Chi opera nel settore e-commerce prima o poi si scontra con frodi e charge-backs. In questa presentazione spiego come configurare a puntino un sistema come il Risk Engine di Adyen.
Come Configurare Un Sistema AntiFrode e Dormire La Notte
1. Come Configurare Un Sistema AntiFrode
(e dormire la notte)
“
“
Giuseppe Miriello
Project Manager & DMM Ambassador
2. Indice
Riconoscere e Fermare una Frode Online
Flusso, Metriche, Strategia di Prevenzione
Come Scegliere il Sistema Antifrode Giusto
3. Il fenomeno delle frodi online è sempre stato presente, in alcuni mercati più di altri.
Ed è un problema importante, perchè:
- Riduce l’EBITDA
- Falsa gli Analytics e le Analisi di Demand
- Se gestito male, provoca frizioni nei processi di checkout e supporto
- Rappresenta un problema d’immagine
- E’ un rischio per le operations, se cadi in un Excessive Chargeback Program
Il fenomeno si concretizza nella parola “Chargeback”, ma è molto più ampio del
semplice storno della transazione e attraversa tutto il processo di checkout,
autorizzazione, fulfillment e addirittura reso e service support.
Anatomia Di Una Frode Online
5. Alcune Premesse:
1. Questa lista non è esaustiva
2. Per ogni check che vedrete, ce ne sono dieci che non faccio in tempo a mostrare
3. Nessuno di questi check, da solo, identifica una frode.
Potresti avere una transazione con tutti i check falliti, ma leggittima
E potresti avere una transazione con tutti i check riusciti, ma fraudolenta
4. Quindi la regola è “limitare” il rischio, non potete mai escluderlo
5. Ogni check fallito aumenta la probabilità di frode, ma non si è mai certi
6. Oltre una certa soglia di rischio, se il gateway lo permette, fate scattare il 3dSecure
7. Ma sappiate che dovrete tracciare gli eventi di 3ds fallito e i carrelli abbandonati al 3ds
8. Automatizza sempre, e tutto, ma effettua una review manuale settimanale
9. Le schermate che vedete sono prese da Adyen, se usate Riskified, Sygnified o altro possono cambiare, ma i
concetti base sono quelli.
Riconoscere Una Frode Online
6. Liability Shift
Se a monte di tutto avete attivato un sistema 3DSecure, in funzione di come lo avete configurato avrete il liability shift
su tutte o alcune transazioni. Se il liability shift è attivo *non perderete i soldi anche in caso di frode* e potreste
ignorare tutti gli altri security check. Ma meglio non sbattersene le piume...
Perchè è vero che non incorrete nella perdita economica, ma potreste comunque incorrere nei programmi di eccessive
chargeback se non effettuate il ban dell’utente e non processate il paperwork necessario con gli enti emittenti delle
carte di credito. Alcuni TP potrebbero fare anche questo lavoro al posto vostro, ma dovrete integrare una API che
comunica la ricezione del chargeback ai vostri sistemi, che rispondono con dati quali:
1. Copia della ricevuta di pagamento o fattura
2. Copia del documento di trasporto
3. Con firma di ricezione da parte dell’utente
Riconoscere Una Frode Online
7. Destination Check
Se indirizzo di consegna e fatturazione corrispondono, o sono geograficamente vicini, allora non dovrebbe essere frode.
Ma se i due indirizzi sono diversi e appartengono a località lontane, allora forse è frode.
Molto spesso questo pattern *non* indica una frode, ma un ordine fatto da ufficio a casa, o un regalo. Controllate però
con attenzione e settimanalmente che utenti diversi, con indirizzo di fatturazione diverso (e altri dati diversi quali IP,
email, carta di credito) non spediscano allo stesso indirizzo di shipping. Se questo avviene con regolarità, è
estremamente probabilmente che siate cadui in un fraud ring.
Riconoscere Una Frode Online
8. AVS Check
Questo controllo non è sempre disponibile, ma è estremamente utile nel predirre una potenziale truffa.
Verifica che l’indirizzo di fatturazione corrisponda con l’indirizzo di residenza dichiarato dal proprietario della carta di
credito alla Banca.
Se dovessi fare una scommessa, il 90% delle volte che questo dato non corrisponde è una frode. Se dovessi attaccare un
controllo 3DSecure lo farei **sempre** su transazioni con questo check fallito. Attenzione, non funziona in tutte le
country, l’ho visto attivo su US e UK, ma non resto d’Europa, verificate con il vostro payment gateway.
Riconoscere Una Frode Online
9. Billing Name VS CardHolder Name Check
Con questo controllo, viene incrociato il nome del proprietario della carta di credito con il nome e cognome di
fatturazione indicati dall’utente in fase di checkout
Non sempre questa discrepanza identifica una frode, ma se assieme a questa discrepanza si sommano un check di
indirizzi di destinazione fallito, oppure un check AVS fallito, allora con buone probabilità un marrano sta per spiumarti.
Riconoscere Una Frode Online
10. Controlli sull’indirizzo E-Mail
Con questi controlli si cerca d’identificare il marrano analizzando l’indirizzo e-mail che ci ha
dichiarato. Ad esempio, è facile capire che sei di fronte a un malandrino se:
1. L’indirizzo e-mail è evidentemente auto-generato, ad esempio: dkuax3ghfd1238@papermail.net
2. L’indirizzo e-mail è stato creato di recente. A questo scopo potete usare ReapLeaf.
3. L’indirizzo e-mail proviene da provider di posta elettronica ”usa e getta” come TempMail
4. Oppure, in generale, l’e-mail proviene da un provider di posta pericoloso o in vostra blacklist
Unica eccezione alla regola (1) è quando operate in Giappone oppure in Cina. In quel caso, i caratteri
Kanji e Katakana vengono translitterati in caratteri ascii e una email che in realtà è valida può
apparire come auto-generata.
In quel caso, però, il dominio di provenienza è facile da identificare, come giapponese o cinese, e
dovrebbe essere possibile ammorbidire il check
Riconoscere Una Frode Online
11. Controlli Sul Paese di Origine della Connessione IP
Alcune nazioni, han fatto della frode un arte. Siate sempre attenti ad escludere (oppure a mostrare l’autorizzazione
3dSecure) ai paesi nei quali non avete un business diretto, e in special modo in: Russia, Romania, Bulgaria, Repubblica
Moldava, Ukraina, Bielorussia e in generale in tutti i paesi dell’Africa centrale.
Si tratta di un blocco tramite blacklist-whitelist, molto facile da implementare.
Controlli Sul Paese di Origine della Carta di Credito
Per lo stesso motivo, carte di credito di nazioni in cui non fate business e in special modo quelle dell’Est Europa e
dell’Africa Centrale, dovrebbero essere messe in blacklist. Mostrate comunque il 3dSecure per perdere meno
transazioni possibile in questo caso.
Attenzione però ai turisti! E’ perfettamente normale, per un e-commerce di lusso italiano, vedere transazioni di ordini
che originano da IP italiano e hanno indirizzo di consegna italiano ma carta di credito proveniente da paesi con forte
afflusso turistico in Italia. Ad esempio: Stati Uniti, Canada, tutte le country europee dell’area Euro, Cina.
Probabilmente si tratta di turisti che si fan consegnare in albergo della merce che non trovano in patria, in special
modo se avete cataloghi diversi per region, prodotti esclusivi e tempi di consegna veloci in Italia. Assicuratevi che
queste carte funzionino, ma implementate un check 3DSecure.
Riconoscere Una Frode Online
12. Controlli Sulla Frequenza Delle Transazioni
Se un cliente tenta troppe transazioni in troppo poco tempo, potrebbe essere una frode. Oppure potrebbe trattarsi di un
problema d’inserimento dati nel form. In ogni caso, è bene consentire un paio di tentativi andati a vuoto e poi proporre
al cliente la schermata di 3dSecure per evitare di bruciarsi transazioni legittime
Riconoscere Una Frode Online
Il risk score aumenta ad ogni
tentativo fallito. Se raggiunge 100
punti di risk score il sistema
blocca la transazione.
Meglio assicurarsi che il risk score
non raggiunga i 100 punti mostrare
invece il 3dsecure
Stessa nazione, stesso IP, tanti
tentativi ma sempre per la ste
ssa cifra, stessa e-mail.
In questo caso, molto probabil
mente ci siamo bruciati una tr
ansazione reale!
Assicurati di whitelistare l’IP e
fare in modo che al prossimo t
entativo veda un 3dSecure inv
ece di restare bloccato.
13. Controlli Sulla Velocità Delle Transazioni
In questo caso stiamo controllando “quanti paperdollari” il nostro potenziale cliente vuole spendere in un certo
quantitativo di tempo. Ci sono due tipi di controllo, quello sull’importo della singola transazione e quello sull’importo
transato in un arco di tempo. Il suggerimento è sempre di far scattare 3DS sopra una certa soglia, invece che annullare
la transazione. Se ad esempio impostiamo un limite a 800$ in 5 giorni o transazione unica, come soglia per far scattare
il velocity Check, avremo:
Ricordate sempre di non bloccare laddove possibile le transazioni. Mostrate il 3DS se il sistema ne consente
l’attivazione condizionale.
Riconoscere Una Frode Online
il controllo scatta alla seconda
transazione perché è quella che
porta il cliente oltre la soglia
di 800$/5gg
Qui il controllo scatta alla prima
transazione perché porta il client
e fuori soglia subito
Qui non scatta nulla, siamo sotto
soglia ancora alla seconda transazio
ne.
14. Riconoscere Una Frode Online
Altri controlli che potete fare per validare una transazione
Senza un particolare ordine di priorità
È stata usata in diverse countries?
La carta ha già un chargeback
altrove? E’ una carta aziendale?
E’ stata usata da altri utenti?
Relativi alla carta di credito
Ha transato da diversi IP? Ha
transato da diverse countries? Ha
transato con diverse carte? Da
quanto tempo è noto al GW/TP? La
connessione viene da un Proxy? Si
è registrato al sito o resta guest?
Indirizzo di consegna diverso da
billing e uguale ad indirizzo di
consegna di altri utenti?
Relativi all’utente
CCV2 Fallito? Tentativi di acquisto
precedenti falliti? Utente
registrato oppure guest?
Relativi alla transazione
Utente ha transazioni senza
chargeback? Ha fatto più acquisti
andati a buon fine? E’ noto?
Whitelisting
01
02
03
04
15. E alcune considerazioni:
I pattern di frode li noterete *dopo* che vi han frodato, è normale fatevene una ragione. Ogni volta che
identificate una frode, o ricevete un chargeback, cercate un pattern dove i seguenti dati corrispondano (tutti o
alla minima l’indirizzo di spedizione)
1. IP
2. Numero di Telefono
3. Nome e Cognome
4. Indirizzo di destinazione e di Fatturazione
5. Numero di Carta di Credito
6. Numero di Telefono
7. Cardholder Name
Assicuratevi che tutti questi dati arrivino al Gateway di Pagamento e ogni volta che identificate una frode,
buttate in blacklist uno o tutti gli elementi di cui sopra.
Ma non bloccate l’utente! Assicuratevi che i BlackList vadano al 3dSecure, cosi se fosse una transazione
leggittima avrete ancora buone chances d’incassare i paperdollari.
Riconoscere Una Frode Online
16. E inoltre ricordate:
1. Molte volte si tratta solo di aggiustare i filtri dei risk engine ad un livello in cui scatti un 3dsecure invece
che perdere la transazione. **Analizzate settimanalmente le transazioni fallite**
2. Segmentate, Segmentate, Segmentate!!! Per tipo di fallimento della transazione. Alcune di queste
situazioni sono risolvibili migliorando la UX del Carrello, gestendo i filtri del risk engine, limitando
l’apparire della schermata del 3dsecure solo ai casi dove è veramente necessario mostrarlo
Riconoscere Una Frode Online
18. Flusso Di Una Frode Online
Dispute
Fraud/Chargeback
Fraud Notification
3D-Secure
Authorization Acquisto
NO
Rischi di
perdere i soldi,
e blocchi
l’utente
Hai perso i soldi
della prima
transazione, e
disputi il
chargeback
Se sei fortunato
recuperi il
maltolto, unica
transazione.
Hai perso i soldi
della prima
transazione, e
non disputi il
chargeback
Hai perso i soldi
della prima
transazione.
Rischi di
perdere i soldi,
ma non blocchi
l’utente
Hai perso i soldi
di molte
transazioni, e
disputi i
chargeback
Hai perso tra
l’80 e il 90% dei
paperdollari
transati
Hai perso i soldi
di molte
transazioni, e
non disputi i
chargeback
Hai perso tutto,
e finisci in
excessive
chargeback
SI
Non rischi di
perdere i soldi,
e blocchi
comunque
l'utente
Se è un
fraudster è
bloccato e
riduci il rischio
futuro
Non è un
problema tuo!
Non rischi di
perdere i soldi,
ma te ne sbatti
le piume!
Se continua
sporchi gli
analytics, il
rischio è
inalterato
Non è un
problema tuo,
ma devi
Pulire i dati
19. Metriche: Authorization Vs Failure Rate.
Qui ancora non abbiamo frodi, stiamo parlando di autorizzazione, ma è importante definire correttamente il reporting,
altrimenti non sarà possibile avere dei report affidabili.
• Le transazioni sono Autorizzate o Fallite, il totale di Authorization Rate + Failure Rate deve dare 100.
• Le transazioni fallite vanno segmentate per motivo. Tipicamente ‘refused by bank’, ‘refused by automated filter’,
‘manually refused by operator’, ‘timeout’, ‘goods not available’, ’capture failed’, ‘3dSecure Authorization Failed’.
Metriche Di Una Frode Online
20. Metriche: Approval Rate & Rejection Rate
Authorization e Failure Rate necessitano di essere segmentati a loro volta, per dare all’azienda delle leve su cui operare per
innalzare l’Authorization Rate.
* Il failure rate è composto anche da indici di fallimento in fase di capture: mancata disponibilità al capture, race condition sul prodotto al capture, timeout, etc.
Pro tip: In generale vuoi massimizzare l’automatic approval rate e minimizzare l’automatic rejection rate ed evitare le manual
operations eccetto per il ban di utenti e indirizzi fraudolenti. Per il Bank Rejection Rate, non c’è nulla da fare. Dipende dal circuito.
Metriche Di Una Frode Online
•Manual Approval Rate - indica le transazioni approvate manualmente
da un operatore (se hai attivato la funzionalità)
•Automatic Approval Rate - indica le transazioni approvate
automaticamente da un filtro euristico oppure AI
•Bank Approval Rate - indica le transazioni autorizzate dalla banca
Approval Rate
•Manual Rejection Rate - Indica le transazioni rifiutate manualmente da
un operatore (se hai attivato la funzionalità)
•Automatic Rejection Rate - indica le transazioni rifiutate
automaticamente da un filtro euristico oppure AI
•Bank Rejection Rate: indica le transazioni rifiutate automaticamente
dalla banca e il motivo: «raw aquirer response»..
Rejection Rate
La somma dei tre
indici è pari
all’authorization
rate
La somma dei tre
indici è parte ma
non è pari al
Failure Rate *
21. Metriche: ChargeBack Rate
Solo una frazione delle transazioni autorizzate danno vita a dei chargeback, e solo una frazione dei chargeback
rappresenta veramente una frode. Alcuni tipi di chargeback possono essere facilmente disputati, altri possono indicare
ad un processo tecnico oppure di supporto che ha delle lacune, e agire da driver di cambiamento per la Customer
Experience.
In ogni caso ogni ChargeBack è un problema, se superi un Chargeback
Rate dell’1% su un mese, oppure superi i 100 ChargeBack/mese a prescindere
dal ChargeBack Rate, finisci dentro i programmi di Excessive Fraud.
Pro-Tip: Disputa sempre i chargeback, perchè riducono l’incidenza del
ChargeBack Rate nel mese, anche quando sai che perderai.
Metriche Di Una Frode Online
22. Tipologie di Chargeback Per Una Frode Online
Friendly Fraud
Merce Non Consegnata
Proper Fraud
Request for Information
Problemi di Qualità Prodotto? Tempi di Consegna?
Troppo Facile Ordinare Per un Minorenne?
.
Il Corriere Ruba? Il Corriere è Affidabile?
Tempi Consegna Troppo Lunghi? Sono Rispettati?
.
Hai Impostato Correttamente I Filtri Automatici?
Usi il 3DSecure? Su Quante Transazioni è Attivo?
.
Hai verificato l’utente e le transazioni fatte?
Lo hai bannato? Hai verificato se sei in un fraud ring?
E’ preludio di una frode, non sbattertene le piume!
23. Tipologie di Chargeback e Strategia Di MiglioramentoFriendlyFraud
Mancata
consegna
Mercedifettosa
Ordine
Cancellato
MerceNon
Consegnata
Missing
Authorization
MissingCapture
Issuewith
Fulfillment
ProperFraud
Cardnotpresent
Missing
Cardholder
Authorization
Transaction
notrecognized
RFI&Chargeback
Accettato
Disputa
Arbitrato
Migliora Fulfillment
Migliora Qualità Corriere
Banna i Fraudster, Migliora
Detection AI/Euristica
Crea procedure gestione
chargeback per ridurre costo
Migliora CX, Qualità dei Prodotti
Processi di Back Office
25. Come Scegliere Il Sistema Anti Frode Giusto
Integrato nel Gateway, oppure un sistema Third Party?
Non devi scrivere codice in più, lo
integri contestualmente al GateWay
Su piattaforme low-end te la potresti
cavare con l’installazione di un modulo.
Integrato nel GW pagamento
(Adyen, Braintree, etc)
In genere è “rule based” e le regole
manuali. Se mette a disposizione
l’attivazione dinamica di 3DSecure
può essere potente, ma alla lunga
costoso da mantenere.
E’ un tool specifico ma non è il core
business del GW, costa caro, ma
probabilmente non sei esposto a
rischio GDPR
Devi integrare il codice del TP e aggiungi
uno step in più tra authorization banca e
capture. Altro codice da scrivere, costo,
aumento dei point of failure.
Sistema Third Party
(Riskified, Signifyd, Sift Science, etc)
Rate di approvazione migliora, ma non
sempre, specie se sistema AI e TP in
revenue share con assicurazione contro
il chargeback. In quel caso, tutto da
vedere.
Supporto GDPR. In linea di
principio TP è data owner e quindi
ci vorrebbe autorizzazione esplicita
in checkout. Tutti se ne sbattono le
piume, però se poi viene la finanza?
01
02
03
04
05
06
26. Come Scegliere Il Sistema Anti Frode Giusto
Fraud Manager VS AI Detection System
Costa caro, può controllare solo tot
transazioni al giorno, modello che
scala male, deve essere affiancato da
un algoritmo di filtraggio per rendere
Fraud Manager
Sa gestire i chargeback, sa
effettuare le dispute, sa migliorare
i controlli su logistica, corrieri e
tesoreria per creare le evidenze
che servono a vincere le dispute.
Può ottimizzare manualmente I filtri e
migliorare approval rate, diminuire
incidenza del 3DS, dare indicazioni
per migliorare le operations di altri
reparti che incidono sull’authorization
e chargeback rate
Pay as you go, è più caro di un fraud
manager dai 3-5Mln di fatturato, scala
benissimo, da affiancare ad essere
umano per gestire rapporto con TP.
Sistema Third Party
(Riskified, Signifyd, Sift Science, etc)
Non gestisce chargeback e dispute,
lo fa il TP se paghi, con esseri
umani, e devi predisporre
meccanismi di comunicazione API
Può ottimizzare automaticamente I filtri e
(si spera, ho dubbio quando c’è liability
shift) migliorare approval rate e incidenza
del 3DS. Non può comunicare con altri
reparti per migliorare l’incidenza
dell’authorization e chargeback rate.
01
02
03
01
02
03
27. La verità stà nel mezzo: AI Detection + Human Intervention
1. Permette di scalare agilmente, ma non lascia la macchina di detection libera di fare scelte sbagliate
2. Permette di avere un essere umano che gestisca rapporti con GW o GW+TP, se si è scelto di usare un TP
3. Permette di avere un essere umano in grado di capire i processi aziendali e influenzarne il cambiamento
per aumentare authorization rate e diminuire le friendly fraud
4. Permette di ottimizzare manualmente gli script di gestione automatica delle dispute, migliorare il win rate
5. Memoria storica delle configurazioni se decidi di cambiare TP, stesura di documentazione.
Come Scegliere Il Sistema Anti Frode Giusto