Il testing delle carte è una pratica con cui i truffatori convalidano i dati di carte rubate (ad esempio numeri di carta, date di scadenza e CVC) eseguendo piccole transazioni attraverso i sistemi di pagamento per confermare che la carta sia attiva.
Questo tipo di frode utilizza processi di transazione legittimi per impedire il rilevamento. Gli attori fraudolenti prendono spesso di mira siti web noti per l'elaborazione di un volume elevato di transazioni di basso valore, in quanto queste hanno meno probabilità di attivare avvisi. Una volta che una carta supera questa fase iniziale di "testing" e viene considerata attiva e sbloccata, il suo valore per l'attore fraudolento aumenta drasticamente. Quest'ultimo potrebbe quindi utilizzare la carta in prima persona per effettuare acquisti più consistenti oppure potrebbe vendere i dati della carta sul mercato nero.
Le frodi con carte di credito sono in aumento e il testing delle carte è uno dei punti di ingresso più comuni. Solo nei primi tre trimestri del 2025, alla Federal Trade Commission sono stati segnalati oltre 500.000 casi di frodi con carte di credito, quasi 180.000 in più rispetto allo stesso periodo del 2024. Si prevede che le perdite globali per le frodi con carte di credito raggiungeranno i 41,06 miliardi di $ entro il 2030. La natura digitale di queste transazioni significa inoltre che possono essere condotte da qualsiasi luogo, complicando gli sforzi delle forze dell'ordine e aumentando la sfida per le aziende e gli istituti finanziari che cercano di proteggere le informazioni finanziarie dei propri clienti.
Di seguito, spiegheremo cosa devono sapere le attività in merito a questo tipo di frode e come proteggersi.
Contenuto dell'articolo
- Cos'è il testing delle carte?
- Come funziona la frode tramite testing delle carte?
- In che modo la frode tramite testing delle carte incide su attività e clienti
- Segnali di attacchi di frode tramite testing delle carte
- Cosa monitora Stripe?
- Come proteggere la tua attività dalle frodi tramite testing delle carte
- Come rispondere agli attacchi di frode tramite testing delle carte
- In che modo Stripe Radar può essere d'aiuto
Che cos'è il testing delle carte?
Il testing delle carte si verifica quando i malintenzionati tentano di convalidare i dati di carte rubate, come numeri di carta, date di scadenza o CVC, usandole su sistemi di pagamento che non dispongono di controlli di verifica adeguati. Se un addebito va a buon fine (o anche se è fallito con un codice motivo specifico), capiscono che la carta è reale.
Come funzionano i tentativi di frode durante il testing delle carte?
La frode tramite testing delle carte opera attraverso un processo relativamente semplice. Esistono due modi principali in cui viene condotta la frode tramite testing delle carte:
Testing manuale: un attore fraudolento prova a inserire manualmente i dati della carta, adattandoli in base ai codici di rifiuto. Si tratta di un volume basso e di un impatto limitato, ma rappresenta comunque un segnale.
Enumerazione: i malintenzionati più sofisticati utilizzano script e bot automatizzati per identificare molte carte di credito contemporaneamente. Ciò è particolarmente pericoloso.
Gli attori fraudolenti ottengono numeri di carte rubati, li testano per assicurarsi che funzionino e poi li usano. Ecco maggiori dettagli su come si svolge l'operazione:
Gli attori fraudolenti acquisiscono numeri di carte rubati: i malintenzionati acquisiscono numeri di carte di credito rubati provenienti da violazioni dei dati, truffe di phishing o marketplace del dark web.
Eseguono transazioni di prova di basso valore: la fase di testing prevede l'esecuzione di transazioni di basso valore su siti web. I malintenzionati prendono spesso di mira piattaforme note per le microtransazioni (ad esempio, servizi digitali o pagine di donazioni di beneficenza), in cui il rilevamento delle frodi è meno rigoroso.
Confermano quali carte sono attive: la chiave per gli attori fraudolenti è confermare che la carta di credito è attiva e non è ancora stata segnalata come rubata e le transazioni approvate lo segnalano. Sui siti web in cui informazioni aggiuntive come gli indirizzi di fatturazione non sono rigorosamente verificati, questo processo diventa più semplice.
Usano o vendono carte verificate: una volta che una carta è verificata, diventa più preziosa sul mercato nero. L'attore fraudolento può ora usarla tranquillamente per acquisti non autorizzati più consistenti o vendere i dati della carta ad altri.
Il testing delle carte è in genere un indicatore principale di un attacco di frode più ampio, ma l'effettiva attività fraudolenta potrebbe non verificarsi o non essere rilevata fino a mesi dopo, e spesso presso un esercente completamente diverso. Questo lo rende particolarmente difficile da rintracciare.
Quali sono le ripercussioni delle frodi legate al testing delle carte su aziende e clienti?
Il testing delle carte pone una serie di sfide alle attività. Ecco i danni che si verificano più di frequente:
Impatto sulle aziende
Perdite finanziarie: le attività assorbono i costi degli storni quando i clienti contestano addebiti non autorizzati.
Aumento dei costi operativi: il mantenimento di sistemi di rilevamento delle frodi e la gestione delle conseguenze delle frodi comportano spese aggiuntive.
Danni alla reputazione: incidenti ripetuti erodono la fiducia dei clienti e possono ridurre le vendite.
Maggiori controlli da parte degli emittenti di carte e degli elaboratori: alti livelli di frode possono portare a maggiori controlli e sanzioni da parte degli emittenti di carte di credito e degli elaboratori, a commissioni di elaborazione più elevate o, in casi estremi, alla perdita della capacità di elaborare pagamenti con carta di credito.
Impatto sui clienti
Disagi finanziari: le vittime del testing delle carte subiscono il fastidio di dover contestare gli addebiti e richiedere l'emissione di nuove carte. Sebbene i clienti in genere non siano responsabili degli addebiti fraudolenti, la risoluzione di questi problemi può richiedere molto tempo.
Preoccupazioni per la privacy: la consapevolezza che i dati della propria carta sono stati rubati e utilizzati in modo improprio può causare ansia riguardo alla privacy e alla sicurezza.
Potenziale di maggiori danni finanziari: sebbene il testing delle carte riguardi piccoli importi, può essere il preludio a transazioni non autorizzate più consistenti che potrebbero influire sul punteggio di credito del cliente. Una volta che i dati della carta vengono verificati come attivi, possono essere utilizzati per frodi più ingenti o venduti sul mercato nero.
Segnali di attacchi di frode di testing delle carte
Riconoscere e rispondere agli attacchi di testing delle carte è importante per le attività per proteggere se stesse e i propri clienti. Essere consapevoli dei segnali e implementare sistemi di monitoraggio efficaci sono passi fondamentali in questo processo. Ecco alcuni indicatori che la tua attività potrebbe essere stata colpita da questo tipo di attacco:
Molteplici transazioni di piccolo importo: una serie di transazioni di piccolo importo, spesso in rapida successione, può essere un forte indicatore del testing delle carte. Si tratta in genere di importi abbastanza bassi da eludere il rilevamento. Stripe monitora gli addebiti di verifica come questi.
Uso di più carte: i molteplici tentativi di utilizzare numeri di carta diversi dallo stesso indirizzo IP o dispositivo sono un campanello d'allarme. Suggeriscono che qualcuno sta testando un lotto di numeri di carta.
Transazioni fallite: un numero elevato di transazioni rifiutate può indicare anche il testing delle carte, poiché gli attori fraudolenti utilizzano spesso numeri di carta non validi o scaduti. Stripe monitora gli alti tassi di rifiuto su esercenti senza una precedente cronologia su Stripe. Stripe tiene sotto controllo anche i rifiuti dovuti a date di scadenza non corrette o a numeri di conto primari (PAN) non riconosciuti che non si verificano alla fine di un ciclo di fatturazione mensile, quando questi rifiuti sono più tipici. Questi fattori suggeriscono che un malintenzionato sta testando varie combinazioni.
Dati di fatturazione incoerenti: le transazioni in cui i dati di fatturazione forniti non corrispondono ai dati della carta possono indicare attività fraudolente.
Il rilevamento precoce dipende dal sapere cosa cercare e dall'agire rapidamente quando compaiono i segnali.
Cosa monitora Stripe?
Stripe utilizza una serie di segnali per identificare le occorrenze di testing delle carte. Ecco alcuni degli indicatori critici che monitoriamo:
Aumento dei rifiuti: gli attori fraudolenti che convalidano le carte inseriscono spesso informazioni errate, il che porta a un aumento delle autorizzazioni rifiutate. Alcuni motivi specifici di rifiuto indicano solitamente un attacco di testing delle carte:
- Nessun record della carta: nel tentativo di identificare i dati della carta, i malintenzionati possono inserire dati della carta che non sono assegnati a nessun titolare della carta, ma che sono collegati a un numero di identificazione bancaria (BIN) e disponibili nel nostro sistema. Gli utenti non sono in grado di visualizzare queste informazioni, poiché le carte non sono collegate a loro. L'inizio dei rifiuti su queste carte può suggerire un testing delle carte in corso.
- Data di scadenza errata: più spesso, gli attori fraudolenti non dispongono di dettagli precisi come le date di scadenza e il CVC, il che li porta a provare varie combinazioni. Questi rifiuti indicano che il malintenzionato ha identificato un PAN valido, di cui è a conoscenza in base al motivo del rifiuto.
- Nessun record della carta: nel tentativo di identificare i dati della carta, i malintenzionati possono inserire dati della carta che non sono assegnati a nessun titolare della carta, ma che sono collegati a un numero di identificazione bancaria (BIN) e disponibili nel nostro sistema. Gli utenti non sono in grado di visualizzare queste informazioni, poiché le carte non sono collegate a loro. L'inizio dei rifiuti su queste carte può suggerire un testing delle carte in corso.
Picco di verifiche dell'account: la verifica dell'account è una procedura attraverso la quale le attività confermano che la carta di credito utilizzata per una transazione è valida. Durante questa procedura, viene effettuato un piccolo addebito di verifica, spesso temporaneo, per garantire che la carta sia attiva e abbia un saldo disponibile. Un improvviso picco di verifiche dell'account può essere indicativo del testing delle carte.
Autorizzazioni e rifiuti tra i nuovi esercenti acquirenti: monitoriamo le attività tra gli esercenti acquirenti che non sono state rilevate in Stripe in precedenza. Se notiamo un nuovo esercente con un volume molto elevato di rifiuti a causa della mancata corrispondenza della data di scadenza o di carte inesistenti, interveniamo per impedire che le attività oneste vengano sfruttate e che quelle disoneste commettano frodi.
Come proteggere l'attività dalla frode di testing delle carte
Proteggere la tua attività dagli attacchi di testing delle carte comporta una combinazione di misure di sicurezza efficaci, strumenti avanzati, best practice nell'elaborazione dei pagamenti e la garanzia che il personale sappia come rispondere al testing delle carte quando ne riconosce i segnali. Queste strategie sono progettate per identificare e mitigare il rischio di attività fraudolente, consentendo al contempo un'esperienza fluida ai clienti legittimi.
Strumenti e misure di sicurezza efficaci
Servizio di verifica dell'indirizzo (AVS): AVS confronta l'indirizzo di fatturazione fornito dall'utente con quello registrato presso la società emittente della carta di credito. Eventuali incongruenze possono segnalare una potenziale frode.
Verifica del CVV: richiedere il CVV per le transazioni aiuta ad accertare che la persona che effettua l'acquisto abbia accesso fisico alla carta, riducendo il rischio di uso fraudolento dei numeri di carta ottenuti online.
Impostazione dei limiti di transazione: stabilisci dei limiti per il numero di transazioni o per l'importo totale in dollari consentito per ogni carta entro un determinato periodo di tempo, in modo da evitare molteplici tentativi fraudolenti. Blocca le transazioni effettuate in Paesi in cui non si prevede l'interazione degli utenti e le transazioni in categorie che non si prevede verranno usate dagli utenti, come beni digitali o piattaforme pubblicitarie. Se una carta è compromessa, annullala o bloccala immediatamente usando l'API Cards o l'API Tokens.
Installazione di strumenti avanzati per il rilevamento delle frodi: investi in strumenti che si avvalgono di machine learning (ML) e intelligenza artificiale per analizzare i modelli di transazione e segnalare le anomalie indicative di un testing delle carte.
Autenticazione a più fattori (MFA): per le transazioni che sembrano sospette, l'implementazione di un ulteriore livello di autenticazione può scoraggiare gli attori fraudolenti.
Best practice per l'elaborazione dei pagamenti
Monitoraggio dei picchi dei rifiuti e delle approvazioni di basso importo: fai attenzione ai rifiuti che si verificano a causa di una data di scadenza o di un CVC errato in momenti inattesi del mese o del ciclo di fatturazione. Gli incrementi di questi tipi di rifiuti sono tipici alla fine del mese per le carte associate ad abbonamenti, ma destano sospetti se si verificano in altri momenti. Spesso i truffatori fanno seguire a un picco di rifiuti un incremento delle approvazioni di transazioni di basso importo.
Attenzione alle modifiche dei modelli di spesa: vale la pena indagare su acquisti di importo elevato, spese improvvise in Paesi esteri e acquisti multipli presso un unico esercente nel giro di pochi secondi.
Come rispondere agli attacchi di frode di testing delle carte
Quando viene rilevata una frode legata al testing delle carte, agisci in fretta.
Passaggi da eseguire quando viene rilevata una frode di testing delle carte
Blocca immediatamente le transazioni sospette: non appena sospetti un'attività di testing delle carte, esamina le transazioni in questione. Blocca eventuali transazioni in corso correlate alla sospetta frode per evitare ulteriori attività non autorizzate.
Applica una verifica avanzata alle transazioni dubbie: se alcune transazioni destano sospetti ma non sono chiaramente fraudolente, implementa processi di verifica avanzati. Ciò potrebbe includere contattare il cliente per una conferma o richiedere un'autenticazione aggiuntiva.
Analizza la portata dell'attacco: conduci un'analisi approfondita dei modelli di transazione per comprendere la portata e il metodo dell'attacco. Questo aiuta a identificare l'origine e le potenziali vulnerabilità del sistema.
Rendi più severi i parametri di rilevamento delle frodi: in base all'analisi, modifica i parametri di rilevamento delle frodi affinché siano più sensibili al tipo di attività osservata durante l'incidente. Ciò potrebbe comportare limiti di transazione più severi o la modifica dei trigger di avviso.
Procedure di segnalazione e azioni di recupero per le attività colpite
Avvisa i partner finanziari: informa immediatamente i tuoi partner finanziari, inclusi banche e gestori delle carte, in merito all'incidente. Possono aiutare a monitorare ulteriori attività sospette e ad adottare le misure necessarie da parte loro.
Segnala gli incidenti su larga scala alle forze dell'ordine: in caso di frodi su larga scala, è consigliabile effettuare una segnalazione alle forze dell'ordine. Le autorità possono avviare un'indagine e collaborare per arrestare i responsabili.
Rivolgiti a esperti di sicurezza informatica in caso di necessità: se l'attacco è sofisticato o se vi sono dubbi sulle vulnerabilità del sistema, il coinvolgimento di esperti di sicurezza informatica può aiutare a identificare le modalità con cui si è verificato l'attacco e a prevenire gli incidenti.
Comunica tempestivamente con i clienti interessati: comunica con i clienti interessati in modo trasparente. Informali dell'incidente e consiglia loro i passaggi da seguire, ad esempio monitorare i report sull'affidabilità creditizia o sostituire le carte. Tienili aggiornati sulle misure di sicurezza e incoraggiali a segnalare eventuali attività sospette relative alle loro transazioni.
Esamina e rafforza le tue difese dopo l'incidente: dopo l'incidente, esegui una revisione completa delle misure di sicurezza. Il rafforzamento delle difese potrebbe comportare l'aggiornamento del software, la revisione dei protocolli o la formazione del personale sulle nuove best practice di sicurezza.
Documenta l'accaduto e adattati: usa l'incidente come opportunità di apprendimento. Analizza ciò che è accaduto, cosa è stato efficace nella tua risposta e dove sono necessari miglioramenti. Adatta le tue strategie di conseguenza per prepararti meglio alle minacce.
Scopri di più su come Stripe aiuta a proteggere le attività dalle frodi legate al testing delle carte.
In che modo Stripe Radar può essere d'aiuto
Stripe Radar è in grado di prevenire le frodi sfruttando modelli di IA addestrati con i dati della rete globale di Stripe. Questi modelli vengono costantemente aggiornati in base alle ultime tendenze, proteggendo continuamente la tua attività da sistemi di frode in continua evoluzione.
Stripe offre anche Radar for Fraud Teams, con cui gli utenti possono aggiungere regole personalizzate per gestire scenari di frode specifici e accedere a funzioni avanzate di analisi delle frodi.
Radar può aiutare la tua attività a:
Prevenire le perdite da frode: Stripe elabora oltre 1.000 miliardi di $ in pagamenti ogni anno. Questa scala consente a Radar di aiutarti a rilevare e prevenire le frodi, facendoti risparmiare denaro.
Aumentare i ricavi: i modelli IA di Radar sono addestrati su dati reali relativi a contestazioni, informazioni sui clienti, dati di navigazione e altro. Ciò consente a Radar di identificare le transazioni rischiose e ridurre i falsi positivi, aumentando i tuoi ricavi.
Risparmiare tempo: Radar è integrato in Stripe e non richiede alcuna riga di codice per essere configurato. Puoi anche monitorare le tue prestazioni antifrode, scrivere regole e altro in un'unica piattaforma, aumentando l'efficienza.
Scopri di più su Stripe Radar, oppure inizia oggi stesso.
I contenuti di questo articolo hanno uno scopo puramente informativo e formativo e non devono essere intesi come consulenza legale o fiscale. Stripe non garantisce l'accuratezza, la completezza, l'adeguatezza o l'attualità delle informazioni contenute nell'articolo. Per assistenza sulla tua situazione specifica, rivolgiti a un avvocato o a un commercialista competente e abilitato all'esercizio della professione nella tua giurisdizione.