Riconoscere e prevenire le frodi nel commercio online I Blog

Ecco come proteggo il mio web shop dai truffatori

Per quanto la pandemia da coronavirus abbia portato ad un boom incoraggiante del commercio online, purtroppo sono aumentati di conseguenza anche i tentativi di frode online, poiché i criminali cibernetici tentano di sfruttare la situazione attuale. Smascherare i vari trucchi dei truffatori non è sempre facile per gli esercenti online. Se a causa di una frode si verifica un’inadempienza nei pagamenti, per te in quanto gestore di un negozio i costi possono essere elevati. Tuttavia, in molti casi è possibile contrastare i tentativi di frode se si rilevano in tempo utile delle anomalie nell’ordine o nel processo di ordinazione. Il presupposto è un’adeguata sensibilità nell’esecuzione delle commesse o in un’implementazione efficace ed efficiente dei controlli.

In questo articolo sul blog di Saferpay, scoprirai come si comportano i truffatori online, come è possibile riconoscerli e come tu, in quanto esercente, puoi proteggerti dalle frodi per scongiurare eventuali danni finanziari.

Le 4 tipologie di truffe più diffuse nell’e-Commerce

Per non cadere nella rete dei truffatori e, in quanto esercente, essere preparato in modo efficace contro i tentativi di frode e manipolazione, è importante conoscere i vari scenari delle frodi e poter quindi reagire già ai primi segnali d’allarme.

1. La perdita dei dati della carta

I dati necessari per un pagamento e-Commerce, come il numero della carta, il nome, la data di scadenza e il codice di verifica della carta, possono facilmente “essere persi”: in fondo, sono stampati sulla carta e ben visibili a chiunque. È sufficiente un breve momento di disattenzione, magari alla reception dell’hotel o al bar sulla spiaggia , perché un abile truffatore faccia una foto della carta a tua insaputa. Anche online esistono tanti casi possibili in cui i dati della carta possono finire nelle mani sbagliate: ad esempio con un attacco phishing, ovvero quando il titolare di una carta inserisce i suoi dati su un sito non sicuro, condividendoli a sua insaputa con il truffatore. Oppure quando i dati della carta sono già memorizzati su un sito e gli hacker possono accedervi senza autorizzazione.

Dopo un attacco hacker a un esercente online andato a buon fine, spesso i dati delle carte rubati vengono messi in vendita al mercato nero nel cosiddetto “darknet”. Qui possono essere acquistati anonimamente dai truffatori online. Tuttavia, i dati delle carte ottenuti dagli hackeraggi online sono generalmente incompleti, in quanto non è mai possibile memorizzare anche il codice di verifica della carta degli esercenti e dei fornitori del servizio di pagamento (come Saferpay). Pertanto, in molti tentativi di pagamento, i truffatori provano spesso ad indovinare i dati mancanti. L’importo della transazione che inseriscono è infatti modesto, in modo da non attirare l’attenzione, tutt’altro che desiderata. In caso di furto completo dei dati della carta con codice di verifica della carta incluso, spesso ci si devono aspettare degli importi di grande entità.

Presta attenzione agli indizi seguenti

• Un numero elevato di tentativi di acquisto non andati a buon fine con un importo della transazione perlopiù di piccola entità
• Il nome del titolare della carta non coincide con il nome dell’indirizzo di spedizione
• Un importo della transazione insolitamente elevato
   

2. Truffa tramite acquisizione dell’account

La truffa tramite acquisizione dell’account ("Account Takeover”, acronimo ATO) si verifica quando un truffatore riesce ad accedere ad un profilo cliente nel tuo web shop e, in seguito, al nome del tuo cliente, riuscendo quindi ad effettuare acquisti con i mezzi di pagamento registrati nello shop. Questo tipo di furto d’identità è ad es. possibile se il tuo cliente ha scelto una password facile da indovinare oppure se, per esempio, la password del suo account e-Commerce può essere compromessa a causa di un attacco phishing. Un’altra variante prevede che un truffatore abbia attaccato l’account e-mail del tuo cliente e tramite questo possa ugualmente accedere al profilo cliente nel tuo shop, arrecando quindi danni finanziari.

Presta attenzione agli indizi seguenti

• Tentativi di accesso molto frequenti da parte di un cliente
• La password dell’account cliente è stata reimpostata di recente
• Il nome o l’indirizzo del cliente sono cambiati
• Il nome del titolare della carta non coincide con il nome dell’indirizzo di spedizione
   

3. Truffa della prenotazione

Per i truffatori il metodo più facile e comodo per ottenere direttamente del denaro è di ordinare delle merci a nome di un cliente. Per questo motivo la cosiddetta truffa della prenotazione, che riguarda specialmente il settore alberghiero, gode di grande popolarità tra i truffatori: tale frode consiste nel prenotare un soggiorno in hotel per un periodo di tempo più lungo con i dati della carta rubati, per poi cancellarlo con un pretesto, richiedendo un accredito su un’altra carta di credito o un altro conto. Il legittimo titolare della carta solleciterà ugualmente una contestazione di addebito (chargeback) non appena noterà la perdita.

Presta attenzione agli indizi seguenti

• Importi tanto elevati da destare sospetti
• Rimborso su un mezzo di pagamento diverso da quello utilizzato per la prenotazione
• Dati del cliente diversi, ad es. comunicazione tramite un altro indirizzo e-mail
• Per lo storno della prenotazione vengono addotti dei motivi speciosi, spesso una malattia, un incidente o un caso di emergenza medica in famiglia
   

4. Friendly Fraud

La Friendly Fraud (“truffa amichevole”) consiste in un acquisto online in cui un cliente ha pagato con una carta di credito o di debito e in seguito richiede una contestazione di addebito (chargeback) invece di un rimborso da parte dell’esercente. Nella maggior parte dei casi non vi sono però intenzioni fraudolente. Ad esempio, se si ordina un prodotto online e poi si dimentica di averlo fatto: esaminando il conteggio della carta, il titolare della carta può non ricordare la procedura effettuata e contestare il pagamento. Oppure se un bambino senza sorveglianza ha accesso a un dispositivo su cui sono registrati i dati della carta di credito. In singoli casi esistono però anche dei clienti che semplicemente negano di aver ricevuto la merce, puntando così a ottenere un vantaggio. Purtroppo casi simili possono essere individuati molto difficilmente.

Presta attenzione agli indizi seguenti

• Molteplici difficoltà con lo stesso cliente
• Rischio elevato in caso di beni digitali e acquisti in-app

Autenticazione forte del cliente contro le frodi online

I fornitori dei servizi di pagamento e le banche si affidano a un’autenticazione forte del cliente ("Strong Customer Authentication”, acronimo SCA) tramite autenticazione a 2 fattori per contrastare le frodi online: oltre all’inserimento dei dati della carta o di un wallet login, viene richiesto un altro fattore (cellulare, password, impronta digitale, ecc.) al fine di verificare l’identità del soggetto pagante. Se il login è avvenuto con un’autenticazione forte del cliente, la frode è estremamente improbabile.

Con Saferpay, in quanto esercente online e in caso di mezzi di pagamento 3-D Secure, come Visa e Mastercard, puoi esigere un’autenticazione forte del cliente, impostando il flag “ThreeDsChallenge” su “FORCE” nell’API. Ciò è opportuno se già prima della richiesta di autorizzazione sai che si tratta di una transazione particolarmente rischiosa (ad es. l’importo della transazione è insolitamente elevato) o se hai rilevato delle attività sospette che possono indicare la perdita dei dati della carta o un furto d’identità.

Maggiori informazioni sulla “FlagThreeDsChallenge” sono disponibili nella nostra documentazione API e nella Integration Guide Saferpay al capitolo 3-D Secure - Parametri opzionali.

Ecco come riconoscere l’inversione di responsabilità: chi paga in caso di danni?

Di norma, tu in quanto esercente ti assumi tutti i rischi in caso di frode online e quindi anche i costi. L’inversione di responsabilità ("Liability Shift") sussiste solo se l’emittente della carta o il fornitore del servizio di pagamento sono disposti ad assumersi la responsabilità della singola transazione. In caso di pagamenti 3-D Secure, tu in quanto esercente benefici quasi sempre dell’inversione di responsabilità e sei quindi al sicuro. Ti assumi il rischio in caso di mezzi di pagamento senza autenticazione forte del cliente e 3-D Secure, in caso di pagamenti al di fuori dello spazio PSD2 (dove 3-D Secure non è supportato da tutti i soggetti emittenti) e in casi eccezionali ("Exemptions”) richiesti dall’esercente.

In linea di massima, vale quanto segue: se ha avuto luogo un’inversione di responsabilità e poi si arriva a una contestazione di addebito (chargeback), allora sarà il fornitore del servizio di pagamento ad assumersi i costi. L’inversione di responsabilità non costituisce però la garanzia che non si tratta di una truffa!

Riconoscere l’inversione di responsabilità e l’autenticazione forte del cliente in Saferpay