Le frodi nei pagamenti assumono molte forme e il loro impatto finanziario è sostanziale. Si prevede che le perdite aziendali dovute alle frodi nei pagamenti online supereranno i 362 miliardi di dollari a livello globale entro il 2028.
Gestire bene le frodi nei pagamenti significa creare sistemi che rilevano e bloccano gli attacchi senza creare così tanto attrito da allontanare i clienti legittimi. Questo include controlli stratificati, rilevamento ottimizzato e circuiti di feedback che migliorano la precisione nel tempo.
Di seguito illustreremo come funziona il rilevamento delle frodi, quali strategie di prevenzione riducono l'esposizione e le tendenze in materia di frodi nei pagamenti che le attività dovrebbero conoscere.
In evidenza
Un'efficace gestione delle frodi combina il rilevamento basato su regole con il machine learning per intercettare sia i modelli di attacco noti che le nuove tattiche che le regole statiche non rileverebbero.
Con l'aumentare del volume delle transazioni, l'automazione e i circuiti di feedback diventano le basi delle operazioni antifrode. La revisione manuale è riservata ai casi di dubbia interpretazione.
Gli strumenti integrati nei fornitori di servizi di pagamento (PSP), piattaforme di terze parti e sistemi interni si adattano a un diverso profilo di attività. La scelta giusta dipende dal volume delle transazioni, dalle risorse interne e dall'esposizione complessiva alle frodi.
Che cos'è la gestione delle frodi nei pagamenti?
La gestione delle frodi nei pagamenti è un insieme di strategie e sistemi che le attività utilizzano per rilevare, prevenire e rispondere alle transazioni fraudolente. Negli ambienti di pagamento digitale, le frodi nei pagamenti spesso comportano l'utilizzo di credenziali rubate, segnali di identità manipolati o l'abuso di processi di contestazione legittimi.
Quattro categorie comuni per le attività che elaborano pagamenti online sono:
Frode con carta: si verifica quando qualcuno usa i dati della carta rubata per effettuare acquisti non autorizzati. L'attività spedisce la merce o fornisce il servizio e poi deve affrontare uno storno quando il vero titolare della carta se ne accorge.
Testing delle carte: si tratta di un attacco in blocco. I criminali che hanno acquisito elenchi di numeri di carte rubate eseguono dozzine o centinaia di piccoli tentativi di autorizzazione su un singolo checkout per scoprire quali carte sono ancora attive. Le attività assorbono le commissioni di autorizzazione. Un attacco sufficientemente grande può far aumentare i tassi di rifiuto abbastanza da danneggiare il rapporto dell'attività con la sua banca acquirente.
Frode di account takeover (ATO): l'attaccante ottiene il controllo del conto di un cliente legittimo e utilizza metodi di pagamento salvati per effettuare acquisti. Poiché la transazione proviene da un account noto con cronologia affidabile, semplici regole spesso non riescono a individuare il tentativo di account takeover.
Friendly fraud: si tratta di contestazioni presentate dai veri titolari delle carte che hanno ricevuto l'ordine, ma dichiarano il contrario per ottenere un rimborso senza restituire l'articolo. L'impatto sull'attività è lo stesso delle frodi con carta, ma in questo caso la differenza è l'identità del responsabile della frode.
Come vengono rilevate le frodi nei pagamenti?
Il rilevamento avviene in più punti del ciclo di vita della transazione: prima dell'autorizzazione, al momento dell'autorizzazione e dopo il regolamento dei pagamenti. Molti sistemi di gestione delle frodi stratificano metodi diversi per coprire diversi tipi di attacchi.
Esistono due tipi principali di rilevamento:
Rilevamento basato su regole: regole fisse e dinamiche contrassegnano le transazioni che corrispondono a modelli di frode noti (ad esempio, il Paese di fatturazione non corrisponde all'indirizzo IP, una carta è stata utilizzata più di cinque volte in un'ora, l'intervallo del Bank Identification Number (BIN) ha un tasso di frode storicamente elevato). Le regole vengono eseguite istantaneamente e offrono un controllo diretto, ma sono rigide. Le tattiche di frode cambiano più velocemente di quanto i set di regole manuali possano essere aggiornati e regole troppo ampie bloccano i clienti legittimi.
Rilevamento con machine learning (ML): i modelli di ML valutano contemporaneamente centinaia di segnali per produrre un punteggio di rischio per ogni transazione. A differenza delle regole statiche, questi modelli si aggiornano continuamente man mano che vengono esposti a nuovi dati, il che significa che si adattano quando cambiano le tattiche di frode.
Molti sistemi di frode in produzione combinano entrambi. Le regole gestiscono i casi chiari, mentre il ML si occupa della parte intermedia più ambigua, in cui qualcosa non torna ma nulla è definitivamente sbagliato. L'utilizzo combinato migliora la precisione e consente di applicare soglie diverse in base al segmento di rischio.
Quali strategie di prevenzione riducono l'esposizione alle frodi nei pagamenti?
La prevenzione blocca le frodi prima che si verifichino. Rilevamento e prevenzione funzionano meglio come livelli complementari, ciascuno operante in un punto diverso del flusso di transazioni.
Le tattiche di prevenzione delle frodi includono:
Controlli pre-transazione: limiti di velocità per i tentativi di utilizzo della carta per sessione, CAPTCHA, rilevamento dell'impronta digitale del dispositivo durante la creazione dell'account e verifica dell'indirizzo email al momento del pagamento riducono l'esposizione prima ancora che venga inviata una transazione. Se calibrati in modo troppo approssimativo, le frodi possono passare; se calibrati in modo troppo rigido, si potrebbero bloccare clienti reali.
3D Secure (3DS): quando una transazione viene autenticata tramite 3DS e in seguito contestata, la responsabilità per lo storno passa alla società emittente della carta anziché alla tua attività. Vale la pena applicarlo in modo selettivo piuttosto che a livello universale, in quanto aggiunge passaggi alla fase di pagamento e può ridurre la conversione per le transazioni a basso rischio.
Monitoraggio post-autorizzazione: la revisione delle transazioni dopo l'approvazione, ma prima dell'evasione, ti dà il tempo necessario per annullare gli ordini sospetti. Ciò è particolarmente rilevante per i beni fisici di alto valore.
Gestione degli storni: contestare gli storni fraudolenti fornendo prove influisce direttamente sul tasso di storno e sulla tua posizione nei confronti dell'acquirente. Le attività i cui tassi di storno superano le soglie previste dall'emittente si trovano ad affrontare costi di interscambio più elevati o a dover seguire programmi di monitoraggio delle frodi, il che rende questa operazione un problema finanziario tanto quanto operativo.
Quali tendenze delle frodi nei pagamenti dovrebbero monitorare le attività?
I modelli di frode cambiano costantemente. Ecco alcune delle ultime tendenze delle frodi nei pagamenti che interessano le attività:
Frode CNP (Card-Not-Present): poiché le transazioni online non richiedono il possesso fisico della carta, i numeri delle carte rubate sono utilizzabili finché non vengono cancellati. Questo rende la frode CNP un problema comune per le attività che elaborano pagamenti online.
Testing delle carte basato su bot: gli aggressori utilizzano reti bot distribuite con indirizzi IP a rotazione e impronte digitali del dispositivo falsificate per eseguire attacchi di testing delle carte che sembrano superficialmente traffico reale. Le sole regole di velocità spesso non li intercettano se ogni bot si comporta entro le normali soglie per dispositivo.
Contestazioni di friendly fraud: i tassi di contestazione per i beni digitali sono cresciuti man mano che i consumatori hanno acquisito maggiore familiarità con la procedura di storno. In parte si tratta di vera confusione su come annullare gli abbonamenti; ma in gran parte no. In ogni caso, questo incide sul tasso di storno.
Frode di prima parte nel pagamento a rate (BNPL): man mano che il BNPL si è espanso, sono aumentati anche i casi di consumatori che utilizzano i prodotti BNPL in malafede. Effettuano acquisti che non intendono mai ripagare o dichiarano la mancata consegna per ordini che sono stati evasi. È in questo caso che le frodi e il rischio di credito si sovrappongono e sono necessari controlli diversi rispetto alle frodi con carta.
Come funziona su larga scala la gestione delle frodi nei pagamenti?
I meccanismi di gestione delle frodi cambiano all'aumentare del volume delle transazioni. Un'attività che si espande in nuove aree geografiche incontra modelli di frode, regole della rete di carte e tassi di contestazione diversi in base al mercato. Su larga scala le operazioni di gestione delle frodi in genere separano la gestione delle regole dalle indagini e dall'analisi. La combinazione dei tre aspetti in un unico ruolo generico non si adatta alla crescita e crea lacune nella supervisione.
Su larga scala, l'obiettivo è l'automazione. Le code per la revisione manuale che gestiscono poche centinaia di transazioni sospette a settimana diventano arretrati; dovrai automatizzare le decisioni sui casi palesi e indirizzare le transazioni veramente ambigue solo alla revisione umana. Ciò richiede fiducia nella precisione del tuo modello, il che significa investire nel costante monitoraggio e addestramento. Se una transazione approvata dal tuo modello diventa uno storno sei settimane dopo, questo risultato deve essere aggiunto ai dati del tuo addestramento. Il tuo modello deve essere addestrato anche sui falsi positivi. Senza queste misure, le prestazioni del modello peggioreranno con il cambiamento dei modelli di frode.
Quali strumenti supportano la gestione del rischio di frode nei pagamenti?
Molte aziende hanno tre grandi opzioni di strumenti per la gestione delle frodi. La scelta giusta dipende dal volume delle transazioni, dalle risorse interne e da quanto è complessa la tua esposizione alle frodi.
Strumenti antifrode nativi nei PSP: sono integrati nell'elaborazione dei pagamenti, per cui i segnali di frode e i dati di pagamento si trovano nello stesso sistema. Non c'è latenza nel trasferimento dei dati né ulteriore lavoro di integrazione. Il compromesso è che si lavora con gli strumenti di un'unica piattaforma, che potrebbero non coprire tutti i casi limite della tua attività.
Piattaforme di frode di terze parti: le piattaforme specializzate di terze parti si collocano al vertice della gamma di tecnologie di pagamento e offrono una maggiore personalizzazione, a volte con un modello di garanzia sugli storni. Vale la pena prenderle in considerazione per le aziende con un'esposizione alle frodi complessa o ad alto volume, che necessitano di un controllo maggiore di quello offerto da uno strumento nativo di PSP, ma l'integrazione e il routing dei dati aggiungono complessità.
Sistemi antifrode interni: vengono costruiti da piattaforme e marketplace di grandi dimensioni con volume di transazioni e modelli di frode abbastanza specializzati per giustificare l'investimento di ingegneria. Ti danno il controllo completo su segnali, soglie e cicli di feedback, ma si tratta di un notevole impegno ingegneristico continuo, non di una costruzione una tantum.
Stripe Radar è basato su modelli di intelligenza artificiale addestrati sui dati dell'intera rete Stripe: transazioni di milioni di aziende in tutto il mondo. Questa grande mole di dati di addestramento è importante. Il modello ha analizzato schemi di frode relativi a vari settori, aree geografiche e tipologie di attività mai intercettati in precedenza da un unico sistema di gestione delle frodi di un'attività. Puoi impostare regole per bloccare, consentire o rivedere le transazioni in base alle soglie di punteggio e le regole possono essere scritte senza coinvolgere la parte tecnica ogni volta che desideri regolarle.
In che modo Stripe Radar può essere d'aiuto
Stripe Radar utilizza modelli di intelligenza artificiale per rilevare e prevenire le frodi, addestrati sui dati della rete globale di Stripe. Aggiorna questi modelli in base alle ultime tendenze delle frodi, in modo che la tua attività rimanga protetta con l'evolversi delle frodi.
Stripe offre anche Radar for Fraud Teams, con cui gli utenti possono aggiungere regole personalizzate per gestire scenari di frode specifici e accedere a funzioni avanzate di analisi delle frodi.
Radar può aiutare la tua attività a:
Previeni le perdite da frode: Stripe elabora oltre 1 trilione di dollari di pagamenti all'anno. Questo permette a Radar di rilevare e prevenire con precisione le frodi e farti risparmiare denaro.
Aumenta i ricavi: i modelli di intelligenza artificiale di Radar vengono addestrati su dati reali relativi a contestazioni, informazioni sui clienti, dati di navigazione e altro ancora. Ciò consente a Radar di identificare le transazioni a rischio, ridurre i falsi positivi e aumentare i ricavi.
Risparmiare tempo: Radar è integrato in Stripe e non richiede alcuna riga di codice per essere configurato. Puoi anche monitorare le tue prestazioni antifrode, scrivere regole e altro in un'unica piattaforma, aumentando l'efficienza.
Scopri di più su Stripe Radar, oppure inizia oggi stesso.
I contenuti di questo articolo hanno uno scopo puramente informativo e formativo e non devono essere intesi come consulenza legale o fiscale. Stripe non garantisce l'accuratezza, la completezza, l'adeguatezza o l'attualità delle informazioni contenute nell'articolo. Per assistenza sulla tua situazione specifica, rivolgiti a un avvocato o a un commercialista competente e abilitato all'esercizio della professione nella tua giurisdizione.