Stripe es “amistoso” con el “friendly fraud”

 (gingerlime.com)
1 puntos por GN⁺ 22 시간 전 | 1 comentarios | Compartir por WhatsApp
  • El friendly fraud es cuando un cliente niega un cobro después de recibir el producto, y es un área donde Stripe, con tantas señales de pago, debería poder frenarlo mejor
  • Un cliente de Ciglue presentó una disputa después de un primer pedido con prueba de entrega de DHL; dijo que había sido un error del banco, pero en realidad nunca lo corrigió
  • El vendedor envió pruebas de entrega, conversaciones con el cliente y sus políticas, pero el banco se puso del lado del cliente y perdió el dinero, el producto, el costo de envío y la comisión por disputa
  • Incluso se envió a Stripe una captura de pantalla donde el cliente presumía su método, pero Stripe respondió que no usa eso como señal de fraude entre comercios
  • La respuesta de Stripe se limita a las reglas de Radar de la cuenta del comercio, así que el siguiente vendedor tiene que volver a sufrir desde cero el mismo abuso repetido por ese cliente

Resumen del caso y resultado de la disputa

  • El friendly fraud es un problema en el que un cliente niega el cobro después de haber recibido el producto, y parte de la idea de que un actor grande como Stripe, con tantas señales de pago, debería poder responder mejor a este tipo de casos
  • El cliente compró dos veces un producto adhesivo para puros de Ciglue, y el primer pedido se envió por DHL y fue marcado como entregado con prueba de entrega incluida
  • El cliente no pidió reembolso ni reenvío, sino que abrió una disputa, y después explicó que el banco había cometido el error de agrupar este pago con transacciones realmente fraudulentas ocurridas en Filipinas
  • El cliente dijo que se comunicaría con el banco e incluso que volvería a pagar por PayPal, pero en la práctica no corrigió nada con el banco y afirmó como si no hubiera recibido el producto
  • El banco falló a favor del cliente, y el vendedor perdió el dinero, el producto, el costo de envío y la comisión por disputa; ni las pruebas de entrega, ni las conversaciones con el cliente, ni las políticas del sitio cambiaron el resultado
  • Antes de que llegara la primera disputa, el mismo cliente hizo un segundo pedido con envío sin rastreo, y pocos días después de la primera disputa también presentó una segunda
  • Después de que la primera disputa se resolviera a favor del cliente, este presumió por correo electrónico de su método, y el vendedor envió esa captura de pantalla a Stripe

Respuesta de Stripe y sus límites

  • El vendedor envió la captura de pantalla a Stripe y preguntó si esa evidencia podía reportarse de forma adecuada, ya fuera al banco, a una red de reportes de fraude, o al menos dentro de Stripe
  • No estaba pidiendo revertir una disputa ya cerrada ni recuperar el dinero, sino que esperaba que una prueba clara de abuso de chargebacks pudiera usarse de alguna forma con consecuencias reales
  • Stripe respondió que no convierte la evidencia de abuso de chargebacks recibida de un vendedor en una señal de fraude entre comercios, ni la usa para tomar medidas que afecten a otros vendedores respecto de la tarjeta, el correo u otros datos del cliente
  • No sería deseable que una sola persona molesta pudiera hacer que alguien quedara bloqueado automáticamente en todo el sistema de pagos de Stripe, pero hay una gran distancia entre un “bloqueo total” y un simple “recibimos la captura; revise Radar”
  • Stripe vende Radar hablando de gran volumen de pagos y señales, mejor detección de fraude y efectos de red basados en machine learning, pero la evidencia real de abuso de chargebacks por parte de un cliente no termina convirtiéndose en una señal de red
  • La solución recomendada es usar reglas de Radar para impedir futuras compras de ese cliente, y es posible que el vendedor tenga que actualizar su plan y pagarle más a Stripe para poder usar esas reglas
  • Esta transacción parecía normal, pasó las verificaciones y la dirección real coincidía, por lo que es difícil filtrar con reglas de checkout una situación donde “el cliente recibe el producto y luego le miente al banco”
  • Los vendedores pequeños casi no tienen poder de negociación en una disputa; el banco decide, y mientras Stripe señala al banco, el vendedor pierde dinero, producto, comisiones y tiempo de gestión
  • Si aparece nueva evidencia más tarde, puede ser demasiado tarde para presentarla, y aunque el mismo cliente repita esto en otros lugares, el siguiente vendedor puede volver a salir perjudicado
  • No tiene nada de “friendly”, y como Stripe no toma ninguna medida, el resultado es una estructura que en la práctica termina siendo amigable con quienes cometen fraude

Lecturas relacionadas

1 comentarios

 
GN⁺ 22 시간 전
Opiniones en Hacker News

  • Soy Josh, lidero el producto antifraude Radar en Stripe. Este tipo de abuso fraudulento da muchísima rabia y no es la experiencia que Stripe quiere dar a sus usuarios
    El punto central que varias personas mencionan aquí es válido. No se trata solo de si una disputa específica puede revertirse después, sino de si la evidencia de abuso de chargebacks puede usarse para proteger al siguiente negocio
    Dicho eso, tampoco queremos un mundo donde el reporte de un solo negocio bloquee automáticamente a un comprador en todos los comercios de Stripe. También hay disputas legítimas, a veces las cuentas de consumidores son comprometidas, y los falsos positivos por bloqueos excesivos pueden perjudicar a compradores reales
    Aun así, claramente hay un espacio entre “bloqueen automáticamente a esta persona en todos lados” y “gracias por la captura de pantalla”, y queremos resolver esa parte
    A medida que el fraude amistoso (friendly fraud) aumenta mucho, estamos ampliando Radar para que pase de ser solo prevención de fraude en transacciones a un producto que frene fraude y abuso a lo largo de todo el ciclo de vida del cliente, como el registro, el inicio de pruebas y más
    Actualmente estamos trabajando en identificar abusadores reincidentes de chargebacks en toda la red de Stripe para mostrárselos a los negocios antes de la transacción e incorporarlos en su toma de decisiones, en puntuar el riesgo acumulado de abuso de la cuenta del cliente en sí, y en crear defensas que, cuando ocurra fraude amistoso, ayuden a construir mejor la evidencia con Smart Disputes para ganar la disputa
    Si tienen comentarios sobre Radar, pueden enviarlos a jackerman at stripe dot com

  • Opero un SaaS y a veces nos pasa esto. Cuando entra un chargeback, por norma deberías bloquear por completo a ese cliente en la base de datos
    Si bloqueas la tarjeta, el correo y la huella de acceso, puedes ahorrarte muchos problemas cuando intenten volver a registrarse o comprar el producto para causar el mismo dolor otra vez

    • Los abusadores eluden esos bloqueos con facilidad. Las personas que hacen abuso a gran escala son un grupo pequeño
    • Un usuario avanzado puede cambiar fácilmente los tres identificadores: tarjeta, correo y huella. Me da curiosidad qué significa exactamente “huella de acceso”
      He visto todo tipo de huellas de navegador para rastrear usuarios, pero no sé si hablas de algo como tomar huellas solo cuando hace falta
    • Basta con forzar 3D Secure y la responsabilidad pasa al banco del cliente. Si de verdad quieren el producto, la mayoría no tiene gran problema en abrir la app del banco en el teléfono para confirmar la transacción
    • Si vas a tener una política así, conviene responder rápido a las consultas legítimas de soporte al cliente
    • Si es una app de iOS, también puedes usar DeviceCheck. Uber lo usa para bloquear cuentas por completo

  • Me sorprende que Stripe haya dicho tan claramente que “no convierten la evidencia de abuso de chargebacks de un comercio en una señal cruzada de fraude para otros comercios, ni usan la tarjeta, el correo u otra información del cliente para tomar acciones respecto de otros comercios”
    Está bien que Stripe comunique estos detalles en la práctica. Pero también se entiende por qué muchas grandes empresas solo dan respuestas opacas como “gracias por reportarlo, lo manejaremos de la manera adecuada”. Cuando dices la verdad, la gente se enoja más

    • No. Si hubieran dado una respuesta ambigua, me habría enojado mucho más. Igual me enojó que no hicieran nada
      Hubo varios intercambios hasta obtener una respuesta clara, pero al final sí la obtuve, y por experiencia el soporte de Stripe sigue siendo excelente y se comunica bien
    • No. Las respuestas ambiguas enfurecen mucho más. Solo que en esos casos no hay nada que escribir

  • El cliente te engañó, y después también lo hizo el banco del cliente. Stripe no hizo eso. No entiendo por qué Stripe recibe la culpa en el título y en el post
    Claro, Stripe podría hacer más incluso sin Radar, pero sería riesgoso que Stripe se dedicara a bloquear clientes en toda su red solo por la queja de un vendedor. Claramente podrían surgir muchos problemas con ese enfoque

    • Sí. Pero Stripe no hizo nada para evitar que el siguiente comercio cayera en la misma trampa. Tenían toda la evidencia y la ignoraron
      Ese era el punto central que quería decir en la entrada del blog. Obviamente tampoco sería justo que los comercios pudieran bloquear consumidores con demasiada facilidad. Pero sin duda debe haber un punto intermedio
      Stripe dijo de forma muy explícita que no hace nada con estos reportes. Simplemente se ignoran
    • No, Stripe también tiene responsabilidad. Es un malentendido común pensar que el banco del cliente decide los chargebacks. En realidad, después de varias idas y vueltas, quien decide al final es la red de tarjetas
      Trabajé varios años del lado emisor de tarjetas, y vi muchas veces materiales enviados por comercios que usan Stripe. Sé de casos donde Stripe se negó a pelear disputas que según las reglas de la red claramente podían ganarse
      Parece que Stripe concluyó que pelear la mayoría de los chargebacks no le sale rentable. Probablemente porque puede trasladar el costo al comercio y asume que el comercio no se irá a otro lado
    • Nadie querría “un sistema donde un comercio molesto pueda bloquear a alguien en todo el sistema de pagos de Stripe”. Pero hay una brecha bastante grande entre “bloqueen automáticamente a esta persona en todos lados” y “gracias por la captura, revisa Radar”, y ese punto es lo frustrante

  • He manejado millones de dólares en chargebacks en Stripe. Vendíamos boletos, los boletos eran fáciles de revender y los clientes eran turistas de todo el mundo que viajaban para ver espectáculos
    Stripe Radar no era un buen producto. Muchas veces calificaba transacciones muy sospechosas con riesgo 1 o 2, en una escala de 100. No tengo formación en machine learning, pero parecía haber algún defecto metodológico, como si faltara una línea dentro del sistema. Por desgracia, no parece que Stripe tenga mucho incentivo para preocuparse

  • Ya estoy bastante convencido de que Stripe, al menos en espíritu, ahora se parece más a PayPal 2.0
    Hace la vista gorda ante fraudes dentro de la plataforma, recibe el dinero y luego bloquea a creadores o vendedores adultos, y está en todas partes pero nadie la quiere especialmente
    Me gusta que Stripe haya cambiado el juego en fintech y permitido que más gente tenga acceso programático, pero por razones como estas hoy termino diciéndoles seguido a quienes piden consejo sobre pagos que “eviten Stripe”

    • Esa es la naturaleza de esta industria. Los actores establecidos se vuelven lentos, toscos y desagradables de tratar por años de restricciones acumuladas
      Los nuevos jugadores ganan cuota de mercado diferenciándose por ser ágiles y agradables para trabajar
      Con el tiempo, esos nuevos jugadores también tienen que lidiar cada vez más con escrutinio regulatorio, fraude, cargas operativas y prácticas para evadir responsabilidades
      Entonces el nuevo jugador se convierte en el actor establecido, y todo vuelve a empezar
    • ¿A quién recomiendan como alternativa?

  • Sufrí un contracargo fraudulento. Alegaron que la compra no estaba autorizada, pero esa persona se presentó en la clase. Lo peor es que pagó con Link, así que Stripe verificó activamente a esa persona con autenticación de dos factores
    ¿Alguien puede explicar por qué Stripe o sus competidores no ofrecen una opción tipo “rechazar transacciones de tarjetas que hayan presentado más de x contracargos contra comercios este año”?

    • Ese tipo de regla parece algo complicada. La tarjeta de alguien podría haber sido robada de verdad
      Lo frustrante es que Stripe presume sus reglas de Radar con aprendizaje automático y todo eso, pero no logra meter ahí datos que de verdad sean útiles
      El soporte de Stripe vio correos donde el cliente presumía que me había estafado y estuvo completamente de acuerdo en que era un caso claro de fraude amistoso, pero no hizo nada con esa información
    • No sé si esa sea la razón, pero si me pidieran construir un sistema así, me preocuparía bastante que pudiera considerarse un informe del consumidor bajo la Fair Credit Reporting Act
      Tampoco querría el inevitable drama en las noticias. Algo como: “Solo soy una abuelita pobre e inocente que creyó en un anuncio de Facebook, ¡y Stripe me bloqueó de la mitad de las tiendas en internet porque me estafaron!”
    • Dices que alegaron que la compra no estaba autorizada y que la persona se presentó en la clase, pero aunque alguien haya ido a la clase, ¿cómo sabes que esa persona era la titular de la tarjeta de crédito usada?
    • Su modelo de negocio es permitir tantas transacciones “válidas” como sea posible, no servir a sus “clientes”. Son un proveedor de servicios de pago

  • Esto simplemente es fraude. El “fraude amistoso” es cuando el cliente presenta un contracargo de forma accidental o de buena fe, como cuando no reconoce un cargo en su estado de cuenta

    • En realidad, no reconocer un cargo en el estado de cuenta no es fraude. Para que sea fraude tiene que haber intención, o al menos una negligencia grave, como “si no me acuerdo, voy a disputar todo y casi ni intentaré recordarlo”
      La expresión “simplemente fraude” ya se usa para el caso en que un delincuente c usa la tarjeta de un titular a que no conoce en un comercio b que tampoco conoce. Entonces me pregunto cuál es el problema con la expresión “fraude amistoso”
    • Ese es el punto. Puedes presentar una denuncia penal y también ganar en un tribunal civil
    • Exacto. Y Stripe podría prevenirlo mucho mejor, pero no lo hace

  • Buen post. Lo importante fue que Stripe reconoció que no usará evidencia de fraude amistoso posterior a la disputa como señal cruzada entre comercios en Radar
    Sumado a que el cliente literalmente presumió después de ganar el contracargo, deja claro qué tan inclinado está el sistema en contra de los vendedores independientes

  • Está claro que Stripe sí registra datos relacionados con fraude amistoso. Como mínimo, implementa Visa Compelling Evidence 3.0 https://support.stripe.com/questions/how-does-stripe-support...
    Como no hay una captura del mensaje del soporte de Stripe, sospecho que solo intentaron quitárselo de encima con una respuesta ambigua, cautelosa y legalmente segura, y eso terminó convertido en una publicación furiosa de blog

    • Puedo compartir textualmente la respuesta de Stripe. Fue un intercambio bastante largo. En parte del correo más reciente, parece bastante claro que no usan la evidencia que proporcioné
      “Registraré los comentarios y los transmitiré al equipo. Tu observación sobre la detección de abuso posterior a la transacción es válida. Stripe tiene una sólida detección de fraude a nivel de red, pero parece haber una brecha en el aprovechamiento de evidencia concluyente de fraude proporcionada por comercios para proteger al ecosistema más amplio de comercios. Comentarios como este, de comercios con evidencia directa, son valiosos para mejorar el sistema.”
    • Si lo de “intentaron quitárselo de encima con una respuesta ambigua, cautelosa y legalmente segura” es correcto, entonces tampoco es una situación mucho mejor, porque ignorar por completo el problema es en sí mismo engañoso
    • Ese enlace dice que transacciones no disputadas entre 4 y 12 meses atrás contigo pueden demostrar que la transacción ahora disputada sí era legítima
      Pero el caso del post trata de alguien que solo hizo una compra disputada dentro de 1 o 2 semanas
    • Mi única queja sobre que Stripe registre datos relacionados con fraude amistoso es que no se puede eliminar la información de la tarjeta de suscripciones activas que ya están marcadas para no renovarse y que no pienso renovar, desde la página de pago del servicio
    • ¿Cuál es el punto? ¿De verdad crees que importa lo que haya dicho Stripe? Me cuesta imaginar qué respuesta habría dado que no justificara una publicación furiosa de blog