Os pagamentos ACH são pagamentos eletrônicos feitos por meio da rede Câmara de Compensação Automatizada (ACH), um sistema de transações financeiras estabelecido nos EUA. Esse sistema lida com um grande volume de transações, incluindo depósitos diretos de empregadores, pagamentos a prestadores de serviços e fornecedores, transações de consumidores, como faturas de serviços públicos e prêmios de seguro, e pagamentos de pessoa a pessoa.
Pagamentos ACH são processados em lotes e, normalmente, levam de um a três dias úteis para serem concluídos. Eles são uma forma econômica de as empresas transferirem fundos sem usar cheques, transferências eletrônicas ou bandeiras de cartão de crédito. Primeiro, o remetente inicia um pagamento e, em seguida, sua instituição financeira o processa em lotes por meio da rede ACH até a conta bancária do destinatário.
No entanto, esse tipo de pagamento apresenta riscos. Em uma pesquisa de 2022, 30% das empresas relataram ter sofrido fraude por meio de débitos ACH e créditos ACH. A seguir, explicaremos como identificar riscos comuns de ACH, mitigar esses riscos e abordar como a Stripe pode ajudar na mitigação desses riscos.
O que será abordado neste artigo?
- Como funcionam os pagamentos ACH?
- Fraude nos pagamentos ACH
- Como identificar os riscos comuns da ACH
- Como mitigar os riscos da ACH
- Conformidade normativa e gerenciamento de riscos da ACH
- Como abordar a mitigação de riscos da ACH com a Stripe
Como funcionam os pagamentos ACH?
Os pagamentos ACH são transferências eletrônicas entre bancos por meio da rede da Câmara de Compensação Automatizada. Os pagamentos ACH são confiáveis e econômicos, com tarifas mais baixas do que as transferências eletrônicas ou pagamentos com cartão de crédito, e são particularmente úteis para transações recorrentes. Veja como o processo normalmente funciona.
Autorização: o remetente do pagamento deve primeiro obter autorização do beneficiário para iniciar uma transação de débito ou crédito ACH. O beneficiário pode autorizar isso por meio de um formulário assinado, um acordo de pagamentos online ou um acordo verbal.
Iniciação do pagamento: uma vez autorizado, o remetente do pagamento (que pode ser uma empresa, entidade governamental ou pessoa física) vai inserir os dados comerciais em seu sistema bancário. Isso inclui o valor da transação, os dados da conta bancária do beneficiário e a data em que a transferência deve ocorrer.
Lote: o banco do remetente agrega todas as transações ACH de saída em lotes em horários predeterminados ao longo do dia. Em seguida, ele envia esses lotes a um dos operadores de ACH (a Reserva Federal ou a Câmara de Compensação).
Compensação: os operadores de ACH classificam as transações e as direcionam para o banco do destinatário, verificando a precisão dos dados bancários e garantindo que a conta do beneficiário seja válida para receber os fundos.
Liquidação: transferência bancária de fundos da conta bancária do remetente para a conta bancária do destinatário.
Confirmação: tanto o remetente quanto o destinatário recebem a confirmação de que a transação foi processada. As empresas atualizam seus registros de contas a pagar ou a receber de acordo.
Fraude nos pagamentos ACH
Embora os pagamentos ACH sejam, em geral, seguros e convenientes, eles são, como a maioria dos outros métodos de transferência eletrônica de fundos, suscetíveis a certos tipos de fraude. Aqui estão as formas mais comuns de fraude nos pagamentos ACH:
Transações não autorizadas: um agente fraudulento inicia pagamentos ACH da conta da vítima sem seu consentimento. Os números da conta bancária e do números de roteamento da vítima podem ser obtidos por meio de golpes de phishing, violações de dados ou malware.
Fraude de sequestro de conta: um agente fraudulento obtém acesso às credenciais online banking da vítima e, em seguida, altera as informações da conta para desviar os pagamentos ACH para sua própria conta.
Comprometimento de e-mail comercial (BEC): agentes fraudulentos se fazem passar por uma entidade confiável, como um fornecedor ou executivo da empresa, e enganam os funcionários para que façam pagamentos ACH não autorizados em suas contas.
Falsificação de identidade do fornecedor: semelhante ao BEC, os agentes fraudulentos se fazem passar por fornecedores legítimos e enviam faturas falsas, na esperança de enganar as empresas para que façam pagamentos ACH para a conta errada.
Estornos fraudulentos: um cliente pode fazer uma compra legítima usando ACH, mas depois reclamar falsamente que a transação não foi autorizada e solicitar um estorno, resultando em perda financeira para o vendedor.
Fraude de funcionários: funcionários com acesso aos sistemas financeiros de uma empresa podem iniciar pagamentos ACH não autorizados para ganho pessoal.
Como identificar os riscos comuns da ACH
O monitoramento dos seguintes sinais de fraude em potencial pode ajudar você a impedir a fraude antes que ela ocorra:
Fraude e falsificação de identidade do fornecedor
Mudanças inesperadas nas informações do fornecedor: tenha cuidado se um fornecedor mudar repentinamente os dados de sua conta bancária ou as informações de contato. Sempre verifique essas alterações por meio de um canal de comunicação separado e confiável antes de iniciar qualquer pagamento.
E-mails de faturas não solicitadas: desconfie de e-mails de fornecedores desconhecidos ou com endereços de e-mail incomuns. Verifique a legitimidade da fatura entrando em contato diretamente com o fornecedor usando informações de contato previamente estabelecidas.
Discrepâncias nas faturas: procure inconsistências nas faturas, como valores incompatíveis, logotipos diferentes ou termos de pagamento incomuns. Verifique novamente esses detalhes em relação a faturas ou contratos anteriores.
Fraude por parte de funcionários e ameaças internas
Comportamento incomum do funcionário: preste atenção a qualquer mudança repentina no estilo de vida de um funcionário, dificuldades financeiras ou comportamento reservado, especialmente para aqueles com acesso a sistemas financeiros.
Transações não autorizadas: revise regularmente os logs de transações ACH em busca de pagamentos que pareçam fora do comum, como grandes quantias enviadas para contas desconhecidas ou transações que ocorram fora do horário comercial normal.
Ataques de phishing e engenharia social
E-mails suspeitos: tome cuidado com e-mails que criem um senso de urgência, que pressionem você a tomar medidas imediatas ou que contenham erros gramaticais e de digitação. Sempre verifique a identidade do remetente antes de clicar em qualquer link ou baixar anexos.
Solicitações desconhecidas: se você receber uma solicitação inesperada de informações confidenciais, como dados de conta bancária ou credenciais de login, não responda diretamente. Entre em contato com o suposto remetente por meio de um canal diferente para confirmar a legitimidade da solicitação.
Como mitigar os riscos da ACH
A implementação das seguintes medidas de segurança pode ajudar a reduzir os riscos da ACH e evitar fraudes antes que elas ocorram.
Controles pré-transação
Filtragem e bloqueio de transações: estabeleça filtros que limitem as transações ACH com base em parâmetros como valor em dólares, tipo de transação ou localização geográfica. As empresas também podem configurar serviços de bloqueio ACH para evitar que débitos ACH não autorizados sejam lançados em contas.
Processos de aprovação dupla: implemente um sistema em que sejam necessárias várias aprovações para iniciar e concluir transações. Isso deve envolver funções separadas para a entrada, a verificação e a autorização da transação.
Autenticação e gerenciamento de acesso
Autenticação multifator (MFA): exija MFA para acessar sistemas financeiros e realizar transações. Isso reduz o risco de invasão de contas a partir de credenciais comprometidas.
Infraestrutura financeira dedicada: use computadores dedicados para transações financeiras que não sejam usados para e-mail ou navegação na Web para minimizar o risco de phishing e malware.
Sistemas de detecção e monitoramento de fraudes
Monitoramento contínuo: use ferramentas avançadas de monitoramento que analisem os padrões de transação em tempo real para identificar e sinalizar atividades incomuns para serem revisadas.
Algoritmos de detecção de anomalias: implemente machine learning ou algoritmos estabelecidos por regras que possam identificar desvios dos padrões típicos de transações, que podem ser indicadores precoces de fraudes.
Medidas de segurança de dados
Criptografia: criptografe todos os dados relacionados às transações ACH, tanto em repouso quanto em trânsito. Isso minimiza o impacto de possíveis violações de dados.
Auditorias regulares de segurança: realize auditorias regulares em seus sistemas de TI e processos empresariais para identificar e mitigar vulnerabilidades.
Gerenciamento de fornecedores e terceiros
Avaliações de risco de terceiros: avalie regularmente os protocolos de segurança e conformidade de fornecedores terceirizados que têm acesso aos seus sistemas financeiros ou que lidam com dados confidenciais.
Contratos de serviço e conformidade: assegure-se de que todos os contratos com fornecedores incluam cláusulas que os obriguem a cumprir padrões específicos de segurança e manuseio de dados. Verifique a conformidade deles por meio de auditorias ou avaliações.
Treinamento e conscientização de funcionários
Treinamento regular: forneça treinamento contínuo aos funcionários sobre as últimas tendências de fraude, táticas de phishing e práticas recomendadas de limpezas de segurança.
Simulações de phishing: realize regularmente simulações de ataques de phishing para ajudar os funcionários a reconhecer e reagir adequadamente a e-mails maliciosos.
Desenvolvimento de políticas e conformidade
Políticas claras sobre transações: desenvolva políticas claras sobre transações ACH, incluindo procedimentos para iniciação, autorização e reconciliação.
Conformidade com os regulamentos: mantenha-se atualizado e garanta a conformidade com os regulamentos e padrões financeiros relevantes que regem as transações ACH, como os estabelecidos pela Nacha.
Resposta e recuperação
Plano de resposta a incidentes: desenvolva um plano detalhado de resposta a incidentes que descreva o que fazer no caso de um incidente de fraude ACH. Esse plano deve incluir procedimentos para notificar as partes relevantes, conter os danos e recuperar os fundos perdidos.
Seguro cibernético: considere a possibilidade de obter um seguro cibernético para ajudar a cobrir as perdas financeiras e os custos de recuperação associados a um ataque cibernético ou incidente de fraude.
Comunicação: no caso de um incidente de fraude, comunique-se de forma transparente com clientes, funcionários e outras partes interessadas. Aborde as preocupações de forma proativa e demonstre seu compromisso com a segurança.
Conformidade regulatória e gestão de risco ACH
Certos regulamentos e padrões regem os pagamentos ACH. A conformidade com esses requisitos ajuda a gerenciar o risco da ACH e a manter a integridade dos sistemas de pagamento eletrônico. Aqui estão as principais diretrizes que regem os pagamentos ACH.
Regras operacionais da Nacha: a Nacha rege a rede ACH e suas operações, e as regras operacionais da Nacha fornecem a estrutura para troca e liquidação de pagamentos ACH. A conformidade com essas regras é obrigatória para todas as instituições financeiras e empresas participantes.
Lei de Sigilo Bancário (BSA): a BSA tem requisitos de relatórios e manutenção de registros que ajudam a identificar e prevenir atividades de lavagem de dinheiro. As empresas devem implementar procedimentos eficazes de combate à lavagem de dinheiro (PLD) que incluam o monitoramento, a detecção e a comunicação de atividades suspeitas.
Ato USA PATRIOT: o Ato USA PATRIOT baseia-se nos requisitos do BSA, impondo regulamentações mais rigorosas sobre transações financeiras para impedir o financiamento do terrorismo. Ela inclui requisitos para verificação de identidade e due diligence mais rigorosa.
Diretrizes do Federal Financial Institutions Examination Council (FFIEC): o FFIEC fornece orientações sobre práticas de gerenciamento de risco em instituições financeiras, inclusive aquelas relacionadas a pagamentos eletrônicos e transações ACH.
Regulamentações da Agência de Proteção Financeira do Consumidor (CFPB): o CFPB supervisiona a proteção ao consumidor de acordo com a Lei de Transferência Eletrônica de Fundos (EFTA), que rege os direitos, as obrigações e as responsabilidades das partes envolvidas em transferências eletrônicas de fundos.
Como abordar a mitigação de risco de ACH com a Stripe
Ao usar a Stripe para pagamentos ACH, há determinadas ferramentas que você pode usar e práticas recomendadas para reduzir o risco ACH.
Use as ferramentas de gerenciamento de risco integradas da Stripe
Stripe Radar: essa ferramenta de prevenção a fraudes usa machine learning para avaliar o risco de cada pagamento ACH. Ela bloqueia automaticamente transações de alto risco e sinaliza atividades suspeitas para revisão manual. Customize como as regras do Stripe Radar se adaptam às necessidades específicas de sua empresa, ajustando os limites para valores de transação, velocidade e outros fatores.
Autorização de débito ACH: exija que os clientes autorizem débitos ACH por meio de micro-depósitos ou verificação bancária instantânea, confirmando a propriedade da conta e reduzindo o risco de transações não autorizadas.
Melhorar a due diligence do cliente (CDD)
Verificação de identidade: recolha e verifique dados de identificação do cliente, como nome, endereço e data de nascimento, usando as ferramentas de verificação de identidade da Stripe ou de terceiros.
Verificação de B2B: para empresas, obtenha e verifique a documentação relevante, como licenças comerciais, números de identificação fiscal e artigos de incorporação.
Autenticação baseada em risco: implemente medidas de autenticação mais fortes para clientes ou transações de alto risco, como a exigência de etapas adicionais de verificação ou a limitação do valor das transações.
Monitorar e analisar os dados das transações
Stripe Dashboard:revise regularmente o Stripe Dashboard para obter informações sobre padrões de transações, taxas de estorno e indicadores de fraude.
Relatórios personalizados: crie relatórios personalizados para analisar pontos de dados específicos, como tipos de transações, segmentos de clientes ou localizações geográficas, e identificar possíveis áreas de risco.
Ferramentas de terceiros: considere integrar a Stripe com plataformas de detecção e prevenção a fraudes de terceiros para melhorar as funcionalidades de monitoramento e análise.
Otimizar o gerenciamento de contestações
Resolução de contestações: estabeleça um processo para lidar com contestações de ACH, incluindo a resposta a pedidos de informação de clientes, a coleta de comprovantes e a representação do seu caso à Stripe ou à instituição financeira relevante.
Prevenção de contestações: aborde proativamente possíveis problemas comunicando-se com os clientes por meio dos lembretes automáticos por e-mail do Stripe Invoicing.
Mantenha-se informado e flexível
Atualizações da Stripe: mantenha-se atualizado com os últimos lançamentos de produtos da Stripe, melhorias de segurança e práticas recomendadas de gerenciamento de riscos.
Stripe Sigma: se você tiver um alto volume de transações ACH ou necessidades complexas de gerenciamento de riscos, explore o Stripe Sigma para obter funcionalidades avançadas de análise de dados e relatórios personalizados.
Suporte da Stripe: use os recursos de suporte da Stripe para obter orientação sobre como implementar práticas recomendadas e solucionar problemas que possam surgir.
O conteúdo deste artigo é apenas para fins gerais de informação e educação e não deve ser interpretado como aconselhamento jurídico ou tributário. A Stripe não garante a exatidão, integridade, adequação ou atualidade das informações contidas no artigo. Você deve procurar a ajuda de um advogado competente ou contador licenciado para atuar em sua jurisdição para aconselhamento sobre sua situação particular.