Riconoscere e prevenire le frodi nel commercio online

Per quanto la pandemia da coronavirus abbia portato ad un boom incoraggiante del commercio online, purtroppo sono aumentati di conseguenza anche i tentativi di frode online, poiché i criminali cibernetici tentano di sfruttare la situazione attuale. Smascherare i vari trucchi dei truffatori non è sempre facile per gli esercenti online. Se a causa di una frode si verifica un’inadempienza nei pagamenti, per te in quanto gestore di un negozio i costi possono essere elevati. Tuttavia, in molti casi è possibile contrastare i tentativi di frode se si rilevano in tempo utile delle anomalie nell’ordine o nel processo di ordinazione. Il presupposto è un’adeguata sensibilità nell’esecuzione delle commesse o in un’implementazione efficace ed efficiente dei controlli.

In questo articolo sul blog di Saferpay, scoprirai come si comportano i truffatori online, come è possibile riconoscerli e come tu, in quanto esercente, puoi proteggerti dalle frodi per scongiurare eventuali danni finanziari.

Per non cadere nella rete dei truffatori e, in quanto esercente, essere preparato in modo efficace contro i tentativi di frode e manipolazione, è importante conoscere i vari scenari delle frodi e poter quindi reagire già ai primi segnali d’allarme.

I dati necessari per un pagamento e-Commerce, come il numero della carta, il nome, la data di scadenza e il codice di verifica della carta, possono facilmente “essere persi”: in fondo, sono stampati sulla carta e ben visibili a chiunque. È sufficiente un breve momento di disattenzione, magari alla reception dell’hotel o al bar sulla spiaggia , perché un abile truffatore faccia una foto della carta a tua insaputa. Anche online esistono tanti casi possibili in cui i dati della carta possono finire nelle mani sbagliate: ad esempio con un attacco phishing, ovvero quando il titolare di una carta inserisce i suoi dati su un sito non sicuro, condividendoli a sua insaputa con il truffatore. Oppure quando i dati della carta sono già memorizzati su un sito e gli hacker possono accedervi senza autorizzazione.

Dopo un attacco hacker a un esercente online andato a buon fine, spesso i dati delle carte rubati vengono messi in vendita al mercato nero nel cosiddetto “darknet”. Qui possono essere acquistati anonimamente dai truffatori online. Tuttavia, i dati delle carte ottenuti dagli hackeraggi online sono generalmente incompleti, in quanto non è mai possibile memorizzare anche il codice di verifica della carta degli esercenti e dei fornitori del servizio di pagamento (come Saferpay). Pertanto, in molti tentativi di pagamento, i truffatori provano spesso ad indovinare i dati mancanti. L’importo della transazione che inseriscono è infatti modesto, in modo da non attirare l’attenzione, tutt’altro che desiderata. In caso di furto completo dei dati della carta con codice di verifica della carta incluso, spesso ci si devono aspettare degli importi di grande entità.

La truffa tramite acquisizione dell’account ("Account Takeover”, acronimo ATO) si verifica quando un truffatore riesce ad accedere ad un profilo cliente nel tuo web shop e, in seguito, al nome del tuo cliente, riuscendo quindi ad effettuare acquisti con i mezzi di pagamento registrati nello shop. Questo tipo di furto d’identità è ad es. possibile se il tuo cliente ha scelto una password facile da indovinare oppure se, per esempio, la password del suo account e-Commerce può essere compromessa a causa di un attacco phishing. Un’altra variante prevede che un truffatore abbia attaccato l’account e-mail del tuo cliente e tramite questo possa ugualmente accedere al profilo cliente nel tuo shop, arrecando quindi danni finanziari.

Per i truffatori il metodo più facile e comodo per ottenere direttamente del denaro è di ordinare delle merci a nome di un cliente. Per questo motivo la cosiddetta truffa della prenotazione, che riguarda specialmente il settore alberghiero, gode di grande popolarità tra i truffatori: tale frode consiste nel prenotare un soggiorno in hotel per un periodo di tempo più lungo con i dati della carta rubati, per poi cancellarlo con un pretesto, richiedendo un accredito su un’altra carta di credito o un altro conto. Il legittimo titolare della carta solleciterà ugualmente una contestazione di addebito (chargeback) non appena noterà la perdita.

La Friendly Fraud (“truffa amichevole”) consiste in un acquisto online in cui un cliente ha pagato con una carta di credito o di debito e in seguito richiede una contestazione di addebito (chargeback) invece di un rimborso da parte dell’esercente. Nella maggior parte dei casi non vi sono però intenzioni fraudolente. Ad esempio, se si ordina un prodotto online e poi si dimentica di averlo fatto: esaminando il conteggio della carta, il titolare della carta può non ricordare la procedura effettuata e contestare il pagamento. Oppure se un bambino senza sorveglianza ha accesso a un dispositivo su cui sono registrati i dati della carta di credito. In singoli casi esistono però anche dei clienti che semplicemente negano di aver ricevuto la merce, puntando così a ottenere un vantaggio. Purtroppo casi simili possono essere individuati molto difficilmente.

I fornitori dei servizi di pagamento e le banche si affidano a un’autenticazione forte del cliente ("Strong Customer Authentication”, acronimo SCA) tramite autenticazione a 2 fattori per contrastare le frodi online: oltre all’inserimento dei dati della carta o di un wallet login, viene richiesto un altro fattore (cellulare, password, impronta digitale, ecc.) al fine di verificare l’identità del soggetto pagante. Se il login è avvenuto con un’autenticazione forte del cliente, la frode è estremamente improbabile.

Con Saferpay, in quanto esercente online e in caso di mezzi di pagamento 3-D Secure, come Visa e Mastercard, puoi esigere un’autenticazione forte del cliente, impostando il flag “ThreeDsChallenge” su “FORCE” nell’API. Ciò è opportuno se già prima della richiesta di autorizzazione sai che si tratta di una transazione particolarmente rischiosa (ad es. l’importo della transazione è insolitamente elevato) o se hai rilevato delle attività sospette che possono indicare la perdita dei dati della carta o un furto d’identità.

Maggiori informazioni sulla “FlagThreeDsChallenge” sono disponibili nella nostra documentazione API e nella Integration Guide Saferpay al capitolo 3-D Secure - Parametri opzionali.

Di norma, tu in quanto esercente ti assumi tutti i rischi in caso di frode online e quindi anche i costi. L’inversione di responsabilità ("Liability Shift") sussiste solo se l’emittente della carta o il fornitore del servizio di pagamento sono disposti ad assumersi la responsabilità della singola transazione. In caso di pagamenti 3-D Secure, tu in quanto esercente benefici quasi sempre dell’inversione di responsabilità e sei quindi al sicuro. Ti assumi il rischio in caso di mezzi di pagamento senza autenticazione forte del cliente e 3-D Secure, in caso di pagamenti al di fuori dello spazio PSD2 (dove 3-D Secure non è supportato da tutti i soggetti emittenti) e in casi eccezionali ("Exemptions”) richiesti dall’esercente.

In linea di massima, vale quanto segue: se ha avuto luogo un’inversione di responsabilità e poi si arriva a una contestazione di addebito (chargeback), allora sarà il fornitore del servizio di pagamento ad assumersi i costi. L’inversione di responsabilità non costituisce però la garanzia che non si tratta di una truffa!

• L’importo della transazione è insolitamente elevato?
• Hai ottenuto un’inversione di responsabilità?
• Ha avuto luogo un’autenticazione forte del cliente?
• Vi sono più transazioni dello stesso mezzo di pagamento o cliente nel giro di breve tempo?
• Vi sono state modifiche all’account che potrebbero indicare un furto d’identità o la perdita dei dati della carta?
• Il Paese emittente della carta coincide con il Paese dell’indirizzo IP e di spedizione?
• L’indirizzo di spedizione è in un Paese verso cui normalmente non effettui spedizioni oppure le effettui raramente?
• Si tratta di un nuovo cliente che utilizza un indirizzo e-mail composto da una combinazione di numeri e lettere (ad es. skyblue123@gmail.com) di un provider gratuito?

Anche se si controlla con la massima attenzione, possono verificarsi delle contestazioni di addebito occasionali dovute ad una truffa. Finché si tratta di singoli casi, non c’è motivo di preoccuparsi. La situazione può però diventare critica se i costi derivanti da una truffa riducono notevolmente il tuo fatturato o se le organizzazioni di carte ti comminano delle sanzioni per via di un tasso di frode elevato.

Le possibili misure seguenti ti aiuteranno ad agire in modo corretto ed a non perdere tempo inutilmente in caso di frode:

Un’analisi del rischio manuale approfondita richiede tempo e spesso, per grandi esercenti, non è fattibile in modo efficace sul piano dei costi. Se desideri ridurre il tuo tasso di frode, saremo lieti di aiutarti sia che si tratti di una problematica grave, sia se, pur avendo un tasso di frode già basso, desideri comunque proteggere ancora meglio ed ottimizzare ulteriormente il tuo fatturato. Abbiamo la soluzione giusta per le tue esigenze: rivolgiti a noi!

fraud_eu@worldline.com (Europa)
fraud@worldline.com (Svizzera)