Sommario:
Video: VISA vs MASTERCARD: questa è la VERA differenza! (Novembre 2024)
Con il flusso costante di clienti che entrano nei negozi e fanno il check-out sui siti Web dei commercianti, come fanno i commercianti a sapere che un cliente è legittimo o fraudolento? Nel mondo dell'e-commerce, gli emittenti di carte di credito stanno adottando misure per conto dei commercianti per convalidare le credenziali di pagamento degli acquirenti tra le minacce di frode e furto di identità.
Un passo negli ultimi anni è stata l'introduzione delle chip card per rendere più sicura l'elaborazione delle carte di credito. Ma anche questo non è abbastanza, secondo uno studio chiamato "State of Retail Payments", della National Retail Federation e Forrester Research. Questo perché quando i pagamenti in negozio sono diventati più sicuri con i pagamenti con chip card, i ladri identificati sono passati allo spazio di pagamento online per sfruttare le vulnerabilità. Non sorprende che del 55% dei rivenditori intervistati da NRF e Forrester, la frode sia stata la principale sfida relativa ai pagamenti.
NuData Security, una società Mastercard, aiuta i commercianti a capire se l'utente dietro una transazione online è reale o fraudolento. Un'attività sospetta può includere un utente non autorizzato che acquisisce un account, crea un account di accesso falso o mira ad acquistare un prodotto online in modo fraudolento. La persona fraudolenta potrebbe aver rubato una libreria di ID utente e password, come una raccolta di account da un rivenditore.
"Rivenditori, commercianti ed emittenti, sono tutti sfidati a identificare se si tratta di un vero utente che accede o è qualcuno che impersona quell'utente che cerca di commettere una frode", ha affermato Don Duncan, direttore dello sviluppo aziendale di NuData.
Attraverso il processo di convalida, NuData può determinare se il dispositivo è un dispositivo iOS o Android e da dove l'utente si sta connettendo. Dopo aver raccolto i dati di telemetria da un dispositivo come un PC o un telefono cellulare, NuData lo sintetizza e riporta ai commercianti. Sebbene i commercianti non ricevano informazioni di identificazione personale, ottengono la business intelligence sul livello di rischio che comporta un acquirente.
"Ciò che facciamo è fornire ai rivenditori e ai commercianti tale visibilità sotto forma di punteggio di rischio, non solo al momento del login e della creazione dell'account, ma fino ai pagamenti", ha affermato Duncan.
Questi punti dati includono informazioni sul dispositivo, l'indirizzo IP e la connessione del cliente. Se gli emittenti ritengono di aver bisogno di ulteriori informazioni sull'utente per decidere se l'identità del cliente è legittima, possono richiedere un "incremento", ha affermato Duncan. "Quel commerciante o rivenditore può decidere nel web o nell'applicazione mobile su come dovrebbe interagire con l'utente in futuro", ha detto Duncan.
Come funziona EMV 3DS
Quando i clienti effettuano un acquisto, gli emittenti di carte di credito possono utilizzare una specifica chiamata EMV 3-D Secure (3DS) per convalidare la transazione. EMV 3DS fornisce un protocollo di messaggistica per consentire agli utenti di autenticarsi quando effettuano un acquisto online senza una carta fisica, chiamato "carta non presente". Questo processo prevede l'autenticazione degli acquirenti in tempo reale prima che una transazione venga eseguita nel punto vendita. Nel 2016 EMVCo ha introdotto EMV 3-D Secure 2.0 (3DS 2.0), che i commercianti e gli emittenti devono abilitare in Europa a partire da aprile 2019. Il protocollo 3DS 2.0 consente agli emittenti di raccogliere fino a 150 punti dati per valutare una transazione rispetto ai 15 punti dati EMV 3DS utilizzato.
Uno dei vantaggi dell'utilizzo di EMV 3DS è quello di evitare falsi ribassi quando gli acquirenti vengono rifiutati per acquisti per errore, secondo un rapporto chiamato "3-D Secure 2.0: considerazioni chiave per i commercianti" di NuData e della società di ricerca Aite Group. E i falsi ribassi portano gli acquirenti ad andare altrove. Degli acquirenti intervistati per un sondaggio da Riskified, un fornitore di gestione delle frodi nel commercio elettronico, il 42 percento ha dichiarato di voler abbandonare completamente il carrello o di acquistare un prodotto da un'altra società dopo un pagamento rifiutato.
Il processo di convalida prevede la telemetria mediante un'applicazione come NuDetect di NuData. "Quando si utilizza un'app mobile, dall'applicazione sono disponibili i dati di telemetria che possono essere utilizzati come mezzo per convalidare la propria identità", ha spiegato Duncan. "Mentre entri in un negozio, potrei non conoscere il tuo nome ma riconosco il modo in cui cammini, il modo in cui parli e il modo in cui interagisci."
Duncan ha continuato, "Osserviamo l'interazione dell'utente con il dispositivo e tale interazione ci dà la possibilità di determinare se si tratta davvero di quell'utente o se potrebbe essere qualcuno che impersona quell'utente sotto forma di automazione".
Il protocollo EMV 3DS aiuta gli emittenti ad acquisire trasparenza su possibili frodi di pagamento. Credito: NuData Security
Biometria e analisi comportamentale
Emittenti come NuData forniscono informazioni di comportamento al rivenditore o al commerciante in tempo quasi reale. Sul back-end, un emittente di carte di pagamento utilizza EMV 3DS per convalidare gli utenti e decidere se è necessaria un'ulteriore convalida, ha spiegato Duncan. Se una banca nota che qualcosa sembra diverso quando gli acquirenti tornano ad acquistare qualcosa, il commerciante richiederà un'impronta biometrica o un altro tipo di convalida.
Gli esperti di sicurezza possono anche tenere traccia della cadenza di come un utente digita per vedere se un sistema automatizzato sta cercando di impersonare un utente. Questo si chiama biometria passiva. Gli emittenti studiano anche l'analisi comportamentale utilizzando indicatori come la velocità di navigazione e il tempo che un utente trascorre su una pagina Web.
"Restituiamo tale intelligenza a commercianti o rivenditori, e quindi hanno la possibilità di usarlo come mezzo per determinare, soprattutto quando si arriva ai pagamenti, se c'è la possibilità che qualcuno stia tentando di commettere una frode o meno", ha detto Duncan.
Duncan ha dato un esempio di come puoi studiare come un guidatore guida un'auto per sapere se è davvero quella persona alla guida. Funziona allo stesso modo con le transazioni di acquisto. Come parte di questo processo di convalida, una volta che un'azienda ha convalidato un utente, il processo di acquisto può comportare un minor numero di passaggi per l'acquirente. "Più ti capisco, so cosa ti piace, so cosa non ti piace e alla fine inizierai a rendere quel processo di acquisto molto efficiente", ha detto Duncan. "Ed è quello che stiamo cercando di fare online."
Effettuando un controllo preliminare degli acquirenti prima che effettuino gli acquisti, l'esperienza di acquisto effettiva può essere più fluida per i consumatori e potrebbe non essere richiesto di inserire un codice al momento del checkout. secondo Duncan. Man mano che i clienti vengono convalidati tramite ID dispositivo, browser e indirizzo IP, avranno meno autenticazione richiesta al successivo ritorno su un sito di shopping e non dovranno eseguire e ottenere la carta di credito per convalidare la transazione.
In futuro, la sfida principale per i commercianti è quella di mantenere la perfetta esperienza di acquisto per gli acquirenti legittimi "rendendola allo stesso tempo frustrante per i truffatori".
"Perché in questo momento per molti commercianti e rivenditori", ha detto Duncan, "non possono distinguere tra un buon utente e un cattivo utente."