Betrugsbekämpfung mit den Kontrollen und Tools von Stripe durchführen
Erfahren Sie, wie sich Transaktionsbetrug auf Ihr Issuing-Programm auswirken kann und wie Sie dagegen vorgehen können.
Als Zahlungsvermittlerprodukt birgt Issuing von Natur aus potenzielle Betrugsrisiken und Haftungen sowohl für Unternehmen als auch für Aussteller. Sie müssen verstehen, was Transaktionsbetrug ist, wer im Betrugsfall haftet und wie Sie Betrug mit den von Stripe verfügbaren Ressourcen am besten überwachen und verhindern können. Indem Sie Ihre Rollen und Verantwortlichkeiten verstehen und die Ressourcen von Stripe effektiv nutzen, können Sie diese Risiken auf ein Niveau reduzieren, das für Ihr Unternehmen vertretbar ist.
Bei der Entscheidung über Ihren Ansatz für das Betrugsmanagement ist Folgendes zu beachten:
- Mit diesem Umfang an Betrug sollten Sie rechnen: Das durchschnittliche monatliche Betrugsvolumen schwankt erheblich je nach Branche, geografischer Lage, Geschäftsmodell und anderen Faktoren. Die meisten Nutzer/innen reichen Anfechtungen aufgrund von Betrug für 0,1 % oder weniger ihres Transaktionsvolumens ein, aber das kann je nach Ihrer Issuing-Aktivität stark variieren. Es ist ungewöhnlich, dass Betrugsfälle überhaupt nicht auftreten, außer bei seltenen Geschäftsmodellen oder bei geringem Transaktionsvolumen.
- Definition einer Zahlungsanfechtung: Eine angefochtene Zahlung kommt dann zustande, wenn ein/e Kontoinhaber/in eine Abbuchung auf seiner/ihrer Kartenabrechnung bei seinem/ihrem Kartenaussteller anficht. Der Grund für die Zahlungsanfechtung ist unterschiedlich. Beispielsweise könnte der/die Kontoinhaber/in die Zahlung nicht erkennen, sie als betrügerisch wahrnehmen oder mit den gekauften Waren oder Dienstleistungen unzufrieden sein. Zahlungsanfechtungen können Ausstellern helfen, Gelder im Falle betrügerischer Aktivitäten zurückzuerhalten.
Transaktionsbetrug
Es gibt drei Hauptformen von Zahlungsbetrug:
- Transaktionsbetrug: Die unbefugte Verwendung einer Zahlungskarte, um auf betrügerische Weise an Geld oder Eigentum zu gelangen.
- Geschäftlicher Betrug: Eine Person erstellt ein betrügerisches Konto (häufig mit einer gestohlenen Identität), um einen Betrug zu begehen.
- Betrug durch Kontoübernahme (Account Takeover – ATO): Ein nicht autorisierter Dritter kompromittiert die Anmeldung eines/einer legitimen Kontoinhabers/Kontoinhaberin und greift dann auf sein/ihr Konto zu.
Geschäftlicher Betrug und ATO-Betrug können zwar in Issuing vorkommen, Transaktionsbetrug stellt jedoch häufig ein größeres Risiko dar.
Bei Stripe Issuing sehen wir Transaktionsbetrug als nicht autorisierte Abbuchungen von einer von Stripe ausgestellten Karte. Transaktionsbetrug kann zu jedem Zeitpunkt im Lebenszyklus eines/einer Karteninhaber/in auftreten. Auch bei Einkäufen bei legitimen Unternehmen kann es zu Transaktionsbetrug kommen. Eine ausgestellte Karte kann durch Folgendes kompromittiert werden:
- Physischer Diebstahl
- Verlust des/der Karteninhabers/in
- Anmeldeinformationen, die durch Taktiken wie die folgenden kompromittiert wurden:
- Phishing
- Spyware
- Nicht sichere Bezahlvorgänge
- Externe Verstöße
Verlusthaftung
Die Verlusthaftung ergibt sich aus einem Problem mit einer Transaktion, das zu einem finanziellen Verlust für eine Partei führt. Die Haftung ergibt sich in der Regel entweder aus Transaktionsbetrug oder aus einem Unternehmen, das seinen Verpflichtungen aus einem Kauf nicht nachkommt.
Die Verlusthaftung liegt entweder beim Unternehmen (Anbieter der Dienstleistung oder der gekauften Waren), bei Ihnen als Nutzer/in von Stripe Issuing oder (in seltenen Fällen) beim/bei der Karteninhaber/in. Das bedeutet, dass Sie verantwortlich sind, wenn die Haftung für Verluste dem Aussteller zugewiesen wird, sofern keine Ausnahme vorliegt. Weitere Informationen zu Fällen, in denen der Aussteller für betrügerische Transaktionen haftet, finden Sie unter Haftungsverlagerung.
Mit Stripe Issuing können Sie Ihr Betrugsüberwachungssystem entwerfen und Ihre eigene Geschäftslogik und Transaktionsentscheidungen treffen. Obwohl Stripe möglicherweise Unterstützung bei der Betrugsprävention für Transaktionen anbietet, sind Sie dennoch für alle Verluste verantwortlich, bei denen der Aussteller haftbar gemacht wird. Sie müssen also ausreichende Kontrollen zur Überwachung, Verwaltung und Verhinderung von Betrug einrichten.
Haftungsverlagerung
In vielen Fällen übernimmt das Unternehmen die Haftung für betrügerische Transaktionen. Es gibt jedoch einige Faktoren, die dazu führen können, dass die Haftung auf Sie, den/die ausstellende/n Nutzer/in, übergeht:
- Transaktionen mit vorhandener Karte: Wenn die Karte oder eine mobile Wallet wie Apple Pay und Google Pay während der Transaktion vorhanden ist, haftet der Kartenaussteller in der Regel für Betrug, mit wenigen Ausnahmen:
- Karten und Wallets müssen überall dort, wo sie verfügbar sind, elektronisch gelesen werden, indem die Chipschnittstelle mit oder ohne Kontakt verwendet oder der Magnetstreifen durchgezogen wird. Für manuell eingegebene Kartennummern, wie z. B. bei Versand- oder Telefonbestellungen, liegt die Haftung beim Unternehmen.
- Wird eine chipfähige Karte an einem Terminal verwendet, das nur Magnetstreifenzahlungen unterstützt, geht die Haftung auf das Unternehmen über.
- Wenn das vom Unternehmen verwendete Terminal in der Regel Chip-Transaktionen unterstützt, für eine Transaktion jedoch der Magnetstreifen verwendet wird, verbleibt die Haftung bei Ihnen als ausstellendem Nutzer.
- Distanzzahlungen: Wenn die Karte bei der Transaktion (d. h. beim Online-Handel) nicht vorhanden ist, wird die Haftung in erster Linie durch 3D Secure (3DS) bestimmt. Die zusätzliche Verifizierungsebene von 3DS löst eine „Haftungsverlagerung“ aus, bei der die Betrugshaftung unabhängig von den Umständen vom Unternehmen auf den Kartenaussteller übergeht. Wenn ein Unternehmen im Zusammenhang mit Stripe Issuing 3DS auslöst, geht die Betrugshaftung in der Regel automatisch auf Sie als ausstellende/n Nutzer/in über, unabhängig davon, ob Sie 3DS für Ihre Karten aktiviert haben. Dementsprechend können Sie mit aktiviertem 3DS das Risiko einer finanziellen Haftung für betrügerische Transaktionen verringern. Weitere Informationen erhalten Sie unter 3DS für Stripe Issuing.
- Transaktionen mit Digital Wallets: Unabhängig von Überlegungen rund um 3DS verlagert die Verwendung einer Stripe Issuing-Karte in einer Apple Pay- oder Google Pay-Wallet für eine Card-not-present-Transaktion auch die Haftung auf den Aussteller.
Kontrollen und Tools für Transaktionen
Angesichts des Risikos, das durch Haftungstransaktionsbetrug entstehen kann, müssen Sie proaktive Maßnahmen ergreifen, um ihn zu überwachen und zu verhindern. Im Folgenden finden Sie Kontrollen und Tools, die Sie zu Ihrem Stripe Issuing-Programm hinzufügen können. Verwenden Sie so viele Kontrollen und Tools wie möglich, um das Betrugsrisiko Ihres Programms zu begrenzen.
Proaktive Kontrollen zum Schutz vor Betrug
Stripe bietet die folgenden Kontrollen zur Betrugsvorbeugung:
KYC/KYB
Ausgabenkontrollen
3D Secure
Kontrollen zur Betrugsvorbeugung in Echtzeit
Stripe bietet die folgenden Kontrollen zur Betrugsvorbeugung in Echtzeit:
Stripe Defense Layer
Echtzeit-Webhook
Fraud Challenges
Vergleich von Verifizierungsdaten
Tools für Transaktionen nach Betrug
Stripe bietet die folgenden Tools für Transaktionen nach Betrug:
Token-Verwaltung
Kartenverwaltung
Anfechtungen
Kontrollen und Informationen für Nutzer/innen
Sie können verschiedene Aspekte der Betrugskontrollen von Stripe anpassen und Ihre Karteninhaber/innen darüber informieren, wie oft sie benötigt werden.
Nutzerkonfigurationen
Je nach Anwendungsszenario und Workflow können Sie Anpassungen an den Standardkontrollen von Stripe anfordern, zum Beispiel:
- Lockerung der 3DS-Anforderungen
- Erhöhung der Transaktionsobergrenzen
Stripe kann diese Anfragen zwar auf individueller Basis bearbeiten, letztendlich sind Sie jedoch für erhöhte Risiken oder Haftungsverluste verantwortlich, die sich aus solchen Anfragen ergeben.
Informieren Sie Ihre Karteninhaber/innen
Informieren Sie Ihre Karteninhaber/innen darüber, wie sie ihre Kartendaten sicher aufbewahren können. Bringen Sie ihnen bei, die Aktivitäten auf ihren Konten genau zu beobachten, um die Wahrscheinlichkeit zu erhöhen, dass sie – ebenso wie Sie selbst – betrügerische Aktivitäten frühzeitig bemerken. Weisen Sie Ihre Karteninhaber/innen auf die folgenden Präventivmaßnahmen hin:
- Prüfen Sie in Geschäften auf Karten-Skimmer: Vergewissern Sie sich, dass keine Kameras oder Skimming-Geräte am Zahlungsterminal vorhanden sind. Überprüfen Sie, ob irgendetwas in den Kartenleser, die Anschlüsse, das Display oder das Tastenfeld eingesteckt oder daran befestigt ist.
- Transaktionen mit vertrauenswürdigen Unternehmen: Geben Sie Ihre Kartendaten nur an Unternehmen weiter, die Sie kennen und denen Sie vertrauen.
- Sperren einer Karte, sobald sie verloren gegangen ist oder gestohlen wurde: Ergreifen Sie sofortige Maßnahmen, um eine unbefugte Nutzung zu verhindern, bevor ein betrügerischer Akteur in der Lage ist, Ihre Kartendaten in Erfahrung zu bringen. Wenn Sie weiterhin Ausgaben tätigen möchten, erstellen Sie eine neue Karte, nachdem Sie die verloren gegangene oder gestohlene Karte gesperrt haben.
Metriken überwachen
Wir empfehlen, die folgenden Metriken zu überwachen, um Betrug in Ihren Issuing-Konten zu erkennen und zu messen.
Frühindikatoren
Frühindikatoren sind Metriken, die Ihnen helfen können, potenziellen Betrug in einem frühen Stadium zu erkennen.
- Die Autorisierung wird aufgrund falscher Verifizierungsdaten (CVC2, Ablaufdatum) in einem bestimmten Zeitraum abgelehnt.
- Autorisierungsquote in einem bestimmten Zeitraum.
- Autorisierungen außerhalb des geografischen Fußabdrucks in einem bestimmten Zeitraum.
- Autorisierungen nach Land des Übernahmeunternehmens in einem bestimmten Zeitraum.
- Autorisierungen nach Geschäftskategoriecode in einem bestimmten Zeitraum.
- Erzwungene Erfassungen in einem bestimmten Zeitraum.
Spätindikatoren
Spätindikatoren sind Kennzahlen, anhand derer Sie beurteilen können, wie stark sich betrügerische Aktivitäten auf Ihr Issuing-Programm ausgewirkt haben:
- Prozentsatz der Gesamtausgaben, die in einem bestimmten Zeitraum wegen Betrugs angefochten wurden.
- Gewinn-Verlust-Quote der angefochtenen Zahlungen in einem bestimmten Zeitraum.
- Absolute Verluste aufgrund von angefochtenen Zahlungen in einem bestimmten Zeitraum.
- Übernahme von Unternehmen mit dem höchsten Prozentsatz angefochtener Transaktionen.