Online fraude: de stand van zaken

Lees meer over de wereldwijde fraudetrends die we hebben ontdekt na de analyse van miljarden betaalpogingen en enquêtes onder meer dan 2500 managers.

Radar
Radar

Fight fraud with the strength of the Stripe network.

Learn more 
  1. Inleiding
  2. Samenvatting
  3. Waarom fraude is toegenomen
    1. Productgerelateerde chargebacks verdubbelden in 2020 ten opzichte
    2. Pogingen tot ‘card test attacks hadden 40% meer ondernemingen als doel
  4. Hoe fraude verschilt per gebied, land en bedrijfsgrootte
    1. Fraude per gebied en land
    2. Fraude per bedrijfsgrootte en businessmodel
  5. De financiële impact van fraude
    1. Lagere conversiepercentages voor betalingen
    2. Bedrijfskosten
  6. Onze voorspellingen op het gebied van fraude
    1. 1. Extra verificatie, zoals 3-D Secure, zal een grotere rol gaan spelen
    2. 2. Databronnen met meer informatie zullen ondernemers helpen sneller en nauwkeuriger beslissingen te nemen
    3. 3. Kaartuitgevers en ondernemingen zullen meer samenwerken om chargebacks te stroomlijnen en het aantal ten onrechte geweigerde betalingen te verkleinen
    4. 4. De voorkeuren van consumenten zullen blijven veranderen, wat het fraudelandschap verandert
  7. Hoe Stripe kan helpen
    1. Het afrekenproces optimaliseren
    2. Fraude voorkomen tijdens het afrekenen
    3. Samen met je team omgaan met fraude
    4. Aanvullende tips voor fraudepreventie
  8. Aanvullende bronnen
  9. Methodologie

Dit onderzoeksrapport behandelt uitgebreid de stand van zaken op het gebied van online fraude. Miljarden fraudepogingen bij miljoenen ondernemingen op Stripe zijn gedurende twee jaar geanalyseerd. Daarnaast hebben we met Milltown Partners (in samenwerking met focaldata) enquêtes afgenomen bij meer dan 2500 toonaangevende ondernemingen in Australië, Canada, Duitsland, Frankrijk, Japan, Nederland, Singapore, het Verenigd Koninkrijk en de Verenigde Staten.

Door onze analyse te combineren met de enquêteresultaten, konden we de grootste fraudetrends van het afgelopen jaar identificeren, bijvoorbeeld de toename van productgerelateerde chargebacks in 2020 en het feit dat met name ondernemingen met terugkerende inkomsten zich zorgen maken over de financiële impact van fraude. We laten ook zien hoe je kunt omgaan met deze fraudetrends op basis van de gegevens die we hebben verzameld. We sluiten dit onderzoeksrapport af met vier overkoepelende best practices op basis van onze voorspellingen op het gebied van fraude.

We hebben een onderverdeling gemaakt in vier secties:

  1. Waarom fraude is toegenomen
  2. Hoe fraude verschilt per gebied, land en bedrijfsgrootte
  3. De zakelijke impact van fraude
  4. Onze voorspellingen ten aanzien van fraude

Samenvatting

  • Maar liefst 64% van de wereldwijd toonaangevende bedrijven in onze enquête zegt dat het sinds het begin van de coronacrisis moeilijker is om fraude te bestrijden. We geloven dat dit deels komt door een toename in het aantal soorten fraude en het totale fraudevolume.
  • Aan het begin van de coronacrisis zagen we een tijdelijke toename van 156% voor productgerelateerde chargebacks, met omschrijvingen zoals 'product niet ontvangen' en 'product niet acceptabel'. Onze hypothese is dat klanten chargebacks aanvroegen omdat verkopers pas na weken of zelfs maanden bestellingen konden leveren, vanwege verstoringen in hun toeleveringsketen.
  • We zagen ook dat meer dan 40% van de ondernemingen last had van zogenaamde pogingen tot 'card testing attacks'. Tijdens de coronacrisis werden duizenden nieuwe bedrijven in e-commerce opgericht en wij denken dit nieuwe kansen creëerde voor fraudeurs.
  • Bedrijven wereldwijd kregen te maken met een toename van fraude. Latijns-Amerikaanse bedrijven zijn en blijven echter het meest kwetsbaar voor fraudeaanvallen. We zagen dat bedrijven in Latijns-Amerika 97% vaker te maken hadden met fraudepogingen dan ondernemingen in Noord-Amerika, en 222% meer dan bedrijven in de regio Azië-Pacific. Dit komt door een aantal specifieke factoren voor deze regio, zoals een lokaal beheerde betaalinfrastructuur.
  • Bedrijven met terugkerende inkomsten hadden het vaakst te maken met fraude, met name B2C-bedrijven. Meer dan 75% van de bedrijven met een B2C-abonnementsmodel meldde dat ze vaker handmatige controles moesten uitvoeren en het kostbaarder was om fraude te bestrijden in het afgelopen jaar. We geloven dat deze consumentgerichte bedrijven meer merkbewustzijn hebben, wat betekent dat hun producten gemakkelijker door te verkopen zijn. Als gevolg hiervan zijn ze sneller het slachtoffer van fraudeurs.
  • De impact van fraude op een bedrijf gaat verder dan alleen financiële verliezen. Uit onze Stripe-analyse blijkt dat hoe meer fraude een bedrijf probeert te voorkomen, hoe groter de kans is dat er ook legitieme betalingen worden geblokkeerd, wat het conversiepercentage voor betalingen verlaagt. Om deze foutpositieve gevallen te verminderen, kunnen bedrijven gemarkeerde betalingen handmatig controleren, maar dit zorgt voor aanvullende bedrijfskosten.
  • We voorspellen dat bedrijven op vier manieren zullen reageren op deze trends: 1) Extra verificatie, zoals 3-D Secure, gaat een grotere rol spelen, 2) uitgebreidere databronnen helpen bedrijven om snellere en betere beslissingen te nemen, 3) issuers en ondernemingen gaan meer samenwerken om chargebacks te stroomlijnen en onterecht geweigerde betalingen te verminderen en 4) de manier waarop de consument betaalt blijft veranderen, waardoor het fraudelandschap ook zal veranderen.

Waarom fraude is toegenomen

De coronacrisis heeft gezorgd voor een ongekende groei van e-commerce. Bedrijven op Stripe hebben meer dan 640 miljard Amerikaanse dollar aan betalingen verwerkt in 2021, 60% meer dan het jaar ervoor. Deze betalingen waren afkomstig van een snel groeiende groep bedrijven: 1400 nieuwe bedrijven hebben zich sinds vorig jaar bij Stripe aangemeld. Deze groei bood, met name in het geval van nieuwe bedrijven, nieuwe kansen voor fraudeurs.

Veel bedrijven startten voor het eerst en hadden niet de mogelijkheden om goed om te gaan met fraude, of ze waren meer gefocust op het opzetten van hun bedrijf en rendabel worden, dan op het maken van een fraudepreventiestrategie. Maar niet alleen nieuwe bedrijven hadden te maken met deze uitdagingen. Zelfs gevestigde bedrijven vonden het lastiger om met de complexere en frequentere fraude dan voor de pandemie om te gaan.

Fraudeurs gaan tezelfdertijd steeds geavanceerder te werk. Ze vinden nieuwe manieren om bedrijven aan te vallen en organiseren zich vaak in groepen of zoeken contact met andere fraudeurs om 'aanbevolen werkwijzen' te delen.

Naarmate meer klanten online bij ons zijn gaan winkelen, is de hoeveelheid frauduleuze betalingen toegenomen. Het is moeilijk om alle transacties handmatig te controleren, dus focussen we op een select aantal, simpelweg omdat [we] de [middelen] niet hebben.

Fraudedeskundige bij een e-commercebedrijf in Singapore

Productgerelateerde chargebacks verdubbelden in 2020 ten opzichte

van 2019

Onze Stripe-analyse wees uit dat betalingen van maart 2020 tot mei 2020 meer dan twee keer zo vaak leidden tot chargebacks om niet-frauduleuze redenen, zoals ‘product niet ontvangen' en ‘product niet acceptabel', in vergelijking met 2019. Onze hypothese is dat klanten meer chargebacks aanvroegen omdat verkopers pas na weken of zelfs maanden bestellingen konden leveren, vanwege verstoringen in hun toeleveringsketen.

Latijns-Amerika zag het laagste percentage productgerelateerde chargebacks, maar wij denken dat dit komt door de manier waarop kaartuitgevers hiermee omgaan. In Mexico is de kans dat bij chargebacks geen reden wordt opgegeven zeven keer zo groot als alle landen bij elkaar en in Brazilië is de kans 50% groter dat chargebacks als fraude worden gerapporteerd.

Aanbevelingen om productgerelateerde chargebacks te voorkomen:

  • Maak je retourbeleid duidelijk, transparant en redelijk. Bepaal bijvoorbeeld de uiterlijke datum voor retournering op basis van wanneer een klant het product ontvangt in plaats van wanneer het product wordt verzonden.
  • Voeg je bedrijfsnaam rechtstreeks toe aan je creditcardomschrijving.
  • Leg een officieel proces vast voor chargebacks.
  • Stel klanten op de hoogte voordat je hun betaling verwerkt. Als je met abonnementen werkt, zorg je ervoor dat klanten minimaal één herinnering ontvangen over hun aankomende betaling.
  • E-commercebedrijven kunnen een handtekening van de klant verplichten bij het bezorgen van de bestelling.

Pogingen tot ‘card test attacks' hadden 40% meer ondernemingen als doel

‘Card testing attacks' vinden plaats wanneer iemand probeert te kijken of gestolen creditcardgegevens nog actief zijn, zodat ze deze kunnen gebruiken om aankopen te doen. Een fraudeur kan dit doen door gestolen creditcardgegevens te kopen en deze vervolgens proberen te valideren of aankopen te doen met die kaarten om te kijken welke kaarten nog geldig zijn.

Tijdens het eerste jaar van de coronacrisis zagen we het aantal ondernemingen dat last had van pogingen tot card testing attacks met 40% toenemen. Deze trend geldt voor zowel nieuwe als bestaande ondernemingen, al was het aandeel van nieuwe ondernemingen (die zich minder dan 90 dagen geleden hadden aangesloten bij Stripe) nog groter dan gebruikelijk.

Deze card testing attacks hebben een aantal vervelende consequenties voor ondernemingen. Ze veroorzaken namelijk hoge aantallen transacties en dat kan leiden tot hogere kosten en een risico op downtime van de website door de grote hoeveelheid bezoeken op de website. Daarnaast beschadigen succesvolle card testing attacks het wereldwijde financiële ecosysteem. De kans is groter dat ondernemingen betalingen van gestolen kaarten verwerken, wat uiteindelijk leidt tot meer chargebacks. Vanwege het risico voor het financiële ecosysteem kunnen ondernemingen worden bestraft door kaartuitgevers en creditcardmaatschappijen omdat ze de card testing attacks toe hebben gestaan.

Een afzonderlijke Stripe-analyse uit november 2021 toont aan dat vooral liefdadigheidsinstellingen worden getroffen door card testing attacks: 11% van alle card testing attacks die we hebben gedetecteerd, waren aanvallen op liefdadigheidsinstellingen. Waarom? Veel liefdadigheidsinstellingen staan het toe voor donors (of in dit geval fraudeurs) om een zeer klein donatiebedrag te kiezen, zoals € 1,00 of € 5,00. Kleine transacties worden minder snel door de daadwerkelijke kaarthouder opgemerkt op een afschrift. Daarnaast hebben liefdadigheidsinstellingen minder mensen in dienst die fraude monitoren en hebben ze niet de middelen om transacties te blokkeren. Niet alleen verliezen liefdadigheidsinstellingen (en iedere onderneming waarbij kaarten worden getest) het geld, ze worden ook bestraft door banken omdat ze deze pogingen tot fraude laten gebeuren.

Aanbevelingen voor het voorkomen van card testing attacks:

  • Verbeter de integratie met je betaalprovider. Veel betaalproviders hebben verschillende controlemaatregelen om een card testing attacks te verzwakken. Het succes van die controles is echter afhankelijk van de kwaliteit van de integratie en de signalen die je naar de betaalprovider stuurt. In het algemeen geldt: hoe meer data je integratie verstuurt, hoe succesvoller card testing attacks kunnen worden voorkomen.
  • Bewaar je API-keys op een veilige plek. Je geheime API-key kan worden gebruikt om een API-call te doen namens je account, zoals het maken van betalingen of het uitvoeren van terugbetalingen. Behandel je geheime API-key zoals ieder ander wachtwoord en geef deze uitsluitend aan degenen die het echt nodig hebben.
  • Schakel CAPTCHA in in je afrekenproces om legitieme klanten te kunnen scheiden van bots die creditcards testen.
  • Stel limieten in om de hoeveelheid inkomend en uitgaand verkeer te beheersen. Als card testing attacks bijvoorbeeld worden uitgevoerd door nieuwe klanten aan te maken, kun je de hoeveelheid nieuwe klanten beperken die per dag vanaf een IP-adres komen.
  • Overweeg om klanten te verplichten om zich aan te melden bij hun account om een betaling te doen.

Hoe fraude verschilt per gebied, land en bedrijfsgrootte

Het belang van fraudebestrijding is universeel: 90% van de directieleden die we hebben ondervraagd, zei dat het voorkomen van fraude in e-commerce belangrijk is voor hun onderneming. Er zijn echter kleine verschillen in fraude op basis van de branche en locatie van de onderneming die het wat ingewikkelder maken.

Fraude per gebied en land

Stripe heeft de meeste gegevens over betalingsvolume van ondernemingen in Noord-Amerika, dus zullen we Noord-Amerika gebruiken als de nullijn voor andere gebieden in deze analyse.

Alle online ondernemingen moeten met fraude omgaan, maar uit onze analyse blijkt dat met name ondernemingen in Latijns-Amerika kwetsbaar zijn voor toenemende fraude.

Uit onze gegevens bleek dat Latijns-Amerika in de door ons bestudeerde periode de hoogste fraudecijfers voor creditcards ter wereld had: 97% hoger dan Noord-Amerika en 222% hoger dan de regio Azië-Pacific. Vanwege lokaal beheerde betaalinfrastructuren en minder regelmatig gebruik van creditcards kunnen de fraudemodellen van banken zwakker zijn dan in andere gebieden. De regels in het chargebackproces geven ook vaak het voordeel aan de kaarthouders, waardoor bedrijven nog kwetsbaarder zijn voor fraude. Naast deze lokale factoren verschuift de markt steeds meer naar online (het aantal nieuwe bedrijven op Stripe in Latijns-Amerika is in 2021 met wel 518% gestegen), wat heeft gezorgd voor nog meer kansen om te frauderen.

Ondernemingen in Europa, het Midden-Oosten en Afrika hadden aanzienlijk lagere fraudepercentages dan die in Noord-Amerika, en dat heeft waarschijnlijk te maken met de SCA-regelgeving (sterke cliëntauthenticatie), die verplicht dat ondernemingen tweefactorauthenticatie toevoegen aan hun afrekenproces.

De verschillen tussen landen waren ook aanzienlijk. Frankrijk had bijvoorbeeld relatief bijna twee keer zoveel fraudegevallen als Duitsland, terwijl Singapore te maken had met relatief de helft minder fraude dan de regio Azië-Pacific in zijn geheel. Deze verschillen kunnen het nog moeilijker maken voor wereldwijd opererende ondernemingen om fraude te bestrijden. Er is dus nooit een algemene aanpak van fraude die voor iedere onderneming werkt.

Als je de mogelijkheden hebt, raden we je aan om het gedrag van je klanten te analyseren, evenals de markttrends en regelgeving in ieder land waar je zakendoet. Zo krijg je meer inzicht in de fraudepogingen en typen fraude waarmee je te maken kunt krijgen. Naarmate ondernemingen opschalen, kan het al snel te ingewikkeld worden, wat het belang van een geavanceerde, geautomatiseerde fraudetool benadrukt.

Fraude per bedrijfsgrootte en businessmodel

Directieleden zien het risico op fraude verschillend, afhankelijk van hun bedrijfsgrootte en businessmodel. Onze enquête liet bijvoorbeeld zien dat fraudepreventie belangrijker wordt bij meer omzet en dat grotere ondernemingen logischerwijs meer middelen hebben om te investeren in die fraudepreventiestrategie, vergeleken met kleinere ondernemingen. Met middelen alleen kan fraude echter niet worden voorkomen. Volgens onze enquête hebben ondernemingen met grote fraudeteams een grotere kans om met operationele problemen te maken te krijgen rond het omgaan met fraude en hebben zij een grotere kans op verliezen vanwege fraude.

Deze trends kunnen duiden op kansen voor kleinere ondernemingen. Ze kunnen ervoor kiezen om een uitgebreide fraudestrategie te ontwikkelen, nu ze nog klein zijn, om het probleem voor te blijven. Het investeren van tijd en middelen om fraude te bestrijden, gaat echter ten koste van groei. Kleinere ondernemingen moeten goed overwegen of dit het waard is.

We hebben onze enquêteresultaten ook geanalyseerd op basis van businessmodellen in de volgende categorieën:

  • Software-as-a-Service (SaaS)
  • B2C-abonnementen
  • Marktplaatsen en platforms
  • E-commerce

We hebben vastgesteld dat vooral ondernemingen met terugkerende inkomsten zich zorgen maken om de financiële gevolgen van fraude. Vergeleken met de andere onderzochte businessmodellen, maakten directieleden van ondernemingen met terugkerende inkomsten zich meer zorgen om omzetverlies door fraude én dachten zij vaker dat ze meer omzet aan fraude hebben verloren in 2021 vergeleken met vóór de coronacrisis. Deze zorgen kunnen het gevolg zijn van hun businessmodel. Omdat ze regelmatige inkomsten genereren, bijvoorbeeld per maand of per kwartaal, en omdat ze hun fraudepercentage het afgelopen jaar zagen stijgen, denken ze vaker dat deze trend zich zal voortzetten naarmate hun onderneming verder groeit.

B2C-ondernemingen die met abonnementen werken, worstelden met name meer met de bedrijfslast van fraude. Zij rapporteerden vaker dat de gevallen waarin ze handmatig moesten controleren, zijn toegenomen in 2021. Ze investeerden bovendien meer in fraudebestrijding en moesten investeringen of uitbreidingsplannen uitstellen om te kunnen omgaan met de fraude.

Wij vermoeden dat B2C-ondernemingen meer met fraude te maken krijgen omdat ze vaker bekende merken zijn. Dit maakt het makkelijker voor fraudeurs om de gestolen producten of diensten, zoals een digitaal abonnement, door te verkopen.

De financiële impact van fraude

Fraude is kostbaar. Maar liefst 59% van de respondenten verwacht dat hun onderneming dit jaar meer omzet aan fraude kwijt zal zijn dan vorig jaar.

Ondernemingen verliezen geld aan zowel frauduleuze chargebacks als aan het voorkomen van fraude. Als je als onderneming bijvoorbeeld een chargeback verliest, ben je verantwoordelijk voor het betalen van meer dan alleen het originele bedrag. Fraude leidt vaak tot chargebackkosten (de kosten die de bank rekent voor het terugdraaien van de betaling) en hogere kosten van de betaalnetwerken voor chargebacks.

Uit onze enquête blijkt echter dat de impact van fraude verder gaat dan alleen financiële verliezen. Veel ondernemers moeten hun fraudeteam uitbreiden of productie- of ontwikkelingsmiddelen inzetten om de bedrijfskosten te beheren, waardoor kostbare middelen niet beschikbaar zijn voor hun daadwerkelijke product.

Lagere conversiepercentages voor betalingen

Uit onze Stripe-analyse blijkt dat hoe meer fraude een onderneming probeert te voorkomen, hoe groter de kans is dat er ook legitieme betalingen worden geblokkeerd.
Valse positieven of ten onrechte geweigerde betalingen vinden plaats wanneer een legitieme klant een aankoop probeert te doen, maar hierin wordt verhinderd. Ten onrechte geweigerde betalingen kunnen ervoor zorgen dat het bedrijf zowel qua bruto-omzet als qua reputatie te lijden heeft. Sterker nog: 33% van de consumenten zegt niet nog een keer bij een webshop te gaan winkelen na een ten onrechte geweigerde betaling.

Zelfs een enkel fraudeprobleem [kan] voor een boel problemen zorgen en ons mogelijk een legitieme koper laten mislopen door aanvullende beveiligingscontroles.

Fraudedeskundige bij een SaaS-bedrijf in Canada

Er is een wisselwerking tussen het voorkomen van chargebacks en het verminderen van onterecht geblokkeerde legitieme klanten. Hoe meer fraude je voorkomt, hoe meer legitieme klanten worden geblokkeerd. Aan de andere kant: als er minder legitieme klanten ten onrechte worden geblokkeerd, neemt de kans toe dat daadwerkelijke fraude door de mazen glipt. Deze wisselwerking is ook afhankelijk van je fraudeoplossing: Je moet altijd werken aan de juiste balans als je fraudeoplossing statisch is en je niet continu middelen investeert om deze te verbeteren. Als je fraudeoplossingsmodellen aan de andere kant doorlopend worden aangepast en gewijzigd op basis van fraudegevoeligheden, wordt dit proces een stuk minder problematisch.

Gezien de wisselwerking tussen het voorkomen van chargebacks en het blokkeren van legitieme betalingen, kunnen ondernemingen de drempelwaarde kiezen waarop betalingen worden geblokkeerd om winst te maximaliseren. Dit winstmaximalisatiepunt is het punt waarop het verschil tussen de voorkomen fraudekosten en de geblokkeerde legitieme winst het grootst is.

De risicoscore is de drempelwaarde waarop transacties worden geblokkeerd door middel van Radar (de standaardinstellingen blokkeren transacties wanneer ze een risicoscore van 75 overschrijden).

Nettofraudebesparingen zijn gelijk aan de totale voorkomen fraudekosten minus de geblokkeerde legitieme winst.

Het winstmaximalisatiepunt is het exacte punt waarop een onderneming nettofraudebesparingen heeft gemaximaliseerd, dankzij optimalisatie tussen het blokkeren van frauduleuze transacties en het blokkeren van legitieme transacties.

Zo lees je deze grafiek: Naarmate de risicodrempelwaarde toeneemt langs de x-as, is er een grotere kans dat een transactie frauduleus is. Hoe hoger de risicodrempel, hoe minder transacties je blokkeert. Naarmate je meer transacties blokkeert, nemen je nettofraudebesparingen toe, maar je hebt ook een grotere kans om legitieme transacties te blokkeren.

De balans tussen het voorkomen van fraude en het blokkeren van legitieme transacties is afhankelijk van de marge per transactie. Ondernemingen met transacties met een hoge marge (50%) langs de donkerblauwe lijn in de grafiek zullen meer transacties doorlaten en hebben een hogere risicodrempel omdat iedere afzonderlijke, legitieme transactie zoveel waardevoller is (vergeleken met een onderneming met lagere marges).

Ondernemingen moeten deze balans beheren op basis van hun marges, groeiprofiel en andere factoren. Als de marges van een onderneming klein zijn, bijvoorbeeld als je online etenswaren verkoopt, moeten de kosten van een frauduleuze transactie worden verrekend met honderden legitieme transacties, wat ieder valspositief geval erg duur maakt. Dergelijke ondernemingen kunnen geneigd zijn het net breed uit te gooien wanneer ze proberen om potentiële fraude te bestrijden. Als de marges van een onderneming echter hoog zijn, bijvoorbeeld voor een SaaS-onderneming, dan is het omgekeerde waar. De verloren inkomsten van die ene geblokkeerde legitieme klant kan dan groter zijn dan de kosten van de toegenomen fraude. Let wel dat ondernemingen slechts tot bepaalde hoogte kunnen kiezen hoe ze hun fraudepercentage optimaliseren. Als fraude namelijk bepaalde niveaus bereikt, zullen creditcardmaatschappijen tarieven en boetes opleggen.

Bedrijfskosten

Om valspositieve gevallen te verminderen, kunnen ondernemingen handmatig gemarkeerde betalingen controleren, om te zien of deze daadwerkelijk frauduleus zijn. Dit is behoorlijk arbeidsintensief: er is een team van fraudeanalisten nodig om risico's te beoordelen op basis van een aantal factoren, zoals transactiegegevens en klantgeschiedenis.

Het is erg frustrerend omdat het betekent dat ik middelen moet inzetten om het aan te pakken, anders denk ik dat de situatie uit de hand gaat lopen.

Fraudedeskundige bij een SaaS-bedrijf in Australië

Aandeel actieve, in aanmerking komende Stripe-bedrijven dat gebruikmaakt van handmatige beoordelingen (bedrijfsadoptiepercentage) en het gemiddelde aandeel transacties dat handmatig wordt beoordeeld (percentage handmatige beoordeling) per aantal transacties in het afgelopen jaar (vermelde getallen zijn bovengrenzen van intervallen)

We hebben vastgesteld dat grotere ondernemingen vaker handmatige controles inzetten, maar hoe groter ze zijn, hoe kleiner het gedeelte van de transacties die ze controleren. Bijvoorbeeld: meer dan 20% van de ondernemingen die meer dan 100.000 transacties hadden in het afgelopen jaar, gebruikten handmatige controles, maar ze controleerden minder dan 1% van hun totale transacties. Grote bedrijven hebben de middelen om handmatig transacties te controleren, maar ze bewaren die handmatige controles voor grotere transacties.

Aanbevelingen om bedrijfskosten te verlagen:

  • Voor kleinere ondernemingen zonder toegewijde fraudeteams kan een garantieoplossing voor chargebacks (waarbij een derde partij garandeert om chargebackkosten te dekken) erg nuttig zijn.
  • Voor middelgrote tot grote e-commercebedrijven kan een oplossing op basis van machinelearning helpen om fraude op schaal te bestrijden, zonder dat er extra technische middelen nodig zijn.
  • Grote ondernemingen gebruiken vaak een aantal afzonderlijke oplossingen (zoals specifieke tools voor CAPTCHA of het scannen van creditcards), samen met fraudesoftware of als input voor hun eigen fraudemodellen.

Onze voorspellingen op het gebied van fraude

Fraude is voortdurend in ontwikkeling en 2021 vormde geen uitzondering. Sterker nog: fraudeurs zijn het afgelopen jaar nog geavanceerder gaan werken en hebben online ondernemingen op nieuwe manieren aangevallen. We hebben een aantal van de uitdagingen in dit rapport behandeld, maar wat betekent dit voor jouw onderneming? We geloven dat ondernemingen zich op vier manieren aan het huidige fraudelandschap moeten aanpassen:

1. Extra verificatie, zoals 3-D Secure, zal een grotere rol gaan spelen

Extra verificatie laat je met meer zekerheid transacties blokkeren of toestaan wanneer je deze verdacht vindt, door klanten te vragen om een extra stap uit te voeren (bijvoorbeeld door ze een eenmalige code te laten invoeren die via sms is verstuurd).

Extra verificatie kan vele vormen aannemen, waaronder:

  • 3-D Secure, verplicht klanten om een tweefactorauthenticatie te voltooien om een betaling te doen. Het is de belangrijkste authenticatiemethode die wordt gebruikt om te voldoen aan de SCA-regelgeving (sterke cliëntauthenticatie) in Europa en een belangrijk mechanisme voor ondernemingen om vrijstellingen voor SCA aan te vragen.
  • Identiteitsverificaties, zoals klanten vragen om een geldig legitimatiebewijs in te scannen om hun identiteit te verifiëren.
  • Controles om te bevestigen dat de klant de fysieke kaart in bezit heeft ten tijde van de transactie.
  • CAPTCHA-tools, die websitebezoekers vragen om een simpele puzzel op te lossen, zoals het overschrijven van een reeks cijfers of letters uit een vervormde foto.

Extra verificaties worden al steeds populairder. We hebben de activiteit van een specifieke verificatie, 3-D Secure, geanalyseerd bij ondernemingen op Stripe in 2021 en zagen dat 3-D Secure overal meer wordt toegepast, met name buiten Noord-Amerika. Zoals verwacht is het gebruik van 3-D Secure het meest toegenomen in Europa (de SCA-regelgeving wordt sinds afgelopen jaar in bijna alle in aanmerking komende Europese landen gehandhaafd). Vergelijkbare regelgeving wordt ook steeds populairder buiten Europa en neemt het snelst toe in India.

In een experiment zag Stripe dat het verlagen van de drempel waarop 3-D Secure wordt geactiveerd, zorgde voor een afname van frauduleuze chargebacks met 74%. Daarnaast staat 3-D Secure, in tegenstelling tot het blokkeren van betalingen, het nog steeds toe dat de meerderheid van betalingen succesvol is (67% voor alle risiconiveaus, 5% voor een verhoogd risiconiveau). Het succes van 3-D Secure varieert echter per kaartuitgever.

We verwachten dat het gebruik van extra verificatie in de toekomst zal toenemen. Ondernemers zullen extra verificatie gaan toepassen op een groter deel van hun transactievolume en meer verschillende soorten verificatie gebruiken, met name die het afrekenproces doen stroomlijnen.

Tips voor het gebruiken van extra verificatie:

  • Pas extra verificatie toe op de transacties die je momenteel blokkeert. Hierdoor genereer je meer conversies en voorkom je dat je legitieme betalingen blokkeert.
  • Extra verificatie kan de klantervaring negatief beïnvloeden, wat je zal merken in je conversiepercentage. Optimaliseer en test zorgvuldig hoe je extra verificatie wil inzetten om te voorkomen dat je legitieme klanten benadeelt.
  • Iedere verificatie heeft een verschillend doorlaatpercentage en een verschillende impact op het verkleinen van fraude. Beveiligingssleutels kunnen bijvoorbeeld extreem effectief fraude voorkomen, maar ze kunnen het aantal conversies ook aanzienlijk verlagen. Kies de juiste verificatie op basis van het risico van de actie die je klant uitvoert en je risico-/conversietolerantie.
  • Pas extra verificatie toe waar ze het meest logisch is in het klanttraject. Vraag de klant bijvoorbeeld om een fysieke betaalkaart te scannen op het moment dat hij de gegevens invoert.

2. Databronnen met meer informatie zullen ondernemers helpen sneller en nauwkeuriger beslissingen te nemen

Fraudebeheer was eerder voornamelijk handmatig, waarbij een team van analisten iedere transactie moest controleren. Tegenwoordig gebruikt de meerderheid van de ondernemers in bepaalde mate machine-learningmodellen en automatisering om fraude op schaal te bestrijden, naast handmatige controles wanneer nodig (deze hybride aanpak verschilt per sector en businessmodel).

Machine-learningmodellen leren hoe ze legitieme transacties kunnen onderscheiden van transacties die potentieel frauduleus zijn, wat ze schaalbaarder en efficiënter maakt. Machine-learningmodellen werden ooit gezien als hypermoderne technologie voor fraudebestrijding, maar ze zijn tegenwoordig de norm. Sterker nog: alleen machine-learning is niet meer genoeg om de steeds ontwikkelende risico's van fraude te verhelpen. Onze enquêterespondenten zijn het eens: Meer dan de helft van de respondenten (met een grotendeels geautomatiseerd controleproces) zei dat zowel het type en de hoeveelheid fraude waar ze mee te maken hebben, te snel ontwikkelen voor hun onderneming om bij te houden.

De kansen op financiële fraude zijn met de tijd diverser en complexer geworden. We moeten ons steeds aanpassen aan nieuwe fraudepatronen en kansen.

Fraudedeskundige bij een professionele dienstverlener in Duitsland

Wij geloven dat de volgende fase in de evolutie van fraudebeheer gericht zal zijn op uitgebreidere data voor fraudemodellen. De tools en technologie om deze informatie te verzamelen, zijn tegenwoordig beschikbaar, maar ze zitten vaak in afzonderlijke systemen. Ondernemingen hebben vaak bijvoorbeeld verschillende tools voor identiteitsverificatie en biometrische data. We voorspellen dat ondernemingen in de toekomst betere technologie en integraties kunnen inzetten om deze informatie op één plek te verzamelen. Dit biedt een holistische aanpak om fraudemodellen efficiënter te maken.

Door naar relevante data uit het gehele klanttraject te kijken (inclusief gedrag, uitgebreide data van derden met betrekking tot telefoonnummers, e-mailadressen en zelfs social media, en de onaangeboorde data van kaartuitgevers), kunnen ondernemingen veel nauwkeuriger te werk gaan bij fraudedetectie.

Hoewel dit niveau van data erg nuttig is voor het verbeteren van fraudemodellen, moeten ondernemingen voorzichtig zijn bij het verzamelen en opslaan van deze informatie, om compliant te blijven met wetgeving voor gegevensbeveiliging en privacy.

3. Kaartuitgevers en ondernemingen zullen meer samenwerken om chargebacks te stroomlijnen en het aantal ten onrechte geweigerde betalingen te verkleinen

Wanneer een klant een aankoop voltooit op je website, stuurt de betaalprovider de betaalgegevens door via de creditcardmaatschappijen, zoals Visa, Mastercard of China UnionPay, naar de bank van de klant als een betaalverzoek. De uitgevende bank (zoals ING, Rabobank en Triodos) is de uiteindelijke besluitvormer bij het goedkeuren of weigeren van een transactie tijdens de autorisatiefase. De bank berekent het frauderisico op basis van de signalen die zijn ontvangen tijdens autorisatie, die vrij beperkt zijn.

Ondernemers hebben aan de andere kant uitgebreide klant- en transactiegegevens, zoals het e-mailen factuuradres van de klant. Door deze gegevens te combineren met de informatie die de issuer al heeft, kan het percentage goedgekeurde transacties worden verhoogd.

Verbeterde autorisatie en fraudepreventie zijn voor beide partijen gunstig: de uitgevende bank kan de fraudeverliezen verlagen, besparen op bedrijfskosten en het transactievolume vergroten door het aantal vragen van klanten over ten onrechte geweigerde betalingen te verkleinen. Tegelijkertijd hebben ondernemers een hoger conversiepercentage voor betalingen en bovendien een lager klantverloop. De meeste ondernemers delen deze gegevens echter niet met verstrekkers, waardoor de partijen niet over dezelfde informatie beschikken. Dit draagt bij aan de 443 miljard Amerikaanse dollar aan ten onrechte geweigerde betalingen in 2021.

We zien nu een verschuiving, waarbij kaartuitgevers investeren in het bouwen van versterkte autorisatie-API's zoals de Enhanced Decisioning Data API van Capital One en de Enhanced Authorization API van AmEx. Grote ondernemingen, waarvoor ieder percentagepunt van extra autorisaties staat voor miljoenen dollars, begrijpen eveneens het belang van gegevenspartners en beginnen te investeren in integratie met kaartuitgevers. Er is echter een kloof voor de miljoenen andere ondernemingen die niet de technische capaciteit of het aanzienlijke betalingsvolume hebben om eigen integraties met kaartuitgevers rendabel te maken. Voor deze ondernemingen verwachten we dat financiële partners zoals Stripe en andere betaalproviders kunnen helpen deze uitwisseling te faciliteren door hun omvang en ingebouwde partnerschappen met kaartuitgevers in te zetten.

4. De voorkeuren van consumenten zullen blijven veranderen, wat het fraudelandschap verandert

Betaalmethoden, zoals ‘koop nu, betaal later', digitale wallets en cryptokaarten zonder kaartnummers gedrukt op de kaart (zoals de Gemini Credit Card) zijn in opkomst. Vooral ‘koop nu, betaal later' wordt steeds meer ingezet: Meer dan de helft van de Amerikaanse klanten heeft ‘koop nu, betaal later' gebruikt en het was de snelst groeiende betaalmethode in 2020 in India en het Verenigd Koninkrijk.

Alle betaalmethoden die worden gebruikt voor online transacties, hebben een bepaalde mate van frauderisico en dat geldt eveneens voor betaalmethoden zonder kaart. Bijvoorbeeld: betaalmethoden zoals ‘koop nu, betaal later' hebben een lager risico op transactiefraude, maar zijn vatbaarder voor nieuwe accountfraude (waarbij fraudeurs nieuwe identiteiten maken om frauduleuze accounts te openen tijdens de onboarding, die slecht beschermd kan zijn) en accountovernames (waarbij een kwaadwillende derde toegang verkrijgt tot de aanmeldgegevens van een klant en die betaalgegevens gebruikt om frauduleuze aankopen te doen).

Ondernemers kunnen deze risico's echter verlagen door eerder in de customer lifecycle te focussen op fraudepreventiestrategieën. In plaats van op de transactie zelf te focussen, kan eerder in het klanttraject gescreend worden op frauduleuze activiteit, om een klant (of fraudeur) te beoordelen voordat deze ook maar een aankoop doet. Ondernemingen moeten bijvoorbeeld de identiteit van een klant controleren tijdens onboarding, controleren op dubbele accounts en identiteitsverificatiemaatregelen handhaven (zoals tweefactorauthenticatie) bij aanmelding.

Hoe Stripe kan helpen

Stripe is een volledig geïntegreerd pakket betaalproducten dat betalingen voor online en fysieke winkeliers, abonnementsdiensten, softwareplatforms, marktplaatsen en alles daartussenin ondersteunt. Van het bestrijden van fraude tot het verifiëren van identiteiten: miljoen ondernemingen gebruiken Stripe voor het volgende:

Het afrekenproces optimaliseren

  • Verzamel meer relevante informatie tijdens het afrekenen: Vraag klanten om meer relevante informatie aan te leveren bij het afrekenen, zodat je hun legitimiteit beter kunt controleren. Zorg bijvoorbeeld dat je de namen en e-mailadressen van klanten verzamelt. Deze aanvullende informatie kan worden doorgestuurd naar Stripe Radar, wat zorgt voor een betere fraudedetectie op basis van machine-learning. Ook heb je zo meer bewijs om in te dienen tijdens een potentiële chargeback.
  • Verken andere betaalmethoden: De juiste verzameling betaalmethoden kan klanten flexibiliteit bieden en het risico op fraude verkleinen. Digitale wallets, zoals Apple Pay of Google Pay, vereisen aanvullende klantverificatie (zoals biometrische gegevens, een sms of een wachtwoord) om een betaling te voltooien, wat zorgt voor minder chargebacks. Daarnaast moeten klanten bij de meeste bankafschrijvingen (waarbij je geld direct afschrijft van de bankrekening van een klant) akkoord gaan met een incassoverzoek of hun eigendom van een rekening verifiëren, wat een extra beveiligingslaag toevoegt en de kans op chargebacks verkleint.

Fraude voorkomen tijdens het afrekenen

  • Zet fraudedetectie op basis van machine-learning in: Op regels gebaseerde fraudedetectie, op basis van een ‘als x gebeurt, doe dan y'-logica, is nooit ontworpen voor moderne e-commercebedrijven en kan leiden tot verloren inkomsten. Stripe Radar wordt aangedreven door adaptieve machine-learning, waarbij algoritmen iedere transactie evalueren en een risicoscore toewijzen, om vervolgens transacties te blokkeren of toe te staan op basis van het frauderisico. De algoritmen van Radar passen zich snel aan veranderende fraudepatronen en aan jouw unieke onderneming aan.
  • Voorkom fraude en vergroot autorisatie door partnerships met kaartuitgevers: In de partnerships die Stripe met kaartuitgevers heeft, worden selecte risicogegevens gedeeld wanneer mogelijk om kaartuitgevers te helpen frauduleuze transacties te blokkeren, terwijl legitieme transacties worden goedgekeurd. Integratie met kaartuitgevers creëert waarde voor zowel de kaarthouder als de onderneming: Klanten kunnen met meer vertrouwen winkelen, terwijl ondernemers meer transacties krijgen goedgekeurd zonder dat het aantal frauduleuze chargebacks toeneemt.
  • Pas tweefactorauthenticatie op dynamische wijze toe: Stripe Checkout kan Europese SCA-vereisten verwerken en op dynamische wijze authenticatie, zoals 3-D Secure, toepassen wanneer dit wordt vereist door de bank van de kaarthouder of wanneer er vermoeden is van fraude. Stripe Checkout ondersteunt ook de eenvoudigste methode van PCI-validatie met een vooraf ingevuld SAQ A. En CAPTCHA wordt alleen geactiveerd wanneer we vermoeden dat sprake is van een aanval om betaalkaartnummers te testen, om fraude te voorkomen.

Samen met je team omgaan met fraude

  • Maak regels voor een fraudeaanpak op maat: Met Radar for Fraud Teams kun je je eigen regels maken in overeenstemming met de manier waarop je onderneming inkomende betalingen verwerkt, waarbij je alle betalingen die je als verdacht beschouwt, blokkeert of laat controleren. Je kunt bijvoorbeeld de risicoscore verlagen die nodig is om handmatige controles te activeren of grote bestellingen van nieuwe klanten controleren. Radar for Fraud Teams biedt ook risicoinzichten in bepaalde betalingen, waardoor je inzicht kunt krijgen in de belangrijkste factoren die bijdragen aan een hoge risicoscore. Je kunt deze informatie gebruiken om aanvullende, doelgerichtere regels te maken.
  • Controleer zeer riskante betalingen handmatig: Radar for Fraud Teams bevat een aanvullend controleproces waarmee je bepaalde betalingen kunt markeren voor controle (alhoewel deze betalingen nog steeds worden verwerkt en het geld van de creditcard wordt afgeschreven). Hoewel Radar for Fraud Teams doorgaans wordt gebruikt door grotere organisaties, is de mogelijkheid om betalingen handmatig te controleren nuttig, ongeacht de grootte van je onderneming (alhoewel met name kleinere ondernemingen handmatige controles nuttig vonden). Handmatig verdachte betalingen controleren kan je helpen nauwkeuriger actie te ondernemen, voordat een potentiële chargeback plaatsvindt. Als je bijvoorbeeld niet zeker bent van een betaling wanneer je deze controleert, kun je contact opnemen met de klant per telefoon of e-mail. Als je vermoedt dat een betaling frauduleus is, kun je deze ook terugbetalen.

Aanvullende tips voor fraudepreventie

  • Krijg diepgaandere inzichten in fraudetrends: Stripe Sigma laat je snel je Stripe-gegevens analyseren via SQL-query's (kant-en-klaar of maatwerk) op het dashboard van Stripe. Beantwoord je complexe zakelijke vragen, van de redenen dat klanten chargebacks aanvragentot welk percentage van de chargebacks je aanvecht. Je kunt ook Stripe Data Pipeline gebruiken om actuele data te versturen naar je Snowflake- of Amazon Redshift-datawarehouse. Zo kun je gemakkelijk je scores voor frauderisico combineren met andere fraudegegevens om uitgebreidere frauderapporten te krijgen.
  • Verifieer internationale klanten: Met Stripe Identity kun je automatisch de identiteit van gebruikers wereldwijd bevestigen, zodat je aanvallen van fraudeurs kunt verminderen, zonder dat legitieme klanten daar teveel last van hebben.
  • Optimaliseer voor conversies en behaal meer omzet: Stripe Card Image Verification helpt het aantal foutief geblokkeerde transacties verkleinen. In plaats van potentieel zeer riskante transacties te blokkeren, geeft het gebruikers een kans om te bevestigen dat ze daadwerkelijk de kaart hebben door hen te vragen een scan of foto van hun kaart op te sturen (gepland in 2022).

Om meer te weten te komen over hoe Stripe Radar je onderneming kan helpen om fraude te bestrijden, lees je onze documentatie of registreer je je voor een account.

Aanvullende bronnen

Hier zijn een aantal aanvullende bronnen om je te helpen om te gaan met fraude en je onderneming te beschermen:

Methodologie

Stripe analyseerde miljarden betaalpogingen van miljoenen ondernemingen tussen 2019 en 2021. In die betalingen en ondernemingen keken we naar chargebacks en hun redenen, voorspellingen van onze machine-learningmodellen, gebruik van 3D Secure en de handmatige controleactiviteit van ondernemingen. Om fraude op landelijk niveau te bekijken, hebben we landen met minder dan 10.000 betalingen in 2021 uitgesloten uit onze analyse, omdat ze te weinig transacties hadden om op betrouwbare wijze fraudeniveaus te berekenen.

Daarnaast heeft Stripe met Milltown Partners (in samenwerking met hun dataprovider focaldata) meer dan 2500 toonaangevende ondernemingen in negen markten wereldwijd (Australië, Canada, Duitsland, Frankrijk, Japan, Nederland, Singapore, het Verenigd Koninkrijk en de Verenigde Staten) ondervraagd die schatten dat minstens 10% van hun omzet uit online verkoop komt.

Klaar om aan de slag te gaan?

Maak een account en begin direct met het ontvangen van betalingen. Contracten of bankgegevens zijn niet vereist. Je kunt ook contact met ons opnemen om een pakket op maat voor je onderneming samen te stellen.