Introducción al fraude y las disputas en México
Stripe es un procesador de pagos
Stripe es un procesador de pagos, no un monedero digital. Si eliges un procesador de pagos, eres responsable de la prevención de fraude, de los cargos que decidas aceptar y de los costes que el fraude provoque. Tienes que evaluar el riesgo que supone cada pago para tu empresa.
Un monedero digital es un método de pago, como una tarjeta de crédito o débito. Proveedores como PayPal y MercadoPago ofrecen monederos digitales además del procesamiento de pagos.
Por otro lado, las pasarelas o los procesadores de pagos, como Stripe, funcionan como canales para hacer transacciones de pagos entre el método de pago del comprador (que puede ser una tarjeta de débito o crédito de un banco emisor) y el vendedor.
En lo que respecta a la prevención de fraude y disputas, con los monederos digitales se conoce a los compradores, por lo que hay menos posibilidades de fraude y, por lo tanto, surgen menos disputas relacionadas. El procesamiento de pagos no es lo mismo que la protección antifraude dedicada. Aunque contamos con herramientas antifraude e intentamos eliminar las transacciones peligrosas sin impedir cargos legítimos, no hay ningún algoritmo que pueda ser tan efectivo como la revisión manual de cada pedido por parte del comerciante.
En otras palabras, si eliges Stripe para procesar los cargos, serás responsable de los cargos que decidas aceptar y de los costes que provoque el fraude, por lo que debes evaluar el riesgo que supone cada pago para tu empresa. Stripe no podrá garantizar que los pagos no sean fraudulentos; solo podremos confirmar si un cargo se ha hecho correctamente o no, lo que no garantiza su legitimidad. El tipo de ataque de fraude dependerá del tipo de negocio y, por eso, el propietario de la empresa debe estar al tanto de los pagos sospechosos y gestionar la protección de su cuenta de Stripe.
Si crees que un cargo puede ser fraudulento, ten en cuenta que solemos recomendar a los usuarios que reembolsen los pagos que parezcan sospechosos antes de que se conviertan en disputas, para que no tengan que pasar por todo el proceso de disputa. Asimismo, ten presente que, cuando procesas reembolsos a tus clientes, Stripe no cobra más comisiones, pero retiene las comisiones asociadas a la transacción original.
Para empezar, puedes acceder a este enlace, donde se muestran los tipos comunes de indicadores de fraude:
https://stripe.com/docs/disputes/prevention/identifying-fraud#common-types-of-fraud-indicators
En qué consiste el proceso de disputas
¿Qué es una disputa?
Si aceptas tarjetas de crédito en tu sitio web o tienda, es muy probable que tengas que gestionar contracargos o peticiones de información. Si un cliente tiene un problema con un cargo de su tarjeta de crédito, lo puede disputar con el banco. El banco iniciará el proceso de disputa con una petición de información o un contracargo.
Si un cliente disputa un pago, el banco descontará el importe del pago y el de la disputa de tu saldo de Stripe. Stripe no se hace cargo de las comisiones por disputas, que solo se devuelven a tu saldo si la disputa se resuelve a tu favor. Independiente del tipo de disputa que sea, cuando recibas una es sumamente importante que envíes las pruebas dentro del plazo.
Encontrarás más información sobre las disputas y cómo funcionan aquí:
https://stripe.com/docs/disputes/how-disputes-work
¿Dónde puedo ver mis disputas en el Dashboard?
Puedes ver todas las disputas de pagos en el Dashboard, en Pagos > Disputas:
https://dashboard.stripe.com/disputes
Cómo funciona el proceso de disputas en México
Las disputas funcionan de forma diferente según las redes de tarjetas y pagos, pero suelen seguir pautas similares. Hay muchas partes involucradas en el proceso de las disputas y muchos pasos.
A diferencia de otros países, en México no se aplican las reglas de Visa y Mastercard sobre disputas (solo para pagos internacionales), sino que estas normas las establecen el Banco de México y la CNBV, y las aplican los adquirentes y emisores de tarjetas mexicanos. De esta forma, el proceso de disputa es menos predecible que en otros países, por lo que en México es más complicado que una disputa se resuelva a tu favor.
El fraude también es muy común en México y representa un alto riesgo para los comerciantes que empiezan a usar los pagos por Internet. Esta situación es aún más importante para las empresas que están en segmentos de alto riesgo, que deben prestar especial atención a su estrategia antifraude. Estos segmentos suelen ser la electrónica, la moda y la joyería (todo lo que tenga un alto valor de reventa es un objetivo potencial para el fraude).
Por esta razón, recomendamos encarecidamente a los comerciantes de México que inviertan en prevenir el fraude y las disputas siguiendo nuestras mejores prácticas:
https://support.stripe.com/questions/checklist-to-prevent-disputes-and-fraud-in-mexico
Ciclo de vida de las disputas e importancia de presentar pruebas
Cuando un titular de una tarjeta abre una disputa, el banco se lo notifica a Stripe y, como tenemos la obligación legal de hacerlo, el banco retira el importe en disputa y 150,00 MXN de comisión de gestión del banco. Stripe no se hace responsable de las comisiones por disputas y contracargos, que descuenta el banco y solo se devuelven al comerciante si la disputa se resuelve a su favor. Este importe se descontará de tu saldo y los fondos se transferirán al banco, que los retendrá hasta que se tome una decisión.
Una vez que se ha creado el contracargo, tienes un tiempo límite (normalmente de 7 a 21 días) para responder con pruebas de que el cargo era legítimo. Ese período depende de la red de tarjetas. Si no presentas pruebas antes de que venza el plazo, la disputa se resolverá a favor del titular de la tarjeta, quien se quedará con los fondos. Por eso, cuando recibas una disputa es sumamente importante que envíes las pruebas dentro del plazo.
Cómo enviar pruebas en las disputas
En Stripe, te ayudamos lo máximo posible para que presentes pruebas en las disputas y asesoramos a los usuarios sobre cómo responder o aceptar las disputas. Nuestra función es ayudar a enviar las pruebas y avisar al banco sobre actualizaciones. Es importante tener en cuenta que el proceso de la disputa lo gestiona por completo el banco del titular de la tarjeta y que Stripe no participa en la decisión sobre si la disputa es válida o no.
Las pruebas que presentes se enviarán al banco del titular de la tarjeta, que tiene un plazo limitado (en general, de 60 a 75 días) para responder, en función de la red de tarjetas. Stripe actualiza el estado de la disputa en cuanto recibe la respuesta del banco, pero muchas veces esa respuesta solo se conoce cuando se cumple el plazo. La decisión del banco del titular de la tarjeta es el paso final del proceso de disputa.
En ese contexto, si el banco resuelve la disputa a favor del titular de la tarjeta o si no se presenta ninguna prueba, el titular de la tarjeta conservará el importe de la disputa y el banco se quedará con la comisión por disputa. Si la disputa se resuelve a tu favor, tanto el importe en disputa como la comisión por disputa se devolverán a tu saldo de Stripe.
Nota: Los bancos solo revisan las pruebas una vez, así que solo las puedes enviar una vez. Debes asegurarte de que las pruebas están completas y son suficientes antes de enviarlas.
Aquí encontrarás una guía completa de cómo responder a las disputas:
https://support.stripe.com/questions/responding-to-disputes-video-guide
En qué consiste el fraude
Identificación de los tipos de fraude más comunes
Hay muchos tipos de indicadores de fraude; algunos son fáciles de identificar (como los números o las direcciones de correo electrónico falsos), pero otros pueden ser más intuitivos y sutiles (como una conversación con un cliente que parece fuera de lugar). Al conocer las distintas formas en que los estafadores utilizan información falsa para hacer transacciones fraudulentas, podrás protegerte mejor contra ellos.
Obtén información sobre los tipos más comunes de fraude y cómo identificarlos en el siguiente enlace:
https://stripe.com/docs/disputes/prevention/identifying-fraud (disponible en ES)
Prueba de tarjetas
La prueba de tarjetas es un tipo de actividad fraudulenta que consiste en tratar de determinar si se pueden utilizar los datos de una tarjeta robada para hacer compras. Otros términos comunes que se utilizan para definir la prueba de tarjetas son «prueba de cuentas», «comprobación de tarjetas» y «carding». Las actividades fraudulentas, como la prueba de tarjetas, son una parte inevitable del comercio por Internet. En Stripe, mejoramos en todo momento nuestras herramientas y sistemas para detectar y reducir el fraude, pero debes estar siempre alerta.
Los ataques de prueba de tarjetas que reciben los sitios web se pueden identificar según varias señales:
Transacciones de importes pequeños: varias transacciones con un importe reducido similar o repetido desde una misma dirección IP.
Velocidad y frecuencia: un aumento de las transacciones en un período de tiempo determinado (por ejemplo, un número elevado de transacciones con un importe similar hechas en cinco minutos) podría indicar que se están usando bots programados.
Tasa de rechazo de pagos alta: aumento significativo de los pagos rechazados, así como los motivos de rechazo, que incluyen (entre otros) un número de tarjeta no válido, sospecha de fraude, tarjeta robada, tarjeta no registrada, etc.
Errores de CVV: número repetido de errores de código CVV incorrectos, ya que los números de tarjeta robados o generados no suelen tener información del CVV.
Más pagos rechazados en 24 horas: dirección de correo electrónico o nombre del cliente sin sentido, pagos rechazados en cinco o más tarjetas, los correos electrónicos o la información pueden ser iguales o diferentes por cada tarjeta.
En el Dashboard, accede a Desarrollador > Registros para ver si hay muchos errores 402 relacionados con pagos. Ten en cuenta que suelen ser pagos pequeños, por lo que parecen normales y pueden pasar desapercibidos durante más tiempo.
Stripe cuenta con muchos controles manuales y automatizados para mitigar la prueba de tarjetas, entre los que se incluyen limitadores de frecuencia, alertas y revisiones continuas. Sin embargo, estas medidas no son suficientes por sí solas para prevenir todas las pruebas de tarjetas. No dejes de prestar atención a este problema para que les resulte mucho más difícil a quienes lo intenten.
Para hacer frente a las pruebas de tarjetas, te recomendamos que añadas medidas al flujo de pago para dificultar los intentos de pago de los probadores de tarjetas. Si bien reconocemos que esto puede dificultar también los pagos habituales de tus clientes, es necesario abordar la actividad fraudulenta en tu cuenta para garantizar que siga funcionando con normalidad.
También te aconsejamos que apliques cualquier otra medida que consideres oportuna para evitar futuras pruebas de tarjetas. Encontrarás algunas sugerencias en este enlace:
https://stripe.com/docs/card-testing
Protección de tu cuenta contra el fraude y las disputas
La mejor manera de gestionar las disputas es tomar medidas para impedir que se produzcan. Una estrategia eficaz para prevenir el fraude y las disputas es aquella que utiliza los mejores métodos para tu empresa y mantiene en su mínima expresión las pérdidas y la carga sobre el cliente.
Te recomendamos que revises las mejores prácticas para prevenir disputas que presentamos a continuación. Si tienes preguntas, también puedes contactar con nuestro equipo de soporte.
Estas son algunas de las medidas que puedes tomar para disminuir la probabilidad de recibir disputas:
Reunir la mayor cantidad de información posible durante el proceso de pago en tu sitio web
Cuanta más información le solicites al cliente durante el proceso de pago, mayor será la capacidad de Stripe o del emisor de la tarjeta para verificar al cliente y el pago.
Por ejemplo, se pueden pedir los siguientes datos:
nombre del cliente;
dirección de correo electrónico del cliente;
número de CVC;
dirección de facturación completa y código postal;
dirección de envío (si es diferente de la de facturación);
comunicación con los clientes.
Hablar con claridad y con frecuencia con los clientes puede ayudar a prevenir muchos de los motivos de disputa
Haz que la información de contacto de tu servicio de atención al cliente sea fácil de encontrar, mantén a los clientes informados durante todo el proceso del pedido y envía novedades sobre la entrega. Estos son algunos ejemplos de buenas prácticas:
Publica tus condiciones de servicio y políticas en un lugar visible del sitio web y solicita a los clientes que las acepten.
La información de contacto también debe ser fácil de encontrar, en caso de que tus clientes quieran informarte de algún problema con sus pedidos o pagos.
Cuando envíes bienes tangibles a tus clientes, usa empresas y servicios de envíos que ofrezcan, en la medida de lo posible, seguimiento en línea y confirmación de la entrega.
Usa un nombre reconocible como descripción del cargo en el extracto bancario. Puedes configurarlo o actualizarlo en la configuración de tu cuenta. Te recomendamos que utilices el nombre de tu empresa o del dominio de tu sitio web.
Límites de tipos de tarjeta y países.
Si observas un aumento de las transacciones fraudulentas procedentes de determinados países
Puedes configurar reglas para bloquear los pagos procedentes de todos aquellos países de los que no quieras aceptar pagos. Para ello, utiliza los atributos de reglas :ip_country: y :card_country:.
Retrasa el envío de pedidos
Si envías bienes tangibles, plantéate la posibilidad de retrasar su envío entre 24 y 48 horas. Así el titular de la tarjeta tendrá tiempo para detectar cualquier tipo de fraude en sus cuentas. No obstante, no todos los titulares de tarjetas revisan sus extractos bancarios a diario y es posible que su banco emisor no tome la iniciativa de contactarlos en relación con la transacción.
Usa 3DS
Si usas 3D Secure, se les solicita a los clientes que hagan un paso adicional de autenticación antes de completar el flujo de compra. Si 3D Secure autentica un pago, la responsabilidad ante la disputa por fraude por ese pago suele pasar del comerciante al emisor. Por lo tanto, en la mayoría de los casos, el comerciante no será responsable de los costes por fraude de los pagos autenticados mediante 3D Secure.
3DS está a disposición de todos los comerciantes de México. Encontrarás los pasos para implementarlo aquí:
https://stripe.com/docs/payments/3d-secure#incorporating-3ds
Debes tener en cuenta que los bancos emisores controlan la experiencia del comprador con 3DS y que esta puede variar mucho la tasa de conversión esperada. Algunos bancos son más ágiles que otros, pero activar 3DS en todos los pagos podría repercutir de forma negativa en la conversión. Sin duda, los usuarios son quienes mejor conocen su negocio y su perfil de riesgo, por lo que deben pensar cuál es la mejor manera de encontrar un equilibrio entre protegerse del fraude y garantizar un buen proceso de compra.
Contempla la posibilidad de adquirir Radar for Fraud Teams, que te permite crear reglas personalizadas que activen 3DS en las compras que cumplan determinados criterios, como las transacciones con un riesgo alto. En función de la integración, las reglas de Radar for Fraud Teams para activar 3DS podrían ser útiles: https://stripe.com/docs/payments/3d-secure#three-ds-radar.
Estas reglas permitirían a los usuarios utilizar fácilmente 3DS solo con un importe mínimo de pedido y también omitir 3DS con una lista de clientes de confianza.
3DS evitará disputas y aumentará la posibilidad de que las que haya se resuelvan a tu favor, pero la oferta de datos para poder completar 3DS es un obstáculo en México. Aun así, muchos usuarios de México han tenido buenos resultados en lo que respecta a la protección antifraude tras activar 3DS.
Es importante tener en cuenta que actualmente no se pueden activar las reglas de 3DS2 sin usar la API Payment Intents o el nuevo Checkout.
Radar for Fraud Teams
Radar for Fraud Teams, la avanzada herramienta antifraude de Stripe, es un conjunto adicional de complementos para cualquier empresa que sufra altos niveles de riesgo. En este vídeo se muestra cómo usar Radar for Fraud Teams en el Dashboard de Stripe.
La puntuación de riesgo de 0 a 100 de Radar for Fraud Teams puede utilizarse para configurar una regla que exija la revisión manual de las transacciones que superen un umbral de riesgo determinado (por ejemplo, 50).
Cómo establecer reglas de Radar: https://stripe.com/docs/radar/rules