición total a riesgos) o vendedores concretos (por ejemplo, un único vendedor solo puede suponer un X % de tu exposición total). Si tu exposición supera dicho umbral, puedes endurecer tus políticas de gestión de riesgos.
Captura fondos en la fecha de entrega: acorta el intervalo entre la fecha de pago y la fecha de entrega para reducir la exposición a riesgos. Esto es especialmente importante en el caso de los vendedores de alto riesgo que procesan los pagos mucho antes de la entrega de los productos o servicios, como, por ejemplo, los organizadores de eventos que venden entradas para conciertos o encuentros deportivos. Para capturar fondos en la fecha de la entrega, o lo más cerca posible a esa fecha, crea un cargo para aplicar una retención en los fondos del titular de la tarjeta, pero captura los fondos en cuanto el vendedor haya proporcionado los productos o servicios.
Estrategias para la gestión de riesgos de fraude
En términos muy básicos, un pago se considera fraudulento cuando el titular de la tarjeta no autoriza el cargo. Podría tratarse de tarjetas robadas o ataques de prueba de tarjetas. Un ejemplo típico es cuando un estafador compra con una tarjeta robada. Este tipo de riesgo de fraude se puede prevenir y gestionar con software para fraudes (como Stripe Radar).
Las plataformas tienen que lidiar con el riesgo que entrañan tanto los titulares de tarjetas como los vendedores fraudulentos. Puedes lidiar con el riesgo de fraude con diferentes estrategias, que hemos organizado en tres secciones: onboarding, supervisión y mitigación.
Onboarding
El onboarding de vendedores es una oportunidad para recabar toda la información posible para verificar la legitimidad de una empresa. Sin embargo, para prevenir el riesgo de fraude, tienes que considerar otros factores, como comparar a los vendedores actuales con los que han sido rechazados en alguna ocasión para identificar cuentas duplicadas.
Evalúa el riesgo: confirma la identidad de un vendedor durante el onboarding y asegúrate de que su empresa sea legítima. Examina los perfiles del vendedor en las redes sociales, recaba las licencias comerciales adecuadas, revisa su sitio web (busca señales de alerta, como sitios web codificados, lenguaje copiado de otros sitios web, etc.) y verifica la información apropiada para la plataforma, como una dirección física, una lista de inventario o un historial de ventas.
Busca cuentas duplicadas: los comerciantes fraudulentos podrían abrir varias cuentas en tu plataforma. Para evitarlo, comprueba que no haya información duplicada de cuentas que esté asociada con cuentas rechazadas anteriormente (como información sobre la cuenta bancaria, información fiscal o el nombre y la fecha de nacimiento). Fíjate también en las coincidencias entre cuentas, como varias cuentas desde la misma dirección IP o dominio de correo electrónico.
Cobra reservas: reserva un importe concreto como garantía por los vendedores que puedan plantear riesgos. Puedes devolver la reserva con el tiempo a medida que los vendedores vayan registrando un historial positivo de procesamiento en tu plataforma.
Supervisión
Los vendedores fraudulentos pueden dedicar tiempo a crear un historial positivo en la plataforma antes de cometer el fraude, de ahí que sea tan importante la supervisión continua. Aprende a identificar la actividad normal de un vendedor, configura alertas de detección de anomalías para notificar cambios o aumentos importantes y prepárate para solicitar información adicional si observas alguna actividad sospechosa.
Identifica un comportamiento normal: supervisa la actividad de tus vendedores para saber cómo suelen comportarse. ¿Cuál es su volumen promedio de transacciones mensuales? ¿Cuál es la media de tasas de disputa y contracargos? De esta forma, obtendrás un indicador para detectar un comportamiento sospechoso (como el importe del cargo y la frecuencia) y actuar de forma adecuada en cada caso.
Personaliza tus alertas: crea alertas basadas en reglas lógicas para controlar a los vendedores de mayor riesgo que te permitan adaptar rápidamente tu estrategia de gestión de riesgos. Fíjate en los vendedores fraudulentos confirmados para identificar patrones en su actividad que te sirvan para adaptar y personalizar tus alertas.
Solicita información adicional: si observas algún comportamiento sospechoso en una transacción, pide más información al vendedor. Puedes solicitar facturas, fotos de inventario o números de seguimiento.
Mitigación
Una vez que conozcas los perfiles de riesgo de tus vendedores nuevos y existentes, puedes empezar a gestionar tu exposición de forma proactiva. Por ejemplo, en el caso de los vendedores con más probabilidades de entrañar un riesgo para tu plataforma, puedes cambiar el calendario de transferencias o recomendarles que modifiquen su forma de gestionar los reembolsos y contracargos.
Retrasa las transferencias: retrasa las transferencias hasta que conozcas las tasas de contracargos y los volúmenes promedio de los vendedores. Puedes vincular incluso el calendario de transferencias a la categoría de riesgo del vendedor; por ejemplo, cuanto más alta sea la categoría de riesgo, más deberías prolongar el calendario de transferencias. Para los productos y servicios no proporcionados de inmediato, retén las transferencias hasta que se hayan suministrado. De esta manera, se reduce la probabilidad de contracargos y reembolsos porque puedes confirmar que los clientes han recibido lo que pagaron antes de liberar los fondos.
Prevén ataques de prueba de tarjetas: los aumentos significativos de pagos rechazados (clasificados como errores 402 en los registros de solicitudes fallidas) sirven para identificar la mayoría de la actividad de prueba de tarjetas. Para prevenir estos ataques, introduce medidas de seguridad adicionales durante el proceso de compra, como una verificación CAPTCHA.
Estrategias para gestión de riesgos de usurpación de cuentas
Puedes confirmar personalmente la legitimidad de cada vendedor en tu plataforma y, aún así, ser vulnerable a pagos fraudulentos en forma de usurpación de cuentas. Aunque siempre habrá estafadores en Internet, puedes invertir en soluciones estrictas de seguridad e identificación para evitar que los ciberdelincuentes hackeen la cuenta de tus vendedores.
Aplica medidas de verificación de la identidad: una de las mejores formas de evitar las usurpaciones de cuentas es aplicar medidas estrictas de verificación de seguridad e identidad. Por ejemplo, aplica políticas de contraseñas únicas e implementa la autenticación en dos pasos en el inicio de sesión.
Supervisa la actividad sospechosa: es importante saber identificar las señales de la usurpación de una cuenta para poder suspender las transferencias de inmediato. Las señales típicas son un aumento considerable del volumen de procesamiento o del tamaño promedio de los pedidos, o bien inicios de sesión desde direcciones IP no locales o nuevos dispositivos.
Opciones de gestión de riesgos que te ofrece Stripe
Las plataformas que usan Stripe ofrecen dos opciones para la gestión de riesgos: 1) puedes dejar que Stripe gestione el riesgo en los pagos automáticamente o 2) puedes gestionar el riesgo por tu cuenta. Lo más habitual es que Stripe se encargue de hacerlo, para reducir tu exposición y la cantidad de recursos necesarios. Stripe supervisará y gestionará el riesgo de forma activa y automática y cubrirá los saldos negativos que no se pueden recuperar.
Para ayudar a las empresas a adaptarse a una economía cada vez más digitalizada, Salesforce, una de las empresas de software más importantes del mundo, se asoció con Stripe para lanzar Salesforce Commerce Cloud. Dado que los pagos están fuera de sus principales competencias, Salesforce delegó la gestión de riesgos en Stripe, para que se encargara de crear una solución de comercio sólida para sus clientes.
Si eres experto en riesgos y conoces bien a tus vendedores, puedes ocuparte de la gestión de riesgos. Las plataformas que deciden gestionar los riesgos por su cuenta suelen disponer recursos de ingeniería y operaciones dedicados para crear y mantener una solución propia para fraudes, integrar herramientas de terceros y supervisar y declarar las pérdidas por fraude.
Además de contar con equipos específicos dedicados a la gestión de riesgos, también necesitarás colaborar con otros departamentos internos a los que pueda afectar el riesgo, entre otros:
Equipos jurídicos: un asistente jurídico interno o un especialista legal en productos de pago deberá estar al tanto de las leyes, los reglamentos y las normas de la industria pertinentes, y deberá colaborar con equipos interdisciplinarios para responder a auditorías y consultas.
Equipos de soporte: los equipos de atención al cliente internos o de los proveedores tendrán que estar preparados para responder a las preguntas de los usuarios relativas a las actividades de gestión de riesgos, entre ellas, los contracargos, las disputas y los retrasos en las transferencias.
Si te ocupas personalmente de la gestión de riesgos, puedes personalizar tu estrategia con el eficaz conjunto de herramientas de prevención y supervisión de Stripe, como:
Onboarding de vendedores: haz el onboarding de los vendedores de forma rápida y segura mediante las interfaces de usuario integradas y optimizadas para la conversión, que recaban de forma segura la información confidencial y los documentos de identidad necesarios para la verificación. Stripe se sirve de la experiencia adquirida por tener millones de cuentas verificadas y usa sistemas propietarios para aprobar a más vendedores con menos fricción. Los flujos de onboarding de Stripe se actualizan de forma dinámica para adaptarse a la evolución de los reglamentos y al escenario internacional, proporcionando experiencias de onboarding sin contratiempos mientras creces y accedes a nuevos mercados.
Verifica identidades: Las plataformas más vulnerables a los estafadores profesionales pueden prevenir las pérdidas por fraude provocadas por comerciantes falsos con Stripe Identity, que confirma mediante programación la identidad de vendedores internacionales al mismo tiempo que minimiza los inconvenientes para los clientes legítimos.
Presenta información sobre disputas y reembolsos: supervisa el estado y el riesgo de tus vendedores desde el Dashboard de Stripe, que, en su configuración por defecto, ya ofrece gráficos de análisis en tiempo real sobre el rendimiento de tu plataforma, o bien usa Stripe Sigma para analizar rápidamente tus datos de Stripe escribiendo consultas SQL directamente en el Dashboard. Gracias al acceso estructurado a tus datos, puedes identificar qué cuentas procesan la mayoría de las disputas y los reembolsos e identificar las tendencias a lo largo del tiempo. Crea webhooks para configurar alertas para posibles comportamientos fraudulentos e investiga las cuentas con saldo negativo o con tasas elevadas de reembolsos y contracargos.
Habilita calendarios de transferencias flexibles: Stripe Connect ofrece diferentes opciones para el calendario de transferencias, que puedes usar según los perfiles de riesgo de tus vendedores. Puedes elegir transferir los fondos de forma automática e instantánea o diaria para vendedores establecidos, o bien configurar un calendario de transferencias personalizado para ralentizar o pausar las transferencias a las cuentas de mayor riesgo.
Utiliza el machine learning para combatir el fraude en las transacciones: Stripe Radar es un conjunto de herramientas modernas para la detección y prevención del fraude en las transacciones. Su funcionamiento se basa en la tecnología de machine learning adaptativo, con algoritmos que evalúan cada transacción para detectar el riesgo de fraude y tomar las medidas necesarias. Como se trata de un producto específico para el fraude en las transacciones de los titulares de las tarjetas (no los vendedores), Radar está incluido de forma gratuita en las tarifas integradas de Stripe. Las plataformas pueden optar por una herramienta superior con Radar for Fraud Teams, que les permitirá definir su propia lógica basada en reglas y usar otras herramientas eficaces para los profesionales de la lucha antifraude.
Para obtener más información sobre las ofertas de gestión de riesgos de Stripe, contacta con nuestro equipo de ventas.