Todas as empresas online precisam gerenciar riscos. Na verdade, existem muitos tipos diferentes de risco, desde o risco reputacional (como a forma como sua marca é percebida) até o risco operacional (como o tempo de inatividade).
Este guia destaca três tipos de risco de pagamentos: risco de crédito, risco de fraude e invasões de conta. Embora não seja possível eliminar completamente o risco de pagamentos, este guia mostra como avaliar e gerenciar sua exposição e ajuda a tomar uma decisão informada sobre o melhor caminho a seguir.
Introdução ao risco de crédito e ao risco de fraude
Quando as plataformas de software adicionam facilitação de pagamentos às suas ofertas, elas enfrentam três tipos de risco específicos e complexos devido ao seu modelo de negócio tripartido (consistindo na plataforma, nos vendedores ou prestadores de serviços que recebem pagamentos por meio da plataforma de software e nos titulares de cartão que pagam esses vendedores ou prestadores de serviços):
Risco de crédito: O risco de crédito tende a se manifestar como vendedores que têm toda a intenção de atender a pedidos de bens ou serviços, mas não têm recursos financeiros para isso, acumulam mais reembolsos e estornos do que podem cobrir financeiramente e, eventualmente, saem do negócio. Os titulares de cartão podem solicitar um estorno porque os produtos ou serviços não foram processados. Você ficaria devendo dinheiro a esses clientes porque, de modo geral, as plataformas que facilitam pagamentos concordam em ser responsáveis pela atividade do vendedor.
Risco de fraude: As plataformas também precisam gerenciar riscos envolvendo vendedores fraudulentos. Por exemplo, você pode ter a mesma pessoa agindo como um vendedor fraudulento e um titular de cartão fraudulento, em que essa pessoa tem acesso aos dados de cartões roubados, cria uma conta na sua plataforma e paga a si mesma com o cartão roubado. Ou você pode ter um vendedor fraudulento e um bom titular de cartão, em que um vendedor engana um titular do cartão para dar-lhe dinheiro (como vender produtos que ele não pretende entregar).
Invasões de conta: Ter um bom vendedor e um bom titular de cartão não é suficiente para eliminar completamente os riscos de pagamento. As plataformas também precisam gerenciar invasões de conta, em que terceiros mal-intencionados obtêm acesso às credenciais da conta de um vendedor e roubam fundos.
Estratégias de gerenciamento de risco de crédito
A maioria dos vendedores regularmente tem exposição de crédito (na forma de estornos e reembolsos que têm de cobrir), mas tem o fluxo de caixa para cobri-los. Isso se torna arriscado para você quando seus vendedores têm menos vendas e solicitações de reembolso mais altas, o que pode levar à incapacidade de devolver dinheiro aos clientes.
Por exemplo, digamos que você opera uma plataforma em que os organizadores podem vender ingressos e você paga o organizador antes que o evento ocorra. Se o evento presencial for cancelado, os organizadores do evento emitirão reembolsos aos clientes. Contudo, se os organizadores do evento não tiverem dinheiro suficiente para concluir os reembolsos, você — como plataforma — pode ser responsável por compensar essa perda. Consequentemente, você assume uma grande quantidade de risco de crédito em nome de seus vendedores, o que pode causar exposição a perdas.
Existem diversas formas de gerenciar o risco de crédito. Organizamos essas estratégias em três seções: onboarding, monitoramento e mitigação.
Onboarding
Novos vendedores têm risco inerente quando ingressam pela primeira vez em sua plataforma, simplesmente porque não têm histórico de atividades ou histórico de processamento com você. Quanto mais informações você coletar sobre eles, melhor poderá avaliar seu próprio risco e manter sua plataforma saudável. Por exemplo, com base na atividade financeira da empresa, é possível identificar contas com maior probabilidade de enfrentar problemas de fluxo de caixa e ter saldos negativos antes que eles aconteçam.
Avaliar risco: Avalie o risco de possíveis vendedores durante o onboarding antes de permitir sua entrada na plataforma. Certifique-se de coletar informações suficientes sobre os serviços oferecidos para que você possa determinar se eles se enquadram em uma categoria de alto risco. Consulte sua política de reembolso ou o volume bruto esperado de pagamentos e pesquise o histórico operacional em plataformas semelhantes à sua. Para vendedores maiores, considere uma avaliação mais manual, incluindo uma análise financeira e verificações de crédito de proprietários ou diretores individuais da empresa.
Limitar temporariamente as transações: Para vendedores novos ou de alto risco, é importante introduzir alguns controles temporários até entender melhor as atividades deles na sua plataforma. Por exemplo, considere limitar o volume total de transações em um único dia ou mês. Caso a empresa ultrapasse esses limites, você pode suspender os repasses para poder revisar as transações.
Coletar reservas: Reserve uma certa quantia de dinheiro como garantia para vendedores potencialmente de risco. Você pode liberar a reserva ao longo do tempo à medida que os vendedores estabelecerem um histórico positivo com você.
Monitoramento
As empresas raramente são simples e estáticas e, à medida que evoluem ao longo do tempo, seus perfis de risco também evoluem. Monitore continuamente a atividade de contestações, saldos negativos, volume de processamento e reclamações de clientes para ajudar a identificar comportamentos fraudulentos e tomar medidas imediatas.
Configurar alertas: Crie alertas para monitorar vendedores de maior risco e ajustar rapidamente sua estratégia de gerenciamento de risco. Vendedores com maior nível de risco têm volume reduzido, saldos negativos ou taxas de contestação maiores (de maneira geral, uma atividade de contestação acima de 0,75% é considerada excessiva).
Realizar revisões periódicas: Embora a configuração de alertas possa ajudar a monitorar os vendedores no dia a dia, também é importante realizar revisões periódicas e detalhadas. Você deve analisar as taxas de reembolso e contestação, o volume de processamento e as reclamações de clientes de um vendedor.
Instruir os vendedores: Crie recursos para ajudar seus vendedores a se prepararem para o inesperado. Exemplos: recursos sobre a COVID-19 da Shopify e da Xero, ou informações sobre o furacão Harvey para empresas da Mindbody.
Mitigação
Depois de entender os perfis de risco de seus vendedores novos e existentes, você pode começar a gerenciar proativamente sua exposição. Por exemplo, para vendedores com maior probabilidade de risco para a plataforma, você pode alterar o cronograma de repasses e incentivar que alterem o tratamento de reembolsos e estornos.
Atrasar repasses: Adie os repasses até se familiarizar com os volumes médios e as taxas de estorno dos vendedores. Você pode até vincular o cronograma de repasses à categoria de risco do vendedor. Por exemplo, quanto maior a categoria de risco, mais longo é o cronograma de repasses. Para mercadorias e serviços que não são fornecidos imediatamente, retenha os repasses até que eles sejam entregues. Isso reduz a probabilidade de estornos e reembolsos, porque você pode confirmar que os clientes receberam o que pagaram antes de liberar os fundos.
Gerenciar saldos negativos: Configure um processo para recuperar fundos de vendedores com grandes saldos negativos (vendedores com saldo negativo não conseguirão processar estornos e reembolsos, então o risco recairá sobre sua plataforma). Dependendo da localização dos vendedores, você poderá configurar débitos automáticos para retirar fundos automaticamente da conta bancária deles e recuperar saldos negativos.
Definir sua concentração de risco: Considere definir um limite máximo de exposição ao risco para determinadas regiões (por exemplo, apenas X% da sua exposição total ao risco deve ser de um único país) ou para determinados vendedores (por exemplo, apenas X% do total das suas exposições deve ser de um único vendedor). Se as suas exposições ultrapassarem esse limite, você pode reforçar as suas políticas de gestão de riscos.
Capturar fundos na data de entrega: Reduza o intervalo entre a data de pagamento e a data de execução para reduzir a exposição ao risco. Isso é particularmente importante para vendedores de alto risco que processam pagamentos muito antes da entrega de bens ou serviços (como organizadores de eventos que vendem ingressos para um evento esportivo ou show). Para capturar fundos na data de entrega (ou o mais próximo possível), crie uma cobrança para fazer uma reserva nos fundos do titular do cartão, mas capture os fundos depois que o vendedor entregar os produtos ou serviços.
Estratégias de gerenciamento de riscos para risco de fraude
No nível mais básico, um pagamento é considerado fraudulento quando a cobrança não foi autorizada pelo titular. Isso pode ser resultado de cartões roubados ou ataques de teste de cartão. Um exemplo comum é quando um golpista faz uma compra usando um cartão roubado. Esse tipo de risco de fraude pode ser prevenido e gerenciado com softwares (como o Stripe Radar).
Além de fraudar titulares de cartão, as plataformas também precisam gerenciar riscos envolvendo vendedores fraudulentos. Há várias maneiras diferentes de gerenciar riscos de fraude, e organizamos essas estratégias em três seções: onboarding, monitoramento e mitigação.
Onboarding
O onboarding de vendedores é a sua chance de coletar o máximo de informações possível para verificar a legitimidade de uma empresa. No entanto, para evitar o risco de fraude, há outros fatores que precisam ser considerados, como a verificação cruzada de vendedores existentes e já rejeitados para identificar contas duplicadas.
Avaliar risco: Confirme a identidade de um vendedor durante o onboarding e verifique se a empresa é legítima. Examine os perfis de mídia social do vendedor, colete as licenças comerciais apropriadas, revise seu site (procure alertas vermelhos, como sites com modelos, idioma copiado de outros sites etc.) e verifique as informações adequadas à plataforma, como endereço físico, lista de inventário ou histórico de vendas.
Verifique se há contas duplicadas: Comerciantes fraudulentos podem abrir várias contas na sua plataforma. Para evitar isso, verifique se há dados de conta duplicados associados a contas já rejeitadas (como dados de conta bancária, dados fiscais ou nome e data de nascimento). Também são considerados links entre contas, como várias contas do mesmo endereço IP ou domínio de e-mail.
Coletar reservas: Reserve uma certa quantia de dinheiro como garantia para vendedores potencialmente de risco. Você pode liberar a reserva com o tempo, à medida que os vendedores estabelecerem um histórico de processamento positivo com você.
Monitoramento
Os vendedores fraudulentos podem dedicar tempo para estabelecer um histórico positivo em sua plataforma antes de cometer fraudes, ressaltando a importância do monitoramento contínuo. Entenda como é a atividade normal dos vendedores, configure alertas de detecção de anomalias para revelar alterações ou picos importantes e fique pronto para solicitar dados adicionais se identificar atividades suspeitas.
Identificar o comportamento normal: Monitore a atividade dos vendedores para entender seu comportamento típico. Qual é o volume médio de transações mensal deles? Quais são suas taxas médias de estornos e contestações? Isso oferece um benchmark com base no qual você pode procurar comportamentos suspeitos (como tamanho e frequência de cobrança) e tomar as medidas apropriadas.
Personalizar seus alertas: Crie alertas baseados em regras para monitorar vendedores de maior risco e ajustar rapidamente sua estratégia de gerenciamento de riscos. Analise vendedores fraudulentos confirmados para encontrar quaisquer padrões em suas atividades, para ajudar você a ajustar e personalizar seus alertas.
Solicitar informações adicionais: Se você observar um comportamento de transação suspeita, entre em contato com o vendedor para obter mais informações. Você pode solicitar faturas, fotos de inventário ou números de rastreamento.
Mitigação
Depois de entender os perfis de risco de seus vendedores novos e existentes, você pode começar a gerenciar proativamente sua exposição. Por exemplo, para vendedores com maior probabilidade de risco para a plataforma, você pode alterar seu cronograma de repasses e incentivá-los a mudar a forma como reembolsos e estornos são gerenciados.
Atrasar repasses: Adie os repasses até se familiarizar com os volumes médios e as taxas de estorno dos vendedores. Você pode até vincular o cronograma de repasses à categoria de risco do vendedor. Por exemplo, quanto maior a categoria de risco, mais longo é o cronograma de repasses. Para mercadorias e serviços que não são fornecidos imediatamente, retenha os repasses até que eles sejam entregues. Isso reduz a probabilidade de estornos e reembolsos, porque você pode confirmar que os clientes receberam o que pagaram antes de liberar os fundos.
Prevenção de ataques de teste de cartões: Você pode identificar a maioria das atividades de testes de cartões pelo aumento significativo do número de recusas (essas recusas são categorizadas como erros 402 nos seus logs de solicitação malsucedida). Para evitar esses ataques, introduza medidas de segurança adicionais durante o checkout, como CAPTCHA.
Estratégias de gerenciamento de riscos para invasões de contas
Você pode confirmar pessoalmente a legitimidade de todos os vendedores que usam sua plataforma e ainda estar suscetível a fraudes de pagamentos na forma de invasões de conta. Embora terceiros mal-intencionados sempre existam na internet, você pode investir em esforços rigorosos de segurança e identificação para evitar que usuários mal-intencionados invadam a conta de seus vendedores.
Aplicar medidas de verificação de identidade: Uma das melhores maneiras de evitar a tomada de contas é aplicar medidas rígidas de segurança e verificação de identidade. Por exemplo, imponha políticas de senha únicas e implemente autenticação de dois fatores no login.
Monitorar atividades suspeitas: É importante entender os sinais de uma violação de conta para que você possa suspender imediatamente os repasses. Sinais comuns de uma violação de conta incluem um grande pico no volume de processamento ou no tamanho médio do pedido, ou logins de novos dispositivos ou endereços IP não locais.
Suas opções de gerenciamento de riscos com a Stripe
As plataformas que usam a Stripe têm duas opções para gerenciar riscos: 1) você pode conseguir que a Stripe ajude a gerenciar o risco de pagamentos para você ou 2) você pode assumir o gerenciamento de riscos sozinho. A abordagem mais popular é ter a Stripe ajudando a gerenciar o risco de pagamentos para você, reduzindo a sobrecarga operacional e diminuindo sua exposição. Com o risco gerenciado pela Stripe, a Stripe monitora e gerencia ativamente os riscos em seu nome e cobre saldos negativos que não podem ser recuperados.
Para ajudar as empresas a se adaptarem à rápida digitalização da economia, a Salesforce, uma das maiores empresas de software do mundo, estabeleceu uma parceria com a Stripe para lançar o Salesforce Commerce Cloud. Com pagamentos fora de suas competências essenciais, a Salesforce descarregou o gerenciamento de riscos para a Stripe, a fim de se concentrar na criação de uma solução de comércio avançada para seus clientes.
Se você tem experiência em risco e entende bem quem são seus vendedores, você mesmo pode assumir o gerenciamento de riscos. As plataformas que optam por gerenciar riscos por conta própria normalmente têm recursos exclusivos de operações e engenharia para criar e manter uma solução interna de combate a fraudes, integrar ferramentas de terceiros e monitorar e relatar perdas por fraudes.
Além de dedicar equipes específicas ao gerenciamento de riscos, você precisará fazer parcerias com outros departamentos internos que podem ser afetados pelo risco, incluindo:
Equipes jurídicas: Um generalista jurídico interno ou especialista jurídico em produtos de pagamentos precisa se manter atualizado sobre leis, regulamentos e regras setoriais relevantes e estabelecer parcerias com equipes multifuncionais para responder a auditorias e consultas.
Equipes de suporte: As equipes de atendimento ao cliente internas ou do fornecedor precisarão estar preparadas para responder a perguntas dos usuários relacionadas a atividades de gerenciamento de riscos, incluindo estornos, contestações e repasses atrasados.
Ao gerenciar seus próprios riscos, você pode personalizar sua abordagem com o conjunto avançado de ferramentas de prevenção e monitoramento da Stripe, que inclui:
Onboarding de vendedores: Faça onboarding de vendedores com rapidez e segurança com IUs pré-configuradas e otimizadas para conversão que coletam com segurança dados pessoais confidenciais e documentos de identificação necessários para a verificação. A Stripe aproveita sua experiência de ter verificado milhões de contas e usa sistemas proprietários para aprovar mais vendedores com menos atrito. Os fluxos de onboarding da Stripe se atualizam dinamicamente com a evolução das regulamentações e da localização internacional, proporcionando experiências de onboarding perfeitas à medida que você cresce e ingressa em novos mercados.
Verificação de identidade: Plataformas que são especialmente suscetíveis a fraudadores profissionais podem evitar perdas por fraude de comerciantes falsos com o Stripe Identity, que confirma programaticamente a identidade de vendedores globais e minimiza atritos para clientes legítimos.
Apresentação de dados de contestação e reembolso: Monitore a integridade (e o risco) dos vendedores com o Stripe Dashboard pré-integrado, que fornece uma variedade de análises e gráficos em tempo real sobre o desempenho da sua plataforma ou use o Stripe Sigma para analisar rapidamente seus dados da Stripe gravando consultas SQL diretamente no Dashboard. Com acesso estruturado aos dados, você pode identificar quais contas processam mais contestações e reembolsos e identificar tendências ao longo do tempo. Desenvolva webhooks para criar alertas de possíveis comportamentos fraudulentos e investigar contas com saldos negativos ou altas taxas de reembolsos e estornos.
Disponibilidade de cronogramas flexíveis de repasses: o Stripe Connect oferece diversas opções de cronogramas de repasses que você pode usar, dependendo dos perfis de risco dos vendedores. Você pode optar por receber fundos automaticamente de forma instantânea ou diária para vendedores estabelecidos, ou definir um cronograma de repasses personalizado para retardar ou adiar os repasses para contas de maior risco.
Uso de machine learning para combater fraudes em transações: o Stripe Radar é um conjunto de ferramentas modernas para detecção e prevenção de fraudes em transações. Ele se baseia em machine learning adaptativo, com algoritmos que avaliam cada transação em termos de risco de fraude e medidas necessárias. Específico para fraudes transacionais com titulares de cartão (não vendedores), o Radar é incluído gratuitamente no preço integrado da Stripe. As plataformas podem fazer upgrade para o Radar for Fraud Teams para configurar uma lógica própria baseada em regras e usar outras ferramentas para profissionais da área de fraudes.
Para saber mais sobre as ofertas de gerenciamento de risco da Stripe, fale com nossa equipe de vendas.