Como Prevenir e Reduzir a Fraude com Cartões de Crédito em 98% com o Stripe Radar

Não é segredo que a indústria de eCommerce e SaaS está em plena expansão. Há mais lojas online do que nunca e milhares de novos negócios surgem a cada dia. Novos serviços e ofertas de produtos em todo o mundo tentam vender-nos algo a cada minuto do dia. Nos últimos 10 anos o nosso comportamento nas compras mudou drasticamente e hoje em dia: pizza, sapatos Nike, a mais recente Xbox, CRM para pequenas empresas, software de contabilidade e até o novo Tesla Model S.

Você pode lançar sua loja WooCommerce em menos de uma hora e tudo que você precisa é de um domínio, um tema, alguns plugins e um processador de pagamento. Também é mais fácil do que nunca iniciar o seu negócio SaaS, vender o seu serviço, captar receitas recorrentes e colocá-lo no nível seguinte!

Os proprietários de lojas de eCommerce e fornecedores de produtos digitais gostariam de uma fatia do bolo, mas como estas indústrias continuam a crescer, o mesmo acontece com os incidentes de fraude de cartão de crédito eCommerce/SaaS. Se você é dono de um negócio, provavelmente você está familiarizado com esta situação e está sempre procurando novas maneiras de reduzir o número de transações fraudulentas, e melhor ainda, evitá-las o máximo possível.

Só para ter a certeza que estamos na mesma página, aqui está uma breve descrição da fraude nos pagamentos online:

A fraude nos pagamentos online envolve a obtenção do número do cartão de crédito de outra pessoa e a sua utilização para fazer compras online não autorizadas. O indivíduo pode comprar um item (ou comprar um produto digital) e depois revendê-lo online por uma fração do preço real. O titular do cartão original (em algum momento) irá descobrir esta transação não autorizada e iniciar uma disputa (chargeback) com seu banco.

É frustrante, não é? Eu sei como te sentes. Elas causam dores de cabeça constantes ao seu negócio e, mais importante, custam-lhe muito dinheiro. Se você está usando Stripe como seu processador de pagamento online, então este post é para você. 😄

Vou mostrar como o Radar Stripe pode tornar a tua vida mais fácil! Graças a esta solução baseada na aprendizagem da máquina, conseguimos reduzir a fraude de crédito em 98% em Kinsta. Não temos de passar mais tempo a rever acusações contestadas e inscrições suspeitas. E acredite em mim, é uma sensação muito boa! Vamos mergulhar nos detalhes.

Tendências em Comércio Eletrônico e Fraude Digital

Não é surpreendente, mas o volume da fraude digital está aumentando rapidamente. Hoje vamos usar alguns dos números da pesquisa realizada por Pymts e Forter em 2016. Você pode baixar o estudo completo a partir deste link. Aqui estão algumas das descobertas mais interessantes:

• No quarto trimestre de 2015, houve 27 tentativas de fraude para cada 1.000 transações.
• No primeiro trimestre de 2016, cerca de $4,79 de cada $100 em transações estava em risco (no primeiro trimestre de 2015, foi “apenas” $1,89).

• A taxa de ataque de fraude mais do que quadruplicou para bens digitais entre o 1T e o 4T.
• A taxa de ataque de fraude quase dobrou para bens de luxo entre o 1T e o 4T.
• 7,77 dólares em cada 100 dólares estão em risco para bens digitais.

De acordo com a LexisNexis’ study, os custos anuais de fraude para os retalhistas dos EUA chegaram a 32 mil milhões de dólares em 2014. Os retalhistas perderam cerca de 1,3% das receitas em 2015, mais do dobro da taxa de 2014. Ouch, 😧 isso é muito dinheiro. Abaixo você pode ver o volume de ataques por 1.000 transações em 2015.

As indústrias mais afetadas são as de bens digitais, vestuário, eletrônicos, alimentos e luxo. Podemos ver que estes são números sérios e estamos a falar de muitas receitas perdidas quando se trata de fraude nos pagamentos online.

Por que você precisa prevenir a fraude de cartão de crédito, por que isso é ruim para o seu negócio

Tenho certeza de que você sabe a resposta, mas deixe-me resumir para você as verdadeiras consequências da fraude online e como ela afeta o seu negócio.

Primeiro, não te deixa focar no teu negócio. Se a sua loja online ou SaaS (software como serviço) tiver um elevado número de vendas ou inscrições, terá de passar muito tempo a lidar com transações fraudulentas, compras e cobranças contestadas. Você está a gerir um negócio e não pode passar o dia inteiro a lidar com este tipo de problemas. Você tem que descobrir como automatizá-lo e evitá-los antes que eles aconteçam.

Em segundo lugar, pode ser devastador quando um dia você acorda e percebe que está fora do negócio porque o seu processador de pagamento suspendeu a sua conta. 😭 Confia em mim, eu sei do que estou a falar. Nos primeiros dias do nosso negócio, o nosso processador de pagamento fechou a nossa conta devido a algumas transações fraudulentas e, de repente, ficámos num impasse. Não fomos capazes de cobrar nossas receitas e conseguir novos clientes para se inscreverem para o nosso serviço. Sim, foi uma porcaria, mas graças a Deus foi resolvido rapidamente. No entanto, nem sempre é esse o caso. Pode ler a história horripilante completa aqui.

Terceiro e mais importante, os chargebacks são extremamente caros. O comércio eletrônico perdeu quase 7 bilhões de dólares para os chargebacks em 2016. Até 2020, espera-se que as perdas de chargeback do comércio eletrônico atinjam US$ 31 bilhões. Aqui está o que os chargebacks podem lhe custar com alguns dos populares processadores de pagamento:

• O PayPal cobra $20 por cada estorno.
• O Stripe cobra $15 por cada estorno (AKA taxa de disputa).
• Dependendo do banco, um chargeback pode estar entre 15 a 75 dólares. Soma-se rapidamente.

Veja o cálculo abaixo e veja o quanto um único chargeback pode prejudicar o seu negócio e a sua rentabilidade. Quando um negócio está sendo alvo de indivíduos que cometem fraude, estes custos podem somar-se e ter um impacto significativo nas finanças do seu negócio!

Se você quiser usar seus próprios números, você pode jogar com a calculadora aqui. Muito bem, já chega para a introdução, vamos mergulhar na forma como o Radar Stripe funciona e como pode usá-lo para reduzir o risco de compras fraudulentas.

O que é Stripe Radar? Como isso pode ajudar?

Nos últimos anos, Stripe tornou-se um dos mais confiáveis e conhecidos processadores de pagamento online. Dois empresários irlandeses, John e Patrick Collison, fundaram a Stripe em 2010, e desde então o crescimento da empresa tem sido exponencial. Potenciando mais de 100.000 negócios e movimentando 50 bilhões de dólares em comércio anualmente, os mais de 900 talentosos funcionários da Stripe são uma garantia de que seu negócio está em boas mãos.

Neste momento Stripe é, na nossa opinião, a melhor solução, tanto para particulares como para empresas, para aceitar pagamentos online e em aplicações móveis. Implementar Stripe na sua loja online é super fácil, trabalhar com o código deles é como um sonho (se um executivo do PayPal está lendo isso, por favor aprenda com esses caras sobre como tornar a sua plataforma utilizável…), e eles têm a solução mais amigável para desenvolvedores.

O Radar Stripe é um produto que foi originalmente lançado em outubro de 2016. Eu estava super entusiasmado e feliz por Kinsta estar entre os usuários beta e pudemos testar e experimentar esta ferramenta para ver o seu potencial total. Na verdade, nós até fornecemos feedback e sugestões para ajudar a melhorar ainda mais a plataforma.

O Radar é uma ferramenta que o ajuda a prevenir pagamentos fraudulentos e a reduzir fraudes com cartão de crédito, com a opção de rever manualmente pagamentos suspeitos. Esses pagamentos suspeitos são automaticamente marcados para revisão pelo sistema de aprendizagem da máquina do Radar ou quando eles acionam uma regra personalizada que você configurou anteriormente.

No início deste ano, o Radar 2.0 foi lançado e vem com ainda mais recursos e aprendizagem avançada da máquina para capturar atividades fraudulentas adicionais.

O sistema de aprendizagem da máquina do Radar está ficando mais inteligente a cada dia, graças aos milhares de usuários que estão configurando suas regras personalizadas e bloqueando manualmente pagamentos suspeitos. O radar não é perfeito, pois ainda vejo ocasionalmente um registro de fraude óbvio que não foi bloqueado automaticamente pelo sistema. Mas eu gostaria de enfatizar que o Radar torna a nossa vida tão mais fácil que eu não consigo agradecer-lhes o suficiente. Agora vamos mergulhar nas funcionalidades do Radar e nas regras personalizadas!

Regras personalizadas no Stripe Radar

Não vou entrar em todos os detalhes técnicos de como o Radar funciona, pois nem sequer conheço todos os detalhes, além de ser baseado em um sistema de aprendizagem de máquinas. A Stripe gere dezenas de milhões de transações todos os dias e isso significa que eles têm um conjunto de dados incrivelmente grande. Milhões de detalhes de cartões de crédito são processados pelos seus sistemas e analisados por algoritmos à procura de padrões para identificar cada transação e marcá-la como segura ou fraudulenta. O Radar analisa todos os pagamentos para ajudar a identificar e prevenir fraudes. Mas temos que alimentar esses algoritmos com novas ações e informações para treiná-los a se tornarem mais inteligentes. E é aí que entra em jogo a grande base de utilizadores do Stripe.

Como e porque deve rever manualmente as transações

Cada vez que revemos manualmente uma transação e tomamos algum tipo de ação, treinamos o algoritmo de aprendizagem da máquina da Stripe para nos tornarmos mais sofisticados. Sempre que você revisa manualmente atividades fraudulentas, procurando por informações suspeitas, há detalhes em anexo que mostrarão claramente que a compra ou inscrição específica foi fraudulenta.

Com base em um número maior de revisões manuais, você deve ser capaz de identificar facilmente um padrão. É provável que você possa definir uma regra personalizada para que o algoritmo identifique e bloqueie esses tipos de transações que vão adiante.

Menos transações fraudulentas significam menos estornos e mais dinheiro no seu bolso.

Atividade Fraudulenta de Spotting Fraudulent

Então, o que pode fazer para detectar rapidamente actividades fraudulentas? Bem, vamos dar uma olhada nesta imagem de tela abaixo.

Aqui está o que vemos. Um cara chamado Ranji do Nepal tentou se inscrever em um serviço com um cartão emitido na Áustria (A distância do Nepal até a Áustria é de apenas 6.089 km). Isto já é ligeiramente suspeito, mas quando você vê que o nome do titular do cartão não é Ranji mas Caroline, agora você pode estar 99,9% certo de que esta é uma atividade fraudulenta e deve ser bloqueada, assim como denunciada. A boa notícia é que a Stripe captura estas actividades com uma taxa de sucesso bastante boa e raramente resultam em compras reais. Mas às vezes isso ainda acontece e se você notar que tem muita atividade estranha como essa, você pode sempre configurar uma regra personalizada.

Configuração de Regra Personalizada no Stripe Radar

A lista completa de referências de regras do Radar com explicações detalhadas pode ser encontrado aqui. Para criar uma regra, selecione “Radar” à esquerda e escolha “Regras”.

Selecione a seção “Quando um pagamento deve ser bloqueado”, role para baixo e clique em “Adicionar Regra”.

Depois disso, você verá este popup chamado “Adicionar uma regra para bloquear pagamentos”.

É aqui que vamos adicionar a nossa primeira regra personalizada. Portanto, o que gostaríamos de conseguir é bloquear todos os pagamentos onde a localização do usuário não seja igual à localização original do cartão de crédito. Nota: às vezes ainda pode ser uma compra legítima, mas honestamente está um pouco longe da realidade que um usuário austríaco durante suas férias no Nepal compraria um serviço SaaS (sem mencionar que os nomes não correspondiam).

Digamos que o indivíduo do Nepal tenta constantemente fazer uma compra. Tudo o que você precisa fazer é encontrar o código ISO de duas letras do país (aqui está uma lista completa) e adicionar a seguinte regra ao Radar:

:card_country: = 'AT' AND :ip_country:= 'NP'

O que faz exactamente esta regra? A partir de agora, Stripe irá bloquear todas as transações quando alguém com um endereço IP nepalês tentar fazer uma compra com um cartão de crédito emitido na Áustria. Aqui estão mais alguns exemplos:

Se você gostaria de bloquear pagamentos feitos a partir do Reino Unido com um cartão de crédito francês, esta é a regra que você adicionaria:

:card_country: = 'FR' AND :ip_country: = 'GB'

Ou se alguém tentasse comprar o seu produto com um cartão italiano mas o endereço de e-mail não fosse da Itália, esta é a regra que você adicionaria:

:card_country: = 'IT' AND :ip_country:!= 'IT'

Como você pode ver, as possibilidades quando se trata de configurar estas regras são ilimitadas.

Se você clicar no botão “Test Rule” o sistema irá verificar o histórico de transações e ver se elas podem corresponder a qualquer tentativa anterior. Se você vê muitas tentativas recentes de pagamento e já sabe que são compras legítimas (digamos que você reconhece os clientes), provavelmente não deve ativar a regra, pois ela bloqueará essas transações válidas. Se não houver nenhuma depois de testar a regra ou se você apenas vir tentativas fraudulentas, clique em “Adicionar e habilitar” e pronto. Você pode facilmente editar, apagar ou desativar regras a qualquer momento.

Bloquear e-mails descartáveis no Stripe Radar

Passemos agora à próxima regra útil. Os usuários fraudulentos adoram usar endereços de e-mail descartáveis. Há muitos desses provedores por aí onde você pode comprar endereços de e-mail ou mesmo criá-los em massa. A boa notícia é que você pode bloquear totalmente esses domínios de e-mail adicionando uma regra simples ao Radar. Digamos que o provedor de e-mail é o shadyemail.com. Essa é a regra que você precisará acrescentar:

:email_domain: = 'shadyemail.com'

Teste a regra e depois active-a. O resultado? Ninguém poderá fazer qualquer compra com este domínio (endereços de e-mail no domínio).

Endereços IP do bloco no Stripe Radar

Se você notar que obtém muitas inscrições fraudulentas a partir de um endereço IP específico, você também pode adicionar isso ao Radar. É útil adicioná-lo mesmo após a compra fraudulenta, pois desta forma você pode ter certeza que o Radar irá bloqueá-lo no futuro. Se você rastreou o endereço IP (você pode encontrá-lo em Stripe se você selecionar a compra específica e verificar os logs associados) tudo o que você precisa fazer é adicionar a seguinte regra:

:ip_address: = '123.4.567.899'

Teste a regra e habilite-a.

Regras mais úteis do Stripe Radar

Digamos que você não envia o seu produto para um país específico ou não quer fornecer um serviço digital para clientes sediados nesse país. Talvez você tenha muitos cadastros fraudulentos deste país e gostaria de simplesmente bloqueá-los. Para este exemplo, estamos a usar Marrocos (desculpem, rapazes). Abaixo está a regra que você precisaria adicionar:

:ip_country: = 'MA'

Isto irá bloquear todas as tentativas feitas a partir de qualquer endereço IP baseado em Marrocos.

Outra regra útil é gerir os declínios e as tentativas falhadas de pagamento feitas pelo mesmo cliente ou a partir do mesmo endereço IP num curto período de tempo. Clientes legítimos não devem precisar de 6 tentativas para fazer uma compra, pois normalmente conhecem os detalhes do seu cartão e têm fundos suficientes para cobri-lo.

Se o cartão de crédito utilizado for roubado, muitas vezes a pessoa não sabe todos os detalhes, e por isso continua a tentar inscrever-se ou fazer a compra com detalhes ligeiramente diferentes. Neste exemplo abaixo o indivíduo usou sete cartões de crédito diferentes dentro de um período de 15 minutos. Parece legítimo, certo?

Tenho a certeza que eles teriam tentado mais, mas provavelmente ficaram sem cartões de crédito. 💳 E havia uma chance de que o próximo cartão tivesse funcionado! É por isso que você deve limitar os declínios. Aqui estão apenas alguns atributos diferentes que você pode usar para limitá-los:

• declines_per_card_number_daily
• declines_per_card_number_hourly
• declines_per_customer_daily
• declines_per_customer_hourly
• declines_per_ip_address_daily
• declines_per_ip_address_hourly

Por exemplo, digamos que queremos bloquear as próximas tentativas em que um cliente tentou fazer uma compra cinco vezes durante um período de 60 minutos, mas a transação foi recusada pelo banco. Se fosse uma pessoa fraudulenta não conseguiriam fazer a sexta compra. Se fosse um cliente legítimo e, por alguma razão, cinco tentativas não fossem suficientes, eles poderiam sempre ligar para o seu banco para obter mais ajuda. Abaixo está a regra que você adicionaria:

:declines_per_customer_hourly: = 5

Você também pode limitar o número de vezes que um cartão é debitado na conta na última hora, usando esta regra:

charge_attempts_per_card_number_hourly

Mais uma vez, a lista completa de regras pode ser encontrada aqui.

Algumas Regras de Ouro e Sugestões

1. Peça sempre um cheque CVC. Não tem cérebro. Se você não fizer isso, você terá muita dificuldade para administrar chargebacks e compras fraudulentas.
2. Reveja as suas transações regularmente. Mesmo que você passe apenas uma hora a cada mês verificando-os e revendo suas transações, você ganhará algumas idéias inestimáveis!
3. Mantenha-se actualizado com as últimas funcionalidades do Radar Stripe. A equipa da Stripe pode ajudar a tornar a sua vida diária muito mais fácil. Tudo o que você precisa fazer é habilitar algumas características incríveis e você já terá economizado uma tonelada de dinheiro e tempo para o seu negócio.
4. Encontre um equilíbrio. É melhor bloquear um cliente legítimo do que permitir 10 inscrições ou compras fraudulentas. Você pode sempre rever as suas regras existentes, fazer edições e testá-las novamente. Não tenhas medo de usá-los. Passo uma tonelada do meu tempo escrevendo, editando, desativando e testando regras. Eu também cometi alguns erros, mas no final das contas, posso dizer que valeu definitivamente a pena o esforço. É uma curva de aprendizagem, mas uma vez que você se familiariza com o básico e como ele funciona, todo o processo de revisão pode ser até divertido!

Pensamentos Finais

Como cliente da Stripe, lembro-me dos primeiros dias em que tentei descobrir como reduzir o número de tentativas e inscrições fraudulentas. Passei incontáveis horas a rever todas as transações maliciosas a tentar encontrar padrões. Agora é tão fácil como adicionar uma regra personalizada ao Radar para evitar tentativas futuras.

Estou confiante para dizer que o algoritmo do Stripe foi melhorado muito, mesmo nos últimos meses.  Eles estão a fazer um trabalho fantástico com o Stripe Radar 2.0. Em comparação com os primeiros anos, posso dizer que o nosso volume de transações fraudulentas foi reduzido em 98%, simplesmente permitindo algumas regras personalizadas e deixando o seu algoritmo fazer o seu trabalho. Mesmo sem as minhas regras personalizadas, Stripe é agora capaz de bloquear a maior parte das tentativas fraudulentas. Mas é melhor jogar pelo seguro e permitir algumas regras testadas.

Recomendo vivamente o uso de Stripe e todas as funcionalidades que o Radar tem para oferecer. Se você é um usuário atual da Stripe, eu adoraria ouvir seus pensamentos. Como você usa o Radar, que regras personalizadas você habilitou e qual tem sido a sua experiência até agora?

Por último, mas não menos importante, se você achou este guia útil por favor compartilhe-o com seus amigos e seguidores!

Tom Zsomborgi Kinsta

Tom is the Chief Business Officer at Kinsta. He is responsible for accounting, forecasting, and internal audits. He has a sharp analytical mind and a zeal for data. You can always count on him to come up with strategic ideas for the team and smart ways to spread our brand and services worldwide. He is a big fan of extreme sports and cars. Connect with Tom on Twitter.

• Site
• LinkedIn
• Twitter