Todos los negocios que operan en Internet tienen que gestionar riesgos. De hecho, existen muchos tipos de riesgos, desde los que dañan la reputación (por ejemplo, cómo tu público percibe tu marca) hasta los operativos (como el tiempo de inactividad).
Esta guía se centra en tres tipos de riesgos en los pagos: riesgo de crédito, riesgo de fraude y usurpación de cuentas. Aunque es imposible acabar con todos los riesgos en los pagos, en esta guía te contamos cómo evaluar y gestionar tu exposición, y te ayudamos a tomar una decisión bien fundamentada sobre tus siguientes pasos.
Introducción sobre los riesgos de crédito y fraude
Cuando una plataforma de software incorpora la facilitación de pagos a su oferta, se enfrenta a tres tipos de riesgos únicos y complejos, al componerse su negocio de tres partes bien diferenciadas: la propia plataforma, los vendedores o proveedores de servicios que aceptan pagos a través de la plataforma y los titulares de las tarjetas que pagan a dichos vendedores o proveedores de servicios.
Riesgo de crédito: este tipo de riesgo tiende a manifestarse a medida que los vendedores o proveedores de servicios acumulan más reembolsos y contracargos de los que pueden asumir. Esto suele ocurrir cuando, a pesar de querer abastecer a sus clientes, los vendedores carecen de los recursos financieros necesarios para hacerlo y, a menudo, conduce al abandono del negocio. Los titulares de las tarjetas pueden solicitar un contracargo por no recibir los productos o servicios. Llegados a este punto, deberías dinero a esos clientes, porque, en términos generales, las plataformas que facilitan los pagos aceptan asumir la responsabilidad por la actividad de sus vendedores.
Riesgo de fraude: las plataformas también tienen que gestionar los riesgos relacionados con los vendedores y cuentas fraudulentos. Por ejemplo, podrías tener a la misma persona actuando como vendedor fraudulento y titular de una tarjeta fraudulenta, dicha persona tendría acceso a la información de la tarjeta robada, crearía una cuenta en tu plataforma y pagaría con la tarjeta robada. O bien, podrías tener a un vendedor fraudulento y un titular de tarjeta legítimo, el vendedor engañaría al titular de la tarjeta para que le diese dinero (por ejemplo, le podría vender bienes que no tiene intención de entregarle). Las plataformas también pueden lidiar con un tipo de fraude llamado uso indebido o fraude amistoso. Esto ocurre cuando un titular de la tarjeta legítimo realiza una compra, pero luego la disputa en una fecha posterior. Esto puede ser accidental, porque no reconoció la transacción en su extracto bancario o deliberado (por ejemplo, debido al remordimiento del comprador o como intento de obtener mercancía fraudulentamente sin pagar).
Usurpación de cuentas: un vendedor y un titular de la tarjeta legítimos no son suficientes para erradicar por completo los riesgos en los pagos. Las plataformas también tienen que hacer frente a la usurpación de cuentas, en la que un tercero malicioso logra acceder a las credenciales de la cuenta de un vendedor para robar sus fondos.
Estrategias para la gestión de riesgos de crédito
La mayoría de los vendedores suelen enfrentarse a riesgos de crédito (en forma de contracargos y reembolsos que deben cubrir), pero disponen de flujo de caja para afrontarlos. Se convierte en un problema cuando tus vendedores tienen menos ventas y más solicitudes de reembolso, ya que podrían no tener solvencia para devolver el dinero a los clientes.
Por ejemplo, supongamos que operas una plataforma en la que los organizadores de eventos pueden vender entradas y que pagas a un organizador antes de que se celebre el evento. Si el evento presencial se cancela, los organizadores tienen que reembolsar a los clientes. Pero, si los organizadores no tienen suficiente dinero para cubrir todos los reembolsos, tú, por ser responsable de la plataforma, tendrías que compensar dicha pérdida. Por tanto, asumes un gran riesgo de crédito en nombre de tus vendedores y, en consecuencia, estás expuesto a sufrir pérdidas.
Puedes lidiar con el riesgo de crédito con diferentes estrategias, que hemos organizado en tres secciones: onboarding, supervisión y mitigación.
Onboarding
Las cuentas nuevas plantean un riesgo inherente la primera vez que se unen a tu plataforma, por el mero hecho de que no tienes ningún registro ni historial de su procesamiento. Cuanta más información recojas sobre ellas, mejor podrás evaluar el riesgo que entrañan y velar por la seguridad de tu plataforma. Por ejemplo, si tomas como referencia su actividad financiera, podrías identificar las cuentas más propensas a tener problemas de flujo de caja y saldos negativos antes de que se dé el caso.
Evalúa el riesgo: evalúa el riesgo de las cuentas potenciales durante el proceso de onboarding antes de admitirlas en la plataforma. Recoge suficiente información sobre los servicios que ofrecen para que puedas determinar si estarían dentro de alguna categoría de alto riesgo. Puedes preguntarles por su política de reembolsos o el volumen previsto de pagos en bruto e indagar en su historial de actividad en plataformas similares a la tuya. Si se trata de vendedores de mayor envergadura, es conveniente que realices una evaluación más manual, con una revisión financiera y comprobaciones de crédito de todos los propietarios y directores de la empresa.
Limita las transacciones temporalmente: para las cuentas nuevas o de alto riesgo, podrías introducir una serie de controles temporales hasta que sepas mejor cómo operan en tu plataforma. Por ejemplo, puedes limitar el volumen total de transacciones en un solo día o mes. Si sobrepasan los límites, podrías interrumpir sus transferencias para revisar sus transacciones mientras tanto.
Cobra reservas: reserva un importe determinado como garantía para vendedores que sean potencialmente de riesgo utilizando la API Reserves de Stripe, parte de Radar para plataformas. Puedes liberar la reserva con el paso del tiempo, una vez que los vendedores tengan un historial positivo en tu plataforma.
Monitorización
Las empresas no suelen ser sencillas ni estáticas y, a medida que evolucionan, también lo harán sus perfiles de riesgo. Supervisa la actividad de disputas, los saldos negativos, el volumen de procesamiento y las reclamaciones de los clientes con regularidad para que te resulte más fácil identificar comportamientos fraudulentos y actuar de inmediato.
Configura alertas: crea alertas para controlar a los vendedores de mayor riesgo para poder adaptar rápidamente tu estrategia de gestión de riesgos. Estos vendedores se caracterizan por tener un volumen de procesamiento mucho más bajo, saldos negativos o tasas de disputa más altas (toda actividad de disputas por encima del 0,75 % se considera excesiva).
Completa revisiones periódicas: si bien configurar alertas puede ayudarte a controlar a los vendedores cada día, es igual de importante efectuar revisiones periódicas y minuciosas. Revisa las tasas de disputas y reembolsos de un vendedor, su volumen de procesamiento y las reclamaciones de los clientes.
Educa a los vendedores: crea recursos para ayudar a tus vendedores a que estén preparados para lo inesperado. Algunos ejemplos son los recursos contra la COVID-19 de Shopify y Xero, o la información sobre el huracán Harvey para empresas de Mindbody.
Mitigación
Una vez que conozcas los perfiles de riesgo de tus vendedores nuevos y existentes, puedes empezar a gestionar tu exposición de forma proactiva. Por ejemplo, en el caso de los vendedores con más probabilidades de entrañar un riesgo para tu plataforma, puedes cambiar el calendario de transferencias o recomendarles que modifiquen su forma de gestionar los reembolsos y contracargos.
Retrasa las transferencias: retrasa las transferencias hasta que conozcas las tasas de contracargos y los volúmenes promedio de los vendedores. Puedes vincular incluso el calendario de transferencias a la categoría de riesgo del vendedor; por ejemplo, cuanto más alta sea la categoría de riesgo, más deberías prolongar el calendario de transferencias. Para los productos y servicios no proporcionados de inmediato, retén las transferencias hasta que se hayan suministrado. De esta manera, se reduce la probabilidad de contracargos y reembolsos porque puedes confirmar que los clientes han recibido lo que pagaron antes de liberar los fondos.
Gestiona saldos negativos: configura un proceso para recuperar fondos de vendedores que registran saldos excesivamente negativos (los vendedores con saldo negativo no podrán procesar contracargos ni reembolsos, por lo que el riesgo recaerá en tu plataforma). En función de la ubicación de tus vendedores, puedes configurar adeudos automáticos para retirar fondos de su cuenta bancaria automáticamente y poder regularizar sus saldos negativos.
Define tu concentración de riesgo: puedes definir un umbral máximo de exposición a riesgos para determinadas regiones (por ejemplo, en un único país solo puedes tener un X % de tu exposición total a riesgos) o vendedores concretos (por ejemplo, un único vendedor solo puede suponer un X % de tu exposición total). Si tu exposición supera dicho umbral, puedes endurecer tus políticas de gestión de riesgos.
Captura fondos en la fecha de entrega: acorta el intervalo entre la fecha de pago y la fecha de entrega para reducir la exposición a riesgos. Esto es especialmente importante en el caso de los vendedores de alto riesgo que procesan los pagos mucho antes de la entrega de los productos o servicios, como, por ejemplo, los organizadores de eventos que venden entradas para conciertos o encuentros deportivos. Para capturar fondos en la fecha de la entrega, o lo más cerca posible a esa fecha, crea un cargo para aplicar una retención en los fondos del titular de la tarjeta, pero captura los fondos en cuanto el vendedor haya proporcionado los productos o servicios.
Estrategias para la gestión de riesgos de fraude
En términos muy básicos, un pago se considera fraudulento cuando el titular de la tarjeta no autoriza el cargo. Podría tratarse de tarjetas robadas o ataques de prueba de tarjetas. Un ejemplo típico es cuando un estafador compra con una tarjeta robada. Este tipo de riesgo de fraude se puede prevenir y gestionar con un software para fraudes (como Stripe Radar).
Las plataformas tienen que lidiar con el riesgo que entrañan tanto los titulares de tarjetas como los vendedores fraudulentos. Puedes lidiar con el riesgo de fraude con diferentes estrategias, que hemos organizado en tres secciones: onboarding, supervisión y mitigación.
Onboarding
El onboarding de cuentas o vendedores es una oportunidad para recabar toda la información posible para verificar la legitimidad de una empresa. Sin embargo, para prevenir el riesgo de fraude, tienes que considerar otros factores, como comparar a las cuentas actuales con las que han sido rechazadas en alguna ocasión para identificar cuentas duplicadas.
Evalúa el riesgo: confirma la identidad de un vendedor durante el onboarding y asegúrate de que su empresa sea legítima. Examina los perfiles del vendedor en las redes sociales, recaba las licencias comerciales adecuadas, revisa su sitio web (busca señales de alerta, como sitios web codificados, lenguaje copiado de otros sitios web, etc.) y verifica la información apropiada para la plataforma, como una dirección física, una lista de inventario o un historial de ventas.
Busca cuentas duplicadas: los actores fraudulentos podrían abrir varias cuentas en tu plataforma. Para evitarlo, comprueba que no haya información duplicada de cuentas que esté asociada con cuentas rechazadas anteriormente (como información sobre la cuenta bancaria, información fiscal o el nombre y la fecha de nacimiento). Fíjate también en las coincidencias entre cuentas, como varias cuentas desde la misma dirección IP o dominio de correo electrónico.
Cobra reservas: reserva un importe concreto como garantía por los vendedores que puedan plantear riesgos. Puedes devolver la reserva con el tiempo a medida que los vendedores vayan registrando un historial positivo de procesamiento en tu plataforma.
Monitorización
Los vendedores fraudulentos pueden dedicar tiempo a crear un historial positivo en la plataforma antes de cometer el fraude, de ahí que sea tan importante la supervisión continua. Aprende a identificar la actividad normal de un vendedor, configura alertas de detección de anomalías para notificar cambios o aumentos importantes y prepárate para solicitar información adicional si observas alguna actividad sospechosa.
Identifica un comportamiento normal: supervisa la actividad de tus vendedores para saber cómo suelen comportarse. ¿Cuál es su volumen promedio de transacciones mensuales? ¿Cuál es la media de tasas de disputa y contracargos? De esta forma, obtendrás un indicador para detectar un comportamiento sospechoso (como el importe del cargo y la frecuencia) y actuar de forma adecuada en cada caso.
Personaliza tus alertas: crea alertas basadas en reglas lógicas para controlar a los vendedores de mayor riesgo que te permitan adaptar rápidamente tu estrategia de gestión de riesgos. Fíjate en los vendedores fraudulentos confirmados para identificar patrones en su actividad que te sirvan para adaptar y personalizar tus alertas.
Solicita información adicional: si observas algún comportamiento sospechoso en una transacción, pide más información al vendedor. Puedes solicitar facturas, fotos de inventario o números de seguimiento.
Mitigación
Una vez que conozcas los perfiles de riesgo de tus vendedores nuevos y existentes, puedes empezar a gestionar tu exposición de forma proactiva. Por ejemplo, en el caso de los vendedores con más probabilidades de entrañar un riesgo para tu plataforma, puedes cambiar el calendario de transferencias o recomendarles que modifiquen su forma de gestionar los reembolsos y contracargos.
Retrasa las transferencias: retrasa las transferencias hasta que conozcas las tasas de contracargos y los volúmenes promedio de los vendedores. Puedes vincular incluso el calendario de transferencias a la categoría de riesgo del vendedor; por ejemplo, cuanto más alta sea la categoría de riesgo, más deberías prolongar el calendario de transferencias. Para los productos y servicios no proporcionados de inmediato, retén las transferencias hasta que se hayan suministrado. De esta manera, se reduce la probabilidad de contracargos y reembolsos porque puedes confirmar que los clientes han recibido lo que pagaron antes de liberar los fondos.
Prevén ataques de prueba de tarjetas: los aumentos significativos de pagos rechazados (clasificados como errores 402 en los registros de solicitudes fallidas) sirven para identificar la mayoría de la actividad de prueba de tarjetas. Para prevenir estos ataques, introduce medidas de seguridad adicionales durante el proceso de compra, como una verificación CAPTCHA.
Estrategias para gestión de riesgos de usurpación de cuentas
Puedes confirmar personalmente la legitimidad de cada vendedor en tu plataforma y, aún así, ser vulnerable a pagos fraudulentos en forma de usurpación de cuentas. Aunque siempre habrá estafadores en Internet, puedes invertir en soluciones estrictas de seguridad e identificación para evitar que los ciberdelincuentes hackeen la cuenta de tus vendedores.
Aplica medidas de verificación de la identidad: una de las mejores formas de evitar las usurpaciones de cuentas es aplicar medidas estrictas de verificación de seguridad e identidad. Por ejemplo, aplica políticas de contraseñas únicas e implementa la autenticación en dos pasos en el inicio de sesión.
Supervisa la actividad sospechosa: es importante saber identificar las señales de la usurpación de una cuenta para poder suspender las transferencias de inmediato. Las señales típicas son un aumento considerable del volumen de procesamiento o del tamaño promedio de los pedidos, o bien inicios de sesión desde direcciones IP no locales o nuevos dispositivos.
Opciones de gestión de riesgos que te ofrece Stripe
Las plataformas que usan Stripe tienen dos opciones para gestionar el riesgo: 1) pueden pedirle a Stripe ayuda para gestionar el riesgo asociado a los pagos o 2) pueden encargarse ellas mismas de la gestión de dicho riesgo. La opción más popular es pedirle a Stripe ayuda para gestionar el riesgo asociado a los pagos, reduciendo gastos operativos y disminuyendo tu exposición. Con Stripe Managed Risk, te beneficias de nuestra solución integral de gestión del riesgo, que incluye la supervisión y mitigación continuas del riesgo de crédito y fraude. Stripe supervisa y gestiona activamente los riesgos en tu nombre, incluida la cobertura de los saldos negativos irrecuperables atribuidos a las empresas de tu plataforma. Esta opción es ideal para reducir la carga de trabajo relacionada con la gestión del riesgo y para que puedas centrarte en tus prioridades principales, al margen de la experiencia que tengas gestionando riesgos.
Para ayudar a las empresas a adaptarse a una economía cada vez más digitalizada, Salesforce, una de las empresas de software más importantes del mundo, se asoció con Stripe para lanzar Salesforce Commerce Cloud. Dado que los pagos están fuera de sus principales competencias, Salesforce delegó la gestión de riesgos en Stripe, para que se encargara de crear una solución de comercio sólida para sus clientes.
Si eres experto en riesgos y conoces bien a tus vendedores, puedes ocuparte de la gestión de riesgos tú mismo. Las plataformas que deciden gestionar los riesgos por su cuenta suelen disponer de recursos de ingeniería y operaciones dedicados específicamente a ello, su función es crear y mantener una solución propia para gestionar los fraudes, asignar el capital suficiente para cubrir las posibles pérdidas que se puedan producir, integrar herramientas de terceros y supervisar y declarar las pérdidas por fraude.
Además de contar con equipos específicos dedicados a la gestión de riesgos, también necesitarás colaborar con otros departamentos internos a los que pueda afectar el riesgo, entre otros:
Equipos jurídicos: un asistente jurídico interno o un especialista legal en productos de pago deberá estar al tanto de las leyes, los reglamentos y las normas de la industria pertinentes, y deberá colaborar con equipos interdisciplinarios para responder a auditorías y consultas.
Equipos de soporte: los equipos de atención al cliente internos o de los proveedores tendrán que estar preparados para responder a las preguntas de los usuarios relativas a las actividades de gestión de riesgos, entre ellas, los contracargos, las disputas y los retrasos en las transferencias.
Si te ocupas personalmente de la gestión de riesgos, puedes personalizar tu estrategia con el eficaz conjunto de herramientas de prevención y supervisión de Stripe, como por ejemplo:
Prevención de fraudes en cuentas y transacciones: Stripe Radar para plataformas ofrece protección contra riesgos financieros y está diseñado para las plataformas, utiliza IA entrenada en la red Stripe para prevenir fraudes relacionados con los pagos y las cuentas. Las plataformas pueden usar esta herramienta para detectar y bloquear cuentas potencialmente de riesgo, establecer reglas a nivel de personalización de la cuenta y acceder a análisis avanzados. El motor de reglas de Radar es configurable para poder tomar medidas tanto a nivel de cuenta como de transacción y ayuda a las plataformas a adaptar su protección antifraude a las necesidades de tu empresa. Stripe ofrece revisiones continuas de cuentas para bloquear cuentas conectadas fraudulentas en el Onboarding y proteger ante posibles apropiaciones de cuentas.
Onboarding de cuentas: haz el onboarding de las cuentas de forma rápida y segura mediante las interfaces de usuario integradas y optimizadas para la conversión, que recaban de forma segura la información confidencial y los documentos de identidad necesarios para la verificación. Stripe se sirve de la experiencia adquirida por tener millones de cuentas verificadas y usa sistemas propietarios para aprobar a más empresas con menos fricción. Los flujos de onboarding de Stripe se actualizan de forma dinámica para adaptarse a la evolución de los reglamentos y al escenario internacional, proporcionando experiencias de onboarding sin contratiempos mientras creces y accedes a nuevos mercados.
Verificación de identidades: las plataformas más vulnerables a los estafadores profesionales pueden prevenir las pérdidas por fraude provocadas por cuentas falsas con Stripe Identity, que confirma mediante programación la identidad de vendedores internacionales al mismo tiempo que minimiza los inconvenientes para los clientes legítimos.
Presentación de información sobre disputas y reembolsos: supervisa el estado y el riesgo de tus vendedores desde el Dashboard de Stripe, que, en su configuración por defecto, ya ofrece gráficos de análisis en tiempo real sobre el rendimiento de tu plataforma, o bien usa Stripe Sigma para analizar rápidamente tus datos de Stripe escribiendo consultas SQL directamente en el Dashboard. Gracias al acceso estructurado a tus datos, puedes identificar qué cuentas procesan la mayoría de las disputas y los reembolsos e identificar las tendencias a lo largo del tiempo. Crea webhooks para configurar alertas para posibles comportamientos fraudulentos e investiga las cuentas con saldo negativo o con tasas elevadas de reembolsos y contracargos.
Calendarios de transferencias flexibles: Stripe Connect ofrece varias opciones para los distintos calendarios de transferencias que puedes usar según los perfiles de riesgo de tus vendedores. Puedes elegir la transferencia automática de fondos al instante o de forma diaria para vendedores o proveedores de servicios establecidos, o definir un calendario de transferencias personalizado para diferir o ralentizar las transferencias a cuentas de más alto riesgo.
Para obtener más información sobre las ofertas relativas a la gestión de riesgos de Stripe, contacta con nuestro equipo de ventas.