«Sebbene i grandi rivenditori dispongano di più risorse per coprire l'effettivo impatto finanziario dei charge-back con carta, ciò può letteralmente far fallire i rivenditori più piccoli».

Se esistesse una vera deterrenza contro la criminalità informatica e le frodi con carte di credito, i criminali si arrenderebbero. Il problema è che non esiste un modo collaudato per eliminare la minaccia: non appena emerge una possibile soluzione a un metodo di attacco, i criminali semplicemente cambiano rotta e provano un altro modus operandi. È un problema per ogni settore, ma le frodi con carta di credito sono in particolare un problema grande e crescente per i rivenditori in particolare.

Secondo uno studio di LexisNexis, i rivenditori hanno pagato 3,13 dollari per ogni dollaro perso a causa di frodi con carta di credito, in media nel 2019, con un aumento del 6,5 percento su base annua. Per i rivenditori di ogni tipo e dimensione, dai minimarket e distributori di benzina ai grandi magazzini e supermercati, le frodi con carta di credito mettono a rischio la redditività, la reputazione e, potenzialmente, anche la redditività aziendale.

La buona notizia: i fornitori di tecnologia per la vendita al dettaglio hanno fatto molta pratica nello sviluppo di una vasta gamma di contromisure in grado di far fronte alle minacce criminali più rapidamente ogni giorno.

Di seguito, discutiamo i rischi, le sfide e le risorse disponibili per combattere le frodi con carta di credito.

Innanzitutto, i rischi.

Rischio di redditività aziendale

La frode con carta di credito è una minaccia esistenziale per il rivenditore se il negozio viene ritenuto colpevole e i clienti fanno causa per danni. E se da un lato i grandi rivenditori dispongono di maggiori risorse per coprire l'effettivo impatto finanziario dei riaddebiti fraudolenti con carta, dall'altro può letteralmente far fallire i rivenditori più piccoli.

Un'altra minaccia alla redditività aziendale: una volta che l'elaboratore dei pagamenti con carta di credito viene informato della frode e viene a sapere che la colpa è del rivenditore, potrebbe chiudere l'account di elaborazione del rivenditore. Ciò limita la capacità del rivenditore di rimanere in attività.

Rischio di redditività

Se i criminali riescono a farla franca con acquisti fraudolenti, il rivenditore non riceve alcun risarcimento per la merce venduta. Inoltre, la banca che ha emesso la carta potrebbe cercare di ottenere un rimborso dal rivenditore per aver consentito la transazione fraudolenta. Le perdite possono davvero accumularsi e maggiore è l'entità della frode, maggiore è l'impatto sulla redditività del rivenditore.

Rischio reputazionale

Sia che un grande rivenditore riceva pubblicità negativa per violazioni dei dati delle carte di credito su larga scala o che si sparga in città la notizia che un rivenditore più piccolo ha consentito il furto delle informazioni di un singolo titolare di carta, la fedeltà alla marca può risentirne. Il furto di identità, in particolare, potrebbe essere catastrofico per le vittime, che ricorderanno quale rivenditore ha consentito il furto delle loro informazioni per molto tempo. E i danni arrecati al marchio del rivenditore si manifesteranno sui profitti a lungo termine.

Questi rischi possono derivare da due categorie principali di reato: la frode con carta presente e la frode con carta non presente (CNP).

«Sebbene i grandi rivenditori dispongano di più risorse per coprire l'effettivo impatto finanziario dei charge-back con carta, ciò può letteralmente far fallire i rivenditori più piccoli».

Frode con carte di credito

Questo tipo di frode con carta di credito, che coinvolge carte di credito fisiche, è presente in molti moduli che possono provenire dall'esterno o dall'interno del negozio del rivenditore:

Fuori dal negozio

• Carte smarrite o rubate (la frode si verifica «al di fuori dell'azienda» anche quando un cliente trova una carta smarrita e non tenta di restituirla o la ruba a un altro cliente presso la sede del rivenditore).
• «Acquisizione dell'account», vale a dire che il titolare della carta fornisce involontariamente le informazioni del proprio conto, come il numero della carta o l'indirizzo di casa, a un criminale, che quindi contatta la banca del titolare della carta, segnala lo smarrimento della carta e il cambio di indirizzo e ottiene una nuova carta a nome della futura vittima.
• Carte contraffatte, vale a dire «clonare» una carta da un'altra e quindi utilizzare il clone per effettuare acquisti
• «Mai ricevuta»: una carta nuova o sostitutiva viene rubata dalla posta e non raggiunge mai il legittimo proprietario.
• Applicazione fraudolenta: un criminale utilizza il nome e le informazioni di qualcun altro per richiedere e ottenere una carta di credito da una banca.

All'interno del negozio

• Malware: i criminali installano malware sul software del sistema POS di un rivenditore
• «Impronta multipla»: una singola transazione viene registrata più volte su un vecchio dispositivo di impronta per carte di credito noto come «knuckle buster».
• I rivenditori collusivi, cioè i dipendenti cospirano con i criminali per frodare le banche.

Il bersaglio dei criminali fraudolenti con carte di credito alcuni tipi di attività commerciali per frodi con carta di credito più di altre:

• Negozi di alimentari e supermercati
• Negozi di elettronica
• Negozi al dettaglio vari e specializzati
• Grandi magazzini
• Negozi di scarpe

Frode con carta non presente

Frode CNP comporta transazioni o attività via Internet, telefoniche e di vendita per corrispondenza. La frode vera e propria si verifica dopo che i criminali rubano i dati delle carte tramite pirateria informatica, scremando o phishing. Com'era prevedibile, negli ultimi anni questa categoria di frodi con carte di credito ha iniziato a superare le frodi relative a carte di credito, grazie alla proliferazione del volume delle transazioni di e-commerce.

Secondo uno studio del 2018 della Federal Reserve, l'ammontare delle frodi con carta di credito negli Stati Uniti è diminuito da 3,68 miliardi di dollari nel 2015 a 2,91 miliardi di dollari nel 2016, mentre l'importo delle frodi con carta non presente è passato da 3,4 miliardi di dollari a 4,57 miliardi di dollari nello stesso periodo. Inoltre, uno studio di Javelin Strategy & Research dello stesso anno ha rivelato che Le frodi al CNP hanno ora l'81% di probabilità in più rispetto alle frodi con carta regalo.

L'hacking sembra offrire ai criminali il massimo potenziale per rubare enormi volumi di informazioni sulle carte di credito contemporaneamente. Una volta raggiunto questo obiettivo, i criminali possono rendere disponibili i dati, come i numeri delle carte, sul cosiddetto dark web. A causa dei loro diffusi impatti negativi sia sui titolari di carta che sui rivenditori, la più grande violazione dei dati delle carte di credito nella storia hanno ricevuto molta pubblicità negli ultimi anni.

Uno degli obiettivi principali del furto dei dati delle carte di credito è il furto di identità, un crimine che aumenta esponenzialmente l'impatto delle frodi con carta di credito sulle vittime. È possibile che un autore di un furto di identità rubi letteralmente la maggior parte di ciò che una vittima possiede o guadagna. Oltre a rovinare finanziariamente i consumatori, il furto di identità può aumentare notevolmente la responsabilità dei rivenditori.

I rivenditori che offrono transazioni online non possono nemmeno aspettarsi che la banca emittente copra la frode di charge-back, nota anche come frode amichevole. Se installano lettori di chip per leggere le carte dotate di chip emesse dalla banca e raccolgono firme per le transazioni e continuano a verificarsi addebiti fraudolenti, la banca deve coprire i riaddebiti. Le stesse misure di sicurezza non sono in vigore per le transazioni CNP, quindi il rivenditore, non la banca, deve rimborsare l'importo della transazione fraudolenta.

«Uno studio del 2018 di Javelin Strategy & Research ha rivelato che le frodi al CNP hanno ora l'81% in più di probabilità di verificarsi rispetto alle frodi con carta di credito».

Rilevamento e prevenzione delle frodi con carta di credito

Le società emittenti di carte di credito offrono una protezione anticipata contro le attività fraudolente nei conti dei rivenditori. Rilevano le frodi tramite monitoraggio degli account per attività insolite, ad esempio gli importi addebitati, i negozi e i luoghi in cui vengono effettuati gli acquisti, ecc. Ogni emittente di carte utilizza algoritmi di rilevamento delle frodi sempre più sofisticati per monitorare enormi quantità di dati sui numeri di carta di credito raccolti da milioni di titolari di carta. Il rilevamento di addebiti sospetti attiva un avviso di frode e l'emittente della carta contatta il titolare della carta tramite telefono o, sempre più spesso, SMS per verificare le transazioni.

È anche possibile utilizzare i dati dei clienti, inclusi i numeri delle carte di credito, per mitigare il rischio di frode con carta di credito, una forma di rilevamento delle frodi. Sistemi di analisi predittiva utilizza i dati per prevedere possibili attività fraudolente.

Ma considera il rilevamento delle frodi con carta di credito un scorso linea di difesa e dare invece priorità all'implementazione di strumenti che offrono protezione dalle frodi. In questo modo non solo potrete evitare frodi potenzialmente costose, ma il vostro marchio si farà anche una reputazione in termini di commercio sicuro e un basso potenziale di furto di identità.

Tale reputazione è importante per i consumatori che, sebbene protetti da accuse fraudolente, nutrono legittime preoccupazioni sulla sicurezza delle proprie informazioni finanziarie. In un determinato caso di frode, la società emittente della carta di credito, la banca o eventualmente il rivenditore sono responsabili per addebiti superiori a Un massimo di $50 per i titolari di carta.

Proteggi loro e la tua attività investendo nelle frodi prevenzione strumenti e strategie, come i seguenti.

Prevenzione delle frodi con carte di credito

Ridurre al minimo le frodi relative alla carta implica uno sforzo consapevole per aderire alle procedure e investire in soluzioni avanzate di mitigazione delle frodi:

• Leggi il contratto e comprendi i requisiti di accettazione della tua carta. Tra i requisiti contrattuali imposti dalle principali società emittenti di carte di credito vi sono le misure di sicurezza che siete tenuti ad adottare e le procedure da seguire nei casi in cui le carte o le transazioni risultino fraudolente.
• Passa a EMV accettazione. Il 1° ottobre 2015, la responsabilità per le transazioni fraudolente effettuate all'interno del negozio con chip card è passata dalle banche alla «parte meno sicura», ossia i rivenditori che non hanno aggiornato i propri sistemi per accettare transazioni EMV.
• Le stazioni di servizio si assumeranno la responsabilità per le transazioni fraudolente con pagamento alla pompa dopo la scadenza del termine per la conformità EMV, il 17 aprile 2021. L'aggiornamento dei terminali di pagamento del carburante per uso esterno con soluzioni conformi a EMV, come OPTIC Combat Card-skimming and tampering in tempo reale, migliorerà drasticamente la prevenzione delle frodi.
• Usa la crittografia e la tokenizzazione dei dati. Crittografando i dati sul sistema del mittente e consentendo solo al destinatario di decrittografare i dati, crittografia end-to-end (E2EE) impedisce a terzi di accedere ai dati. Tokenizzazione sostituisce i numeri di conto principali dei clienti con un numero univoco specifico per la transazione.
• Accetta pagamenti tramite tecnologie digitali emergenti. Un esempio è carte contactless, note anche come carte tap-and-go, che si basano sulla tokenizzazione. Di conseguenza, migliorano la sicurezza offrendo al contempo maggiore velocità, scelta e convenienza delle transazioni. Inoltre pagamenti mobili e portafogli digitali, che utilizzano app per telefoni cellulari per i pagamenti, sono più sicuri delle carte di credito fisiche.
• Mantieni il software e l'hardware del tuo POS regolarmente aggiornati per eventuali patch di sicurezza e correzioni di bug. Controllate frequentemente i terminali di pagamento e i PIN pad per assicurarvi che non siano installati dispositivi di skimming difficili da rilevare. Inoltre, assicuratevi che l'anti-malware sia aggiornato per i vostri sistemi POS e rivolgetevi ai fornitori dei sistemi di pagamento per assicurarvi che i loro sistemi siano conformi ai Standard di sicurezza dei dati del settore delle carte di pagamento (PCI DSS)).

Prevenzione delle frodi relative alla mancata presentazione della carta

La frode con carta non presente è qualsiasi transazione fraudolenta che si verifica quando il criminale e la carta non sono fisicamente presenti nel negozio. Ciò può includere acquisti online, mobili e social, ordini telefonici e acquisti per corrispondenza.

• Prevenzione delle frodi CNP richiede più processi per verificare che i titolari della carta siano chi dichiarano di essere. Considera i seguenti passaggi:
• Richiedi un'autenticazione aggiuntiva. KYC, ovvero un processo di verifica «Conosci il tuo cliente», è disponibile in diverse forme, tra cui analisi delle email, analisi IP e impronte digitali del dispositivo. Se queste misure rivelano segnali di allarme, utilizza misure di autenticazione aggiuntive, come la verifica dell'identità, l'autenticazione a due fattori (2FA) o la preautorizzazione della carta di credito.
• Raccogli le informazioni appropriate sui clienti, che possono includere informazioni sulla carta di credito come codice CVV, indirizzo di fatturazione, informazioni sul dispositivo utilizzato per l'accesso, indirizzo IP e numero di telefono.
• Usa l'arricchimento dei dati. Questo processo utilizza strumenti dedicati per aggregare istantaneamente i punti dati utilizzati in fonti esterne, ad esempio un indirizzo email utilizzato per la registrazione del profilo sui social media.
• Segui le best practice per la protezione dei dati. Il PCI DSS impone l'uso di strumenti di sicurezza online come SSL, in particolare sulle pagine che raccolgono informazioni sensibili come numeri di carte, numeri di previdenza sociale e indirizzi. Inoltre, crittografa i dati nel modo più efficiente possibile.
• Fai attenzione ai comportamenti insoliti. I segnali di allarme più comuni includono un numero insolito di richieste di charge-back, centinaia di tentativi di accesso su un account, richieste di reimpostazione di massa della password e utilizzo dello stesso IP o dispositivo da parte di più clienti.

Fai attenzione alle transazioni molto piccole. Di tanto in tanto, i criminali testano una carta con acquisti molto piccoli prima di acquistare articoli più costosi.

Senza dubbio, le frodi con carta di credito rappresentano una minaccia sofisticata per la tua attività di vendita al dettaglio e nessun settore è immune, che si tratti di supermercati, grandi magazzini o distributori di benzina. Pensatela come una malattia cronica senza cura: dovete rimanere vigili, informati sui rischi e continuare a imparare il più possibile sui nuovi e più potenti trattamenti che emergono continuamente. La protezione dalle frodi deve essere una delle tue priorità principali. Il futuro della tua azienda e quello dei tuoi clienti dipende da questo.