Mejores prácticas para prevenir el fraude
Aprende a usar las mejores prácticas para protegerte contra las disputas y los pagos fraudulentos.
Crear una estrategia efectiva de prevención de fraude y disputas que se adapte mejor a tu empresa puede ayudar a que no haya fraudes. Si incluyes algunas de estas buenas prácticas en tu estrategia general, podrás evitar el exceso de contracargos y reducir la carga y las potenciales pérdidas del cliente.
Herramientas para todos
Estas son herramientas que los usuarios de Stripe, independientemente de que sean desarrolladores o no, e independientemente de que usen alguna herramienta especializada de Stripe, como Radar, pueden aprovechar para reducir la cantidad de incidentes relacionados con el fraude y las disputas.
Be clear and transparent with your customers
Hablar con claridad y establecer un contacto frecuente con los clientes puede ayudar a prevenir muchos de los motivos de las disputas. Al responder a los problemas y procesar los reembolsos o los pedidos de reemplazo rápidamente, es mucho menos probable que los clientes se tomen el tiempo para disputar un pago. Haz que la información de contacto de tu servicio al cliente sea fácil de encontrar, mantén a los clientes informados durante todo el proceso del pedido y envía novedades sobre las entregas.
Precaución
Debes incluir una descripción clara de tus políticas de rembolso y cancelación en las condiciones de uso. Puedes pedirles a tus usuarios que acepten las condiciones de uso para aumentar la probabilidad de que los emisores de tarjetas respeten tus políticas en caso de que surja una disputa.
En general, debes asegurarte de que las condiciones de uso y las políticas estén a la vista en tu sitio web, y pedirles a los clientes que den su conformidad. No te limites a ofrecer un enlace a ellas durante el proceso de finalización de compra; ofrece una versión completa de las condiciones de uso y las políticas en la página del proceso de finalización de compra o una ventana emergente con el requisito de aceptarlas antes de confirmar el pedido.
Los emisores de tarjetas pueden tener exigencias muy específicas en cuanto a cómo debes presentar tus políticas. Si tienes una casilla que solo contiene un enlace que el cliente debe aceptar, el emisor podría rechazarlo como evidencia suficiente de que tu cliente conocía tus políticas. Debe haber evidencia razonable que demuestre que tu cliente tuvo acceso a una copia completa de las políticas antes de hacer la compra.
Cuando envíes bienes tangibles a tus clientes, usa empresas y servicios de transporte que ofrezcan, en la medida de lo posible, seguimiento en línea y confirmación de la entrega. Proporciona esta información a tus clientes tan pronto como esté disponible (si necesitas presentar la información de seguimiento como evidencia en una disputa, ten en cuenta que los emisores de tarjetas no siguen ningún enlace, de modo que deben enviarse capturas de pantalla).
Define un nombre reconocible como descripción del cargo en el extracto bancario en la configuración de la cuenta. Te recomendamos usar el dominio de tu sitio web o el nombre de tu empresa para garantizar que los clientes puedan identificar su compra con facilidad cuando revisen su extracto bancario.
Las descripciones del cargo en el extracto bancario deben tener entre 5 y 22 caracteres; deben incluir, al menos, 5 letras, y no pueden contener los caracteres especiales
<
,>
,\
,'
, o"
.Evita usar la misma cuenta de Stripe para empresas distintas. Cada cuenta de Stripe debe representar una sola empresa, lo que permite diferenciar las descripciones del cargo en el extracto bancario y los datos de contacto. Si necesitas procesar pagos para varias empresas, crea cuentas adicionales para cada una de ellas.
Considera rembolsar con anticipación los pagos sospechosos
Debes rembolsar de inmediato los pagos que sepas con certeza que son fraudulentos (a menos que te cubra algún tipo de transferencia de responsabilidad, como sucede con 3D Secure). Si sabes que se iniciará una disputa por fraude por algún pago, para evitar la comisión por disputa, el aumento de tu tasa de disputas y la posible pérdida del producto, puedes reembolsar por completo el pago fraudulento.
Precaución
Si bien los clientes no pueden disputar los pagos rembolsados por completo, sí pueden disputar los pagos rembolsados de manera parcial. Las normas de las redes de tarjetas incluso permiten que un pago que se rembolsó de manera parcial se dispute por el importe total.
Sin embargo, en ocasiones puede suceder que sospeches que un pago es fraudulento, pero que no tengas certeza absoluta al respecto. A veces, tiene sentido rembolsar con rigurosidad cada cargo que se encuentre en esta área gris y, a veces, no lo tiene.
Quizás te convenga implementar una estrategia de rembolso rigurosa en las siguientes situaciones:
- Order not yet fulfilled. The loss of your product could be prevented by a refund. That is, if you haven’t already committed your product or service in some irreversible way by the time you suspect fraud, you might want to be more aggressive in refunding. Whereas if your product or service was irretrievable—for example, the product already shipped, or the service has already been used—it might make more sense not to refund, and to wait and see if it does turn out to be fraud.
- Disputas excesivas. Tu actividad de disputas reciente ha sido excesiva según las definiciones de la red de tarjetas, lo que podría poner en riesgo tu cuenta con Stripe o tu identificación en un programa de monitoreo de contracargos.
- Programa de monitoreo de contracargos. Ya estás en un programa de monitoreo de contracargos y necesitas salir del programa.
- Empresa nueva o pequeña. Tu empresa tiene un volumen de pagos lo suficientemente pequeño (por ejemplo, menos de 100 pagos por mes) como para que una o dos disputas por fraude puedan tener un impacto muy grande en tu tasa de disputas, incluso si tienes poca actividad de disputas.
Si ninguna de las situaciones anteriores se aplica, quizás te convenga ser más prudente con respecto a la frecuencia con la que rembolsas con anticipación cargos que sospechas que son fraudulentos.
Cómo rembolsar un pago por fraude
To refund a payment, in the Dashboard, select the payment and click Refund as fraud. This refunds the payment and reports it as fraudulent to Stripe so that we can further improve our fraud detection.
Retrasa el envío de pedidos
Si envías productos físicos, considera retrasar el envío de 24 a 48 horas. Este tiempo les da a los titulares de tarjeta la posibilidad de descubrir e informar cualquier fraude en sus cuentas. En este caso, recibirás una disputa por fraude de todos modos, pero al menos no perderás la mercadería. Sin embargo, no todos los titulares de tarjeta verifican sus extractos bancarios todos los días, y es posible que su emisor de tarjeta no los notifique preventivamente por la transacción.
Los clientes que solicitan un envío rápido o durante la noche deben considerarse de mayor riesgo, ya que el costo elevado de estos servicios es irrelevante para los estafadores. Una táctica que puedes usar para identificar pagos de este tipo consiste en ofrecer el envío en el mismo día o durante la noche a un costo muy alto, incluso más caro que cualquier otra opción de envío que ofreces.
Es mucho menos probable que un cliente legítimo pague un costo tan alto, pero un estafador querría que los productos se envíen lo antes posible y no le importaría el costo adicional. Puedes revisar manualmente a cualquier cliente que elija la opción de envío inusualmente costosa y evaluar el pedido en detalle para determinar si parece genuino. Usar un proceso independiente de autorización y captura junto con las revisiones de Radar es una buena manera de hacerlo.
Enviar a una dirección verificada
Hacer un envío a una dirección de facturación verificada que pasó las verificaciones de código postal y dirección física es la opción más segura. Cuando usas una dirección que no está verificada, no puedes probar que el pedido se envió al titular legítimo de tarjeta si, más tarde, se disputa el pago.
Esto no evita que hagas el envío a una dirección diferente, pero deberías hacer todo lo posible para mitigar los riesgos que implica. Por ejemplo, puedes querer enviar pedidos solamente a una dirección diferente para clientes que regresan y que ya sabes que son legítimos, o que proporcionan una dirección de facturación completamente verificable. Además, cualquiera de las siguientes opciones podría indicar que un pago es sospechoso:
- El pedido es mucho más grande de lo normal, o es solo de tus productos más caros
- El cliente cambió la dirección de envío después de hacer el pedido
- El cliente solicitó un envío rápido
- Los productos pedidos tienen un alto valor de reventa
- The shipping destination is different from the billing address or the card’s country of origin (for example, the billing address is in Spain, but the shipping address is in France)
Revisar el pedido y la información de la dirección de envío puede ayudarte a determinar si el pedido presenta un riesgo inaceptable para ti.
Comparación de tu tasa de disputas
La tasa de disputas de tu cuenta es una métrica importante que debes usar al revisar la eficacia de tus métodos de prevención de disputas y fraude. Puedes revisar regularmente estas métricas en tu Dashboard de Stripe para ver el impacto que están teniendo tus estrategias de prevención de disputas.
Herramientas para las personas que usan Radar para Equipos de Fraude
Radar es un paquete de funcionalidades y herramientas para combatir el fraude que forma parte de Stripe y no requiere ninguna integración adicional.
Revisa pagos manualmente
Radar para Equipos de Fraude incluye una funcionalidad de revisión que te permite revisar determinados pagos. De todos modos, ten en cuenta que estos pagos aún se procesan y el cargo se efectúa en la tarjeta de crédito, a menos que estés usando un proceso de autorización y captura independiente. Estos pagos ingresan en la cola de revisión para que puedas estudiarlos en mayor detalle. Si sospechas que el pago es fraudulento, puedes reembolsarlo.
Debes revisar los pagos que Stripe ha colocado en la cola de revisión lo antes posible. Los pagos con un riesgo elevado automáticamente se marcan para que sean revisados. También puedes crear reglas adicionales para personalizar los tipos de pagos que deben colocarse en tu cola de revisión.
Veamos a continuación algunas consideraciones a tener en cuenta a la hora de revisar un pago:
- ¿La dirección de facturación coincide con la dirección de envío?
- ¿La dirección de facturación ha sido verificada mediante AVS? ¿Coincide con el país de origen de la tarjeta?
- ¿La dirección de correo electrónico del cliente coincide con el nombre del titular de la tarjeta?
- ¿Es un pedido que el cliente ha pedido con entrega urgente?
- ¿Se han generado varios pedidos de diferentes tarjetas de crédito desde esta misma dirección IP?
- ¿Este cliente ha intentado hacer varios pedidos que han sido rechazados?
Si tienes dudas sobre un pago cuando lo estás revisando, debes ponerte en contacto con el cliente por teléfono o correo electrónico. Si las direcciones de facturación y de envío no coinciden, busca la dirección de envío en Street View y Google Maps para obtener más información. Una táctica común de los estafadores es solicitar que se despache el pedido a un depósito o servicio de fletes o envíos que reenviará los bienes a su ubicación real.
Usa las reglas de Radar para bloquear pagos automáticamente o revisarlos
Radar para Equipos de Fraude, se integra directamente en el flujo de pago y combina un motor de reglas personalizables con potentes algoritmos de machine learning. Puede detectar patrones en los pagos de todas las empresas que procesan pagos con Stripe, y evalúa el riesgo de cada uno.
Si usas las reglas, puedes evaluar automáticamente los pagos en función de tus criterios de detección específicos y tomar medidas adecuadas para cada uno de ellos. También puedes crear reglas con múltiples criterios para poder permitir o bloquear pagos que cumplan con diversas condiciones. Cada empresa se enfrenta a riesgos diferentes.
País y límite del tipo de tarjeta
Si estás experimentando una mayor cantidad de fraudes provenientes de ciertos países, puedes configurar reglas para bloquear los pagos de cualquier país del cual no desees aceptar pagos, con los atributos de reglas :ip_
y :card_
. Por ejemplo, puedes crear la siguiente regla para bloquear todos los pagos y las tarjetas que se originen en Canadá: Block if :ip_
. Del mismo modo, si tu empresa solo acepta el país en el que opera, puedes crear una regla que bloquee todos los pagos provenientes de todos los demás países. Por ejemplo, una regla para bloquear pagos que no se originan en Australia sería Block if :ip_
.
You can set limits on which type of cards to accept, either by brand, (for example, Mastercard), or by funding type (for example, pre-paid). This can be particularly helpful if you see excessive fraud from certain card types. To block payments from all Visa-issued debit cards, an example rule would be: Block if :card_
.
Herramientas para desarrolladores
Se requiere trabajo de desarrollo para implementar estas herramientas. Si dependes de un socio de Stripe para ofrecer tu integración de pagos, es posible que no puedas implementarlas directamente por tu cuenta.
Procesa tus transacciones en Stripe
Las reglas de Visa Compelling Evidence 3.0 se basan en el historial de transacciones para disputar el fraude amistoso al mostrar transacciones anteriores sin fraude con el mismo titular de tarjeta en el transcurso de un período específico. Cuando recibes una disputa por fraude de Visa, Stripe puede identificar las transacciones que cumplen con los requisitos en tu historial en nuestra plataforma y completar previamente la respuesta de la disputa con la mayoría de la evidencia requerida que necesita. Puedes usar esta evidencia para aumentar significativamente tu probabilidad de anular la disputa a tu favor.
Stripe no puede determinar la elegibilidad o presentar evidencia para las transacciones que se procesan externamente, por lo que recomendamos lo siguiente:
- Usa el procesamiento de Stripe siempre que sea posible
- Incluye la dirección IP del cliente, el correo electrónico, la dirección de envío y la descripción del producto en tus transacciones con Stripe
Recopila la mayor cantidad de información de pago que sea posible
Algunas disputas se pierden porque durante el proceso de finalización de compra no se solicitan suficientes datos. Esto dificulta (a veces, impide) que Stripe o el emisor de la tarjeta puedan verificar si el cliente es legítimo. Por ejemplo, si bien no siempre es necesario contar con el código postal de facturación para procesar un pago con tarjeta, incluirlo permite que el emisor de la tarjeta pueda verificar el pago. Si falla la verificación, considera la posibilidad de rechazar el pago, ya que puede ser un indicador de fraude.
Usa Checkout o Detección avanzada de fraudes para garantizar que tu integración esté mejor preparada para proporcionar la información de pago relevante, por ejemplo:
- Customer name
- Dirección de correo electrónico del cliente
- Número de CVC
- Full billing address and postal code
- Dirección de envío (si es diferente de la dirección de facturación)
- Tracking information
Implementa un método de autenticación de titulares de tarjetas, como 3D Secure
3D Secure es una forma de agregar un paso de verificación entre el cliente y el emisor de la tarjeta a tu flujo de compra. Los pagos que se autenticaron con 3D Secure podrían estar protegidos contra la mayoría de las disputas por fraude a través de una regla conocida como transferencia de responsabilidad.Sin embargo, seguirás recibiendo advertencias preventivas de fraude que pueden servir contra programas de monitoreo de marcas de tarjetas.
Obtén más información en Autenticación de tarjetas y 3D Secure.
Programmatically verify your customer’s identity
En algunos casos, verificar la identidad de los clientes puede ser beneficioso. Considera usar Stripe Identity para verificar un documento de identidad emitido por el gobierno y combinarlo con una selfie del titular del documento. También puedes pedirles a los clientes que conecten sus cuentas de Facebook o LinkedIn como otra prueba de identidad. Esto es un paso extra que, quizás, el estafador no dé. Por supuesto, algunos clientes legítimos tampoco querrán pasar por este paso adicional, por lo que tu tasa de conversión podría sufrir en consecuencia.
Usa la opción autorizar y capturar al crear pagos
Credit card charge attempts are processed in two parts. The charge is first authorized by requesting authorization for the amount to charge from the card issuer. After a charge is approved, by default it’s then captured immediately afterwards and the amount deducted from the card.
Un flujo de pago de captura posterior (a veces denominado “autenticación y captura”) es el proceso que consiste en realizar estos dos pasos en momentos diferentes. La autorización, que retiene el monto en la tarjeta y aparece en el estado de cuenta de un cliente como una transacción pendiente, pero en realidad no saca dinero de su cuenta, se puede hacer en primer lugar. El cargo se puede capturar en cualquier momento hasta 7 días después de la autorización. La captura de un cargo completa el pago y los fondos se deducen de la tarjeta del cliente. Si no se captura un cargo dentro del plazo, la autorización se libera automáticamente.
De manera similar al envío retrasado, este método puede conceder el tiempo suficiente para que un posible fraude salga a la luz, lo que te da la opción de revisar cuidadosamente la transacción y, potencialmente, rembolsarla. Los titulares de tarjetas no pueden disputar autorizaciones no capturadas, solo pueden disputar pagos capturados por completo. Con Radar para Equipos de Fraude puedes capturar de forma manual estos pagos en el proceso de revisión.
Configura una descripción del cargo en el extracto bancario para cada pago.
The statement descriptor is the text that appears on customers’ card statements with information about the company that’s associated with a payment. One way to use a statement descriptor is to insert a short, random code that your customer then has to verify. When you suspect a transaction might be fraudulent, you can contact your customer and ask them to give you the code that is shown on their online statement, and if they do not, you would refund the payment.
Puedes editar la descripción del cargo en el extracto bancario predeterminada en el Dashboard o establecer una descripción dinámica del cargo en el extracto bancario cada vez que se cree un pago a través de la API.
Si bien este método no puede ayudarte contra un estafador que pueda tener acceso al emisor de la tarjeta en línea o a la cuenta de crédito del titular de la tarjeta, es raro que ocurra esto. Usar la descripción del cargo en el extracto bancario de esta manera puede asegurarte que el cliente probablemente sea genuino. Al igual que lo que sucede con otros métodos de prevención, la fricción con el cliente que deriva de este método puede ocasionar que se rembolsen pagos legítimos.