“Si bien los grandes minoristas tienen más recursos para cubrir el impacto financiero real de los recargos de tarjetas, literalmente puede poner a los minoristas más pequeños fuera del negocio”.

Si existiera tal cosa como una verdadera disuasión contra el cibercrimen y el fraude con tarjetas de crédito, los delincuentes simplemente se rendirían. El problema es que no hay una manera probada y verdadera de eliminar la amenaza: tan pronto como surge una posible solución a un método de ataque, los delincuentes simplemente cambian de rumbo y prueban otro modus operandi. Es un problema para todas las industrias, pero el fraude con tarjetas de crédito específicamente es un problema grande y creciente para los minoristas en particular.

Según un estudio de LexisNexis, los minoristas pagaron 3.13 dólares por cada dólar perdido por fraude con tarjetas de crédito, en promedio en 2019, un aumento interanual de 6.5 por ciento. Para minoristas de todo tipo y tamaño, desde tiendas de conveniencia y gasolineras hasta tiendas departamentales y supermercados, el fraude con tarjetas de crédito arriesga su rentabilidad, reputación y, potencialmente, incluso su viabilidad comercial.

La buena noticia: Los proveedores de tecnología minorista han tenido mucha práctica en el desarrollo de una amplia gama de contramedidas que están poniéndose al día con las amenazas criminales cada día más rápido.

A continuación, analizamos los riesgos, desafíos y recursos disponibles para combatir el fraude con tarjetas de crédito.

En primer lugar, los riesgos.

Riesgo de viabilidad del negocio

El fraude con tarjetas de crédito es una amenaza existencial para el minorista si se encuentra que la tienda tiene la culpa y los clientes demandan por daños. Y aunque los grandes minoristas tienen más recursos para cubrir el impacto financiero real de las devoluciones fraudulentas de tarjetas, literalmente puede poner a los minoristas más pequeños fuera del negocio.

Otra amenaza para la viabilidad del negocio: Una vez que el procesador de pagos con tarjeta de crédito es notificado de fraude y se entera de que el minorista tiene la culpa, podría terminar la cuenta de procesamiento del minorista. Eso limita la capacidad del minorista para mantenerse en el negocio.

Riesgo de rentabilidad

Si los delincuentes se salen con la suya con las compras fraudulentas, el minorista no recibe compensación por los bienes vendidos. Además, el banco que emitió la tarjeta podría intentar obtener un reembolso del minorista por permitir la transacción fraudulenta. Las pérdidas realmente pueden acumularse, y cuanto mayor sea la escala del fraude, mayor será el impacto en la rentabilidad de un minorista.

Riesgo reputacional

Ya sea que un gran minorista reciba publicidad negativa por violaciones de datos de tarjetas de crédito a gran escala o se corre la voz por la ciudad de que un minorista más pequeño permitió el robo de la información de un solo titular de tarjeta de crédito, la lealtad a la marca puede verse afectada. El robo de identidad en particular podría ser catastrófico para las víctimas y recordarán qué minorista permitió el robo de su información durante mucho tiempo. Y el daño a la marca del minorista se manifestará en el resultado final a largo plazo.

Estos riesgos pueden derivarse de dos grandes categorías del delito: el fraude con tarjeta presente y card-not-present (CNP).

“Si bien los grandes minoristas tienen más recursos para cubrir el impacto financiero real de los recargos de tarjetas, literalmente puede poner a los minoristas más pequeños fuera del negocio”.

Fraude con tarjeta

Este tipo de fraude con tarjetas de crédito, que involucra tarjetas de crédito físicas, viene en muchos formas que puede originarse desde fuera o dentro de la tienda del minorista:

Fuera de la tienda

• Tarjetas perdidas o robadas (el fraude ocurre “fuera del negocio” incluso cuando un cliente encuentra una tarjeta perdida y no intenta devolverla, o se la roba a otro cliente en la ubicación de un minorista).
• 'Toma de cuenta', es decir, un titular de la tarjeta proporciona involuntariamente la información de su cuenta, como su número de tarjeta o domicilio, a un delincuente, que luego se comunica con el banco del titular de la tarjeta, informa una tarjeta perdida y un cambio de dirección, y obtiene una nueva tarjeta a nombre de la víctima que pronto será la víctima.
• Tarjetas falsificadas, es decir, 'clonar' una tarjeta de otra y luego usar el clon para realizar compras
• 'Nunca recibida': una tarjeta nueva o de reemplazo es robada del correo y nunca llega a su legítimo propietario.
• Solicitud fraudulenta: un delincuente utiliza el nombre y la información de otra persona para solicitar y obtener una tarjeta de crédito de un banco.

Dentro de la tienda

• Malware: los delincuentes instalan malware en el software del sistema POS de un minorista
• “Impresión múltiple”: una sola transacción se registra varias veces en una máquina de impresión de tarjetas de crédito más antigua conocida como “Knuckle Buster”.
• Los minoristas colusarios, es decir, los empleados conspiran con delincuentes para defraudar a los bancos.

Delincuentes de fraude con tarjetas que presentan la tarjeta atacan algunos tipos de negocios minoristas para fraudes con tarjetas de crédito más que otros:

• Tiendas de abarrotes y supermercados
• Tiendas de electrónica
• Tiendas minoristas diversas y especializadas
• Tiendas departamentales
• Zapaterías

Fraude con tarjeta no presente

Fraude del CNP implica transacciones o actividades por Internet, teléfono y pedidos por correo. El fraude real ocurre después de que los delincuentes roban la información de la tarjeta por hackeo, desnatando o suplantación de identidad. Como era de prever, esta categoría de fraude con tarjetas de crédito ha comenzado a superar el fraude presente con tarjetas en los últimos años a medida que ha proliferado el volumen de transacciones de comercio electrónico.

Según un estudio de 2018 realizado por la Reserva Federal, la cantidad de fraude con tarjeta presente en Estados Unidos disminuyó de 3.68 mil millones de dólares en 2015 a 2.91 mil millones en 2016, mientras que la cantidad de fraude con tarjeta no presente saltó de 3.400 millones de dólares a 4.570 millones de dólares durante el mismo período. Además, un estudio de Javelin Strategy & Research del mismo año reveló que El fraude del CNP tiene ahora un 81 por ciento más de probabilidades de ocurrir que el fraude con tarjetas presentes.

El hackeo parece ofrecer a los delincuentes el mayor potencial para robar volúmenes masivos de información de tarjetas de crédito a la vez. Habiendo logrado esto, los delincuentes pueden hacer que los datos, como números de tarjetas, estén disponibles en la llamada web oscura. Debido a sus efectos adversos generalizados tanto para los titulares de tarjetas como para los minoristas, las mayores brechas de datos de tarjetas de crédito en la historia han recibido mucha publicidad en los últimos años.

Un objetivo importante del robo de datos de tarjetas de crédito es el robo de identidad, delito que aumenta exponencialmente el impacto del fraude con tarjetas de crédito en las víctimas. Es posible que un perpetrador de robo de identidad robe literalmente la mayor parte de lo que una víctima posee o gana. Además de posiblemente arruinar financieramente a los consumidores, el robo de identidad tiene el potencial de aumentar en gran medida la responsabilidad de los minoristas.

Los minoristas que ofrecen transacciones en línea ni siquiera pueden esperar que el banco emisor cubra el fraude de devolución de cargos, también conocido como fraude amistoso. Si instalan lectores de chip para leer tarjetas habilitadas con chip emitidas por el banco y obtener firmas para transacciones y aún se producen cargos fraudulentos, el banco debe cubrir los cobros. No existen las mismas medidas de seguridad para las transacciones del CNP, por lo que el minorista, no el banco, debe reembolsar el monto de la transacción fraudulenta.

“Un estudio de 2018 realizado por Javelin Strategy & Research reveló que el fraude del CNP es ahora 81 por ciento más probable que ocurra que el fraude presente con tarjetas”.

Detección de fraudes con tarjetas de crédito y prevención de fraudes

Las compañías de tarjetas de crédito ofrecen cierta protección de alerta temprana para actividades fraudulentas en las cuentas de minoristas. Detectan fraude por monitoreo de cuentas para actividades inusuales, por ejemplo, montos cobrados, tiendas y ubicaciones donde se realizan compras, etc. Cada emisor de tarjetas utiliza algoritmos de detección de fraude cada vez más sofisticados para monitorear cantidades masivas de datos de números de tarjetas de crédito recopilados de millones de titulares de tarjetas de crédito. La detección de cargos sospechosos desencadena una alerta de fraude y el emisor de la tarjeta contacta con el titular de la tarjeta vía telefónica o, cada vez más, textos para verificar las transacciones.

También es posible utilizar los datos de los clientes, incluidos los números de tarjetas de crédito, para mitigar el riesgo de fraude con tarjetas de crédito, una forma de detección de fraude. Sistemas de análisis predictivo utilizar los datos para predecir posibles actividades fraudulentas.

Pero considere la detección de fraude con tarjetas de crédito un último línea de defensa y en su lugar priorizar la implementación de herramientas que ofrezcan protección contra el fraude. Hacerlo no solo le permitirá evitar fraudes potencialmente costosos, sino que su marca también establecerá una reputación de comercio seguro y bajo potencial como escenario para el robo de identidad.

Esa reputación es importante para los consumidores que, aunque protegidos contra cargos fraudulentos, tienen preocupaciones legítimas sobre la seguridad de su información financiera. En un caso dado de fraude, la compañía de la tarjeta de crédito, el banco o posiblemente el minorista son responsables de cargos más allá del Máximo de $50 para los titulares de tarjetas.

Protéjalos a ellos y a tu negocio invirtiendo en fraudes prevención herramientas y estrategias, como las siguientes.

Prevención de fraudes con tarjeta

Minimizar el fraude con tarjetas implica hacer un esfuerzo consciente para cumplir con los procedimientos e invertir en soluciones mejoradas de mitigación del fraude:

• Lea su contrato y comprenda los requisitos de aceptación de su tarjeta. Entre los requisitos de contrato comercial de las principales compañías de tarjetas de crédito se encuentran las medidas de seguridad que se espera que tome y los procedimientos a seguir en los casos en que las tarjetas o transacciones parezcan fraudulentas.
• Cambiar a EMV aceptación. El 1 de octubre de 2015, la responsabilidad por transacciones fraudulentas con tarjetas con chip dentro de la tienda pasó de los bancos a “la parte menos segura”, es decir, los minoristas que no han actualizado sus sistemas para aceptar transacciones EMV.
• Las gasolineras asumirán responsabilidad por transacciones fraudulentas de pago en la bomba después de que el plazo para el cumplimiento de EMV pase el 17 de abril de 2021. Actualizando sus terminales de pago de combustible para exteriores con soluciones compatibles con EMV, como la desnatación y manipulación de tarjetas de combate OPTIC en tiempo real, lo que mejora drásticamente la prevención del fraude.
• Utilice el cifrado de datos y la tokenización. Al cifrar los datos en el sistema del remitente y permitir que solo el destinatario descifre los datos, cifrado end-to-end (E2EE) impide que terceros accedan a los datos. Tokenización reemplaza los números de cuenta principales de los clientes con un número único específico de transacción.
• Aceptar pagos a través de tecnologías digitales emergentes. Un ejemplo es sin contacto, también conocido como tarjetas tap-and-go, que se basan en la tokenización. Como resultado, mejoran la seguridad a la vez que ofrecen mayor velocidad de transacción, elección y conveniencia. Además, pagos móviles y billeteras digitales, que utilizan aplicaciones de telefonía móvil para los pagos, son más seguras que las tarjetas de crédito físicas.
• Mantenga su software y hardware POS actualizados regularmente para parches de seguridad y correcciones de errores. Revise con frecuencia sus terminales de pago y almohadillas PIN para asegurarse de que no estén instalados dispositivos de desnatación difíciles de detectar. Además, asegúrese de que su antimalware esté actualizado para sus sistemas POS y verifique con sus proveedores de sistemas de pago para asegurarse de que sus sistemas cumplan con los Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS)).

Prevención de fraudes con tarjetas no presentes

El fraude con tarjeta no presente es cualquier transacción fraudulenta que tiene lugar cuando el delincuente y la tarjeta no están físicamente presentes en la tienda. Esto puede incluir compras en línea, móviles y sociales, pedidos telefónicos y compras por correo.

• Prevención del fraude CNP requiere más procesos para verificar que los tarjetahabientes son quienes dicen ser. Considere los siguientes pasos:
• Solicitar autenticación adicional. KYC, es decir, un proceso de verificación “Conozca a su cliente”, se presenta en múltiples formas, incluido el análisis de correo electrónico, el análisis de IP y la toma de huellas digitales del dispositivo. Si estas medidas descubren banderas rojas, use medidas de autenticación adicionales, como verificación de identificación, autenticación de dos factores (2FA) o preautorización de tarjeta de crédito.
• Recopile la información adecuada del cliente, que puede incluir información de tarjeta de crédito como código CVV, dirección de facturación, información sobre el dispositivo utilizado para iniciar sesión, dirección IP y número de teléfono.
• Utilice el enriquecimiento de datos. Este proceso utiliza herramientas dedicadas para agregar instantáneamente puntos de datos utilizados en fuentes externas, por ejemplo, una dirección de correo electrónico utilizada para el registro de perfiles de redes sociales.
• Siga las mejores prácticas de protección de datos. PCI DSS dicta el uso de herramientas de seguridad en línea como SSL, especialmente en páginas que recopilan información confidencial como números de tarjetas, números de seguro social y direcciones. Además, encripte los datos de la manera más eficiente posible.
• Esté atento al comportamiento inusual. Las banderas rojas más comunes incluyen números inusuales de solicitudes de devolución de cargos, cientos de intentos de inicio de sesión en una cuenta, solicitudes masivas de restablecimiento de contraseña y el uso de la misma IP o dispositivo por varios clientes.

Observe las transacciones muy pequeñas. Ocasionalmente, los delincuentes prueban una tarjeta con compras muy pequeñas antes de comprar artículos más caros con ella.

No hay duda, el fraude con tarjetas de crédito es una amenaza sofisticada para su negocio minorista, y ningún sector es inmune, ya sean supermercados, tiendas departamentales o gasolineras. Piense en ello como una enfermedad crónica sin cura: hay que permanecer vigilante, educado sobre los riesgos y seguir aprendiendo todo lo que pueda sobre tratamientos nuevos y más potentes que están surgiendo todo el tiempo. La protección contra el fraude debe ser una de sus principales prioridades. El futuro de su negocio, y el de sus clientes, depende de ello.