Betrugsbekämpfung mit den Kontrollen und Tools von Stripe durchführen
Als Produkt zur Erleichterung des Zahlungsverkehrs ist Issuing von Natur aus mit potenziellen Betrugsrisiken und Haftungen für Unternehmen und Aussteller verbunden. Aus diesem Grund müssen Sie Ihre Verantwortung für Verluste verstehen und wissen, wie Sie mit diesem Risiko im Rahmen der Nutzung unserer Plattform am besten umgehen. Dieses Dokument enthält Anleitungen zu den Betrugsarten, gibt an, wer im Betrugsfall haftet, und beschreibt die bei Stripe zur Verfügung stehenden Ressourcen, die Sie bei der Überwachung und Verhinderung von Betrug unterstützen.
Betrug in Issuing
Bei Payments gibt es drei Hauptarten von Betrug:
- Transaktionsbetrug: Die unbefugte Verwendung einer Zahlungskarte, um in betrügerischer Weise an Geld oder Eigentum zu gelangen.
- Geschäftlicher Betrug: Eine Person erstellt ein betrügerisches Konto (häufig mit einer gestohlenen Identität), um einen Betrug zu begehen.
- Betrug durch Kontoübernahme (ATO): Die Anmeldung von legitimen Inhaber/innen eines Kontos wird von nicht autorisierten Dritten kompromittiert, die Aktionen auf deren Konto durchführen.
Geschäftlicher Betrug und ATO-Betrug können zwar in Issuing vorkommen, Transaktionsbetrug stellt jedoch häufig ein größeres Risiko dar. Dieser Leitfaden konzentriert sich auf Transaktionsbetrug und die verfügbaren Tools zu seiner Bekämpfung.
Transaktionsbetrug
Bei Stripe Issuing sehen wir Transaktionsbetrug als nicht autorisierte Abbuchungen von einer von Stripe ausgestellten Karte. Transaktionsbetrug kann zu jedem Zeitpunkt im Lebenszyklus eines/einer Karteninhaber/in auftreten. Auch bei Einkäufen bei legitimen Unternehmen kann es zu Transaktionsbetrug kommen. Eine ausgestellte Karte kann durch Folgendes kompromittiert werden:
- Physischer Diebstahl
- Verlust des/der Karteninhabers/in
- Kompromittierte Anmeldeinformationen durch Taktiken wie:
- Phishing
- Spyware
- Nicht sichere Bezahlvorgänge
- Externe Verstöße
Verlusthaftung
Die Verlusthaftung ergibt sich aus einem Problem mit einer Transaktion, das zu einem finanziellen Verlust für eine Partei führt. Die Haftung ergibt sich in der Regel entweder aus Transaktionsbetrug oder aus einem Unternehmen, das seinen Verpflichtungen aus einem Kauf nicht nachkommt.
Die Verlusthaftung wird entweder dem Händler (dem Anbieter der Dienstleistung oder der gekauften Ware), Ihnen als Stripe Issuing-Nutzer/in oder (in seltenen Fällen) dem/der Karteninhaber/in zugewiesen. Das bedeutet, dass Sie bei der Zuweisung der Verlusthaftung an den „Aussteller“ rechenschaftspflichtig sind, es sei denn, es gilt eine Ausnahme.
Mit Stripe Issuing können Sie Ihr Betrugsüberwachungssystem entwerfen und Ihre eigene Geschäftslogik einrichten und Transaktionsentscheidungen treffen. Obwohl Stripe möglicherweise Unterstützung bei der Verhinderung von Transaktionsbetrug bietet, sind Sie dennoch für alle Verluste verantwortlich, bei denen der Aussteller haftbar gemacht wird. Sie müssen also ausreichende Kontrollen aufbauen, um Betrug zu überwachen, zu verwalten und zu verhindern.
Haftungsverlagerung
In vielen Fällen haftet das Unternehmen für betrügerische Transaktionen. Es gibt jedoch einige Faktoren, die dazu führen könnten, dass sich die Haftung auf Sie, den/die Stripe Issuing-Nutzer/in verlagert wird.
Card-Present-Transaktionen: Wenn die Karte oder eine Mobile Wallet wie Apple Pay und Google Pay für die Transaktion vorhanden ist, haftet der Aussteller in der Regel für Betrug, mit wenigen Ausnahmen:
Karten und Wallets müssen elektronisch gelesen werden, wo immer dies verfügbar ist, d. h. durch über die Chipschnittstelle mit oder ohne Kontakt oder durch Durchziehen des Magnetstreifens. Bei manuell eingegebenen Kartennummern, wie zum Beispiel bei Versand- oder Telefonbestellungen, liegt die Haftung beim Unternehmen.
Wenn eine chipfähige Karte an einem Datenterminal verwendet wird, das nur Magnetstreifenzahlungen unterstützt, verlagert sich die Haftung auf den Händler.
- Wenn das vom Händler verwendete Datenterminal jedoch in der Regel Chiptransaktionen unterstützt, der Magnetstreifen aber für eine bestimmte Transaktion verwendet wird, bleibt die Haftung bei Ihnen als dem/der ausstellender Nutzer/in.
Card-Not-Present-Transaktionen: Wenn die Karte für die Transaktion (d. h. den Online-Handel) nicht vorhanden ist, wird die Haftung in erster Linie durch 3DS bestimmt.
Notiz
3DS: 3DS ist eine zusätzliche Authentifizierungsebene, die ein Händler für Autorisierungen anfordern kann, von denen er annimmt, dass sie ein hohes Risiko darstellen (und daher wahrscheinlich dazu führen, dass der Aussteller bei einer Zahlungsanfechtung für die Betrugshaftung verantwortlich ist). Diese zusätzliche Verifizierungsebene (in der Regel durch eine Form der Multi-Faktor-Authentifizierung wie einen Einmal-Passcode) löst eine „Haftungsverlagerung“ aus, bei der sich die Haftung für Betrug unabhängig von den Umständen vom Händler auf den Aussteller verlagert.
Wenn 3DS von einem Unternehmen für eine bestimmte Kartenautorisierung angefordert wird, muss der/die Karteninhaber/in möglicherweise eine zusätzliche Authentifizierung durchführen, um die Transaktion abzuschließen. Ob die Authentifizierung ausgelöst wird, hängt jedoch davon ab, ob Sie die Karte bei 3DS angemeldet haben und ob es Ausnahmen oder „reibungslose“ Abläufe gibt, die automatisch alle konfigurierten 3DS-Anfragen umgehen. Die 3DS-Registrierung ist in den USA nicht erforderlich und standardmäßig deaktiviert. Dementsprechend registrieren US-Aussteller ihre Karten nicht durchgängig, da sie keine unnötigen Komplikationen für ihre Karteninhaber/innen wünschen. Wenn ein Händler im Kontext von Stripe Issuing 3DS auslöst, geht die Betrugshaftung in der Regel automatisch auf Sie als Stripe Issuing-Nutzer/in über, unabhängig davon, ob Sie 3DS auf Ihren Karten aktiviert haben. Dementsprechend trägt die Aktivierung von 3DS dazu bei, das Risiko einer finanziellen Haftung für betrügerische Transaktionen zu verringern. Wenn Sie mehr wissen möchten, können Sie sich hier über 3DS für Stripe Issuing informieren.
Digital Wallet-Nutzung
Unabhängig von Überlegungen bezüglich 3DS wird durch die Verwendung einer Stripe Issuing-Karte in einer Apple Pay- oder Google Pay-Wallet für eine Transaktion ohne Karte auch die Haftung auf den Aussteller verlagert.
Kontrollen und Tools für Transaktionen
Angesichts des Risikos, das die Haftung für Transaktionsbetrug mit sich bringen kann, müssen Sie proaktive Maßnahmen zur Überwachung und Verhinderung desselben ergreifen. Im Folgenden finden Sie Steuerelemente und Tools, die Sie Ihrem Stripe Issuing-Programm hinzufügen können. Wir empfehlen, so viele Kontrollen und Tools wie möglich zu verwenden, um das Transaktionsbetrugsrisiko Ihres Programms zu begrenzen.
Kontrolle/Tool | Vorteile | Nachteile |
---|---|---|
3D Secure (3DS) | Reduziert die Haftung für Verluste bei bestimmten Transaktionen durch die Einführung einer zusätzlichen Ebene der Verifizierung der Karteninhaber/innen. | Karteninhaber/innen durchlaufen bei einigen Transaktionen einen zusätzlichen Verifizierungsschritt. |
Ausgabenkontrollen | Legt Regeln für Karten und Karteninhaber/innen fest, um die Ausgaben zu kontrollieren. | Begrenzte Fähigkeit, komplexe Regeln anzuwenden. |
Echtzeit-Webhook | Genehmigt oder lehnt eine Autorisierungsentscheidung in Echtzeit auf der Grundlage aller am Point of Sale verfügbaren Daten ab. | Erfordert die Integration in den Stripe-Webhook. |
Stripe Defense Layer beta | Blockiert automatisch Transaktionen mit hohem Risiko auf der Grundlage der eigenen Risikomodellierung von Stripe | Einige legitime Transaktionen werden möglicherweise abgelehnt. |
Verifizierungsdaten | Lehnt Autorisierungen ab, wenn die Prüfziffer (CVV) oder das Ablaufdatum nicht mit der Autorisierung übereinstimmen. | Benutzerdefinierte Konfiguration ist nicht verfügbar. |
Token-Verwaltung | Damit können Sie Token für Digital Wallets, die mit betrügerischen Aktivitäten in Verbindung stehen, aussetzen oder deaktivieren. | Erfordert die Integration in die Tokens API. |
Kartenverwaltung | Hiermit können Sie physische oder virtuelle Karten, die mit betrügerischen Aktivitäten in Verbindung stehen, sperren oder deaktivieren. | Keine. |
Zahlungsanfechtungen | Zahlungsanfechtungen können Ihnen dabei helfen, Gelder zurückzuerhalten, die Sie durch nicht autorisierte Aktivitäten verloren haben. | Bei Zahlungsanfechtungen wird nicht garantiert, dass sie zur Rückforderung von Geldern führen, und es kann einige Zeit dauern, bis sie beigelegt sind. |
Proaktive Kontrollen zum Schutz vor Betrug
3D Secure
3D Secure (3DS) ist eine zusätzliche Authentifizierungsebene, die von Händlern verwendet wird, um sicherzustellen, dass ein Online-Kauf durch eine/n legitime/n Karteninhaber/in erfolgt. 3DS wird für Online-Transaktionen verwendet und funktioniert nur, wenn Händler dies verlangen und Sie die Funktion für Ihr Issuing-Programm aktiviert haben. Der zusätzliche 3DS-Schritt erfolgt beim Bezahlvorgang, bei dem den Karteninhaber/innen eine Authentifizierungsseite angezeigt wird und sie aufgefordert werden, einen Verifizierungscode einzugeben, der an ihr Telefon oder ihre E-Mail-Adresse gesendet wurde.
Wir empfehlen, 3DS zu aktivieren, um das Risiko von Betrug bei Online-Transaktionen zu reduzieren. Erfahren Sie mehr über 3DS und wie Sie es aktivieren.
Ausgabenkontrollen
Mit Ausgabenkontrollen können bestimmte Regionen, Händer-IDs Händlerkategorien (z. B. Kasinos) gesperrt oder Ausgabelimits wie (beispielsweise) 100 USD pro Autorisierung oder 3.000 USD pro Monat festgelegt werden. Ausgabenkontrollen können entweder für eine Karte oder eine/n Karteninhaber/in gelten. Die Kontrollen sind besonders effektiv, wenn eine Karte oder ein/e Karteninhaber/in ein erwartetes Ausgabemuster aufweist. Stripe empfiehlt die Implementierung einer Kombination aus Ausgabelimits und Händlerkategorienkontrollen für Ihre Karten und Karteninhaber/innen, um Ihr Risiko im Falle eines nicht autorisierten Nutzungsversuchs zu begrenzen. Erfahren Sie mehr über Ausgabenkontrollen und deren Konfiguration.
Kontrollen zur Betrugsvorbeugung in Echtzeit
Echtzeit-Webhook
Sie können Autorisierungsanfragen in Echtzeit genehmigen oder ablehnen, basierend auf den Daten, die Ihnen zum Zeitpunkt der Autorisierung zur Verfügung stehen. Dies gibt Ihnen die Kontrolle über die Autorisierungsergebnisse und ermöglicht es Ihnen, Ihre eigene Betrugspräventionslogik zu implementieren. Verwenden Sie den Echtzeit-Webhook von Stripe, um ein bestimmtes Betrugsmuster zu erkennen und gleichzeitig die Auswirkungen auf das sonstige Ausgabeverhalten zu minimieren. Sie können beispielsweise Autorisierungsdaten zum Ort der Autorisierung verwenden, um bestimmte Regionen, Währungen und Händler zu blockieren. Erfahren Sie mehr über den Echtzeit-Webhook und seine Funktionsweise.
Stripe Defense Layer
Standardmäßig bietet Stripe mehrere automatische Kontrollen, um Ihr Betrugsrisiko zu reduzieren, ohne die Verlusthaftung zu ändern. Stripe versucht unter anderem, Berechtigungen zu blockieren, für die Folgendes gilt:
- Scheint ein Kartentest zu sein.
- Basierend auf unserer eigenen Risikomodellierung schätzen wir das Risiko als extrem hoch ein.
Diese Abwehrmaßnahmen betreffen in der Regel nur eine sehr kleine Teilmenge (weniger als 0,5 %) der Autorisierungen, sind rein additiv und sollten nicht als Ersatz für Ihr eigenes Risikomanagementprogramm angesehen werden. Letztendlich müssen Sie das ideale Gleichgewicht zwischen Benutzererfahrung und Risikomanagement finden, das für die spezifischen Merkmale Ihres Programms am besten geeignet ist. Der Stripe Defense Layer hat keinen Einfluss auf die Haftung.
Verifizierungsangaben
Bei jeder Autorisierung, die für eine Stripe Issuing-Karte erfolgt, vergleichen wir den beim Bezahlvorgang eingegebenen CVV2 (oder Sicherheitscode) und das Ablaufdatum der Karte mit den für die Karte hinterlegten Werten. Wenn diese nicht übereinstimmen, lehnt Stripe die Autorisierung in Ihrem Namen ab und gibt alle Informationen über potenzielle Nichtübereinstimmungen über die API an. Erfahren Sie mehr über die von uns durchgeführten Verifizierungen.
Nutzerkonfigurationen
Je nach Anwendungsszenario und gewünschtem Workflow können Sie Anpassungen der standardmäßigen Stripe-Steuerelemente anfordern, um Reibungspunkte zu reduzieren, aber auch Ihr Risiko zu erhöhen (zum Beispiel Lockerung der 3DS-Anforderungen, Erhöhung der Obergrenzen für den maximalen Dollarbetrag oder Deaktivierung der automatischen Blockierung bei Transaktionen mit hohem Risiko). Auch wenn Stripe diese Anfragen von Fall zu Fall berücksichtigen kann, letztendlich sind Sie für jedes erhöhte Risiko oder jede erhöhte Verlusthaftung verantwortlich, die solche Anfragen verursachen.
Tools für Transaktionen nach Betrug
Token-Verwaltung
Verwalten Sie Token für Digital Wallets über die API, um Digital Wallet-Karten, die mit betrügerischen Aktivitäten in Verbindung gebracht wurden, schnell zu deaktivieren. Lesen Sie mehr über das Aktivieren der Token-Verwaltung und der API.
Kartenverwaltung
Wenn Sie oder Ihr/e Karteninhaber/in nicht autorisierte Aktivitäten vermuten, können Sie eine Karte vorübergehend über das Dashboard oder die API deaktivieren, um die weitere unbefugte Nutzung während der Ermittlungen zu sperren. Wenn die Aktivität autorisiert wurde, können Sie die Anmeldedaten der Karte beibehalten und sie wieder aktivieren. Wenn Sie die unbefugte Verwendung bestätigen, sperren Sie die Karte sofort. Lesen Sie weitere Informationen zur Kartenverwaltung und Verwendung der API
Anfechtungen
Wenn betrügerische Transaktionen stattfinden, können Sie über das Dashboard oder die API bei Visa oder Mastercard Zahlungsanfechtungen mit dem Grund „betrügerisch“ einreichen. In einigen Fällen kann der Händler für die betrügerische Transaktion haftbar gemacht werden, je nachdem, welche Überprüfung am Point of Sale durchgeführt wird. Hier erfahren Sie mehr über den Umgang mit Zahlungsanfechtungen.
Informieren Sie Ihre Karteninhaber/innen
Informieren Sie Ihre Karteninhaber/innen darüber, wie sie ihre Kartendaten schützen können. Bringen Sie ihnen bei, genau auf die Aktivitäten auf ihren Konten zu achten, um die Wahrscheinlichkeit zu erhöhen, dass sie - und Sie ebenfalls - kompromittierte Aktivitäten frühzeitig bemerken. Machen Sie Ihre Karteninhaber/innen auf folgende vorbeugende Maßnahmen aufmerksam:
- Prüfen Sie, ob in Geschäften Personen Karten-Skimming betreiben: Vergewissern Sie sich, dass keine Kameras oder Skimming-Geräte am Zahlungsterminal vorhanden sind. Überprüfen Sie, ob irgendetwas in das Kartenlesegerät, die Anschlüsse, das Display oder die Tastatur eingesteckt oder daran befestigt ist.
- Transaktionen bei vertrauenswürdigen Unternehmen: Geben Sie Ihre Kartendaten nur an Händler weiter, mit denen Sie vertraut sind und denen Sie vertrauen.
- Lassen Sie eine Karte sperren, wenn sie verloren gegangen ist oder gestohlen wurde: Ergreifen Sie sofort Maßnahmen, um eine unbefugte Nutzung zu verhindern, bevor Betrüger/innen Ihre Kartendaten in Erfahrung bringen können. Damit Sie weiterhin Geld ausgeben können, erstellen Sie eine neue Karte, nachdem die verloren gegangene oder gestohlene Karte gesperrt wurde.
Metriken überwachen
Wir empfehlen, die folgenden Metriken zu überwachen, um Betrug in Ihren Issuing-Konten zu erkennen und zu messen.
Frühindikatoren
Frühindikatoren sind Metriken, die Ihnen helfen können, potenziellen Betrug in einem frühen Stadium zu erkennen.
- Die Autorisierung wird aufgrund falscher Verifizierungsdaten (CVC2, Ablaufdatum) in einem bestimmten Zeitraum abgelehnt.
- Autorisierungsquote in einem bestimmten Zeitraum.
- Autorisierungen außerhalb des geografischen Fußabdrucks in einem bestimmten Zeitraum.
- Autorisierungen nach Land des Händlers in einem bestimmten Zeitraum.
- Autorisierungen nach Händlerkategorie-Code in einem bestimmten Zeitraum.
- Erzwungene Erfassungen im Laufe der Zeit.
Spätindikatoren
Spätindikatoren sind Kennzahlen, anhand derer Sie beurteilen können, wie stark sich betrügerische Aktivitäten auf Ihr Issuing-Programm ausgewirkt haben:
- Prozentsatz der Gesamtausgaben, die in einem bestimmten Zeitraum wegen Betrugs angefochten wurden.
- Gewinn-Verlust-Quote der angefochtenen Zahlungen in einem bestimmten Zeitraum.
- Absolute Verluste aufgrund von angefochtenen Zahlungen in einem bestimmten Zeitraum.
- Akquirieren von Händlern mit dem höchsten Prozentsatz angefochtener Transaktionen.
Betrugsmanagement
Das Betrugspotenzial in Issuing erfordert eine gründliche Überwachung und ein proaktives Betrugsmanagement. Wenn Sie sich über Ihre Rollen und Verantwortlichkeiten im Klaren sind und die Ressourcen von Stripe effektiv nutzen, können Sie diese Risiken auf ein Niveau reduzieren, das Sie für Ihr Unternehmen für angemessen halten.
Bei der Entscheidung über Ihren Ansatz für das Betrugsmanagement ist Folgendes zu beachten:
Im welchem Ausmaß Sie Betrug erwarten sollten: Das durchschnittliche Volumen des monatlichen Betrugs variiert je nach Branche, Region, Geschäftsmodell usw. erheblich. Die meisten Nutzer/innen reichen Zahlungsanfechtungen wegen Betrug bei 0,1 % oder weniger ihres Transaktionsvolumens ein. Je nach Ihrer Ausstellungsaktivität kann dies jedoch stark variieren. Es ist ungewöhnlich, dass es überhaupt keinen Betrug gibt, außer in seltenen Geschäftsmodellen oder bei geringen Volumina.
Definition einer Zahlungsanfechtung: Eine Zahlungsanfechtung liegt vor, wenn ein/ Kontoinhaber/in eine Belastung seiner Kartenabrechnung bei seinem Kartenaussteller anfechtet. Der Grund für die Anfechtung ist unterschiedlich – der/die Kontoinhaber/in erkennt die Belastung möglicherweise nicht an, hält sie für betrügerisch oder ist mit den gekauften Waren oder Dienstleistungen unzufrieden. Zahlungsanfechtungen können Aussteller/innen helfen, Gelder im Fallen von betrügerischen Aktivitäten zurückzuerhalten.
Zusätzliche Stripe-Betrugssignale und -kontrollen: Stripe Issuing bietet derzeit eine Beta-Version der erweiterten Risikosuite (Enhanced Risk Suite) für API-zentrierte Nutzer/innen an, die daran interessiert sind, erweiterte Signale zur Identifizierung und Verhinderung von Transaktionsbetrug zu verwenden. Wenn Sie mehr erfahren möchten, kontaktieren Sie bitte den Support.