Stripe é “amigável” à fraude amigável

 (gingerlime.com)
1 pontos por GN⁺ 22 시간 전 | 1 comentários | Compartilhar no WhatsApp
  • Friendly fraud é quando o cliente recebe o produto e depois contesta o pagamento; é uma área em que a Stripe, com tantos sinais de pagamento, deveria conseguir atuar melhor
  • Um cliente da Ciglue abriu uma disputa após o primeiro pedido, que tinha comprovante de entrega da DHL, e alegou que era um erro do banco, mas na prática nunca corrigiu isso
  • O vendedor enviou prova de entrega, conversa com o cliente e políticas da loja, mas o banco ficou do lado do cliente, e ele perdeu o dinheiro, o produto, o frete e a taxa de disputa
  • Até screenshots em que o cliente se gabava do golpe foram enviados à Stripe, mas a empresa respondeu que não usa isso como sinal de fraude entre comerciantes
  • A resposta da Stripe fica limitada às regras do Radar na conta do comerciante, então o próximo vendedor precisa lidar do zero com o mesmo abuso repetido pelo mesmo cliente

Visão geral do caso e resultado da disputa

  • Friendly fraud é o problema em que o cliente recebe o produto e depois nega o pagamento, e a discussão parte da ideia de que uma grande plataforma como a Stripe, que possui muitos sinais de pagamento, deveria conseguir responder melhor a isso
  • O cliente comprou duas vezes produtos adesivos para charutos da Ciglue, e o primeiro pedido foi enviado pela DHL e marcado como entregue, com comprovante de entrega incluído
  • O cliente não pediu reembolso nem reenvio; em vez disso, abriu uma disputa, e depois explicou que o banco havia cometido o erro de agrupar esse pagamento com transações fraudulentas reais ocorridas nas Filipinas
  • O cliente disse que entraria em contato com o banco e também que pagaria novamente via PayPal, mas na prática não corrigiu nada com o banco e continuou alegando como se não tivesse recebido o produto
  • O banco ficou do lado do cliente, e o vendedor perdeu o dinheiro, o produto, o frete e a taxa de disputa; a prova de entrega, as conversas com o cliente e as políticas do site enviadas não mudaram o resultado
  • Antes de a primeira disputa chegar, o mesmo cliente fez um segundo pedido com envio sem rastreamento, e poucos dias após a primeira disputa, abriu também uma segunda disputa
  • Depois que a primeira disputa foi decidida em favor do cliente, ele se gabou do próprio método por e-mail, e o vendedor enviou esse screenshot à Stripe

Resposta da Stripe e suas limitações

  • O vendedor enviou o screenshot à Stripe e perguntou se aquela prova poderia ser reportada de forma adequada ao banco, a uma rede de denúncia de fraude ou ao menos internamente dentro da Stripe
  • Não se tratava de um pedido para reverter uma disputa já encerrada ou recuperar o dinheiro, mas da expectativa de que uma prova clara de abuso de chargeback pudesse ser usada de alguma forma significativa
  • A Stripe respondeu que não transforma provas de abuso de chargeback recebidas de um vendedor em sinais de fraude entre comerciantes, nem as utiliza para tomar medidas que afetem outros vendedores com base no cartão, e-mail ou outros dados do cliente
  • Não seria desejável que alguém fosse automaticamente bloqueado em todo o sistema de pagamentos da Stripe por causa de um único vendedor irritado, mas existe uma grande distância entre um “bloqueio total” e apenas dizer “recebemos o screenshot, revise o Radar”
  • A Stripe vende o Radar com a promessa de muitos pagamentos e sinais, melhor detecção de fraude e efeitos de rede baseados em machine learning, mas na prática a evidência real de abuso de chargeback por um cliente não se transforma em sinal de rede
  • A solução recomendada é impedir novas compras desse cliente por meio de regras do Radar, e o vendedor talvez precise fazer upgrade e pagar mais à Stripe para usar essas regras
  • Essa transação parecia normal, passou pelas verificações e até o endereço real coincidia, então é difícil filtrar no checkout uma situação em que “o cliente recebe o produto e depois mente para o banco”
  • Pequenos vendedores quase não têm poder de barganha em disputas; o banco decide, e enquanto a Stripe aponta para o banco, o vendedor perde dinheiro, produto, taxas e tempo de processamento
  • Se novas provas aparecerem depois, pode já ser tarde demais para enviá-las, e mesmo que o mesmo cliente repita isso em outro lugar, o próximo vendedor pode acabar prejudicado de novo
  • Não há nada de “friendly” nisso, e ao não tomar nenhuma medida, a Stripe acaba criando uma estrutura que, na prática, é amigável para fraudadores

Leituras relacionadas

1 comentários

 
GN⁺ 22 시간 전
Opiniões do Hacker News

  • Sou Josh, lidero o produto antifraude Radar na Stripe. Esse tipo de abuso por fraude é realmente revoltante e não é a experiência que a Stripe quer proporcionar aos usuários
    O ponto principal que várias pessoas levantaram aqui é válido. Não se trata apenas de saber se é possível reverter uma disputa depois do fato, mas se a evidência de abuso de chargeback pode ser usada para proteger o próximo comerciante
    Dito isso, também não queremos um mundo em que a denúncia de um único comerciante bloqueie automaticamente um comprador em todos os estabelecimentos da Stripe. Existem disputas legítimas, contas de consumidores podem ser comprometidas, e falsos positivos em bloqueios excessivos podem prejudicar compradores reais
    Ainda assim, claramente existe um espaço entre “bloquear automaticamente essa pessoa em todo lugar” e “obrigado pelo screenshot”, e queremos resolver essa parte
    Com o grande aumento da fraude amigável, estamos expandindo o Radar de um produto focado apenas em fraude de transação para um produto que bloqueia fraude e abuso ao longo de todo o ciclo de vida do cliente, incluindo cadastro e início de testes
    No momento, estamos trabalhando para identificar abusadores recorrentes de chargeback em toda a rede da Stripe, mostrar isso aos comerciantes antes da transação para ajudar na decisão, atribuir uma pontuação de risco acumulado de abuso à própria conta do cliente e criar defesas que, quando houver fraude amigável, ajudem a montar evidências melhores com o Smart Disputes para vencer a contestação
    Se você tiver feedback sobre o Radar, pode enviar para jackerman at stripe dot com

  • Eu opero um SaaS e passo por isso de vez em quando. Quando entra um chargeback, em princípio é preciso bloquear completamente esse cliente no banco de dados
    Se você bloquear cartão, endereço de e-mail e fingerprint de acesso, reduz bastante o trabalho quando eles tentarem se cadastrar de novo ou comprar o produto para causar a mesma dor

    • Os abusadores contornam esse tipo de bloqueio com facilidade. Quem pratica abuso em escala é um grupo pequeno
    • Usuários avançados conseguem trocar facilmente os três identificadores, como cartão, e-mail e fingerprint. Tenho curiosidade sobre o que exatamente significa “fingerprint de acesso”
      Já vi fingerprinting de navegador para rastrear todos os usuários, mas não sei se você quer dizer algo como coletar fingerprint só quando necessário
    • Basta forçar 3D Secure e a responsabilidade passa para o banco do cliente. Se a pessoa realmente quiser o produto, a maioria não vai se incomodar muito em abrir o app do banco no celular para confirmar a transação
    • Se você vai adotar esse tipo de política, é melhor responder rápido às solicitações legítimas de suporte
    • Se for um app iOS, também dá para usar DeviceCheck. O Uber usa isso para bloqueios em toda a conta

  • Fico surpreso que a Stripe tenha dito de forma tão clara que “não transformamos evidências de abuso de chargeback de um comerciante em sinal cruzado de fraude para outros comerciantes, nem usamos os dados do cartão, e-mail ou outras informações do cliente para agir em relação a outros comerciantes”
    É bom que a Stripe comunique esse tipo de detalhe na prática. Mas também dá para entender por que tantas grandes empresas respondem apenas com algo opaco como “obrigado pelo seu relato. Vamos tratar isso da forma adequada”. Quando dizem a verdade, as pessoas ficam mais irritadas

    • Não. Se a resposta tivesse sido vaga, eu teria ficado muito mais irritado. Ainda fiquei irritado com o fato de eles não fazerem nada
      Houve algumas idas e vindas até eu receber uma resposta clara, mas no fim recebi uma resposta clara, e pela minha experiência o suporte da Stripe continua excelente e se comunica bem
    • Não. Respostas vagas irritam muito mais. Só que, nesses casos, não há muito o que escrever sobre isso

  • O cliente enganou você, e depois o banco do cliente também. A Stripe não fez isso. Não entendo por que a Stripe está sendo criticada no título e no texto
    Claro, a Stripe poderia fazer mais mesmo sem o Radar, mas seria arriscado se a Stripe operasse um negócio em que a reclamação de um único vendedor bloqueasse um cliente em toda a rede da Stripe. Essa abordagem certamente pode gerar muitos problemas

    • Sim. Mas a Stripe não fez nada para impedir que o próximo comerciante caísse na mesma armadilha. Tinha todas as evidências e ignorou tudo
      Esse era o ponto que eu queria levantar no post do blog. Claro, também não seria justo se comerciantes pudessem bloquear consumidores com facilidade demais. Mas certamente deve haver um meio-termo
      A Stripe disse de forma muito explícita que não faz nada com esse tipo de denúncia. Ela simplesmente é ignorada
    • Não, a Stripe também tem responsabilidade. É um equívoco comum achar que chargeback é decidido pelo banco do cliente. Na prática, depois de várias trocas, quem decide no fim é a bandeira do cartão
      Trabalhei alguns anos no lado emissor do cartão e vi muitas vezes materiais enviados por comerciantes que usam Stripe. Conheço casos em que, pelas regras da bandeira, era claramente possível ganhar, mas a Stripe se recusou a contestar
      A Stripe aparentemente concluiu que, na maioria dos chargebacks, não vale a pena financeiramente lutar. Provavelmente porque pode repassar o custo ao comerciante e presume que o comerciante não vai migrar para outro lugar
    • Você provavelmente não quer “um sistema em que um único comerciante irritado possa bloquear alguém em todo o sistema de pagamentos da Stripe”. Mas há uma distância bem grande entre “bloquear automaticamente essa pessoa em todo lugar” e “obrigado pelo screenshot. Dê uma olhada no Radar”, e é isso que frustra

  • Já lidei com milhões de dólares em chargebacks na Stripe. Vendíamos ingressos, que eram fáceis de revender, e os clientes eram turistas do mundo todo vindo assistir aos eventos
    O Stripe Radar não era um bom produto. Muitas vezes ele atribuía nota de risco 1 ou 2, numa escala de 100, para transações extremamente suspeitas. Não tenho formação em machine learning, mas parecia haver alguma falha na metodologia, como se faltasse uma linha em algum lugar dentro do sistema. Infelizmente, não parece haver muito incentivo para a Stripe se importar

  • Agora estou bem convencido de que a Stripe é, pelo menos em espírito, algo próximo de um PayPal 2.0
    Fecha os olhos para fraudes dentro da plataforma, recebe o dinheiro e depois bloqueia criadores ou vendedores adultos, está em todo lugar mas não é exatamente querida
    É ótimo que a Stripe tenha mudado o jogo do fintech e permitido que mais gente tivesse acesso programático, mas por esses motivos hoje em dia frequentemente acabo dizendo às pessoas que pedem conselho sobre pagamentos: “evite a Stripe”

    • Essa é a natureza desse setor. Os incumbentes acumulam restrições ao longo de muitos anos, ficam lentos, desajeitados e desagradáveis de lidar
      Os novos entrantes ganham mercado se diferenciando por serem ágeis e bons de trabalhar junto
      Com o tempo, os novos também precisam lidar cada vez mais com fiscalização regulatória, fraude, carga operacional e práticas de evasão de responsabilidade
      Aí os novos viram os incumbentes, e tudo volta ao início
    • Quem você recomendaria como alternativa?

  • Sofri um chargeback fraudulento. A alegação era de que a compra não foi autorizada, mas a pessoa compareceu à aula pessoalmente. O pior é que o pagamento foi feito pelo Link, então a Stripe verificou ativamente essa pessoa com autenticação em duas etapas
    Alguém consegue explicar por que a Stripe ou seus concorrentes não oferecem uma configuração do tipo “recusar transações de cartões que abriram mais de x chargebacks contra comerciantes neste ano”?

    • Esse tipo de regra parece meio complicado. O cartão de alguém pode realmente ter sido roubado
      O frustrante é que a Stripe vive se gabando de regras de Radar com machine learning e coisas do tipo, mas não consegue colocar nelas dados que realmente seriam valiosos
      O suporte da Stripe viu e-mails em que o cliente se gabava de ter me enganado e concordou totalmente que era uma fraude amigável, mas não fez nada com essa informação
    • Não sei se esse é o motivo, mas se me pedissem para criar um sistema assim, eu ficaria bastante preocupado com a possibilidade de isso ser considerado um relatório de consumidor sob a Fair Credit Reporting Act
      E eu também não iria querer o drama inevitável nas notícias. Algo como: “Sou só uma vovozinha pobre e inocente e apenas acreditei num anúncio do Facebook, e agora a Stripe me bloqueou em metade das lojas da internet porque fui vítima de fraude!”
    • Você disse que a alegação era de que a compra não foi autorizada e que a pessoa apareceu na aula; mesmo que alguma pessoa tenha ido à aula, como você sabe que era a titular do cartão de crédito usado?
    • O modelo de negócio deles é permitir o maior número possível de transações “válidas”, não servir os “clientes”. Eles são um provedor de serviços de pagamento

  • Isso é simplesmente fraude. “Fraude amigável” é quando o chargeback acontece por engano ou com uma intenção correta, como quando o cliente não reconhece a cobrança na fatura

    • Não reconhecer uma cobrança na fatura não é fraude, de fato. Eu diria que fraude exige intenção, ou pelo menos negligência grave, tipo “se eu não me lembrar, vou contestar tudo e quase não vou fazer esforço nenhum para tentar lembrar”
      A expressão “simplesmente fraude” já é usada para casos em que “o criminoso c usa o cartão do titular a, que não sabe de nada, no comerciante b, que também não sabe de nada”. Então fico curioso por que há oposição ao termo “fraude amigável”
    • Esse é o ponto. Dá para apresentar acusação criminal e também ganhar na esfera cível
    • Sim. E a Stripe poderia impedir isso muito melhor, mas não faz isso

  • Bom post. O ponto principal foi a admissão da Stripe de que não usa evidência de fraude amigável após a contestação como sinal cruzado entre comerciantes no Radar
    Somando isso ao fato de o cliente ter literalmente se gabado depois de vencer o chargeback, fica claro o quanto o sistema é inclinado contra vendedores independentes

  • Está claro que a Stripe registra dados relacionados a fraude amigável. No mínimo, ela implementa o Visa Compelling Evidence 3.0 https://support.stripe.com/questions/how-does-stripe-support...
    Como não há captura de tela da mensagem enviada pelo suporte da Stripe, suspeito que eles só tentaram encerrar o assunto com uma resposta vaga, cuidadosa e juridicamente segura, e isso acabou virando um post de blog furioso

    • Posso compartilhar exatamente a resposta da Stripe. Foi uma troca bem longa. Parte de um e-mail recente deixa bem claro que eles não usam a evidência que forneci
      “Vou registrar esse feedback e encaminhá-lo para a equipe. Sua observação sobre detecção de abuso pós-transação é válida. A Stripe tem uma forte detecção de fraude em nível de rede, mas parece haver uma lacuna no uso de evidências confirmadas de fraude fornecidas por comerciantes para proteger o ecossistema mais amplo de comerciantes. Esse tipo de feedback de comerciantes com evidência direta é valioso para melhorar o sistema.”
    • Se “tentaram só encerrar o assunto com uma resposta vaga, cuidadosa e juridicamente segura” estiver correto, então ignorar completamente o problema em si já seria enganoso, então não é uma situação muito melhor
    • Esse link fala sobre como transações anteriores sem contestação com você, feitas de 4 a 12 meses antes, podem provar que a transação agora contestada era de fato legítima
      Mas o caso do post é sobre uma pessoa que só fez a compra contestada dentro de 1 ou 2 semanas
    • Minha única reclamação sobre a Stripe registrar dados relacionados a fraude amigável é que não dá para apagar os dados do cartão de uma assinatura em andamento que eu não pretendo renovar e que já está configurada para não renovar na página de pagamento do serviço
    • Qual é o ponto? Você acha que importa o que a Stripe disse? Fico curioso sobre que tipo de resposta não deixaria justificado um post de blog furioso