# Práticas recomendadas para evitar fraudes

Saiba como usar práticas recomendadas para se proteger contra contestações e fraudes em pagamentos.

A criação de uma estratégia eficaz de prevenção de contestações e fraudes mais adequada à empresa pode ajudar a prevenir a ocorrência de fraudes. Use algumas dessas práticas recomendadas em sua estratégia para evitar excesso de estornos e reduzir incômodos e perdas para os clientes.

## Ferramentas para todos

Ferramentas para reduzir incidentes de fraudes e contestações que qualquer usuário da Stripe pode usar, mesmo que não sejam desenvolvedores nem adotem ferramentas especializadas da Stripe, como o *Radar* (Stripe Radar helps detect and block fraud for any type of business using machine learning that trains on data across millions of global companies. It’s built into Stripe and requires no additional setup to get started).

### Interaja com os clientes com clareza e transparência

Contatos claros e frequentes com os clientes podem ajudar a evitar vários [motivos](https://docs.stripe.com/disputes/categories.md) de contestação. Com a rapidez na resolução de problemas e no processamento de reembolsos ou pedidos de substituição, os clientes ficam muito menos propensos a contestar um pagamento. Coloque os dados de contato do atendimento ao cliente em local visível, mantenha os clientes atualizados durante o processamento do pedido e informe o andamento das entregas.

> Os termos de serviço devem conter uma descrição clara das políticas de reembolso e cancelamento. Você pode exigir que os usuários concordem com os termos de serviço para aumentar a probabilidade de que os emissores de cartão respeitem suas políticas quando ocorrer uma contestação.

- [ ] Exija a concordância com os termos de serviço
      De modo geral, coloque os termos de serviço e as políticas em um local fácil de encontrar no site e exija a concordância dos clientes. Em vez de se limitar a exibir os links durante o checkout, mostre uma versão completa dos textos na página de checkout ou como um pop-up. Exija a concordância do cliente antes do envio do pedido.

- [ ] Mostre a política completa
      Os emissores de cartão podem ser bem específicos sobre a forma de apresentação das políticas. Quando a página de checkout mostra somente um link com uma caixa de seleção que o cliente deve marcar, o emissor pode rejeitá-la como comprovação insuficiente de que o cliente estava ciente das políticas. É necessário comprovar que você apresentou ao cliente uma cópia completa das políticas antes da compra.

- [ ] Rastreie o envio
      Quando enviar mercadorias físicas para os clientes, use sempre que possível transportadoras e serviços que oferecem rastreamento online e confirmação de entrega. Informe esses dados aos clientes assim que estiverem disponíveis (se você precisar enviar informações de rastreamento como comprovação em uma contestação, observe que os emissores de cartão não aceitam links, o que significa que você deve enviar capturas de tela).

- [ ] Use descrições no extrato claras
      Defina um nome reconhecível para a [descrição no extrato](https://docs.stripe.com/get-started/account/activate.md#public-business-information) nas [configurações da conta](https://dashboard.stripe.com/settings/account/?support_details=true). Recomendamos que você use o domínio do site ou o nome da empresa para garantir que os clientes identifiquem facilmente a compra ao examinar o extrato.

      Statement descriptors are limited to between 5 and 22 characters. They must contain at least 5 letters and can’t use the special characters `<`, `>`, `'`, or `"`.

- [ ] Separe as contas de empresas
      Evite usar a mesma conta Stripe para empresas separadas. Cada conta Stripe deve representar uma única empresa, o que permite ter descrições no extrato e dados de contato separados. Se precisar processar pagamentos de diversas empresas, crie [outras contas](https://docs.stripe.com/get-started/account/multiple-accounts.md) para cada uma delas.

### Considere o reembolso proativo de pagamentos suspeitos

Reembolse imediatamente qualquer pagamento que você [tenha certeza de que é fraudulento](https://docs.stripe.com/disputes/prevention/identifying-fraud.md) (exceto quando tiver proteção de alguma forma de *transferência de responsabilidade* (With some 3D Secure transactions, the liability for fraudulent chargebacks (stolen or counterfeit cards) shifts from you to the card issuer), como o [3D Secure](https://docs.stripe.com/payments/3d-secure/authentication-flow.md#disputed-payments)). Se você sabe que receberá uma contestação por fraude, reembolse integralmente o pagamento fraudulento para evitar [tarifas de contestação](https://docs.stripe.com/disputes/how-disputes-work.md#dispute-fees), aumento da sua [taxa de contestações](https://docs.stripe.com/disputes/measuring.md#dispute-rate-usage) e a possível perda de produtos.

> Os clientes não podem contestar pagamentos integralmente reembolsados, mas podem contestar os que tiveram reembolso parcial. As regras das bandeiras de cartão permitem até mesmo contestar o valor integral de um pagamento parcialmente reembolsado.

No entanto, pode acontecer de você suspeitar de fraude em um pagamento e não ter certeza. Algumas vezes, faz sentido ter uma estratégia de reembolsos agressiva para todas as cobranças desse tipo. Em outras situações, talvez essa não seja a melhor opção.

Você pode adotar uma estratégia de reembolsos agressiva quando ocorrer uma destas situações:

- **Pedido ainda não atendido**. Um reembolso pode evitar a perda do produto. Em outras palavras, se ainda não comprometeu seu produto ou serviço de forma irreversível mediante uma suspeita de fraude, você pode adotar uma estratégia mais agressiva na emissão de reembolsos. Por outro lado, se não for mais possível recuperar o produto ou serviço (por exemplo, o produto já foi enviado ou o serviço já foi prestado), pode fazer mais sentido *não* reembolsar e aguardar para ver se há fraude no pagamento.
- **Excesso de contestações**. Você teve recentemente uma atividade de contestações [excessiva](https://docs.stripe.com/disputes/measuring.md#excessive-dispute-activity) segundo as definições das *bandeiras de cartão* (A network that processes the transactions of a particular card brand. It might be an intermediary in front of an issuing bank as with Visa or Mastercard, or a standalone entity as with American Express) e há risco de inadimplência da sua conta Stripe ou de inclusão em um programa de monitoramento de estornos.
- **Programa de monitoramento de estornos**. Você já está em um [programa de monitoramento de estornos](https://docs.stripe.com/disputes/monitoring-programs.md) e precisa sair do programa.
- **Empresas novas ou de pequeno porte**. Sua empresa tem um volume de pagamentos pequeno (por exemplo, menos de 100 pagamentos por mês). Nesse caso, uma ou duas contestações por fraude podem ter um efeito desproporcional na sua [taxa de contestações](https://docs.stripe.com/disputes/measuring.md#dispute-rate-usage), mesmo que sua atividade de contestações seja baixa.

Se não ocorrer nenhuma das condições acima, você pode adotar uma estratégia mais conservadora para reembolsos proativos de pagamentos com suspeita de fraude.

> #### Reembolse pagamentos fraudulentos
> 
> Para reembolsar um pagamento, selecione-o no [Dashboard](https://dashboard.stripe.com) e clique em **Reembolsar por fraude**. O pagamento é reembolsado e denunciado à Stripe para podermos aprimorar a detecção de fraudes.

### Postergar a remessa de pedidos

Se você envia mercadorias físicas, considere postergar o envio por 24 a 48 horas. Esse período permite que o titular do cartão detecte e denuncie a fraude na sua conta. Nesse cenário, você recebe a contestação por fraude, mas pelo menos não perde o produto. No entanto, nem todos os titulares de cartão verificam extratos diariamente e talvez o emissor do cartão não os notifique sobre a transação.

Os *clientes* (Customer objects represent customers of your business. They let you reuse payment methods and give you the ability to track multiple payments) que solicitam entrega urgente ou para o dia seguinte devem ser considerados de maior risco, pois o custo adicional desses serviços não é importante para os fraudadores. Uma tática que pode ser usada para identificar esse tipo de pagamentos é oferecer entrega urgente ou para o dia seguinte com um custo muito alto, várias vezes maior que qualquer outra opção de entrega oferecida.

É muito menos provável que qualquer cliente legítimo pague esse alto custo, mas um fraudador pode querer que as mercadorias sejam entregues o mais rápido possível, sem se importar com o custo adicional. Você pode verificar manualmente todos os clientes que optam pela opção de entrega de custo anormalmente alto e analisar o pedido para determinar se parece ser legítimo. Usar um [processo separado de autenticação e captura](https://docs.stripe.com/disputes/prevention/best-practices.md#use-auth-and-capture-when-creating-payments) junto com as [análises do Radar](https://docs.stripe.com/disputes/prevention/best-practices.md#manually-review-payments) é uma boa maneira de fazer iso.

### Entregar em um endereço verificado

A opção mais segura é entregar em um [endereço de cobrança verificado](https://docs.stripe.com/disputes/prevention/verification.md#avs-check), que passou por confirmações de código postal e endereço. Se o pagamento for contestado, a entrega em um endereço não verificado não permite comprovar que o pedido foi enviado ao titular do cartão legítimo.

Você não precisa deixar de entregar em endereços diferentes, mas deve se esforçar para reduzir os riscos. Por exemplo: entregue pedidos em endereços diferentes só para clientes recorrentes, que você reconhece como legítimos, ou para clientes que informam um endereço de cobrança totalmente verificável. Além disso, as situações abaixo podem indicar pagamentos suspeitos:

- O pedido é muito maior que o habitual ou só contém seus produtos mais caros
- O cliente alterou o endereço de entrega após fazer o pedido
- O cliente solicitou entrega urgente
- Os produtos comprados têm alto valor de revenda
- O destino de entrega é diferente do endereço de cobrança ou do país de origem do cartão (por exemplo, o endereço de cobrança fica na Espanha, e o endereço de entrega, na França)

A análise dos dados do pedido e do endereço de entrega pode ajudar a identificar pedidos com risco inaceitável.

### Avaliar sua taxa de contestações

A [taxa de contestações da sua conta](https://docs.stripe.com/disputes/measuring.md#dispute-rate-usage) é uma métrica importante que usamos para analisar a eficácia dos seus métodos de prevenção de contestações e fraudes. Você pode verificar regularmente essas métricas no Stripe Dashboard para avaliar o impacto das suas estratégias de prevenção de contestações.

## Ferramentas para usuários do Radar for Fraud Teams

O [Radar](https://stripe.com/radar) é um conjunto de recursos e ferramentas de combate a fraudes incorporado à Stripe que não exige integração.

### Revisar manualmente os pagamentos

[Radar for Fraud Teams](https://stripe.com/radar/fraud-teams) inclui um recurso de [revisão](https://docs.stripe.com/radar/reviews.md) que permite colocar determinados pagamentos em análise — embora tenha em mente que esses pagamentos ainda são processados e o cartão de crédito cobrado, a menos que você esteja usando um processo separado de autorização e captura. Esses pagamentos são colocados na [fila de revisão](https://dashboard.stripe.com/radar) para que você possa analisá-los mais de perto. Se suspeitar que o pagamento é fraudulento, você pode reembolsá-lo.

Confira os pagamentos da [fila de análises](https://dashboard.stripe.com/radar) o mais cedo possível. Pagamentos com [alto risco](https://docs.stripe.com/radar/risk-evaluation.md#elevated-risk) de fraude são marcados automaticamente para análise. Também é possível criar regras e personalizar os tipos de pagamento que devem ser enviados para análise.

Algumas considerações sobre análise de pagamentos:

- O endereço de cobrança é igual ao endereço de entrega?
- O endereço de cobrança foi verificado pelo AVS? O país desse endereço é o país de origem do cartão?
- O e-mail do cliente corresponde ao nome do titular do cartão?
- O cliente solicitou que o pedido seja processado com urgência?
- O mesmo endereço IP gerou vários pedidos com cartões de crédito diferentes?
- Esse cliente já fez pedidos que foram recusados?

Se você tiver alguma dúvida sobre o pagamento durante a análise, deve falar com o cliente por telefone ou e-mail. Se os endereços de cobrança e entrega do pagamento forem diferentes, confira o endereço de entrega usando [Google Maps e Street View](https://www.google.com/maps/streetview) para obter mais informações. Uma tática comum usada pelos fraudadores é enviar os pedidos a um serviço de armazenamento ou de encaminhamento de frete ou correspondência que envia as mercadorias para o destino real.

### Use regras do Radar para automatizar o bloqueio de pagamentos ou seu envio para análise

[Radar for Fraud Teams](https://stripe.com/radar/fraud-teams), é integrado diretamente ao fluxo de pagamento e combina um motor de regras personalizável com algoritmos de IA. Ele pode detectar padrões em pagamentos de todos os negócios que processam pagamentos com a Stripe, avaliando o risco de cada um.

O uso de [regras](https://docs.stripe.com/radar/rules.md) permite avaliar automaticamente os pagamentos de acordo com seus critérios de detecção específicos e tomar as medidas adequadas em cada caso. Também é possível criar regras que usam vários critérios para permitir ou bloquear pagamentos que cumprem várias condições. Cada empresa tem riscos diferentes.

### Limitar país e tipo de cartão

Se você estiver enfrentando aumento de fraudes provenientes de determinados países, pode configurar regras para bloquear pagamentos de qualquer país do qual não queira aceitar pagamentos, usando os atributos de regra `:ip_country:` e `:card_country:`. Por exemplo, você pode criar a seguinte regra para bloquear todos os pagamentos e cartões originários do Canadá: `Block if :ip_country: = ca and :card_country: = 'ca'`. Da mesma forma, se sua empresa só atende ao país em que opera, você pode criar uma regra que bloqueie quaisquer pagamentos de todos os outros países. Por exemplo, uma regra para bloquear pagamentos que não se originem da Austrália é: `Block if :ip_country: != au and :card_country: != 'au'`.

É possível limitar o tipo de cartões aceitos por bandeira (Mastercard e outras) ou por tipo de fundos (pré-pago e outros). Isso pode ser muito útil quando ocorre um número excessivo de fraudes com tipos específicos de cartão. Por exemplo, a regra `Block if :card_brand: = visa and :card_funding: = 'debit'` bloqueia os pagamentos de todos os cartões de débito emitidos pela Visa.

## Ferramentas para desenvolvedores

Essas ferramentas exigem trabalho de desenvolvimento para implementação. Se sua integração de pagamentos é fornecida por um [parceiro da Stripe](https://stripe.com/partners), talvez você não consiga implementá-la diretamente por conta própria.

### Processe suas transações na Stripe

As regras do [Visa Compelling Evidence 3.0](https://docs.stripe.com/disputes/best-practices.md#visa-ce-30) usam o histórico de transações para contestar [fraudes amigáveis](https://docs.stripe.com/disputes/prevention/fraud-types.md#friendly-fraud) ao exibir transações não fraudulentas anteriores com o mesmo titular do cartão em um período específico. Quando você recebe da Visa uma contestação por fraude, a Stripe pode identificar transações qualificadas em seu histórico em nossa plataforma e preencher a resposta à contestação com a maioria dos comprovantes necessários. Você pode usar esses comprovantes para aumentar consideravelmente a probabilidade de reverter a contestação a seu favor.

A Stripe não consegue determinar a qualificação ou enviar comprovantes de transações processadas externamente. Portanto, recomendamos:

- Usar a Stripe sempre que possível
- Incluir o endereço IP, e-mail, endereço de entrega e descrições dos produtos nas suas transações realizadas na Stripe

### Colete o maior número possível de dados de pagamento

Algumas contestações são perdidas porque só o mínimo de dados foi coletado durante o checkout. Isso dificulta ou até mesmo impede que a Stripe ou o emissor de cartão verifiquem se o cliente é legítimo. Por exemplo, embora o código postal nem sempre seja necessário para processar um pagamento com cartão, a inclusão desse dado permite que o pagamento seja verificado pelo emissor do cartão. Uma falha nessa verificação pode indicar uma fraude. Nesse caso, pode ser melhor recusar o pagamento.

Use o [Checkout](https://docs.stripe.com/payments/checkout.md) ou a [detecção antecipada de fraudes](https://docs.stripe.com/disputes/prevention/advanced-fraud-detection.md) para que a integração possa fornecer dados de pagamento relevantes, como:

- Nome do *cliente* (Customer objects represent customers of your business. They let you reuse payment methods and give you the ability to track multiple payments)
- E-mail do cliente
- Número do CVC
- Código postal e endereço completo de cobrança
- Endereço de entrega (se diferente do endereço de cobrança)
- Dados de rastreamento

### Implemente um método de autenticação de titular do cartão, como 3D Secure

*3D Secure* (3D Secure (3DS) provides an additional layer of authentication for credit card transactions that protects businesses from liability for fraudulent card payments) é uma forma de adicionar uma etapa de verificação entre o cliente e o *emissor do cartão* (The entity that issued a payment card to a cardholder. This could be a bank, such as with the Visa or Mastercard network, or it could be the card network itself, such as with American Express) no seu fluxo de checkout. Pagamentos autenticados com 3D Secure podem estar protegidos da maioria das contestações fraudulentas por meio de uma regra conhecida como [transferência de responsabilidade](https://docs.stripe.com/payments/3d-secure/authentication-flow.md#disputed-payments). No entanto, você ainda receberá [alerta antecipado de fraude](https://docs.stripe.com/disputes/how-disputes-work.md#early-fraud-warnings) que podem ser contabilizados nos [programas de monitoramento da bandeira do cartão](https://docs.stripe.com/disputes/monitoring-programs.md).

Saiba mais em [Autenticação de cartões e 3D Secure](https://docs.stripe.com/payments/3d-secure.md).

### Faça a verificação de identidade do cliente automaticamente

A verificação da identidade do cliente pode ajudar em alguns casos. Considere o uso do [Stripe Identity](https://docs.stripe.com/identity.md) para verificar um documento de identificação oficial e associá-lo a uma selfie do titular do documento. Você também tem a opção de solicitar que os clientes conectem suas contas do [Facebook](https://developers.facebook.com/docs/facebook-login/overview/) ou [LinkedIn](https://developer.linkedin.com/docs/oauth2) como comprovação de identidade adicional. Essa é uma etapa extra que pode desestimular um fraudador. Obviamente, alguns clientes podem recusar esse processo adicional, o que pode afetar sua taxa de conversão.

### Usar autorização e captura na criação de pagamentos

As tentativas de cobrança de cartões de crédito são processadas em duas etapas. Primeiro, a cobrança é *autorizada* mediante uma solicitação de autorização do valor cobrado enviada ao *emissor do cartão* (The entity that issued a payment card to a cardholder. This could be a bank, such as with the Visa or Mastercard network, or it could be the card network itself, such as with American Express). Depois da aprovação da cobrança, o processo padrão é *capturá-la* imediatamente e debitar o valor do cartão.

O fluxo de pagamento com [captura posterior](https://docs.stripe.com/payments/place-a-hold-on-a-payment-method.md) (também conhecido como autorização e captura) executa essas duas etapas em momentos diferentes. A autorização pode ser feita antes para reservar o valor no cartão e é exibida no extrato do cliente como transação pendente, mas não remove fundos da conta. A cobrança pode ser capturada até sete dias após a autorização. A captura da cobrança finaliza o pagamento, e os fundos são deduzidos do cartão do cliente. Quando a cobrança não é capturada dentro desse prazo, a autorização é liberada automaticamente.

Semelhante ao envio atrasado, este método pode permitir tempo suficiente para que possíveis fraudes sejam identificadas, dando a você a opção de revisar cuidadosamente—e potencialmente reembolsar—a transação. Os titulares do cartão não podem contestar autorizações não capturadas, apenas pagamentos totalmente capturados. Com Radar for Fraud Teams, você pode capturar manualmente esses pagamentos no [processo de revisão](https://docs.stripe.com/disputes/prevention/best-practices.md#manually-review-payments).

### Definir uma descrição no extrato personalizada para cada pagamento

A descrição no extrato é o texto que aparece nos extratos do cartão/bancários dos clientes com informações sobre a empresa associada a um pagamento. Uma forma de usar a descrição no extrato é inserir um código curto e aleatório que o cliente precisa verificar. Quando você suspeitar que uma transação pode ser fraudulenta, pode entrar em contato com o cliente e pedir que forneça o código exibido em seu extrato online; caso não forneça, você deve reembolsar o pagamento.

Você pode editar sua [descrição no extrato padrão](https://dashboard.stripe.com/settings/public) no Dashboard ou definir uma [descrição no extrato dinâmica](https://docs.stripe.com/get-started/account/statement-descriptors.md#dynamic) sempre que cria um pagamento usando a API.

Esse método não protege contra um fraudador que tenha acesso ao emissor ou conta de crédito do cartão online do titular do cartão, mas isso é extremamente raro. O uso da descrição no extrato dessa forma confere um nível maior de credibilidade do cliente. Assim como outros métodos de prevenção, essa abordagem gera inconvenientes adicionais para o cliente que podem levar ao reembolso de alguns pagamentos legítimos.

### Revisar alertas de aumento de taxa de fraude

Quando você recebe [alertas de integridade da Stripe](https://docs.stripe.com/health-alerts.md), primeiro pode analisar as contestações recebidas em busca de padrões comuns. Se algum dos seus pagamentos a receber tiver padrões semelhantes, considere o reembolso para evitar possíveis contestações.

A Stripe alerta para os seguintes tipos de ataque:

| Tipo de ataque     | Descrição                                                                      |
| ------------------ | ------------------------------------------------------------------------------ |
| `spike`            | A Stripe detecta um aumento diário na sua taxa de fraudes.                     |
| `sustained_attack` | A Stripe detecta um aumento contínuo ou de vários dias na sua taxa de fraudes. |

> A confiança em alertas de transações fraudulentas é por sua conta e risco. A Stripe não é responsável por perdas, danos ou custos relacionados à precisão ou imprecisão dos alertas e quaisquer ações que você possa realizar ou deixar de realizar com base nos alertas.