E-commerce y fraude online: guía para emprendedores

La presente crisis y la facilidad existente en la actualidad para montar una infraestructura de comercio online de manera rápida y barata,  están impulsando la aparición de nuevas iniciativas de comercio electrónico.  Los emprendedores en esta área suelen estar inicialmente focalizados en múltiples detalles de su iniciativa relacionados con la financiación,  la página web, el modelo de negocio, los márgenes, los proveedores, etc.  Sin embargo, hay otros aspectos en los que no se suele pensar inicialmente y que pueden tener impacto en los resultados de la iniciativa si no se tienen en cuenta; por ejemplo, el fraude al que el negocio se verá sometido y los modos de gestionarlo.

Con este post vamos a iniciar una serie de artículos que pretendemos sirvan de ayuda en la gestión del fraude y el riesgo tecnológico a todas aquellas personas inmersas en el proceso de poner en marcha un negocio online.

Contexto del problema

De acuerdo con el Informe sobre Medios de pago y Fraude en Comercio Electrónico de 2012 elaborado por la Asociación Española de la Economía Digital (Adigital) a partir de la encuesta a 317 comercios electrónicos:

  • El 85% de las empresas encuestadas declaran unas pérdidas anuales por fraude por debajo del 0,5 % de su facturación anual; es decir, según estos datos el fraude no parece hoy por hoy un gran problema para los comercios electrónicos Españoles.  
  • Sólo un 25% de las empresas encuestadas declaran utilizar algún sistema de control de fraude.
  • El  90% de las empresas encuestadas  declaran una inversión menor o igual a 5.000 euros anuales en cuestiones relacionadas con la gestión del fraude.

Hay que tener en cuenta, sin embargo, que el fraude está muy vinculado:

  • Al producto o servicio que se ofrece: no es de esperar el mismo nivel de operaciones fraudulentas en comercios que venden electrónica de consumo o billetes de avión que en aquellos en los que se comercializan muebles o alimentos.
  • Con la notoriedad y volumen de negocio del comercio.

Ante este contexto, una forma muy pragmática y plausible de abordar el problema es estimar las pérdidas anuales que se esperen sufrir y repercutirlas de manera diluida en el precio de los productos sin hacer nada más al respecto.  Quizás esto sea una opción en los momentos iniciales o si se espera una baja facturación.  Sin embargo, aunque la prevalencia del problema sea actualmente baja, en mi opinión, y sin ánimo caer en el fatalismo o la paranoia, conviene estar vigilante ante este tema ya que como ya ocurrió con el fraude en transferencias online en el sector de la banca, el nivel de riesgo puede dispararse en poco tiempo y sin previo aviso. Además, el entorno de crisis global en que nos movemos hace previsible que aumente el número de personas que por necesidad estén motivadas a participar en operaciones fraudulentas…

Como siempre en lo que se refiere a gestión de riesgos de negocio, se trata de aplicar el sentido común y establecer mecanismos de control que permitan contener el problema y a un coste razonable que no impacte negativamente en el negocio. Si los defraudadores consideran que nuestro negocio es difícil de defraudar, tenderán a buscar su beneficio por otros sitios…

Fraudes más frecuentes

Los fraudes más frecuentes a los que se enfrenta el comercio online son:

  • Compras online pagadas  con números de tarjeta (crédito o débito) robadas.
  • Compras online pagadas con cupones/tarjetas regalo adquiridos de manera fraudulenta (ej: cupones pagados con tarjetas robadas, bien en medios online o en establecimientos “físicos”).
  • Compra online realizada por una persona usando medios legítimos de pago (tarjeta, etc…). Después la persona hace una reclamación no recociendo haber realizado tal compra o indicando que habiéndola realizado, nunca ha recibido la mercancía. Este tipo de fraude es conocido como “Fraude Amistoso” (Friendly fraud)
  • Compra realizada fraudulentamente por alguien que ha suplantado en la web la identidad de un cliente legítimo previamente registrado en el comercio; por ejemplo, habiéndole robado la contraseña de acceso a la tienda mediante phising,  malware..

Obviamente, el problema principal sucede cuando un cliente reclama a su banco una compra fraudulenta con su tarjeta. En estos casos, el banco de la víctima retrocede el importe y a su vez, el banco del vendedor le retrocederá a éste el abono.  En este caso el vendedor ya habrá realizado el envío de la mercancía y tendrá que asumir la pérdida. Además, la reputación del vendedor puede verse afectada al trascender estos incidentes en los medios, lo que conllevaría la pérdida de oportunidades de venta futuras.

Entre los costes directos e indirectos del fraude a las tiendas online podemos citar:

  • Pérdida de mercaderías
  • Costes de empaquetado y envío
  • Comisiones cobradas por los bancos por retrocesión de operaciones
  • Costes derivados del tiempo que los empleados dedican a gestionar estos incidentes
  • Gestión de liquidez

Medios de pago y control del fraude

Una forma factible de reducir la probabilidad de fraude, aunque muy poco práctica desde la perspectiva de negocio,  es limitar los modos de pago a aquellos que presentan menos oportunidades de fraude; por ejemplo, el contra-reembolso, o admitir únicamente pagos por transferencia y no procesar el envío hasta disponer del dinero.  Es evidente que estas  opciones restarán competitividad al comercio; por ejemplo, en el caso de transferencias, se  demora en exceso el envío y el riesgo se traslada al cliente que puede temer perder el dinero y no recibir el pedido. Claramente esta estrategia  reducirá drásticamente las oportunidades de negocio y la tasa de conversión. En general, por el contrario,  lo recomendable es que el comercio online ponga al servicio del cliente un amplio abanico de medios de pago.

Para aquellos comercios que están iniciando su actividad y/o tengan poca facturación, la opción más recomendable es que deleguen en terceros toda la tramitación del pago y una monitorización básica (y obviamente no infalible) de fraude. Entre las opciones más frecuentes de delegación total del proceso podemos citar:

  • PayPal u otras pasarelas similares (ej: 2CheckOut). Ambos ofrecen un buen servicio de monitorización del fraude, notificando al vendedor por correo electrónico en caso de detección de parámetros sospechosos de la operación.  Estas pasarelas son relativamente sencillas de implementar y permiten procesar pagos con tarjetas de crédito. El principal inconveniente es el porcentaje que se cobra por operación procesada, lo que hace que dejen de ser opciones atractivas a medida que aumenta la facturación del negocio.
  • Otra alternativa es la contratación con una entidad financiera de un TPV virtual, lo que permitirá gestionar el pago con tarjetas de crédito / débito y beneficiarse de los análisis estándar anti-fraude de los procesadores. Los costes de los TPV disminuyen en relación con la facturación del comercio y con la capacidad de este de negociar con su entidad financiera. Sin embargo, en algunos casos, en empresas que están iniciando su actividad, éstas pueden tener dificultades para que una entidad financiera les conceda una pasarela de TPV virtual.

Estas alternativas tienen la ventaja añadida de que evitan al comercio tener que almacenar datos sensibles del pago (ej: números de tarjeta), lo que elimina  el riesgo de que el negocio pueda sufrir pérdidas como consecuencia de ataques informáticos y evita tener que incurrir en excesivos costes de seguridad.  Además, como hemos dicho, los proveedores de estos servicios tienen sus propios mecanismos de monitorización de fraude, de lo que se pueden beneficiar los comercios; por ejemplo, siendo alertados sobre operaciones realizadas desde ubicaciones geográficas o direcciones  de envío no coherentes con las del titular.

Secure 3D (Verified by VISA y Mastercard Secure Code)

A pesar de todo y como ya hemos dicho, en caso de que el titular de la tarjeta no reconozca el cargo, entonces los bancos intervinientes retrocederán la operación y el comercio tendrá que asumir la pérdida.  Para mitigar esta situación, VISA y Mastercard pusieron en marcha la iniciativa Secure 3D. Con este sistema, el riesgo es transferido a la entidad bancaria que ha emitido la tarjeta ya que para hacer uso de ella, el usuario tiene que introducir una contraseña en la web del banco o del operador de tarjetas. 

Con esta opción, en caso de cargo no reconocido, la pérdida la asumirá la entidad financiera que ha emitido la tarjeta y no el comercio. Por este motivo, algunos comercios online optan por admitir únicamente el pago con tarjetas que tengan activado este mecanismo de seguridad.

Sin embargo, si bien esta decisión es muy eficaz desde la perspectiva de eliminación del riesgo de fraude, puede tener considerables impactos de negocio. Está demostrado que el nivel de conversión de ventas cae significativamente  cuando se usa el pago con 3D Secure, debido principalmente a cuestiones de usabilidad por una lado, ya que los clientes suelen olvidar la contraseña que eligieron a la hora de activar el servicio  y, por otro, a que todos aquellos clientes potenciales que no tengan activado el servicio no podrán comprar en nuestra web.

Según datos del ya citado Informe sobre Medios de pago y Fraude en Comercio Electrónico de 2012, la tasa de abandonos del carrito de la compra asciende al 23% cuando se usa 3D Secure, en contraste con el 11,50% cuando se compara con otras modalidades.  Por ello, y por la ya referida baja prevalencia actual del fraude, la mayor parte de los comercios no opta por esta opción o la aplica solamente en casos de compras de elevado importe (ej: un dato interesante es que 3D Secure es requerido mayoritariamente por los comercios online del sector de la electrónica de consumo e informática).  

Otro importante factor a tener en cuenta cuando se opta por una subcontratación total del proceso de pagos, es que el comercio pierde la oportunidad de establecer una relación más personalizada con el cliente; por ejemplo, registrando los datos de pago del mismo en la primera compra y usando esta información para proporcionarle una experiencia del tipo “Comprar con un Click” en compras sucesivas. Esta compra en un solo click proporciona una mayor tranquilidad al cliente que no tiene que  teclear sus datos de tarjeta cada vez que compre, aumentando la usabilidad, la conversión y reforzando la fidelización del cliente.

Sin embargo, hay que ser conscientes de que el tomar el control de la gestión del proceso de pago y el registro del usuario conlleva almacenar en nuestra base de datos información sobre las tarjetas de los clientes, lo que implica una gran responsabilidad y estar en condiciones de cumplir con los requisitos de seguridad exigidos (ej: normativa PCI – Payment Card Industry).  Personalmente  recomiendo a aquellas empresas que comienzan su andadura que, si no están en disposición de asumir la inversión de seguridad de sistemas necesaria y desean mantener contenidos los costes y la complejidad, que eviten (al menos inicialmente)  el tener que almacenar y responsabilizarse de datos relacionados con medios de pago en sus sistemas.

No obstante, en caso de optar por el control del proceso de pagos, el comercio estará en disposición de recopilar por sí mismo los datos del cliente y del medio de pago y enviar directamente esta información al procesador de tarjetas.  Esta opción brinda la posibilidad de que el comerciante contrate y haga uso de algunos servicios muy útiles en la prevención del fraude como son:

Address Verification Service (AVS): Permite al comercio comprobar a partir de una consulta al procesador de tarjetas, si la dirección de envío del pedido coincide o no con la que tiene registrado el emisor de la tarjeta.

Validación de Códigos de Seguridad de Tarjetas: Da la opción de enviar, junto con la petición de autorización del pago, el código CVV2 de las tarjeta Visa, el CVC2 de las Mastercard, de modo que el emisor de la tarjeta responde confirmando o no el dato. Esto da cierta garantía adicional de que el comprador tiene la tarjeta física.

Monitorización del fraude

Externalizar totalmente la gestión de los pagos y el control del fraude en terceros es una opción muy recomendable para comercios que están iniciando su actividad; sin embargo, esta decisión conlleva una pérdida de control del proceso que conviene valorar, sobre todo porque no es realista pensar que con ello se vaya a eliminar totalmente el fraude.

Proceso de escrutinio y clasificación

Los comercios deberán establecer, aunque sea de manera un tanto informal,  algún sistema propio de  revisión de operaciones para gestionar las alertas que notifica el proveedor de servicios.  Este sistema propio de revisión, si se diseña adecuadamente,  puede permitir además maximizar la capacidad de detección temprana de fraude por parte del comercio, como complemento de la monitorización delegada en terceros, permitiendo un cierto ahorro de costes.

En la medida en que sea posible, esta revisión de las operaciones debería poder realizarse en tiempo real y de manera automatizada en el mismo momento en que se están dando de alta las órdenes en la aplicación web de la tienda. El objetivo  es calcular una puntuación del riesgo del fraude potencial de la operación y usando para su cálculo toda la información de contexto de que se puede disponer. Esta puntuación se usará para priorizar análisis posteriores más detallados.

El valor que aporta la integración de este proceso  como cálculo en tiempo real dentro del propio sistema,  es que nos puede permitir no sólo bloquear operaciones fraudulentas antes siquiera de que se llegue al momento del pago, sino ahorrar costes, modulando las distintas opciones de pago que para una operación en concreto estarán o no disponibles. Por ejemplo, para una operación de bajo riesgo, podría estar disponible el pago con tarjeta normal, mientras que para otra clasificada como de riesgo potencial medio-alto, podríamos decidir aceptar solamente tarjetas con 3D Secure activado. Obviamente esto implica que el comercio tiene capacidad técnica y control directo sobre los sistemas e infraestructuras  en los que se apoya su negocio. Es importante tener en cuenta que en el caso de que el comercio venda bienes digitales (archivos de música, software, etc…), el escrutinio online es casi la única alternativa efectiva de prevención, ya que la entrega de la mercancía es irreversible e inmediata y no se dispone del margen de tiempo disponible cuando se trata de mercancías físicas.

Pero, ¿cuál es la información de contexto que más frecuentemente se suele analizar para calcular el riesgo potencial de fraude de una operación?  Los indicadores más básicos y frecuentes usados son:

  • Clientes Nuevos: A diferencia de lo que ocurre cuando la operación es realizada por un cliente ya conocido para el comercio y del que se tiene un historial de compras anteriores, el riesgo potencial de la operación aumenta en el caso de nuevos clientes.  En estos casos habrá que analizar en su conjunto otras variables de la operación para determinar el nivel de riesgo global. Por ejemplo, es un cliente nuevo que hace una compra de importe muy elevado, solicitando envío urgente al extranjero…
  • Localización de la IP de la conexión: Contar con algún mecanismo que nos permita ubicar la localización de la IP de la conexión y compararla con la del domicilio de entrega puede ser una pista de que algo puede no estar claro…
  • Análisis de datos del dispositivo (Device Fingerprinting): Implica la capacidad de analizar detalles técnicos del dispositivo usado para la conexión. Ello permite, por ejemplo, verificar que el lenguaje del sistema operativo y/o la hora del sistema del dispositivo difiere de los valores esperados en virtud del tipo de cliente (por ejemplo, el lenguaje configurado en el dispositivo es el chino-madarín, mientras que el cliente es europeo…).
  • Coincidencias de datos: Permite detectar operaciones que muestran coincidencias sospechosas; por ejemplo, compras realizadas presuntamente por diferentes clientes que todas ellas tienen la misma dirección de envío, o múltiples compras de clientes distintos en los que coincide la dirección IP de la conexión o la tarjeta usada para el pago. En estos casos, aprenderemos con el tiempo a discriminar falsos positivos; por ejemplo, la coincidencia de la IP de origen se debe a que las compras son de varios empleados de una misma empresa y usan el mismo proxy para navegar…
  • Desviaciones de las pautas normales: Consiste en revisar de manera detallada aquellas operaciones que son excepcionales en comparación con los patrones de compra habitual; por ejemplo, un cliente conocido que realiza compras en número e importe muy superior al habitual y/o con un domicilio de entrega distinto del habitual. Múltiples operaciones concentradas en un corto periodo de tiempo y que suman un alto importe.
  • Listas negras: Verificación de si el cliente, la dirección de envío o algún otro dato de la operación está incluido en algún tipo de lista negra que el comercio maneja, donde se registran datos de operaciones fraudulentas anteriores.

Una vez claros y establecidos los criterios en base a los cuales se clasificarán las operaciones en base a su riesgo potencial, se trata de gestionar aquellas que tienen mayor nivel de riesgo percibido. Aquí el personal encargado deberá ir afinando su pericia para lograr legitimar en el menor tiempo las operaciones, llegando en algunos casos a hacer llamadas de confirmación al cliente ya conocido (por ejemplo, cuando la dirección de destino es diferente a la habitual). En otros casos, lo que se logrará es detectar y abortar operaciones fraudulentas.

No obstante, nunca hay que perder de vista que la prevención del fraude online tiene mucho de juego de probabilidades y de “juego del gato y el ratón”; es decir, analizando estas variables seremos capaces de detectar un determinado número de casos de fraude (normalmente aquellos que están organizados con menos recursos);  sin embargo, las redes organizadas de defraudadores suelen adaptar sus métodos para maximizar su probabilidad de éxito y esto obligará a revisar con cierta periodicidad el modelo para adaptarlo a las nuevas técnicas de fraude. Dedicaremos otro artículo en el futuro a profundizar con mayor detalle en los métodos más comúnmente usados por los defraudadores.

Bien, esperamos haber cumplido nuestro objetivo y que este artículo sea de utilidad para alguien. Una abrazo a todos y hasta pronto.

Deja un comentario