Inizia ora  Contattaci 

Pagamenti

Ricavi

Gestione del denaro

Per piattaforme e marketplace

Per fase
Per casistica
Per settore
Documentazione
Guide
Risorse
Fonti di apprendimento
Assistenza
Azienda
Inizia ora  Contattaci 

Gestione del rischio di frode: come valutare, limitare e monitorare la tua esposizione

Radar
Radar

Prevenzione delle frodi grazie alle potenzialità della rete Stripe.

Ulteriori informazioni 
  1. Introduzione
  2. Che cos’è la gestione del rischio di frode?
  3. Come funziona la gestione del rischio di frode?
    1. Identificazione del rischio di frode
    2. Valutazione del rischio di frode
    3. Mitigazione del rischio di frode
    4. Monitoraggio e revisione continui
  4. Come si conduce una valutazione del rischio di frode?
  5. Quali rischi di frode contano di più per l’e-commerce e le piattaforme finanziarie?
    1. Frodi CNP
    2. Frode per furto dei dati dell’account
    3. Frode amichevole
    4. Uso improprio delle policy
  6. Come si collega una struttura di gestione del rischio di frode agli strumenti che si usano ogni giorno?
  7. Come si definisce una policy di gestione del rischio di frode per la propria attività?
  8. In che modo Stripe Radar può essere d’aiuto
  9. Inizia a utilizzare Stripe 

Le frodi costano alle aziende più della semplice perdita della merce. Infatti, ogni 1,00 $ di frode sui pagamenti nei servizi finanziari degli Stati Uniti costa in media 5,75 $. I costi sono strutturati in più livelli: gli storni riducono i margini e le indagini sulle frodi assorbono il tempo del personale. I costi generali della gestione delle frodi possono limitare gravemente la crescita. Una struttura per la gestione del rischio di frode offre un approccio organizzato per ridurre al minimo questi costi. Consente di comprendere l'esposizione, assegnare priorità ai rischi più rilevanti e implementare controlli che resistano alle variazioni dei pattern di attacco.

Di seguito, approfondiremo in cosa consiste la gestione del rischio di frode, il funzionamento pratico del ciclo in quattro fasi e come definire un sistema adatto alla tua attività.

In evidenza

  • La gestione del rischio di frode segue in genere un ciclo di identificazione, valutazione, mitigazione e monitoraggio continuo.

  • I tipi di frode che tendono a colpire maggiormente le attività online (le frodi in assenza di carta o CNP, le violazioni dell'account e le frodi amichevoli) sfruttano i vuoti lasciati dalle transazioni digitali a distanza.

  • Una policy di gestione del rischio di frode funziona solo se include in modo esplicito un responsabile, una propensione al rischio definita e una frequenza di revisione integrata fin dall'inizio.

Che cos'è la gestione del rischio di frode?

La gestione del rischio di frode è la procedura di identificazione, valutazione e risposta ai modi in cui la tua attività potrebbe essere sfruttata per un guadagno finanziario. Si distingue dalla gestione del rischio in generale per un aspetto importante: la frode implica un intento. Ti stai tutelando dal comportamento di persone che cercano attivamente di aggirare i tuoi controlli.

Come funziona la gestione del rischio di frode?

Il ciclo di gestione del rischio di frode comprende quattro fasi: identificazione, valutazione, mitigazione e monitoraggio continuo. Ognuna si basa su quella precedente.

Identificazione del rischio di frode

Inizia dalla tua superficie di attacco: com'è il tuo flusso di transazioni, dove gli esseri umani interagiscono con questo aspetto e in che modo è automatizzato. Le attività con elevati volumi di transazioni CNP affrontano vettori di attacco diversi da quelle che accettano pagamenti di persona. I dati storici sulle frodi sono un punto di partenza, ma offrono solo informazioni su frodi già riscontrate. L'analisi dei modelli e la mappatura del modello di business consentono di rivelare le vulnerabilità prima che vengano sfruttate.

Valutazione del rischio di frode

I rischi di frode non sono tutti uguali e non possono essere trattati nello stesso modo. Valuta ciascun rischio in base a due criteri: probabilità e impatto. La probabilità indica la frequenza con cui si verifica un tipo di frode in attività simili alla tua. Ad esempio, la frode CNP è comune nell'e-commerce, mentre l'abuso da parte di prime parti è più frequente nei prodotti in abbonamento e nei prestiti. L'impatto riguarda la perdita finanziaria, le commissioni per gli storni, i costi di risanamento e il peggioramento dell'esperienza del cliente. Ai rischi ad alta probabilità e ad alto impatto dovrebbe essere prestata immediata attenzione, oltre all'implementazione di controlli dedicati.

Mitigazione del rischio di frode

La mitigazione trasforma la tua valutazione in controlli su tre livelli. I controlli preventivi fermano le frodi prima che si verifichino. I controlli investigativi rilevano le frodi in corso o poco dopo. Le procedure di risposta definiscono le azioni successive alla conferma della frode, come la sospensione dell'account, la raccolta di prove in caso di contestazioni e, se necessario, il coinvolgimento delle forze dell'ordine. L'uso esclusivo della prevenzione può lasciarti impreparato in caso di nuovi vettori di attacco.

Monitoraggio e revisione continui

I pattern di frode cambiano e i controlli che funzionavano sei mesi fa potrebbero non funzionare oggi. Gli autori di frodi condividono le proprie tecniche, le nuove funzioni dei prodotti creano nuove vulnerabilità e i vettori di attacco si sviluppano più rapidamente di quanto i cicli di revisione annuali siano in grado di monitorare. Le revisioni trimestrali costituiscono un parametro di riferimento ragionevole, con revisioni ad hoc per monitorare variazioni sostanziali nei tassi di storno, i lanci di nuovi prodotti o incidenti di frode confermati.

Come si conduce una valutazione del rischio di frode?

Una valutazione del rischio di frode è un controllo strutturato della tua esposizione. Ecco i passaggi previsti:

  • Definisci l'ambito di applicazione: decidi se stai valutando l'intera attività, una linea di prodotti specifica o un tipo di transazione particolare. L'ambito di applicazione determina cosa includere nell'inventario degli asset e chi deve essere coinvolto.

  • Crea una mappa delle transazioni: documenta ogni punto del flusso di transazioni in cui potrebbe verificarsi una frode. In un'attività di e-commerce, ciò include il checkout, la creazione dell'account, la conservazione del metodo di pagamento, i rimborsi e le contestazioni. Ognuno di questi è una potenziale superficie di attacco.

  • Identifica gli scenari di frode: a ogni punto di contatto, chiediti cosa potrebbe fare un autore di frodi (ad esempio, testing delle carte al momento del checkout, violazione dell'account all'accesso, frode amichevole in fase di contestazione) e cosa ne trarrebbe. L'identificazione dello scenario semplifica notevolmente la valutazione e l'attenuazione.

  • Valuta la probabilità e l'impatto: utilizza i dati storici, i benchmark del settore e il contributo del fornitore di servizi di pagamento. I punteggi di probabilità dovrebbero riflettere il volume effettivo delle transazioni e il profilo cliente, non le medie generiche del settore. I punteggi di impatto dovrebbero tenere conto delle perdite finanziarie dirette, delle commissioni per gli storni, dei costi di risanamento e del peggioramento dell'esperienza del cliente.

  • Stabilisci le priorità e assegna la proprietà: i rischi ad alta priorità richiedono che una persona o un team specifico sia responsabile del controllo. Senza la proprietà, i controlli non vengono implementati e non vengono effettuate revisioni.

  • Documenta e imposta una data di revisione: il risultato di una valutazione del rischio di frode è un documento in continua evoluzione e necessita di una frequenza di revisione fin dall'inizio.

Quali rischi di frode contano di più per l'e-commerce e le piattaforme finanziarie?

I tipi di frode che in genere colpiscono maggiormente le attività online sfruttano tutti l'assenza di verifica fisica e includono i seguenti:

Frodi CNP

Le frodi CNP si verificano quando le credenziali di carte rubate o compromesse vengono utilizzate per effettuare acquisti in qualsiasi canale in cui la carta non è fisicamente presente: checkout online, ordini telefonici, addebiti ricorrenti e acquisti in-app. La carta in sé non cambia mai di mano, il che la rende difficile da rilevare senza una verifica a più livelli. I tassi di frode CNP tendono a raggiungere il picco dopo violazioni di dati su larga scala, quando set di credenziali nuove arrivano nei mercati del dark web.

Frode per furto dei dati dell'account

Il credential stuffing (attacchi automatici che testano combinazioni di nomi utente e password rubate in molti siti) è economico da eseguire, il che ha reso la frode da violazione dell'account una minaccia comune. Gli autori di frodi utilizzano combinazioni di nomi utente e password trapelate per accedere agli account dei clienti, per poi modificare gli indirizzi di spedizione, aggiungere nuovi metodi di pagamento o prosciugare i saldi. Questo aspetto è particolarmente dannoso in quanto compromette la fiducia dei clienti anche quando l'attività risponde in modo corretto.

Frode amichevole

La frode amichevole, definita anche frode da storno (e talvolta raggruppata nella categoria più ampia di frode di prime parti), si verifica quando un titolare della carta legittimo effettua un acquisto e poi contesta l'addebito alla banca, dichiarando di non avere mai ricevuto la merce o di non aver autorizzato la transazione. I tassi di contestazione superiori a circa l'1% del volume delle transazioni sono un segnale di allarme comune, sebbene le soglie variano in base al fornitore di servizi di pagamento e alla categoria di attività.

Uso improprio delle policy

Tra le frodi e il comportamento legittimo dei clienti, l'abuso delle policy comprende la frode dei rimborsi, l'accumulo di codici promozionali e l'uso improprio delle raccomandazioni. Non è sempre opera di criminali organizzati. A volte si tratta di clienti ordinari che sfruttano le lacune delle tue policy. In entrambi i casi l'impatto finanziario è reale e i controlli pertinenti si sovrappongono alla prevenzione delle frodi di pagamento.

Come si collega una struttura di gestione del rischio di frode agli strumenti che si usano ogni giorno?

Una struttura di gestione del rischio di frode senza esecuzione è solo un semplice documento. La traduzione della strategia in attività di prevenzione delle frodi quotidiane avviene attraverso tre categorie di strumenti:

  • Motori di regole: si tratta di controlli logici che ti consentono di bloccare le transazioni di importo superiore a un certo valore dai nuovi account, segnalare gli ordini nei quali i Paesi di fatturazione e di spedizione non corrispondono o richiedere verifiche aggiuntive per le categorie di prodotti ad alto rischio. Le regole sono rapide e trasparenti, ma fisse. Le frodi più complesse si adattano rapidamente alle regole note ed è per questo che i sistemi basati esclusivamente su regole non sono sufficienti.

  • Modelli di machine learning: analizzano le transazioni sulla base di insiemi di funzionalità molto più ampi di quanto qualsiasi motore di regole potrebbe gestire manualmente. Un modello ben addestrato può analizzare contemporaneamente centinaia di variabili e generare un punteggio di rischio in pochi millisecondi. Il compromesso è l'opacità, poiché i modelli di machine learning non sempre forniscono una spiegazione chiara del motivo per cui una transazione è risultata sospetta, il che può complicare la risoluzione della contestazione e l'assistenza clienti.

  • Sistemi di monitoraggio e avviso: chiudono il cerchio. Dashboard in tempo reale, integrazioni di avvisi di storno e resoconti automatizzati ti informano su eventuali variazioni. Senza un sistema di monitoraggio, non saresti in grado di individuare le vulnerabilità tra un ciclo di revisione e l'altro.

Stripe Radar riunisce tutti e tre i livelli all'interno dell'infrastruttura di pagamenti di Stripe. Il modello di machine learning di Radar viene addestrato con i dati delle transazioni della rete Stripe e trae quindi vantaggio da segnali che la tua attività da sola non riuscirebbe a generare. Puoi aggiungere le tue regole personalizzate e richiedere 3D Secure per determinati tipi di transazioni oppure un ostacolo per ordini corrispondenti a pattern di frode noti. Le regole relative alla rete o specifiche all'attività sono combinate e non lavorano separatamente.

Come si definisce una policy di gestione del rischio di frode per la propria attività?

Una policy di gestione del rischio di frode formalizza la tua struttura. Definisce cosa stai proteggendo, chi è responsabile della sua protezione e cosa succede quando si verifica un problema.

Ecco i passaggi da seguire per creare questa policy:

  • Definisci l'ambito e gli obiettivi della policy: cerca di essere specifico. "Rimanere al di sotto delle soglie di frode e di contestazione standard del settore" è un obiettivo utile. "Ridurre le frodi" non lo è.

  • Elabora una dichiarazione esplicita sulla propensione al rischio: aiuta il team a prendere decisioni coerenti. "Accettiamo un tasso di frode al massimo dello 0,1% sulle transazioni con carta prima di intensificare i controlli" è una dichiarazione chiara. "Prendiamo sul serio le frodi" non lo è.

  • Elenca i controlli specifici che hai implementato: includi cosa sono progettati per impedire e a chi appartengono. Non deve essere un elenco esaustivo, ma deve essere sufficientemente specifico affinché un nuovo membro del team possa comprendere il tuo approccio alla prevenzione leggendolo.

  • Definisci le procedure di escalation: stabilisci cosa attiva un'escalation, chi riceve una notifica quando vengono superate le soglie di frode e quali sono le tempistiche di risposta per gli incidenti confermati. Tali procedure sono più importanti in caso di cambiamenti rapidi e quando non c'è tempo per imparare la procedura da zero.

  • Imposta la frequenza delle revisioni: quando viene rivista la policy e cosa richiede una revisione non in ciclo? Definiscilo in anticipo, altrimenti potrebbe non accadere.

In che modo Stripe Radar può essere d'aiuto

Stripe Radar è in grado di prevenire le frodi sfruttando modelli di IA addestrati con i dati della rete globale di Stripe. Questi modelli vengono costantemente aggiornati in base alle ultime tendenze, proteggendo costantemente la tua attività da sistemi di frode in continua evoluzione.

Stripe offre anche Radar for Fraud Teams, che consente agli utenti di aggiungere regole personalizzate per affrontare scenari di frode specifici per le loro attività e di accedere a informazioni avanzate sulle frodi.

Radar può aiutare la tua attività a:

  • Prevenire le perdite dovute a frodi: Stripe elabora oltre 1.000 miliardi di USD di pagamenti all'anno. Questa portata consente a Radar di individuare e prevenire con precisione le frodi, consentendoti di risparmiare denaro.

  • Aumentare i ricavi: i modelli IA di Radar sono addestrati su dati reali relativi a contestazioni, informazioni sui clienti, dati di navigazione e altro. Ciò consente a Radar di identificare le transazioni rischiose e ridurre i falsi positivi, aumentando i tuoi ricavi.

  • Risparmiare tempo: Radar è integrato in Stripe e non richiede alcuna riga di codice per essere configurato. Puoi anche monitorare le tue prestazioni antifrode, scrivere regole e altro in un'unica piattaforma, aumentando l'efficienza.

Scopri di più su Stripe Radar, oppure inizia oggi stesso.

I contenuti di questo articolo hanno uno scopo puramente informativo e formativo e non devono essere intesi come consulenza legale o fiscale. Stripe non garantisce l'accuratezza, la completezza, l'adeguatezza o l'attualità delle informazioni contenute nell'articolo. Per assistenza sulla tua situazione specifica, rivolgiti a un avvocato o a un commercialista competente e abilitato all'esercizio della professione nella tua giurisdizione.

Altri articoli

  • Sì è verificato un problema. Riprova o contatta l'assistenza di Stripe.

Tutto pronto per iniziare?

Crea un account e inizia ad accettare pagamenti senza la necessità di stipulare contratti o di comunicare le tue coordinate bancarie. In alternativa, contattaci per progettare un pacchetto personalizzato per la tua attività.
Radar

Radar

Previeni le frodi grazie alle potenzialità della rete Stripe.

Documentazione di Radar

Utilizza Stripe Radar per proteggere la tua azienda dalle frodi.