Introducción al fraude y a las disputas en México : Stripe: ayuda y soporte

Introducción al fraude y a las disputas en México

Stripe es un procesador de pagos

Stripe es un procesador de pagos y no una billetera digital. Cuando eliges un procesador de pagos, eres responsable de la prevención de fraude, de los cargos que eliges aceptar y de los costos incurridos por fraude. Tienes que evaluar el riesgo de cada pago para tu empresa.

Una billetera digital es un método de pago, como lo son las tarjetas de débito o crédito. Los proveedores como PayPal y MercadoPago ofrecen billeteras digitales además del servicio de procesamiento de pagos.
En cambio, una pasarela de pagos o procesador de pagos como Stripe, funciona como una vía para las transacciones de pago entre el método de pago del comprador (que puede ser una tarjeta de débito o crédito de un banco emisor) y el vendedor.

Respecto de la prevención de las disputas y el fraude, el sistema de billeteras digitales permite saber quién es el comprador, por lo que hay menos posibilidades de fraude y, por ende, menos disputas por fraude. El procesamiento de pagos no es lo mismo que una protección específica contra fraudes. Aunque contamos con herramientas antifraude e intentamos eliminar transacciones riesgosas sin bloquear cargos legítimos, la verdad es que no existe ningún algoritmo que sea tan eficaz como la revisión manual de cada pedido por parte del comerciante.

En otras palabras, si eliges Stripe como tu procesador de pagos, serás responsable de los cargos que decidas aceptar y de los costos incurridos por fraude, por lo que tienes que evaluar el riesgo de cada pago para tu empresa. Stripe no podrá garantizar que un pago no sea fraudulento; solo podemos confirmar si un cargo se efectuó correctamente o no, lo que no garantiza su legitimidad. El tipo de ataque de fraude dependerá del tipo de empresa. Por este motivo, el titular de la empresa debe estar al tanto de los pagos sospechosos y gestionar la protección de su cuenta de Stripe.

Si consideras que un cargo puede ser fraudulento, ten en cuenta que, por lo general, recomendamos que los usuarios rembolsen los pagos sospechosos antes de que se conviertan en disputas, con el fin de evitar pasar por todo el proceso que estas implican. Además, debes tener en cuenta que cuando procesas rembolsos a tus clientes, Stripe no cobra comisiones adicionales, sino que retiene las comisiones relacionadas con la transacción original.

Para empezar, en este enlace encontrarás los tipos más comunes de indicadores de fraude:

https://stripe.com/docs/disputes/prevention/identifying-fraud#common-types-of-fraud-indicators

Explicación del proceso de disputa

¿Qué son las disputas?

Si aceptas tarjetas de crédito en tu sitio o tienda, es muy probable que tengas que gestionar contracargos y solicitudes de información. Cuando un cliente tiene un problema con un cargo en su tarjeta de crédito, lo puede disputar con el banco. El banco iniciará un proceso de disputa con una solicitud de información o un contracargo.

Cuando un cliente disputa un pago, el banco descuenta de tu saldo de Stripe tanto el importe del pago como el de la disputa. Stripe no es responsable de las comisiones por disputas, que solo se devuelven a tu saldo si la disputa se resuelve a tu favor. Independientemente del tipo de disputa, es de suma importancia que presentes evidencia en el plazo indicado al recibir una disputa.

Puedes obtener más información sobre las disputas y cómo funcionan aquí:

https://stripe.com/docs/disputes/how-disputes-work

¿Dónde puedo ver mis disputas en el Dashboard?

En el Dashboard, puedes ver todos los pagos en disputa en Pagos > Disputas:

https://dashboard.stripe.com/disputes

¿Cómo funciona el proceso de disputa en México?

A pesar de que las disputas funcionan de manera diferente en las distintas redes de tarjetas y pagos, en general, siguen patrones similares. El proceso de disputas involucra a varias partes y tiene varios pasos.

A diferencia de lo que sucede en otros países, las reglas de Visa y Mastercard sobre disputas no se aplican en México (solo para pagos internacionales). En su lugar, se aplican las reglas que establecen el Banco de México y la CNBV, y las aplican los adquirientes y emisores de tarjetas de México. Debido a esto, el proceso de disputa en México es menos predecible que en otros países, lo cual dificulta que una disputa se resuelva a tu favor.

Además, el fraude es muy común en México y representa un alto riesgo para los comerciantes que recién comienzan a usar pagos electrónicos. Esto es aún más importante para las empresas de segmentos de alto riesgo, que deberían prestar mayor atención a su estrategia antifraude. Las empresas de estos segmentos suelen ser aquellas que venden productos electrónicos, vestimenta y joyas (todo aquello con un alto valor de reventa es un objetivo potencial para el fraude).

Por este motivo, recomendamos encarecidamente que los comerciantes de México sigan nuestras prácticas recomendadas para invertir en la prevención del fraude y las disputas:

https://support.stripe.com/questions/checklist-to-prevent-disputes-and-fraud-in-mexico

Ciclo de vida de las disputas y la importancia de presentar evidencia

Cuando el titular de una tarjeta presenta una disputa, el banco notifica a Stripe y, debido a que existe una obligación legal de hacerlo, el banco retira el importe en disputa más una comisión de MXN 150 por la gestión del caso. Stripe no es responsable de las comisiones por disputas y contracargos. El banco descuenta estas comisiones y solo las devuelve al comerciante en caso de que la disputa se resuelva a su favor. Este importe se descontará de tu saldo y los fondos se enviarán al banco, donde quedarán retenidos hasta que se resuelva la disputa.

Una vez que se crea un contracargo, tienes un plazo limitado (por lo general, de 7 a 21 días) para responder y presentar evidencia de la legitimidad del cargo. Este plazo varía según la red de tarjetas. Si no presentas evidencia antes de que se venza el plazo, la disputa se resuelve a favor del titular de la tarjeta, quien se queda con los fondos. Por eso es de suma importancia que presentes evidencia en el plazo indicado al recibir una disputa.

Cómo presentar evidencia para las disputas

En Stripe, nos esforzamos por ayudarte a presentar evidencia para las disputas y asesorar a los usuarios sobre cómo responder a estas o aceptarlas. Nuestra función es ayudar en el proceso de presentación de evidencia y notificar al banco sobre cualquier actualización. Es importante tener en cuenta que el banco del titular de la tarjeta se ocupa de todo el proceso de disputa. Stripe no participa en la decisión sobre si una disputa es válida o no.

Si presentas evidencia, esta se envía al banco del titular de la tarjeta, que también tiene un plazo limitado (en general, de 60 a 75 días) para responder. El plazo varía según la red de la tarjeta. Stripe actualiza el estado de la disputa apenas está disponible la respuesta del banco, pero a menudo esa respuesta se conoce recién cuando se cumple el plazo. La decisión del banco del titular de la tarjeta es el paso final del proceso de disputa.

En ese contexto, si el banco resuelve la disputa a favor del titular de la tarjeta o si no se presenta evidencia, el titular de tarjeta se quedará con el importe de la disputa, pero el banco retendrá la comisión por disputa. Si la disputa se resuelve a tu favor, tanto el importe disputado como la comisión por disputa serán devueltos a tu saldo de Stripe.

Nota: Los bancos revisan la evidencia una sola vez, así que solo puedes presentarla una vez. Antes de presentar la evidencia, debes asegurarte de que esté completa y sea suficiente.

Screenshot 2021-04-09 at 10.28.26.png

Encontrarás una guía completa sobre cómo responder a disputas aquí:

https://support.stripe.com/questions/responding-to-disputes-video-guide

Información sobre fraude

Cómo detectar los tipos más comunes de fraude

Existen varios tipos de indicadores de fraude; algunos son fáciles de identificar, como los números o las direcciones de correo electrónico falsos, pero otros tipos pueden ser más intuitivos y sutiles, como una conversación con un cliente que parece extraña. Si conoces las distintas formas en que los estafadores utilizan información falsa para realizar transacciones fraudulentas, podrás protegerte mejor contra ellos.

Obtén información sobre los tipos más comunes de fraude y cómo detectarlos aquí:

https://stripe.com/docs/disputes/prevention/identifying-fraud (disponible en español)

Prueba de tarjetas

La prueba de tarjetas es un tipo de actividad fraudulenta que consiste en intentar determinar si se pueden utilizar los datos de una tarjeta robada para hacer compras. Otros términos comunes para denominar esta práctica son «carding», «prueba de cuentas» y «comprobación de tarjetas». Las actividades fraudulentas como la prueba de tarjetas son una parte inevitable del comercio en línea. En Stripe, tratamos constantemente de mejorar nuestras herramientas y sistemas para detectar y disminuir el fraude, pero debes estar siempre atento.

Las siguientes señales pueden ayudar a identificar los ataques de prueba de tarjetas a sitios web:

Transacciones de poco valor: una serie de transacciones de poco valor, de valores similares o iguales, desde la misma dirección IP.
Velocidad y frecuencia: una serie de transacciones en un período determinado (p. ej., muchas transacciones de valores similares en un plazo de 5 minutos) podría indicar el uso de bots programados.
Alta tasa de rechazo: un aumento significativo de los pagos rechazados, así como de los motivos de rechazo, entre los que se incluyen «número de tarjeta no válido», «presunto fraude», «tarjeta robada», «tarjeta no registrada», etc.
Errores del código de verificación de la tarjeta (CVV): una cantidad repetida de errores por código CVV incorrecto, ya que los números de tarjetas generadas o robadas no suelen tener los datos de CVV.
Más pagos rechazados en un plazo de 24 horas: direcciones de correo electrónico o nombres de cliente sin sentido, o bien pagos rechazados en 5 tarjetas o más. Los correos electrónicos o la información pueden ser los mismos o diferentes para todas las tarjetas.
En el Dashboard, puedes revisar en Desarrollador > Registros si hay muchos errores 402 relacionados con los pagos. Ten en cuenta que estos pagos suelen ser pequeños, por lo que pueden parecer normales y permanecer por más tiempo sin ser detectados.

Stripe implementa numerosos controles manuales y automáticos para mitigar la prueba de tarjetas, entre los que se incluyen limitadores de frecuencia, alertas y revisiones continuas. Por sí solas, estas medidas no alcanzan para prevenir todas las pruebas de tarjetas, pero tu constante atención al problema hará que resulte mucho más difícil estafarte.

Para combatir las pruebas de tarjetas, te recomendamos que agregues fricción al flujo de pago para dificultar los intentos de pago a los probadores de tarjetas. Si bien reconocemos que de esta forma también se agrega fricción a los pagos de tus clientes habituales, necesitamos abordar el problema de la actividad fraudulenta en tu cuenta para garantizar que el procesamiento continúe normalmente.

También te recomendamos implementar otras medidas de mitigación que creas convenientes para evitar futuras pruebas de tarjetas. Encontrarás algunas sugerencias en este enlace:

https://stripe.com/docs/card-testing

Protección de tu cuenta contra fraude y disputas

La mejor manera de gestionar las disputas es tomar medidas para evitarlas. Una estrategia eficaz de prevención de fraude y disputas utiliza los mejores métodos para tu empresa y, a la vez, mantiene al mínimo las pérdidas y la carga sobre el cliente.

Te recomendamos que examines las prácticas recomendadas para prevenir disputas que presentamos a continuación. Si tienes preguntas, también puedes comunicarte con nuestro equipo de soporte.

Estas son algunas de las medidas que puedes tomar para reducir la probabilidad de disputas:

Recopilar la mayor cantidad de información posible durante el proceso de pago en tu sitio web

Cuanta más información solicites al cliente durante el proceso de pago, mayor será la capacidad de Stripe o del emisor de la tarjeta para hacer la verificación del cliente y del pago.

Por ejemplo, se pueden pedir los siguientes datos:

Nombre del cliente
Dirección de correo electrónico del cliente
Número de CVC
Dirección completa de facturación y código postal
Dirección de envío (si es diferente de la dirección de facturación)
Comunicación con los clientes

Hablar con claridad y establecer un contacto frecuente con los clientes puede ayudar a prevenir muchos de los motivos de disputa

Haz que la información de contacto de tu servicio al cliente sea fácil de encontrar, mantén a los clientes informados durante todo el proceso del pedido y envía novedades sobre la entrega. Estos son algunos ejemplos de buenas prácticas:

Publica las condiciones de uso y las políticas en un lugar visible del sitio web, y solicita a los clientes que las acepten expresamente.
Procura que la información de contacto también sea fácil de encontrar, en caso de que tus clientes quieran informar sobre un problema con sus pedidos o pagos.
Cuando envíes bienes tangibles a tus clientes, usa servicios de envío que ofrezcan, en la medida de lo posible, seguimiento en línea y confirmación de la entrega.
Usa un nombre reconocible como descripción del cargo en el extracto bancario. Se puede configurar o actualizar en tu configuración de cuenta. Recomendamos que uses el nombre de tu empresa o del dominio de tu sitio web.
Establece límites de países y tipos de tarjeta

Si observas un aumento de transacciones fraudulentas provenientes de determinados países

Puedes configurar reglas para bloquear los pagos procedentes de todos aquellos países de los que no desees aceptar pagos mediante los atributos de reglas :ip_country: y :card_country:.

https://dashboard.stripe.com/settings/radar/rules

Demorar el envío de pedidos

Si envías bienes tangibles, piensa en la posibilidad de demorar el envío de 24 a 48 horas. Este plazo dará a los titulares de tarjetas la posibilidad de detectar fraude en sus cuentas. No obstante, no todos los titulares de tarjetas revisan sus extractos bancarios a diario, y es posible que el banco emisor no tome la iniciativa de contactarlos en relación con la transacción.

Usar 3DS

Cuando se usa 3D Secure, se solicita a los clientes que realicen un paso adicional de autenticación antes de completar el flujo de compra. Si se autentica un pago con 3D Secure, la responsabilidad de las disputas por fraude por ese pago pasa, generalmente, del comerciante al emisor. Esto significa que, en la mayoría de los casos, el comerciante no será responsable de los costos por fraude de los pagos autenticados con 3D Secure.

3DS está disponible para todos los comerciantes de México. Para implementarlo, sigue los pasos detallados aquí:

https://stripe.com/docs/payments/3d-secure#incorporating-3ds

Debes tener en cuenta que los bancos emisores controlan la experiencia del comprador con 3DS, y la tasa de conversión esperada puede variar en gran medida. Algunos bancos son más ágiles que otros, pero activar 3DS para todos los pagos podría tener efectos negativos en la conversión. Sin duda, los usuarios son quienes mejor conocen su empresa y su perfil de riesgo, por lo que vale la pena que piensen cómo equilibrar la protección contra el fraude y la garantía de una buena experiencia durante el proceso de finalización de compra.

Considera comprar Radar para Equipos de Fraude, que permite crear reglas personalizadas que activan 3DS para las compras que cumplen con ciertos criterios, como las transacciones de alto riesgo. Según la integración, las reglas de Radar para Equipos de Fraude para activar 3DS pueden resultarte útiles: https://stripe.com/docs/payments/3d-secure#three-ds-radar.

Estas reglas pueden permitir que los usuarios solo utilicen 3DS con facilidad en función de una cantidad mínima de pedidos y omitir 3DS para una lista de clientes confiables.

3DS evitará disputas y aumentará las probabilidades de que se resuelvan a tu favor. Sin embargo, brindar datos para completar la autenticación con 3DS representa un inconveniente en México. Aun así, muchos usuarios de México tuvieron buenos resultados en cuanto a la protección contra fraudes al activar 3DS.

Es importante tener en cuenta lo siguiente: en este momento, no es posible activar las reglas de 3DS2 sin usar la API Payment Intents o el nuevo Checkout.

Radar para Equipos de Fraude

La avanzada herramienta antifraude de Stripe, Radar para Equipos de Fraude, es un paquete adicional de herramientas para empresas con altos niveles de riesgo. En este video se muestra cómo usar Radar para Equipos de Fraude en el Dashboard de Stripe.

La puntuación de riesgo de 0 a 100 de Radar para Equipos de Fraude puede usarse para configurar una regla que exija la revisión manual de las transacciones que superen cierto umbral de riesgo (por ejemplo, 50).

Cómo configurar las reglas de Radar: https://stripe.com/docs/radar/rules