Las plataformas de e-commerce peer-to-peer, en las que los usuarios pueden vender y comprar productos o servicios entre sí (tipo eBay, Airbnb, Liftshare y otras muchas), presentan particularidades en lo que a prevención de fraude se refiere.
Pensemos, por ejemplo, en el siguiente supuesto: alguien crea un perfil falso como vendedor y oferta productos que ni siquiera posee; a continuación, el mismo sujeto da de alta un perfil como comprador y realiza un pago online para supuestamente adquirir esos productos “fantasma”. Para realizar la transacción, utiliza una tarjeta de débito robada. Luego confirma que el envío se ha realizado de manera satisfactoria y recibe la correspondiente cantidad en su cuenta de vendedor, que a su vez transfiere a una cuenta bancaria de su propiedad. En resumen, de este modo el usuario utiliza a la plataforma de e-commerce como instrumento con el que extraer los fondos de tarjetas de pago obtenidas ilícitamente. Lo más “divertido” es cuando tu marketplace se enfrenta a todo un ejército de usuarios falsos, organizados para defraudar a gran escala.
Una vez que los dueños de las tarjetas de pago robadas se percatan e indican a su entidad bancaria que esas transacciones se hicieron sin su consentimiento, los pagos son devueltos y, en principio, el marketplace es responsable. Pero, claro, el dinero ya ha salido del sistema y no hay forma de recuperarlo. A tu plataforma le toca “pagar la cuenta”.
Otro supuesto clásico es el del friendly fraud o chargeback fraud, que afecta de igual modo a e-commerce B2C convencionales, y que se produce cuando el comprador adquiere y recibe los bienes, para luego instar a su entidad bancaria a que rechace el pago efectuado mediante tarjeta. En la Unión Europea, el consumidor tiene trece meses para poder declinar el pago. En estos casos, la plataforma solo puede evitar asumir el coste si dispone de documentación suficiente para demostrar que la transacción se produjo realmente. Hay que hacer notar que algunos servicios de pago como Stripe o Paypal cobran una cuota por cada chargeback, con independencia de que se resuelva a favor de la plataforma o no.
Pienso que no hay suficiente información online sobre estos temas (menos aún en español) y que los que hemos “lidiado con el toro” debemos aportar nuestro granito de arena. Sería positivo que los proveedores de pagos participaran también en el debate (Paypal, MangoPay, Stripe, etc.).
A continuación enumero algunas de las medidas de prevención del fraude que nos han ayudado directamente o cuya implementación hemos considerado.
3D Secure
Este mecanismo traslada el riesgo de la plataforma de e-commerce a la entidad bancaria en cuestión. Eso sí, puede ser molesto para el usuario (y disminuir nuestra conversión), ya que este ha de introducir su contraseña de 3D Secure. Aunque pueda parecer excesivo, recomendaría utilizar este mecanismo al menos la primera vez que el cliente utiliza una determinada tarjeta para el pago (esto es, una vez por tarjeta), con independencia de la cuantía económica del pedido.
La alternativa es habilitar 3D Secure solo cuando se cumplan determinadas reglas, a saber: la transacción supera un cierto importe, el valor acumulado de las transacciones supera el umbral que hayamos establecido, se han realizado más de X pagos con una misma tarjeta en un periodo de tiempo (card velocity), etc.
Control de IPs
Si comprador y vendedor actúan desde la misma IP, es más que probable que estén intentando defraudar al sistema.
Igualmente, puede ser aconsejable rechazar pagos provenientes de IPs extranjeras (la probabilidad de friendly fraud es mayor en estos casos).
Tarjetas y cuentas bancarias nacionales
En línea con lo anterior, no permitir pagos con tarjetas de pagos extranjeras o salidas de saldos a cuentas bancarias no nacionales puede mitigar el fraude.
Identificar anomalías
Si nada más recibir un pago el vendedor confirma el envío y el comprador confirma asimismo la recepción, algo raro sucede. Lo normal es que el pago inicial, el envío del producto, su entrega y la eventual retirada del dinero hacia una cuenta externa sean pasos diferenciados y que no ocurren en cuestión de segundos o minutos, sino más bien de horas o de días. Teniendo en cuenta que una vez que el dinero se transfiere fuera de la plataforma no habrá forma de recuperarlo si la transacción resulta fraudulenta y no pudimos prevenirla, no procesar peticiones de pay-out hasta transcurridas 48 horas es más que razonable.
En general, cualquier anomalía puede darnos pistas sobre usuarios que estén intentando cometer fraude: un número de pagos superior al habitual en un cierto lapso temporal, una cantidad en euros por encima de la media, usuarios que añaden una segunda cuenta bancaria, etc.
Límites al número de tarjetas de crédito y al número de intentos de pago fallidos
Si un usuario intenta procesar un pago utilizando tres o más tarjetas de débito o crédito, sería conveniente rechazar la operación y bloquear la cuenta del usuario hasta que pueda comprobarse su legitimidad.
Reputación
Por ejemplo, no permitir que un usuario pueda vender hasta que no hay realizado un número mínimo de compras con éxito. O no permitir que usuarios sin comentarios positivos puedan hacer compras que superen un cierto umbral monetario.
Me consta que marketplaces como Vinted utilizan también información como los perfiles sociales que el usuario haya integrado con su cuenta (así, si el usuario ha completado su registro usando un perfil real de Facebook, la probabilidad de fraude es menor).
Envío certificado
Si el pedido implica el envío de un producto físico, remitirlo mediante correo certificado ayudará a evitar que el comprador indique que no recibió el producto.
Servicio de atención al cliente
Contar con un equipo que atienda a los mensajes o quejas procedentes de la comunidad y que monitorice el uso del sistema es de gran utilidad para detectar anormalidades y cuentas falsas.
