«Si bien los grandes minoristas tienen más recursos para cubrir el impacto financiero real de las devoluciones de tarjetas, esto puede, literalmente, dejar a los minoristas más pequeños fuera del negocio».

Si existiera una verdadera disuasión contra la ciberdelincuencia y el fraude con tarjetas de crédito, los delincuentes simplemente se darían por vencidos. El problema es que no existe una forma comprobada de eliminar la amenaza: tan pronto como se encuentra una posible solución para un método de ataque, los delincuentes simplemente cambian de táctica y prueban otro modus operandi. Es un problema para todos los sectores, pero específicamente el fraude con tarjetas de crédito es un un gran y creciente problema para los minoristas en particular.

Según un estudio de LexisNexis, los minoristas pagaron 3,13 dólares por cada dólar perdido por el fraude con tarjetas de crédito, en promedio en 2019, lo que representa un aumento del 6,5 por ciento interanual. Para minoristas de todo tipo y tamaño, desde tiendas de conveniencia y gasolineras hasta grandes almacenes y supermercados, el fraude con tarjetas de crédito pone en riesgo su rentabilidad, reputación y, potencialmente, incluso su viabilidad empresarial.

La buena noticia es que los proveedores de tecnología minorista tienen mucha práctica en el desarrollo de una amplia gama de contramedidas que están haciendo frente a las amenazas delictivas cada día más rápido.

A continuación, analizamos los riesgos, desafíos y recursos disponibles para combatir el fraude con tarjetas de crédito.

En primer lugar, los riesgos.

Riesgo de viabilidad empresarial

El fraude con tarjetas de crédito es una amenaza existencial para el minorista si se descubre que la tienda tiene la culpa y los clientes demandan por daños y perjuicios. Y si bien los grandes minoristas tienen más recursos para cubrir el impacto financiero real de las devoluciones fraudulentas de tarjetas, literalmente puede poner a los minoristas más pequeños fuera del negocio.

Otra amenaza para la viabilidad empresarial: una vez que el procesador de pagos con tarjeta de crédito reciba una notificación de fraude y descubra que el minorista es el culpable, podría cerrar la cuenta de procesamiento del minorista. Esto limita la capacidad del minorista para mantenerse en el negocio.

Riesgo de rentabilidad

Si los delincuentes se salen con la suya al realizar compras fraudulentas, el minorista no recibe compensación por los productos vendidos. Además, el banco que emitió la tarjeta podría intentar obtener un reembolso del minorista por haber permitido la transacción fraudulenta. En realidad, las pérdidas pueden acumularse, y cuanto mayor sea la magnitud del fraude, mayor será el impacto en la rentabilidad del minorista.

Riesgo reputacional

Ya sea que un gran minorista reciba publicidad negativa por violaciones de datos de tarjetas de crédito a gran escala o que corra la voz de que un minorista más pequeño permitió el robo de la información de un solo titular de la tarjeta, la lealtad a la marca puede verse afectada. El robo de identidad, en particular, puede ser catastrófico para las víctimas, que recordarán qué minorista permitió el robo de su información durante mucho tiempo. Además, el daño a la marca del minorista se reflejará en los resultados finales a largo plazo.

Estos riesgos pueden derivarse de dos categorías principales de delitos: el fraude con tarjeta presente y el fraude con tarjeta no presente (CNP).

«Si bien los grandes minoristas tienen más recursos para cubrir el impacto financiero real de las devoluciones de tarjetas, esto puede, literalmente, dejar a los minoristas más pequeños fuera del negocio».

Fraude con tarjetas de regalo

Este tipo de fraude con tarjetas de crédito, que involucra tarjetas de crédito físicas, se presenta en muchos formularios que pueden originarse fuera o dentro de la tienda del minorista:

Fuera de la tienda

• Tarjetas perdidas o robadas (el fraude se produce «fuera de la empresa», incluso cuando un cliente encuentra una tarjeta perdida y no intenta devolverla, o se la roba a otro cliente en una tienda).
• «Toma de posesión de la cuenta», es decir, cuando el titular de una tarjeta proporciona involuntariamente la información de su cuenta, como el número de su tarjeta o la dirección de su casa, a un delincuente, quien luego se pone en contacto con el banco del titular de la tarjeta, denuncia la pérdida de una tarjeta y un cambio de dirección, y obtiene una nueva tarjeta a nombre de la futura víctima.
• Tarjetas falsificadas, es decir, «clonar» una tarjeta de otra y luego usar el clon para realizar compras
• «Nunca se recibió»: una tarjeta nueva o de reemplazo es robada del correo y nunca llega a su propietario legítimo.
• Solicitud fraudulenta: un delincuente usa el nombre y la información de otra persona para solicitar y obtener una tarjeta de crédito de un banco.

Dentro de la tienda

• Malware: los delincuentes instalan malware en el software del sistema POS de un minorista
• «Impresión múltiple»: una sola transacción se graba varias veces en una máquina de impresión de tarjetas de crédito antigua conocida como «rompenudos».
• Los minoristas colusorios, es decir, los empleados conspiran con los delincuentes para defraudar a los bancos.

Los delincuentes atacan el fraude con tarjetas algunos tipos de negocios minoristas para el fraude con tarjetas de crédito más que para otros:

• Tiendas de abarrotes y supermercados
• Tiendas de electrónica
• Tiendas minoristas diversas y especializadas
• Grandes almacenes
• Zapaterías

Fraude por no presentar una tarjeta

Fraude del CNP implica transacciones o actividades por Internet, teléfono y pedidos por correo. El verdadero fraude se produce después de que los delincuentes roban la información de la tarjeta mediante hackeo, estafando o Fraude electrónico. Como era de esperar, esta categoría de fraude con tarjetas de crédito ha empezado a superar al fraude actual con tarjetas en los últimos años, a medida que ha proliferado el volumen de transacciones de comercio electrónico.

Según un estudio realizado en 2018 por la Reserva Federal, la cantidad de fraudes con tarjetas de regalo en los EE. UU. disminuyó de 3.680 millones de dólares en 2015 a 2.910 millones de dólares en 2016, mientras que la cantidad de fraudes con tarjetas no presentes pasó de 3.400 millones de dólares a 4.570 millones de dólares durante el mismo período. Además, un estudio realizado ese mismo año por Javelin Strategy & Research reveló que El fraude del CNP ahora tiene un 81 por ciento más de probabilidades de ocurrir que el fraude con obsequios con tarjetas.

La piratería informática parece ofrecer a los delincuentes el mayor potencial para robar grandes volúmenes de información de tarjetas de crédito al mismo tiempo. Una vez conseguido esto, los delincuentes pueden hacer que los datos, como los números de las tarjetas, estén disponibles en la llamada web oscura. Debido a sus efectos adversos generalizados tanto en los titulares de tarjetas como en los minoristas, las mayores violaciones de datos de tarjetas de crédito de la historia han recibido mucha publicidad en los últimos años.

Uno de los principales objetivos del robo de datos de tarjetas de crédito es el robo de identidad, un delito que aumenta exponencialmente el impacto del fraude con tarjetas de crédito en las víctimas. Es posible que un autor de un robo de identidad robe literalmente la mayor parte de lo que la víctima posee o gana. Además de arruinar financieramente a los consumidores, el robo de identidad tiene el potencial de aumentar considerablemente la responsabilidad de los minoristas.

Los minoristas que ofrecen transacciones en línea ni siquiera pueden esperar que el banco emisor cubra el fraude de devolución de cargos, también conocido como fraude amistoso. Si instalan lectores con chip para leer las tarjetas con chip emitidas por el banco y obtener firmas para las transacciones, y siguen produciéndose cargos fraudulentos, el banco debe cubrir las devoluciones. No existen las mismas medidas de seguridad para las transacciones con CNP, por lo que el minorista, no el banco, debe reembolsar el importe de la transacción fraudulenta.

«Un estudio realizado en 2018 por Javelin Strategy & Research reveló que ahora hay un 81 por ciento más de probabilidades de que se produzca un fraude en el CNP que en el fraude con tarjetas».

Detección y prevención del fraude con tarjetas de crédito

Las compañías de tarjetas de crédito ofrecen cierta protección de alerta temprana para la actividad fraudulenta en las cuentas de los minoristas. Detectan el fraude de la siguiente manera monitorear cuentas para detectar actividades inusuales, por ejemplo, los importes cobrados, las tiendas y los lugares donde se realizan las compras, etc. Cada emisor de tarjetas utiliza algoritmos de detección de fraudes cada vez más sofisticados para monitorear cantidades masivas de datos de números de tarjetas de crédito recopilados de millones de titulares de tarjetas de crédito. La detección de cargos sospechosos desencadena una alerta de fraude y el emisor de la tarjeta se pone en contacto con el titular de la tarjeta por teléfono o, cada vez más, enviándoles mensajes de texto para verificar las transacciones.

También es posible utilizar los datos de los clientes, incluidos los números de tarjetas de crédito, para mitigar el riesgo de fraude con tarjetas de crédito, una forma de detección de fraudes. Sistemas de análisis predictivo utilizar los datos para predecir posibles actividades fraudulentas.

Sin embargo, considere la detección del fraude con tarjetas de crédito como último línea de defensa y, en cambio, priorice la implementación de herramientas que ofrezcan protección contra el fraude. Hacerlo no solo le permitirá evitar fraudes potencialmente costosos, sino que su marca también se forjará una reputación de comercio seguro y de bajo potencial como escenario para el robo de identidad.

Esa reputación es importante para los consumidores que, si bien están protegidos contra cargos fraudulentos, tienen preocupaciones legítimas sobre la seguridad de su información financiera. En un caso determinado de fraude, la compañía emisora de la tarjeta de crédito, el banco o, posiblemente, el minorista son responsables de los cargos que vayan más allá del Máximo de 50$ para titulares de tarjetas.

Protéjalos a ellos y a su empresa invirtiendo en fraudes prevención herramientas y estrategias, como las siguientes.

Prevención del fraude con tarjetas

Minimizar el fraude con tarjetas implica hacer un esfuerzo consciente para cumplir con los procedimientos e invertir en soluciones mejoradas de mitigación del fraude:

• Lea su contrato y comprenda los requisitos de aceptación de su tarjeta. Entre los requisitos contractuales con los comerciantes de las principales compañías de tarjetas de crédito figuran las medidas de seguridad que debes adoptar y los procedimientos que debes seguir en los casos en que las tarjetas o transacciones parezcan fraudulentas.
• Cambiar a EMV aceptación. El 1 de octubre de 2015, la responsabilidad por las transacciones fraudulentas con tarjetas con chip realizadas en establecimientos comerciales pasó de ser responsabilidad de los bancos a «la parte menos segura», es decir, a los minoristas que no han actualizado sus sistemas para aceptar transacciones EMV.
• Las gasolineras asumirán la responsabilidad por las transacciones fraudulentas de pago en las gasolineras una vez que venza la fecha límite para cumplir con la normativa EMV, el 17 de abril de 2021. La modernización de sus terminales exteriores de pago de combustible con soluciones compatibles con EMV, como OPTIC, combate el robo y la manipulación de tarjetas en tiempo real, lo que mejora drásticamente la prevención del fraude.
• Utilice el cifrado y la tokenización de datos. Al cifrar los datos en el sistema del remitente y permitir que solo el destinatario los descifre, cifrado de extremo a extremo (E2EE) impide que terceros accedan a los datos. Tokenización reemplaza los números de cuenta principales de los clientes por un número único y específico para la transacción.
• Acepte pagos a través de tecnologías digitales emergentes. Un ejemplo es tarjetas sin contacto, también conocidas como tarjetas tap-and-go, que se basan en la tokenización. Como resultado, mejoran la seguridad y, al mismo tiempo, ofrecen una mayor velocidad, variedad y comodidad en las transacciones. Además, pagos móviles y monederos digitales, que utilizan aplicaciones de teléfonos móviles para realizar pagos, son más seguras que las tarjetas de crédito físicas.
• Mantenga el software y el hardware de su punto de venta actualizados periódicamente para detectar parches de seguridad y correcciones de errores. Revise con frecuencia sus terminales de pago y sus teclados de PIN para asegurarse de que no estén instalados dispositivos de robo de datos difíciles de detectar. Además, asegúrese de que su antimalware esté actualizado para sus sistemas POS y consulte con los proveedores de sistemas de pago para asegurarse de que sus sistemas cumplen con las Estándar de seguridad de datos para la industria de tarjetas de pago (PCI DSS)).

Prevención del fraude cuando no se presenta la tarjeta

El fraude por falta de tarjeta es cualquier transacción fraudulenta que tiene lugar cuando el delincuente y la tarjeta no están físicamente presentes en la tienda. Esto puede incluir compras en línea, móviles y sociales, pedidos por teléfono y compras por correo.

• Prevención del fraude de CNP requiere más procesos para verificar que los titulares de las tarjetas son quienes dicen ser. Considera los siguientes pasos:
• Solicita una autenticación adicional. El KYC, es decir, un proceso de verificación de «Conozca a su cliente», se presenta de múltiples formas, incluido el análisis del correo electrónico, el análisis de la IP y la toma de huellas digitales del dispositivo. Si estas medidas revelan señales de alerta, utiliza medidas de autenticación adicionales, como la verificación de la identidad, la autenticación de dos factores (2FA) o la autorización previa de las tarjetas de crédito.
• Recopile la información adecuada del cliente, que puede incluir información de la tarjeta de crédito, como el código CVV, la dirección de facturación, la información sobre el dispositivo utilizado para iniciar sesión, la dirección IP y el número de teléfono.
• Utilice el enriquecimiento de datos. Este proceso utiliza herramientas específicas para agregar instantáneamente los puntos de datos utilizados en fuentes externas, por ejemplo, una dirección de correo electrónico utilizada para registrar un perfil en una red social.
• Siga las mejores prácticas de protección de datos. El PCI DSS exige el uso de herramientas de seguridad en línea como el SSL, especialmente en las páginas que recopilan información confidencial, como números de tarjetas, números de seguridad social y direcciones. Además, cifre los datos de la manera más eficiente posible.
• Esté atento a cualquier comportamiento inusual. Las señales de alerta más comunes incluyen un número inusual de solicitudes de devolución de cargos, cientos de intentos de inicio de sesión en una cuenta, solicitudes de restablecimiento masivo de contraseñas y el uso de la misma IP o dispositivo por parte de varios clientes.

Esté atento a las transacciones muy pequeñas. En ocasiones, los delincuentes prueban una tarjeta con compras muy pequeñas antes de comprar artículos más caros con ella.

No cabe duda de que el fraude con tarjetas de crédito es una amenaza sofisticada para su negocio minorista, y ningún sector es inmune, ya sean los supermercados, los grandes almacenes o las gasolineras. Considéralo una enfermedad crónica que no tiene cura: tienes que permanecer alerta, informarte sobre los riesgos y seguir aprendiendo todo lo que puedas sobre los tratamientos nuevos y más potentes que están surgiendo todo el tiempo. La protección contra el fraude debe ser una de sus principales prioridades. El futuro de su empresa, y el de sus clientes, dependen de ello.