Presentación de Jordi Pascual, director de ecommerce Banc Sabadell, para Digital Payments'14 (III Foro de medios de pago y fraude online), celebrado el 5 de marzo de 2014 en Madrid.
Organizado por adigital.
1. TALLER:
Gestión del fraude en
eCommerce
Jordi Pascual
Director eCommerce
pascualjor@bancsabadell.com
Jose Luís Gonzalez Casellas
Especialista eCommerce Madrid
gonzalezjosel@bancsabadell.com
BancSabadell.com/eCommerce
3. GESTION DEL FRAUDE Gestores
• El propio comercio.
• El banco adquirente.
• Una tercera empresa especializada (IPSP, MSP,
“Fraud-scrubbing” company, ...), contratada por el
comercio.
¿Quien puede gestionar el fraude?
4. • Pérdidas económicas y reputacionales.
• Consecuencias por incumplimiento de los programas de
monitorización del banco adquirente y Marcas de Tarjetas.
• Basados en CONTENIDOS
• Basados en CHARGE-BACKS
• Basados en FRAUDE CONFIRMADO
Pero …
GESTION DEL FRAUDE Sensibilización al fraude
No todos los comercios están sensibilizados
7. • Disponer de una base de datos, consultable antes de procesar
cada operación, de CLIENTES REGISTRADOS o de NUMEROS
DE TARJETAS (solo comercios certificados en programa PCI)
que, por su vinculación con el comercio (p.ej. tarjetas
corporativas de empresas de los que el comercio es un
proveedor habitual) o por ser clientes con un largo historial
de compras sin incidencias; se les permita realizar nuevos
pagos pero con un control mínimo de parámetros antifraude.
• La idea es que a un cliente VIP, debidamente identificado,
nunca se le deniegue ningún pago por estar afectado por un
parámetro antifraude general y riguroso.
LISTAS BLANCAS
GESTION DEL FRAUDE
8. •Disponer de una base de datos, consultable antes de enviar cada operación al
banco, de usuarios con un historial inaceptable de incidencias de facturación.
•Dichas incidencias puede ser:
•Operaciones anteriores reportadas como Fraude Confirmado.
•Charge-backs reclamados por el cliente por motivos no justificables, o
bien, asociados a Fraude.
•Autorizaciones denegadas por el banco emisor de la tarjeta por motivos
relacionados con fraude.
•Usuarios que en operaciones anteriores el sistema antifraude del comercio
los clasificó con un “scoring de riesgo” inaceptable.
•Los parámetros que habitualmente se incluyen en listas negras suelen ser:
• Datos de registro del usuario (User Id,. Nombre, Teléfono, Dirección, E-
mail, …).
• Datos de registro del receptor del servicio/producto (nombre de los
viajeros si es Agencia de viajes o similar, domicilio de entrega de
producto, teléfono de contacto, …)
• Numero de tarjeta (solo comercios certificados en el programa PCI).
• Dirección IP del comprador. Esta práctica es útil solo en países donde el
uso de IP dinámicas no está muy extendido.
• Recientemente algunas empresas ofertan software de reconocimiento del
Hardware/MAC address (o similar) de los PCs de los compradores.
LISTAS NEGRAS
GESTION DEL FRAUDE
9. • Son filtros antifraude basados en el NUMERO DE
OPERACIONES y el IMPORTE ACUMULADO, dentro de un
PERÍODO ESTABLECIDO (por operación, diario, semanal, …),
que exceden un indicador riesgo.
• Estos indicadores pueden ser:
• Datos de registro del usuario (User Id., Nombre, …).
• Datos de registro del receptor del servicio/producto
(nombre de los viajeros si es Agencia de viajes o similar,
domicilio de entrega de producto, teléfono contacto, …)
• Numero de tarjeta (solo comercios certificados en el
programa PCI).
• Posibles tarjetas generadas (los 12 primeros dígitos de
cada tarjeta son iguales)
• Dirección IP del comprador.
• Recientemente algunas empresas ofertan software de
reconocimiento del Hardware/MAC address (o similar) de
los PCs de los compradores.
VELOCITY
CHECKS
GESTION DEL FRAUDE
10. • Son validaciones automáticas basadas en reglas de comportamiento de los
compradores.
• El Fraud Screening que, según nuestra experiencia, permite un mejor
“afinamiento” de las reglas de comportamiento es aquel que asigna un
Scoring o porcentaje de riesgo a cada incumplimiento.
• Adjuntamos lista de diferentes reglas de comportamiento a tener en
cuenta:
• Un mismo dato referido al usuario (dirección IP, User Id., Nombre,
Teléfono, Dirección, E-mail, …) que excede un numero razonable de
transacciones con Números de Tarjetas diferentes durante un período
de tiempo.
• Un mismo dato referido al receptor del servicio/producto (nombre de
los viajeros si es Agencia de viajes o similar, domicilio de entrega de
producto, teléfono de contacto, …) que excede un numero razonable
de transacciones con Números de Tarjetas diferentes durante un
período de tiempo.
• Si el terminal ha rechazado la primera operación de un usuario
registrado, IP o Números de Tarjeta, verificar que no se han
procesado más operaciones con los mismos datos pero por importes
más bajos.
• Comparar la geolocalización de la tarjeta con la IP del usuario o la del
país de registro.
• ...
RULES-BASED FRAUD
SCREENING
GESTION DEL FRAUDE
11. • Comprobar la validez de los datos de registro del cliente:
• Validar los números de teléfono usando directorios de teléfonos.
• Validar que el código del teléfono y/o su prefijo coincide con el área
geográfica de la dirección de envío del pedido.
• Validar la correspondencia entre el código postal y la ciudad del envío.
• Validar la dirección email enviando una orden de confirmación.
• Validar que los datos de registro (nombre, dirección, …) no son del
tipo “slang” (Por ej.; poner como nombre “Mickey Mouse”) o, a través
de filtros ortográficos chequear que no se introducen nombres
imposibles .
• Pedidos sospechosos:
• Pedidos consistentes en múltiples cantidades del mismo producto.
• Pedidos de importe superior al estándar.
• Pedidos en los que la entrega ha de ser urgente, o incluso “para el día
siguiente”. Los delincuentes quieren estos productos obtenidos
fraudulentamente tan pronto como sea posible, para una posible
reventa y no están preocupados por el sobrecoste del envío.
• Pedidos de productos de alto importe. Estos productos tienen un alto
valor de reventa.
• Pedidos enviados a direcciones de países no habituales para el
comercio.
RULES-BASED FRAUD
SCREENING
GESTION DEL FRAUDE
12. • Al procesar la solicitud de autorización para el pago con la
tarjeta, el banco emisor de la tarjeta rechaza aquellas en las
que su cliente tiene incidencias financieras, de fraude o
referidas a las prestaciones de su tarjeta.
• Validación CVV2 (3 dígitos de seguridad impresos en el
reverso de cada tarjeta).
• AVS (Address Verification Service). Sistema por el que el
banco emisor valida la dirección y código postal del titular de
la tarjeta. Solo es válido para titulares de USA, Canadá y UK.
• Soluciones de autenticación de clientes basados en
protocolos 3D Secure.
PROCESAMIENTO DE LA OPERACION
CON EL BANCO ADQUIRENTE
GESTION DEL FRAUDE
16. INFORMACION
CONTABLE
(LIQUIDACION
OPERACIONES,
DEVOLUCIONES Y
CHARGEBACKS CARGADOS)
CHARGEBACKS
RECIBIDOS
“CONFIRMED
FRAUD” RECIBIDO
PETICIONES DE
FOTOCOPIA O
INFORMACION
• Seleccionar charge-backs relacionados con fraude.
• Evitar, si es posible, entrega mercancia o servicio.
• Buscar en bb.dd. otras operaciones mismo cliente,
tarjeta, IP, usuario registrado, ...
• Activar listas negras.
• Hacer devolución si es posible.
• Contactar cliente para “despejar dudas”.
• Siempre contestar al banco emisor con el máximo
información disponible.
INFORMACION BANCO ADQUIRENTE
ACCIONES A REALIZAR
POR EL GESTOR DE FRAUDE
GESTION DEL FRAUDE