Riskminimering av ACH 101: En guide för företag

Radar
Radar

Stripes nätverk – ditt vapen i kampen mot bedrägeri.

Läs mer 
  1. Introduktion
  2. Hur fungerar ACH-betalningar?
  3. Betalningsbedrägeri via ACH
  4. Hur man identifierar vanliga ACH-risker
    1. Leverantörsbedrägeri och bedragare som utger sig för att vara en leverantör
    2. Bedrägerier begångna av anställda och interna hot
    3. Nätfiske och social engineering-attacker
  5. Så minskar man riskerna med ACH
    1. Kontroller före transaktion
    2. Autentisering och åtkomsthantering
    3. System för upptäckt och övervakning av bedrägerier
    4. Datasäkerhetsåtgärder
    5. Hantering av leverantörer och tredje part
    6. Utbildning och medvetenhet hos anställda
    7. Utveckling och efterlevnad av policyer
    8. Respons och återställning
  6. Regelefterlevnad och riskhantering för ACH
  7. Så hanterar man riskminimering av ACH med Stripe
    1. Använd Stripes inbyggda riskhanteringsverktyg
    2. Förbättra due diligence av kunder (CDD)
    3. Övervaka och analysera transaktionsdata
    4. Optimera hanteringen av tvister
    5. Håll dig informerad och anpassa dig

ACH-betalningar är elektroniska betalningar som görs via ACH-nätverket, ett USA-baserat system för finansiella transaktioner. Detta system hanterar en stor mängd transaktioner, bland annat direktinsättningar från arbetsgivare, betalningar till uppdragstagare och leverantörer, konsumenttransaktioner som fakturering av ex. el och vatten, försäkringspremier och betalningar mellan privatpersoner.

ACH-betalningar behandlas i batcher och tar vanligtvis en till tre arbetsdagar att slutföra. De är ett kostnadseffektivt sätt för företag att överföra medel utan att använda checkar, banköverföringar eller kortbetalningsnätverk. Först initierar avsändaren en betalning, och sedan förbereder och behandlar finansinstitut den via ACH-nätverket för insättning på mottagarens bankkonto.

Denna typ av betalning medför dock vissa risker. I en undersökning från 2022 rapporterade 30 % av företagen att de upplevt bedrägerier via ACH-debiteringar och ACH-krediter. Nedan förklarar vi hur man identifierar vanliga ACH-risker, minskar dessa risker och hur man hanterar riskminimering av ACH med Stripe.

Vad innehåller den här artikeln?

  • Hur fungerar ACH-betalningar?
  • Betalningsbedrägeri via ACH
  • Hur man identifierar vanliga ACH-risker
  • Hur man minskar riskerna med ACH
  • Regelefterlevnad och riskhantering av ACH
  • Så hanterar man riskminimering av ACH med Stripe

Hur fungerar ACH-betalningar?

ACH-betalningar överförs elektroniskt mellan banker via Automated Clearing House-nätverket. ACH-betalningar är tillförlitliga och kostnadseffektiva, med lägre avgifter än banköverföringar eller kreditkortbetalningar, och de är särskilt användbara för återkommande betalningar. Så här fungerar processen vanligtvis.

  • Auktorisering: Betalningsavsändaren måste först få ett godkännande från betalningsmottagaren för att initiera en ACH-debitering eller kreditering. Betalningsmottagaren kan godkänna detta via ett undertecknat formulär, ett onlinebetalningsavtal eller ett muntligt avtal.

  • Betalningsinitiering: När auktoriseringen är klar kommer betalningsavsändaren (som kan vara ett företag, ett myndighetsorgan eller en privatperson) knappa in betalningsinformationen i sitt banksystem. Detta inkluderar transaktionsbeloppet, mottagarens bankkontouppgifter och datumet då överföringen ska ske.

  • Batchbearbetning: Uppdragsgivarens bank samlar alla utgående ACH-transaktioner i batcher vid förutbestämda tidpunkter under dagen. Den skickar sedan dessa batcher till en av ACH-operatörerna (antingen Federal Reserve eller The Clearing House).

  • Clearing: ACH-operatörerna sorterar transaktionerna och vidarebefordrar dem till mottagarens bank, kontrollerar att uppgifterna är korrekta och att betalningsmottagarens konto är giltigt för att ta emot medlen.

  • Avräkning: Medel överförs från uppdragsgivarens bankkonto till mottagarens bankkonto.

  • Bekräftelse: Både avsändaren och mottagaren får en bekräftelse på att transaktionen har behandlats. Företag uppdaterar sina leverantörs- eller kundreskontra i enlighet med detta.

Betalningsbedrägeri via ACH

Även om ACH-betalningar i allmänhet är säkra och bekväma, är de - precis som de flesta andra elektroniska betalningsmetoder utsatta för vissa typer av bedrägerier. Här är några vanliga sätt som bedrägerier kan ske på vid ACH-betalningar:

  • Obehöriga transaktioner: En bedräglig aktör initierar ACH- betalningar från ett offers konto utan dennes samtycke. Offrets bankkonto och clearingnummer kan kommas åt genom nätfiske, dataintrång eller skadlig programvara.

  • Kontokapningsbedrägeri: En bedräglig aktör får tillgång till offrets inloggningsuppgifter för internetbanken och ändrar sedan kontoinformationen för att omdirigera ACH-betalningar till sitt eget konto.

  • Kompromettering av företags e-post (BEC): Bedrägliga aktörer utger sig för att vara en betrodd enhet, t.ex. en leverantör eller en chef på företaget, och lurar anställda att göra obehöriga ACH-betalningar till deras konto.

  • Bedragare utger sig för att vara en leverantör: I likhet med BEC utger sig bedrägliga aktörer för att vara legitima leverantörer och skickar falska fakturor i hopp om att lura företag att göra ACH-betalningar till fel konto.

  • Bedrägliga återkrediteringar: En kund kan göra ett legitimt köp via ACH men sedan falskeligen påstå att transaktionen var obehörig och begära en återkreditering, vilket leder till ekonomisk förlust för säljaren.

  • Bedrägeri begånget av anställd: Anställda med tillgång till ett företags finansiella system kan initiera obehöriga ACH-betalningar för personlig vinning.

Hur man identifierar vanliga ACH-risker

Genom att övervaka följande tecken på potentiella bedrägerier kan du stoppa bedrägerier innan de inträffar:

Leverantörsbedrägeri och bedragare som utger sig för att vara en leverantör

  • Oväntade förändringar i leverantörsinformation: Var försiktig om en leverantör plötsligt ändrar sina bankuppgifter eller kontaktinformation. Verifiera alltid dessa ändringar via en separat, betrodd kommunikationskanal innan du initierar några betalningar.

  • Oönskade fakturor via e-post: Var försiktig med e-postmeddelanden från obekanta leverantörer eller de med ovanliga e-postadresser. Verifiera att fakturan är legitim genom att kontakta säljaren direkt med hjälp av tidigare etablerad kontaktinformation.

  • Fakturaavvikelser: Leta efter avvikelser i fakturor, till exempel belopp som inte stämmer överens, olika logotyper eller ovanliga betalningsvillkor. Dubbelkolla dessa uppgifter mot tidigare fakturor eller avtal.

Bedrägerier begångna av anställda och interna hot

  • Ovanligt beteende hos anställda: Var uppmärksam på plötsliga förändringar i en anställds livsstil, ekonomiska svårigheter eller hemlighetsfullt beteende, särskilt avseende dem som har tillgång till finansiella system.

  • Obehöriga transaktioner: Granska regelbundet ACH:s transaktionsloggar för att se om det finns några betalningar som inte verkar stämma, till exempel stora belopp som skickas till okända konton eller transaktioner som sker utanför normal arbetstid.

Nätfiske och social engineering-attacker

  • Misstänkta e-postmeddelanden: Var försiktig med e-postmeddelanden som ger en känsla av brådska och pressar dig att vidta omedelbara åtgärder eller innehåller grammatiska fel och stavfel. Kontrollera alltid avsändarens identitet innan du klickar på länkar eller laddar ner bilagor.

  • Ovanliga förfrågningar: Om du får en oväntad begäran om känslig information, t.ex. bankkontouppgifter eller inloggningsuppgifter, ska du inte svara direkt. Kontakta den förmodade avsändaren via en annan kanal för att bekräfta att det är en legitim begäran.

Så minskar man riskerna med ACH

Genom att implementera följande säkerhetsåtgärder kan du minska ACH-riskerna och förebygga bedrägerier innan de inträffar.

Kontroller före transaktion

  • Transaktionsfiltrering och blockering: Skapa filter som begränsar ACH-transaktioner baserat på parametrar som belopp, transaktionstyp eller geografisk plats. Företag kan också sätta upp ACH-blockeringstjänster för att förhindra att obehöriga ACH-debiteringar bokförs på konton.

  • Dubbla godkännandeprocesser: Implementera ett system där flera godkännanden krävs för att initiera och slutföra transaktioner. Detta bör innefatta separata roller för registrering, verifiering och auktorisering av transaktioner.

Autentisering och åtkomsthantering

  • Multifaktorautentisering (MFA): Kräv MFA för åtkomst till finansiella system och för att genomföra transaktioner. Detta minskar risken för kontokapning med komprometterade inloggningsuppgifter.

  • Dedikerad finansiell infrastruktur: Använd dedikerade datorer för finansiella transaktioner som inte används för e-post eller webbsurfning för att minimera risken för nätfiske och skadlig programvara.

System för upptäckt och övervakning av bedrägerier

  • Kontinuerlig övervakning: Använd avancerade övervakningsverktyg som analyserar transaktionsmönster i realtid för att identifiera och flagga ovanliga aktiviteter för vidare granskning.

  • Algoritmer för upptäckt av avvikelser: Implementera maskininlärning eller regelbaserade algoritmer som kan identifiera avvikelser från typiska transaktionsmönster, vilket kan vara tidiga indikatorer på bedrägeri.

Datasäkerhetsåtgärder

  • Kryptering: Kryptera alla data relaterade till ACH-transaktioner, både i vila och i rörelse. Detta minimerar effekterna av potentiella dataintrång.

  • Regelbundna säkerhetsrevisioner: Genomför regelbundna revisioner av era IT-system och affärsprocesser för att identifiera och minska sårbarheter.

Hantering av leverantörer och tredje part

  • Riskbedömningar av tredje part: Utvärdera regelbundet säkerhets- och efterlevnadsprotokollen för tredjepartsleverantörer som har tillgång till dina finansiella system eller hanterar känsliga uppgifter.

  • Användaravtal och efterlevnad: Se till att alla avtal med leverantörer innehåller klausuler som innebär att de måste följa särskilda standarder för säkerhet och datahantering. Verifiera deras efterlevnad genom revisioner eller utvärderingar.

Utbildning och medvetenhet hos anställda

  • Regelbunden utbildning: Ge anställda fortlöpande utbildning om de senaste bedrägeritrenderna, nätfisketaktikerna och bästa praxis för säkerhetshygien.

  • Nätfiskesimuleringar: Genomför regelbundet simuleringar av nätfiskeattacker för att hjälpa medarbetarna att känna igen och reagera på skadliga e-postmeddelanden.

Utveckling och efterlevnad av policyer

  • Tydliga transaktionspolicyer: Utveckla tydliga policyer för ACH-transaktioner, inklusive förfaranden för initiering, auktorisering och avstämning.

  • Efterlevnad av regler: Håll dig uppdaterad och säkerställ efterlevnad av relevanta finansiella regler och standarder som styr ACH-transaktioner, till exempel de som fastställts av Nacha.

Respons och återställning

  • Plan för incidenthantering: Utarbeta en detaljerad plan för hantering av incidenter som beskriver vad som ska göras vid ett ACH-bedrägeri. Planen ska innehålla rutiner för att underrätta berörda parter, begränsa skadan och återfå förlorade medel.

  • Cyberförsäkring: Överväg att teckna en cyberförsäkring för att täcka de ekonomiska förluster och kostnader som uppstår i samband med en cyberattack eller bedrägeriincident.

  • Kommunikation: Om ett bedrägeri inträffar ska du vara transparent i kommunikationen med kunder, anställda och andra intressenter. Ta proaktivt itu med problem och visa ditt engagemang för säkerhet.

Regelefterlevnad och riskhantering för ACH

Vissa regler och standarder styr ACH-betalningar. Efterlevnad av dessa krav bidrar till att hantera ACH-risker och upprätthålla integriteten i elektroniska betalningssystem. Här är de viktigaste direktiven som styr ACH-betalningar.

  • Nachas driftsregler: Nacha styr ACH-nätverket och dess verksamhet, och Nachas driftsregler utgör ramverket för att överföra och avräkna ACH-betalningar. Alla deltagande finansinstitut och företag måste följa dessa regler.

  • Bank Secrecy Act (BSA): BSA har krav på rapportering och registerhållning som hjälper till att identifiera och förhindra penningtvättsaktiviteter. Företag måste implementera effektiva rutiner för att förhindra penningtvätt (AML) som omfattar övervakning, upptäckt och rapportering av misstänkta aktiviteter.

  • USA PATRIOT Act: USA PATRIOT Act bygger på BSA-kraven genom att införa strängare regler för finansiella transaktioner för att förhindra finansiering av terrorism. Den innehåller krav på identitetsverifiering och striktare due diligence.

  • Federal Financial Institutions Examination Council (FFIEC) riktlinjer: FFIEC ger vägledning om riskhanteringsmetoder inom finansinstitut, inklusive sådana som rör elektroniska betalningar och ACH-transaktioner.

  • Consumer Financial Protection Bureau (CFPB) regler: CFPB övervakar konsumentskyddet enligt Electronic Fund Transfer Act (EFTA), som reglerar rättigheter, skyldigheter och ansvar för de parter som är involverade i elektroniska överföringar av medel.

Så hanterar man riskminimering av ACH med Stripe

När du använder Stripe för ACH-betalningar finns det vissa verktyg du kan använda och bästa praxis du kan engagera dig i för att minska ACH-risk.

Använd Stripes inbyggda riskhanteringsverktyg

  • Stripe Radar: Detta bedrägeribekämpningsverktyg använder maskininlärning för att bedöma risken för varje ACH-betalning. Det blockerar automatiskt transaktioner med hög risk och flaggar misstänkt aktivitet för manuell granskning. Anpassa Stripe Radars regler till dina specifika affärsbehov, genom att justera trösklar för transaktionsvärden, hastighet och andra faktorer.

  • ACH-debiteringsauktorisation: Kräv att kunder godkänner ACH-debiteringar genom mikroinsättningar eller omedelbar bankdebitering, vilket bekräftar kontoägande och minskar risken för obehöriga transaktioner.

Förbättra due diligence av kunder (CDD)

  • Identitetsverifiering: Samla in och verifiera kundinformation som namn, adress och födelsedatum genom att använda Stripes verktyg för identitetsverifiering eller med hjälp av tredjepartsleverantörer.

  • Verifiering av företag: För företag, inhämta och verifiera relevant dokumentation, t.ex. företagslicenser, skatteregistreringsnummer och bolagsordning.

  • Riskbaserad autentisering: Implementera strängare autentiseringsåtgärder för högriskkunder eller transaktioner, till exempel genom att kräva ytterligare verifieringssteg eller begränsa transaktionsbeloppen.

Övervaka och analysera transaktionsdata

  • Stripe Dashboard: Granska regelbundet Stripe Dashboard för att få insikt i transaktionsmönster, andel återkrediteringar (chargebacks) och bedrägeriindikatorer.

  • Anpassad rapportering: Skapa anpassade rapporter för att analysera specifika datapunkter som typer av transaktioner, kundsegment eller geografiska platser och identifiera potentiella riskområden.

  • Tredjepartsverktyg: Överväg att integrera Stripe med tredjepartsplattformar som hanterar upptäckt och förebyggande av bedrägerier för förbättrade övervaknings- och analysfunktioner.

Optimera hanteringen av tvister

  • Tvistlösning: Upprätta en process för att hantera ACH-tvister, inklusive att svara på kundförfrågningar, samla in bevis och företräda ditt ärende inför Stripe eller relevant finansinstitut.

  • Tvistförebyggande: Ta proaktivt itu med potentiella problem genom att kommunicera med kunder via Stripe Invoicings automatiska e-postpåminnelser.

Håll dig informerad och anpassa dig

  • Stripe-uppdateringar: Håll dig uppdaterad med Stripes senaste produktlanseringar, säkerhetsförbättringar och bästa praxis för riskhantering.

  • Stripe Sigma: Om du har en stor volym av ACH-transaktioner eller komplexa riskhanteringsbehov, utforska Stripe Sigma för avancerad dataanalys och anpassade rapporteringsfunktioner.

  • Stripe-support: Använd Stripes supportresurser för vägledning om hur du implementerar bästa praxis och felsöker eventuella problem som kan uppstå.

Innehållet i den här artikeln är endast avsett för allmän information och utbildningsändamål och ska inte tolkas som juridisk eller skatterelaterad rådgivning. Stripe garanterar inte att informationen i artikeln är korrekt, fullständig, adekvat eller aktuell. Du bör söka råd från en kompetent advokat eller revisor som är licensierad att praktisera i din jurisdiktion för råd om din specifika situation.

Är du redo att sätta i gång?

Skapa ett konto och börja ta emot betalningar – inga avtal eller bankuppgifter behövs – eller kontakta oss för att ta fram ett specialanpassat paket för ditt företag.
Radar

Radar

Stripes nätverk – ditt vapen i kampen mot bedrägeri.

Dokumentation om Radar

Använd Stripe Radar för att skydda ditt företag mot bedrägerier.