Het komt steeds vaker voor en steeds meer mensen hebben er mee te maken: fraude met betaalmiddelen. Veel consumenten denken daarbij vooral aan fraude met betaalpassen, maar webwinkeliers zijn zich heel goed bewust dat het óók gaat om fraude met betaamiddelen op internet. In het eerste deel van deze serie zijn we ingegaan op de motieven van Mastercard en VISA om extra kosten door te belasten voor chargebacks, maar voorkomen is natuurlijk beter dan betalen. Daarom staan we in dit deel stil bij de meest voorkomende mogelijkheden van fraude en de tegenmaatregelen die winkeliers kunnen nemen.
iDeal
In Nederland is iDeal een van de populairste online betaalmethodes. Dat is logisch, want vrijwel elke consument beschikt in Nederland over een betaalrekening bij een aangesloten bank. Daarnaast heeft Nederland een betaalcultuur van direct afrekenen. Dit boter-bij-de-vis-principe, ook wel aangeduid als ‘direct debit’ is zó ingeburgerd, dat iDeal voor veel consumenten een logische betaalmethode is.
De fraudemogelijkheden bij iDeal zijn relatief beperkt, omdat consumenten voor hun betaling worden doorgestuurd naar hun bank. En banken gebruiken een vorm van sterke authenticatie. Los van het rekeningnummer moet een rekeninghouder zijn identiteit bewijzen via een token, kaartlezer of SMS. Door beperkte fraudemogelijkheden is het risico op schade beperkt en kunnen de transactiekosten dus laag gehouden worden.
Creditcards
iDeal mag dan vooral voor Nederlandse consumenten populair zijn, elke webwinkel die zaken doet buiten de grenzen kan niet om het accepteren van creditcards heen. Als betaalmiddel spelen creditcards een belangrijke rol. Ze zijn populair als betaalmiddel vanwege de gespreide betaling, de gekoppelde verzekering en de wereldwijde acceptatie.
Fraude met creditcards komt wereldwijd voor. Voor webwinkels is er vooral risico op betalingen met valse creditcards en chargebacks, waarbij een consument de winkelier dwingt om te bewijzen dat hij de bestelling heeft geplaatst.
Om de risico’s met creditcards in te dammen maken creditcard-maatschappijen en acquirers gebruik van allerlei profileringstechnieken om te zien of een transactie goedgekeurd wordt of niet. Zodra een winkelier of een merchant een transactie aanbiedt aan de acquirer, wordt bijvoorbeeld gekeken of de uitgaven binnen het ‘uitgavenpatroon’ van de kaarthouder vallen, of er voldoende kredietwaardigheid is en of de kaart niet als gestolen of vermist bekend staat. Merchants kunnen zélf echter ook het nodige doen. Zo zijn er bijvoorbeeld betaalde diensten om een transactie vooraf te verfieren aan de hand van het risicoprofiel van de bestelling en allerlei omgevingsfactoren. Ook het toepassen van blacklists kan de merchant zelf doen.
Deze extra checks kan een merchant zélf uitvoeren als hij over de kaartdata beschikt, maar hij kan natuurlijk ook een payment-provider (psp, red.) kiezen die deze checks uitvoert vóórdat de transactie naar de acquirer wordt gestuurd. Op die manier voorkomen merchants dat ze veel frauduleuze transacties naar hun acquirers sturen die chargebacks tot gevolg hebben en –nog veel erger- een slechte risicoscore bij acquirers met mogelijk ongunstige tarieven tot gevolg.
Deze checks zijn overigens niet voor elke merchant interessant. Met name merchants die veel te maken hebben met chargebacks, zullen profiteren van extra controles. Dit zijn vaak merchants die zogenaamde non-physical goods leveren: er is geen afleveradres en er zijn geen goederen die geleverd worden. Bij het leveren van goederen moet immers altijd een afleveradres bekend zijn en daarmee identificeert een fraudeur zich al snel.
Andere betaalmiddelen
Naast creditcards en direct debit is er natuurlijk een groot aantal alternatieve betaalmiddelen, zoals incasso’s, machtigingen en autonome systemen als Paypal en zelfs bitcoins. Elk systeem heeft zijn eigen risicoprofiel en zijn eigen kans op fraude.
Maar wat zijn precies de gevolgen voor merchants ? Hoe vertaalt fraude zich direct of indirect in euro’s? In het derde deel van deze serie gaan we daar dieper op in.
Deze expertbijdrage, onderdeel van een serie waarin eerder dit artikel verscheen, is een samenwerking tussen internetkassa.nu en Vincent Ossewaarde.
Vincent Ossewaarde is een door de PCI-DSS council aangestelde auditor (PCI-DSS QSA) en eigenaar van Fortytwo, een bedrijf gespecialiseerd in netwerk- en informatiebeveiling met kantoren in Amsterdam en Barcelona.