La regulación de pago conocida como SCA se ha extendido por la mayor parte de Europa y se dirige rápidamente al Reino Unido, donde está previsto que la aplicación comience en septiembre.
Y aunque hay algunos indicios (la investigación de mercado de Signifyd, por ejemplo) que indican que los comerciantes del Reino Unido no han captado el daño potencial que puede tener en las conversiones el no aplicar correctamente la SCA, la política es sin duda un gran tema de conversación. Y si bien los profesionales de riesgo y los líderes minoristas han estado hablando de SCA durante meses, este no es el momento para que desvíen la vista del panorama general del fraude.
Si bien SCA en sí mismo será un pilar vital de protección para comerciantes y consumidores por igual, hay más en el fraude y más en la protección contra el fraude que implementar una solución SCA de alta calidad. No es, como algunos han asumido erróneamente, la única solución contra el fraude que necesitará un comerciante. Primero, muchas transacciones no están sujetas a SCA. Y segundo, mantener una tasa de fraude baja es vital para brindar una experiencia de cliente de primer nivel en la época de SCA.
- La fuerte aplicación de la autenticación de clientes llegará al Reino Unido este otoño.
- Se requiere SCA y, cuando se hace correctamente, puede agregar una capa de seguridad para comerciantes y consumidores por igual.
- SCA no es una solución completa contra el fraude porque una cantidad significativa de transacciones pueden exceder el requisito y la revisión de SCA.
- La clave para una estrategia sólida de SCA es combinarla con la mejor solución de protección contra fraudes de su clase.
Está pensando que le estoy dando consejos que esperaría escuchar de un gerente de producto y un experto en soluciones de pagos (mi autor colaborador, Okan Ozaltin) en uno de los proveedores de protección contra fraudes líderes en el mundo, pero escúchenos. Tener la mejor solución de protección contra fraudes en su clase es más importante que nunca en la era de SCA.
SCA pide una autenticación de dos factores más robusta
La idea detrás de SCA es que protegerá mejor a los consumidores enrutando muchas transacciones a través de 3D Secure y requiriendo una autenticación de dos factores que requiere que la identidad del comprador sea confirmada a través de dos de los siguientes :
- Algo que el usuario sabe (como un código de acceso de un solo uso).
- Algo que tiene el usuario (como un dispositivo móvil).
- Algo que el usuario es (huella digital, reconocimiento facial, comportamiento de escritura).
Es importante tener en cuenta que no hay nada que impida que los estafadores ataquen transacciones protegidas solo con 3D Secure, y lo hacen. El protocolo de seguridad transfiere la responsabilidad del comerciante a su banco, pero si un banco es víctima de fraude con la suficiente frecuencia, se protegerá rechazando más pedidos.
Esa es la versión TL;DR, pero las maravillas de SCA se encuentran en los detalles. Y esos detalles significan que una poderosa solución de protección contra fraudes es la base de una estrategia exitosa de SCA. De hecho, la protección excepcional contra el fraude es necesaria porque:
- Se requieren bajas tasas de fraude para las exenciones clave que permiten a los consumidores y comerciantes eludir la SCA.
- SCA no cubre todas las transacciones que procesará un comerciante, ni mucho menos.
- SCA se enfrenta directamente al fraude de pagos. No protege a un comerciante contra el fraude amistoso o el abuso de la política por parte de los consumidores.
- Los estafadores son innovadores y emprendedores. SCA puede resultar una barrera inicialmente, pero las bandas de fraude profesionales encontrarán una ruta alternativa de ataque.
Comencemos con las exenciones. Son la clave para proporcionar una experiencia SCA perfecta. Las exenciones permiten que los pedidos se aprueben sin el sello de aprobación de SCA. El pensamiento aquí es que la transacción no es muy riesgosa o no sería muy costosa si las cosas salen mal.
Omitir SCA de forma segura es algo bueno. Como puede imaginar, las primeras revisiones para requerir una autenticación más estricta no son buenas.
La consultora de pagos CMSPI dice que en los países donde ya se aplica la SCA, las tasas de abandono de carritos han llegado al 25% o más. Eso es un montón de negocios perdidos. Gran parte de la fricción que conduce a esas terribles tasas de abandono se debe a que los comerciantes confían en versiones obsoletas de 3D Secure. Se espera que la nueva versión 2.2 sea una gran mejora.
¿Por qué exigir a los clientes que se enfrenten a SCA cuando no es necesario?
Pista: a los clientes no les gusta que los molesten. De hecho, en una encuesta de consumidores realizada para Signifyd por la firma de investigación de mercado Upwave, más del 37% de los consumidores del Reino Unido dijeron que no habían podido completar una transacción debido a los nuevos procedimientos de seguridad en línea. Más del 46% dijo que era muy probable o algo probable que renunciaran a las transacciones que requieren autenticación de dos factores.
Es por eso que las exenciones son tan importantes. Lo que hay que recordar acerca de las exenciones es que una baja tasa de fraude es el precio de admisión. Consideremos el papel de la mejor protección contra el fraude en su clase para hacer que las exenciones sean posibles y seguras:
- Transacciones de bajo riesgo y bajo valor: los pedidos en línea de 30 € o menos que llegan sin banderas rojas de fraude no necesitan borrar SCA. Estos pedidos están recibiendo menos escrutinio que los pedidos de más de 30 €, lo que los convierte en objetivos atractivos para los estafadores. Tener una solución antifraude de alta calidad protegerá estos pedidos del fraude. Dado que una empresa que se ocupa de tamaños de cesta inferiores a 30 € probablemente esté realizando un gran volumen de pedidos de bajo coste, una solución que proporcione una revisión automatizada evitará que la empresa se consuma con la realización de revisiones manuales.
- Transacciones recurrentes: los pagos de suscripción por la misma cantidad realizados al mismo comerciante están exentos de SCA, una vez que el primer pago se liquida SCA. Eso es genial, hasta donde llega. Pero una vez que se procesa la primera transacción, las siguientes transacciones no están sujetas a SCA y son vulnerables al fraude, a menos que exista una solución contra el fraude.
- Pagos de beneficiarios de confianza: los consumidores pueden seleccionar comerciantes específicos y solicitar al banco emisor de su tarjeta que permita que las compras de ese comerciante específico se procesen sin SCA. La clave aquí es que el consumidor pide la exención y el banco puede negarse por cualquier motivo. Si el banco dice que sí, el pago de un beneficiario de confianza se convierte en una transacción que no está protegida por SCA, lo que nuevamente hace que esas transacciones sean objeto de fraude. No se necesita mucha creatividad, por ejemplo, para encontrar objetivos potenciales. Considere la enorme base de clientes de Amazon y la frecuencia con la que los clientes de Prime compran en Amazon. Es la receta perfecta para una solicitud de beneficiario de confianza. Y un comerciante perfecto para que lo visite una red de fraude con credenciales robadas, porque es menos probable que SCA sea una barrera.
- Análisis de riesgo de transacciones (TRA): tener una solución de prevención de fraude de primer nivel es exactamente de lo que se trata TRA. La exención permite a los comerciantes con bajas tasas de fraude, utilizando bancos adquirentes que también tienen bajas tasas de fraude, eludir la SCA en una escala móvil de valores de pedidos. Aquellos con una tasa de fraude extremadamente baja del 0.01% pueden omitir SCA en pedidos inferiores a 500 €. Si la tasa de fraude de un comerciante es inferior al 0.06%, vale por menos de 250 €. Una tasa inferior al 0.13% significa que las compras inferiores a 100 € están exentas de SCA. Nuevamente, el banco adquirente del comerciante debe igualar esos límites de tasa de fraude.
Ahora que gran parte de Europa está operando bajo las reglas de SCA, los límites de la autenticación sólida de clientes como una solución completa contra el fraude se están volviendo evidentes. Olivier Erol, gerente de fraude en Back Market, con sede en París, que vende productos electrónicos personales reacondicionados, dijo que la lección más importante que aprendió en 2020 fueron las limitaciones de SCA.
“He aprendido que la autenticación sólida no es una garantía completa para detener el fraude”, dijo.
Las exclusiones brindan otro conjunto de circunstancias para evitar SCA
Más allá de las exenciones, hay una serie de escenarios en los que SCA no entra en juego, lo que deja a los comerciantes desprotegidos a menos que tengan una solución contra el fraude. Vivimos en una economía global. Vivimos en una época en la que los consumidores compran como quieren comprar cuando quieren comprar.
Las nuevas regulaciones de la SCA se aplican a los comerciantes dentro del Espacio Económico Europeo. Pero no todos los clientes que compran con comerciantes en el EEE viven en el EEE. Tales transacciones transfronterizas caen bajo una excepción de SCA conocida como la exclusión de "una pierna fuera". Si el banco emisor o adquirente involucrado en una transacción está fuera del EEE, la SCA no se aplica. Por lo tanto, esos pedidos están protegidos solo por cualquier solución de fraude que tenga el comerciante.
Ciertos tipos de pedidos (pedidos por correo y por teléfono) no están sujetos a SCA, lo que significa que el próximo pedido que reciba un minorista bien podría ser de un estafador. Las transacciones realizadas con instrumentos de pago anónimos (piense en tarjetas de regalo prepagas) no están sujetas a SCA. ¿Adivina quién acaba de convertirse en un gran fanático de las tarjetas de regalo prepagas?
Finalmente, considere el fraude por falta de pago, a veces llamado fraude amistoso. Los datos de Ecommerce Pulse de Signifyd mostraron un aumento dramático en las afirmaciones falsas de los consumidores de que los paquetes pedidos nunca llegaron o que los pedidos que llegaron no fueron los prometidos.
Signifyd ha registrado un gran aumento en el fraude amistoso a través del Índice de Abuso del Consumidor de Signifyd. El índice rastrea el cambio en la cantidad de devoluciones de cargos que luchó Signifyd y ganó con éxito con el tiempo. El índice asume que es probable que las devoluciones de cargo ganables hayan sido reclamos falsos.
El fraude amistoso se disparó dramáticamente durante la pandemia de COVID-19
El Índice de Abuso del Consumidor terminó 2020 en un nivel cinco veces mayor que antes de que comenzara la pandemia de COVID-19. Otra medida del aumento en el fraude amistoso fue evidente en la encuesta de consumidores de Signifyd. Más del 36% de los consumidores del Reino Unido encuestados dijeron que afirmaron falsamente que un cargo legítimo en su cuenta de crédito era fraudulento. Un poco más del 30% admitió afirmar falsamente que un pedido nunca llegó o que un pedido no era satisfactorio cuando llegó.
Signifyd hizo una pregunta similar a la pregunta reciente sobre pedidos faltantes o insatisfactorios dos meses antes de que se declarara la pandemia. En ese momento, solo el 14% de los encuestados dijo haber afirmado falsamente que un paquete nunca había llegado o que llegó en malas condiciones.
Obviamente, SCA no va a detectar el fraude amistoso, pero una solución de protección contra el fraude y el abuso, la mejor en su clase, sí lo hará.
Las tasas y los riesgos de fraude varían según el minorista e incluso según la vertical minorista. Pero a medida que SCA se vuelve más importante, especialmente en el Reino Unido, está claro que SCA no es una solución completa contra el fraude. De hecho, con SCA aquí o pronto, está claro que los comerciantes necesitan más que nunca una protección contra fraudes de alta calidad.
El Gerente General de Soluciones de Pago de Signifyd, Okan Ozaltin, contribuyó a este informe.