Introduction to risk management for software platforms

While there is no way to completely eliminate payments and account risk, this guide covers ways you can assess and manage your exposure, and helps you make an informed decision about the best path forward.

Radar
Radar

Stripes nätverk – ditt vapen i kampen mot bedrägeri.

Läs mer 
  1. Introduktion
  2. Introduktion till kreditrisk och bedrägeririsk
  3. Riskhanteringsstrategier för kreditrisker
    1. Onboarding
    2. Övervakning
    3. Åtgärder
  4. Riskhanteringsstrategier för bedrägeririsker
    1. Onboarding
    2. Övervakning
    3. Åtgärder
  5. Riskhanteringsstrategier för kontokapningar
  6. Dina riskhanteringsalternativ med Stripe
  7. Kom igång med Stripe 

Alla onlineföretag måste hantera risker. Faktum är att det finns många olika typer av risker, från ryktesrisk (som hur ditt varumärke uppfattas) till operativ risk (som nedtid).

risk guide tree

Den här guiden fokuserar på tre typer av betalningsrisker: kreditrisk, bedrägeririsk och kontokapning. Även om det inte finns något sätt att helt eliminera betalningsrisken täcker den här guiden hur du kan bedöma och hantera din exponering och hjälper dig att fatta ett välgrundat beslut om åtgärder att genomföra.

Introduktion till kreditrisk och bedrägeririsk

När programvaruplattformar lägger till betalningslättnader i sina erbjudanden står de inför tre unika och komplexa typer av risker på grund den tredelade affärsmodellen (plattformen, säljarna eller tjänsteleverantörerna som tar emot betalningar via programvaruplattformen och kortinnehavarna som betalar dessa säljare eller tjänsteleverantörer):

risk guide platform role

  • Kreditrisk: Kreditrisk tenderar att visa sig som att säljare som har för avsikt att uppfylla beställningar av varor eller tjänster, men saknar ekonomiska resurser för att göra det, samlar på sig fler återbetalningar och återkrediteringar än de ekonomiskt kan täcka och potentiellt lämnar företaget. Kortinnehavare kan begära en återkreditering eftersom varorna eller tjänsterna inte levererades. Du skulle vara skyldig pengar till dessa kunder eftersom plattformar som underlättar betalningar i allmänhet går med på att vara ansvariga för sin säljares aktivitet.

  • Bedrägeririsk: Plattformar måste också hantera risker som involverar bedrägliga säljare och konton. Du kan till exempel ha samma person som agerar som en bedräglig säljare och en bedräglig kortinnehavare, där den personen har tillgång till stulen kortinformation, registrerar sig för ett konto på din plattform och betalar sig själv med det stulna kortet. Eller så kan du ha en bedräglig säljare och en vettig kortinnehavare, där en säljare lurar en kortinnehavare att ge dem pengar (som att sälja varor som de inte har för avsikt att leverera). Plattformar kan också hantera en typ av bedrägeri som kallas förstapartsmissbruk eller vänligt bedrägeri. Detta inträffar när en legitim kortinnehavare gör ett köp, men sedan bestrider det vid ett senare tillfälle. Detta kan antingen vara oavsiktligt, eftersom de inte känner igen transaktionen på kontoutdraget, eller avsiktligt (till exempel på grund av att köparen ångrar sig eller som ett försök att bedrägligt skaffa varor utan att betala).

  • Kontokapningar: Att ha en säljare och kortinnehavare med god status räcker inte för att helt eliminera betalningsriskerna. Plattformar måste också hantera kontokapningar, där en illvillig tredje part får tillgång till en säljares konto och stjäl deras medel.

risk guide merchant intent

Riskhanteringsstrategier för kreditrisker

De flesta säljare har regelbundet kreditexponering (i form av återkrediteringar och återbetalningar som de måste täcka), men har kassaflödet för att täcka dem i enlighet med detta. Detta blir riskabelt för dig när dina säljare har färre försäljningar och högre andel återbetalningsbegäranden, vilket kan leda till att de inte kan returnera pengar till kunderna.

Låt oss till exempel säga att du driver en plattform där evenemangsarrangörer kan sälja biljetter och du betalar ut till evenemangsarrangören innan evenemanget inträffar. Om det personliga evenemanget ställs in måste evenemangsarrangörerna utfärda återbetalningar till kunderna. Men om evenemangsarrangörerna inte har tillräckligt med pengar för att slutföra återbetalningarna kan du – som plattform – vara ansvarig för att kompensera för den förlusten. Som ett resultat tar du på dig en stor kreditrisk för dina säljares räkning, vilket kan göra dig utsatt för förluster.

Det finns ett antal olika sätt att hantera kreditrisker och vi har organiserat dessa strategier i tre avsnitt: onboarding, övervakning och begränsning.

Onboarding

Nya konton är i sig riskabla när de först ansluter sig till din plattform, helt enkelt för att de inte har någon behandlingshistorik med dig. Ju mer information du samlar in om dem, desto bättre kan du utvärdera din egen risk och hålla din plattform frisk. Baserat på deras ekonomiska aktivitet kan du till exempel identifiera konton som är mer benägna att få kassaflödesproblem och ha negativa saldon innan de inträffar.

  • Bedöm risker: Utvärdera risken för potentiella konton under onboarding, innan du låter dem ansluta till din plattform. Se till att samla in tillräckligt med information om de tjänster som erbjuds så att du kan avgöra om de faller inom en högriskkategori. Du kan fråga om deras återbetalningspolicy eller förväntade bruttobetalningsvolym och undersöka deras historik på plattformar som liknar din. För större säljare kan du överväga att göra en mer manuell bedömning som inkluderar en ekonomisk granskning och kreditkontroller av enskilda ägare eller styrelseledamöter i företaget.

  • Begränsa transaktioner tillfälligt: För nya konton eller högriskkonton kanske du vill införa ett antal tillfälliga kontroller tills du bättre kan förstå deras aktivitet på din plattform. Överväg till exempel att begränsa deras totala transaktionsvolym under en enda dag eller en enda månad. Om de överskrider dessa gränser kan du pausa deras utbetalningar så att du kan granska transaktionerna.

  • Samla in reserver: Reservera en viss summa pengar som säkerhet för potentiellt riskabla säljare som använder Stripes API för reserver, en del av Radar för plattformar. Du kan frigöra reserven över tid när säljare etablerar en positiv historik med dig.

Övervakning

Företag är sällan enkla och statiska, och i takt med att de utvecklas kommer även deras riskprofiler att förändras. Övervaka tvistaktivitet, negativa saldon, behandlingsvolym och kundklagomål kontinuerligt för att hjälpa till att identifiera bedrägligt beteende och vidta omedelbara åtgärder.

  • Konfigurera varningar: Skapa varningar för att övervaka mer riskfyllda säljare så att du snabbt kan justera din riskhanteringsstrategi. Mer riskfyllda säljare har kraftigt minskad volym, negativa saldon eller högre tvistfrekvens (tvistaktivitet över 0,75 % anses i allmänhet vara överdriven).

  • Genomför periodiska granskningar: Även om varningar kan hjälpa dig att övervaka säljare på daglig basis är det också viktigt att genomföra periodiska, djupgående granskningar. Du bör granska en säljares återbetalnings- och tvistfrekvenser, behandlingsvolym och kundklagomål.

  • Utbilda säljare: Skapa resurser för att hjälpa dina säljare att förbereda sig för det oväntade. Exempel på detta är covid-19-resurser från Shopify och Xero, eller information om orkanen Harvey för företag från Mindbody.

Åtgärder

När du har förståelse för riskprofilerna för dina nya och befintliga säljare kan du börja hantera din exponering proaktivt. För säljare som verkar mer benägna att utgöra en risk för din plattform kan du till exempel ändra ditt utbetalningsschema och uppmuntra dem att ändra hur återbetalningar och återkrediteringar.

  • Skjut upp utbetalningar: Skjut upp utbetalningar tills du blir bekant med säljarnas genomsnittliga volymer och andel återkrediteringar (chargebacks). Du kan till och med länka utbetalningsschemat till säljarens riskkategori – ju högre riskkategori, desto längre utbetalningsschema. För varor och tjänster som inte tillhandahålls omedelbart kan du hålla inne utbetalningar tills de levereras. Detta minskar sannolikheten för återkrediteringar och återbetalningar eftersom du kan bekräfta att kunderna fick vad de betalade för innan medlen frigörs.

  • Hantera negativa saldon: Ställ in en process för att återvinna medel från säljare som går in i stora negativa saldon (säljare med ett negativt saldo kan inte behandla återkrediteringar och återbetalningar, så risken kommer att tillfalla din plattform). Beroende på var dina säljare befinner sig kan du kanske ställa in autogiro för att automatiskt dra medel från deras bankkonto och återställa negativa saldon.

  • Definiera riskkoncentrationen: Överväg att sätta ett maximalt tröskelvärde för riskexponering för vissa geografiska områden (till exempel bör endast X % av din totala riskexponering komma från ett enda land) eller för vissa säljare (till exempel bör endast X % av dina totala exponeringar komma från en enda säljare). Om dina exponeringar överskrider tröskelvärdet kan du skärpa dina riskhanteringspolicyer.

  • Dra medel på leveransdatumet: Minska gapet mellan betalningsdatumet och leveransdatumet för att minska riskexponeringen. Detta är särskilt viktigt för säljare med hög risk som behandlar betalningar långt före leveransen av varor eller tjänster (t.ex. evenemangsarrangörer som säljer biljetter till ett sportevenemang eller en konsert). För att debitera medel på leveransdatumet (eller så nära som möjligt) kan du skapa en debitering för att reservera en kortbetalning för kortinnehavare, men dra medel när säljaren har levererat varorna eller tjänsterna.

Riskhanteringsstrategier för bedrägeririsker

På den mest grundläggande nivån anses en betalning vara bedräglig när kortinnehavaren inte godkänner debiteringen. Detta kan vara ett resultat av stulna kort eller carding-attacker. Ett vanligt exempel är när en bedragare gör ett köp med ett stulet kort. Denna typ av bedrägeririsk kan förhindras och hanteras med hjälp av bedrägeriprogram (t.ex.Stripe Radar).

Förutom bedrägliga kortinnehavare måste plattformar också hantera risker som involverar bedrägliga säljare. Det finns ett antal olika sätt att hantera risken för bedrägerier och vi har organiserat dessa strategier i tre avsnitt: onboarding, övervakning och begränsning.

Onboarding

Onboarding av konton eller säljare är din chans att samla in så mycket information du kan för att verifiera legitimiteten hos ett företag. För att förhindra risken för bedrägeri finns det dock ytterligare faktorer som du måste ta hänsyn till, till exempel att dubbelkolla befintliga och tidigare avvisade konton för att identifiera dubblettkonton.

  • Bedöm risker: Bekräfta en säljares identitet under onboarding och se till att deras företag är legitim. Undersök säljarens profiler i sociala medier, samla in lämpliga företagslicenser, granska deras webbplats (leta efter varningstecken som webbplatser skapade efter mallar, kopierat språk från andra webbplatser osv.) och verifiera plattformslämplig information, till exempel en fysisk adress, inventarielista eller försäljningshistorik.

  • Kontroller dubblettkonton: Bedrägliga aktörer kan öppna flera konton på din plattform. För att förhindra detta bör du kontrollera om det finns duplicerad kontoinformation som är kopplad till tidigare avvisade konton (t.ex. bankkontoinformation, skatteinformation eller namn och födelsedatum). Du kan också överväga länkar mellan konton, till exempel flera konton från samma IP-adress eller e-postdomän.

  • Samla in reserver: Reservera en viss summa pengar som säkerhet för potentiellt riskabla säljare. Du kan frigöra reserven över tid när säljare etablerar en positiv behandlingshistorik med dig.

Övervakning

Bedrägliga säljare kan ta sig tid att etablera en positiv historik på din plattform innan de begår bedrägeri, vilket understryker vikten av kontinuerlig övervakning. Skaffa förståelse för hur normal säljaraktivitet ser ut, konfigurera varningar för avvikelseupptäckter för att hitta större ändringar eller toppar och var redo att begära ytterligare information om du ser misstänkt aktivitet.

  • Identifiera normalt beteende: Övervaka dina säljares aktivitet för att förstå deras typiska beteende. Vad är deras genomsnittliga månatliga transaktionsvolym? Vilka är deras genomsnittliga återkreditering- och tvistfrekvenser? Detta ger ett riktmärke mot vilket du kan leta efter misstänkt beteende (t.ex. debiteringsstorlek och frekvens) och vidta lämpliga åtgärder.

  • Anpassa varningar: Skapa regelbaserade varningar för att övervaka mer riskfyllda säljare så att du snabbt kan justera din riskhanteringsstrategi. Titta på bekräftade bedrägliga säljare för att hitta eventuella mönster i deras aktivitet för att hjälpa dig att justera och anpassa dina varningar.

  • Begär ytterligare information: Om du observerar misstänkt transaktionsbeteende ska du kontakta säljaren för mer information. Du kan begära fakturor, lagerfoton eller spårningsnummer.

Åtgärder

När du har förståelse för riskprofilerna för dina nya och befintliga säljare kan du börja hantera din exponering proaktivt. För säljare som verkar mer benägna att utgöra en risk för din plattform kan du till exempel ändra ditt utbetalningsschema och uppmuntra dem att ändra hur återbetalningar och återkrediteringar.

  • Skjut upp utbetalningar: Skjut upp utbetalningar tills du blir bekant med säljarnas genomsnittliga volymer och andel återkrediteringar (chargebacks). Du kan till och med länka utbetalningsschemat till säljarens riskkategori – ju högre riskkategori, desto längre utbetalningsschema. För varor och tjänster som inte tillhandahålls omedelbart kan du hålla inne utbetalningar tills de levereras. Detta minskar sannolikheten för återkrediteringar och återbetalningar eftersom du kan bekräfta att kunderna fick vad de betalade för innan medlen frigörs.

  • Förhindra carding-attacker: Du kan identifiera de flesta carding-aktiviteterna när betydande ökning av nekanden (dessa avslag kategoriseras som 402-fel i loggar över misslyckade begäranden) inträffar. För att förhindra dessa attacker bör du införa ytterligare säkerhetsåtgärder i kassan, till exempel CAPTCHA.

Riskhanteringsstrategier för kontokapningar

Du kan personligen bekräfta legitimiteten för varje säljare som använder din plattform och fortfarande vara mottaglig för betalningsbedrägerier i form av kontokapningar. Skadliga tredje parter alltid kommer att finnas på internet, men du kan investera i strikta säkerhets- och identifieringsinsatser för att förhindra att dåliga aktörer hackar sig in på dina säljares konto.

  • Upprätthåll åtgärder för identitetsverifiering: Ett av de bästa sätten att förhindra kontokapning är att införa strikta åtgärder för säkerhets- och identitetsverifiering. Tillämpa till exempel unika lösenordspolicyer och implementera tvåfaktorsautentisering vid inloggning.

  • Övervaka misstänkt aktivitet: Det är viktigt att förstå tecknen på en kontokapning så att du omedelbart kan pausa utbetalningar. Vanliga tecken på kontokapning är en stor ökning av behandlingsvolymer eller den genomsnittliga beställningsstorleken, eller inloggningar från nya enheter eller icke-lokala IP-adresser.

Dina riskhanteringsalternativ med Stripe

Plattformar som använder Stripe har två alternativ när det gäller riskhantering: 1) Du kan låta Stripe hjälpa till att hantera betalningsrisker åt dig eller 2) du kan ta på dig riskhanteringen själv. Den mest populära metoden är att låta Stripe hjälpa till att hantera betalningsrisker åt dig, vilket minskar driftskostnaderna och din exponering. MedStripe Managed Risk drar du nytta av vår omfattande riskhanteringslösning, som inkluderar löpande övervakning och begränsning av kredit- och bedrägeririsker. Stripe övervakar och hanterar aktivt risker för din räkning, inklusive att täcka oåterkalleliga negativa saldon som tillskrivs företag på din plattform. Det här alternativet är perfekt när du vill avlasta riskhanteringen, så att du kan fokusera på dina kärnprioriteringar, oavsett din riskexpertis.

För att hjälpa företag att anpassa sig till en snabbt digitaliserad ekonomi samarbetade Salesforce – ett av världens största programvaruföretag – med Stripe för att lansera Salesforce Commerce Cloud. Med betalningar utanför deras kärnkompetens avlastade Salesforce riskhanteringen till Stripe så att de kunde fokusera på att bygga en kraftfull handelslösning för sina kunder.

Om du har riskkompetens och en god förståelse för vilka dina säljare är kan du ta dig an riskhanteringen själv. Plattformar som väljer att hantera risker på egen hand har vanligtvis dedikerade drift- och teknikresurser för att bygga och underhålla en inhemsk lösning för bedrägerier, allokera tillräckligt med kapital för förluster som kan uppstå, integrera verktyg från tredje part och övervaka och rapportera om bedrägeriförluster.

Förutom att avsätta specifika team för riskhantering måste du samarbeta med andra interna avdelningar som kan påverkas av risker, inklusive:

  • Juridiskt team: En intern juridisk generalist eller juridisk specialist på betalningsprodukter måste hålla sig uppdaterad om relevanta lagar, förordningar och branschregler och samarbeta med tvärfunktionella team för att svara på revisioner och förfrågningar.

  • Supportteam: Interna kundserviceteam eller kundserviceteam från leverantörer måste vara beredda att svara på användares frågor som rör riskhanteringsaktiviteter, inklusive återkrediteringar, tvister och försenade utbetalningar.

När du själv hanterar risker kan du anpassa ditt tillvägagångssätt med Stripes kraftfulla uppsättning verktyg för förebyggande och övervakning, inklusive:

Förebygga konto- och transaktionsbedrägeri:Stripe Radar för plattformar erbjuder finansiellt riskskydd byggt för plattformar, med hjälp av AI tränad på Stripe-nätverket för att förhindra bedrägeri för betalningar och konton. Plattformar kan använda det här verktyget för att upptäcka och blockera potentiellt riskfyllda konton, ställa in regler på anpassad kontonivå och få tillgång till avancerad analys. Radars regelmotor är konfigurerbar för att vidta åtgärder på både konto- och transaktionsnivå och hjälper plattformar att skräddarsy sitt skydd mot bedrägeri efter företagets behov. Stripe tillhandahåller löpande kontokontroll för att blockera bedrägliga anslutna konton vid onboarding och ge skydd mot potentiella kontokapningar.

Genomföra onboarding av konton: Registrera konton snabbt och säkert med förbyggda, konverteringsoptimerade användargränssnitt som på ett säkert sätt samlar in känsliga personuppgifter och identitetsdokument som behövs för verifiering. Stripe utnyttjar sin erfarenhet från att ha verifierat miljontals konton och använder egenutvecklade system för att enklare godkänna fler företag.Stripes onboarding-flöden uppdateras dynamiskt med ändrade regler och internationell plats, vilket ger en smidig onboarding när du växer och etablerar dig på nya marknader.

Verifiera identiteter: Plattformar som är särskilt mottagliga för professionella bedragare kan förhindra bedrägeriförluster från falska konton med Stripe Identity som programmatiskt bekräftar identiteten på globala säljare samtidigt som friktionen för legitima kunder minimeras.

Lyft fram information om tvister och återbetalningar: Övervaka hälsan (och risken) för dina säljare med förbyggda Stripe Dashboard som tillhandahåller en rad analyser och realtidsdiagram om prestandan för din plattform, eller använd Stripe Sigma för att snabbt analysera dina Stripe-data genom att skriva SQL-frågor direkt i Dashboard. Med strukturerad åtkomst till din data kan du identifiera vilka konton som behandlar flest tvister och återbetalningar och identifiera trender över tid. Bygg webhooks för att skapa varningar för potentiellt bedrägligt beteende och undersöka konton med negativa saldon eller hög andel återkrediteringar (chargebacks) eller återbetalningar.

Möjliggör flexibla utbetalningsscheman:Stripe Connect erbjuder ett antal olika alternativ för utbetalningsscheman som du kan använda beroende på dina säljares riskprofiler. Du kan välja att automatiskt få medel utbetalda direkt eller dagligen för etablerade säljare, eller ställ in ett anpassat utbetalningsschema för att sakta ner eller skjuta upp utbetalningar till konton med högre risk.

Om du vill veta mer om Stripes riskhanteringserbjudanden kan du kontakta vårt säljteam.

Är du redo att sätta i gång?

Skapa ett konto och börja ta emot betalningar – inga avtal eller bankuppgifter behövs – eller kontakta oss för att ta fram ett specialanpassat paket för ditt företag.
Radar

Radar

Stripes nätverk – ditt vapen i kampen mot bedrägeri.

Dokumentation om Radar

Använd Stripe Radar för att skydda ditt företag mot bedrägerier.