El comercio electrónico en España, entre abril y junio del 2017, experimentó un aumento interanual del 23,4%. Aunque este dato es muy positivo para los agentes del sector, tenemos que tener en cuenta que el fraude también aumenta. Según los datos que baraja el Consejo Económico y Social (CES), los e-commerce en España pierden más de 100 millones de euros por fraudes de los consumidores.

A pesar de ello, en España el porcentaje de fraude no se sitúa en los niveles de otros países (en España únicamente supone entre el 0.50% y el 1% de la facturación anual de las empresas). Citamos algunas herramientas para detectar si una compra es susceptible de ser fraudulenta: pedidos de importe muy elevado para el ticket medio del producto que se vende; un mismo cliente acumula varios pedidos de importes bajos (con el fin de evitar el 3D Secure); el comprador pide un envío express; compras repetitivas; datos del comprador sospechosos;…

En los casos donde la compra no suponga el envío de un producto físico, tales como compras de vuelos en compañías aéreas estos podrían ser: corto período de tiempo entre la fecha de compra y la de salida de un vuelo; vuelos “solo ida” y con salida o llegada a un aeropuerto internacional; salida de vuelos de aeropuertos de un país diferente al del registro del usuario/pasajero, del país de emisión de la tarjeta o de la IP del comprador; etc.

La prevención del fraude es clave para un e-commerce

Aplicar medidas de seguridad para reducir el riesgo de ventas realizadas con tarjetas fraudulentas es muy importante y también lo es el momento en que se llevan a cabo estas medidas:

1. En on-line, en el momento de realizar el pago

• Listas Blancas

Contar con una base de datos, consultable antes de enviar cada operación al banco, de clientes registrados habituales, en definitiva, VIPS. La idea es que a un cliente VIP, debidamente identificado, nunca se le deniegue ningún pago por estar afectado por un parámetro antifraude general y riguroso.

• Listas Negras

Disponer de una base de datos, consultable antes de enviar cada operación al banco, de usuarios con un historial inaceptable de incidencias de facturación. Es decir, operaciones que hayan sido reportadas como: Fraude Confirmado, Charge-backs, autorizaciones denegadas por el banco emisor de la tarjeta por motivos relacionados con fraude, usuarios clasificados con un “scoring de riesgo” inaceptable por el sistema antifraude del comercio en operaciones anteriores. Además, también se puede configurar la pasarela del Banco para bloquear tarjetas según el país de emisión de la tarjeta.

• Velocity checks

Son filtros antifraude basados en los números de operaciones y el importe acumulado dentro de un período establecido (diarias, semanales) que exceden el indicador de riesgo. Estos pueden ser: datos de registro del usuario, número de tarjeta (sólo para aquellos comercios PCI), dirección IP del comprador, entre otros.

• Rules-based fraud screening

Son validaciones automáticas basadas en reglas de comportamiento de los compradores: pedidos sospechosos, indicadores aplicados a la actividad de cada comercio, comprobar la validez de los datos de registro del cliente, entre muchos otros.

• Otras medidas de seguridad

Asimismo, el Banco ofrece al comercio escoger si aplica medidas adicionales de seguridad tales como: validar el CVV2, filtrados a partir de “listas negras” de los propios bancos, AVS (Address Verification Service, sistema por el que el banco emisor valida la dirección y código postal del titular de la tarjeta), autenticación mediante 3D Secure (esta última, permite a las entidades autenticar al consumidor y, de este modo, los comercios pueden asegurarse de que no se retrocede la transacción en las transacciones que hacen con el extranjero).

2. Después de realizar el pago

Una vez realizado el pago, el comercio se encontrará ante tres situaciones:

• Operaciones rechazadas por superar los indicadores máximos del scoring de riesgo.
• Operaciones dudosas, ya que a pesar de haber incumplido algún parámetro de riesgo, este incumplimiento no será suficiente para considerar la operación como fraudulenta y rechazarla pero se tendrá que llevar a cabo un protocolo establecido por el comercio.
• Operaciones aceptadas que no incumplirán ningún parámetro de riesgo para procesar el pago a través del Banco.

3. A partir de las incidencias recibidas por el Banco (chargebacks, fraude confirmado, reclamaciones etc..)

A través de la información recibida por parte del Banco con el que se tiene la pasarela o TPV. Si este último envía al comercio la información relativa a aquellas transacciones que han sido chargebacks, fraude confirmado, intentando así, en la medida de lo posible, evitar proporcionar el servicio..

Para concluir, añadir que con la nueva directiva de servicios de pago PSD2, se establece el uso de factores de seguridad para las compras online tales como contraseña, código PIN, tarjeta, teléfono móvil, escaneo del iris o huella digital con el objetivo de ayudar a combatir el fraude. ¿Ayudará esta nueva normativa a reducirlo significativamente?