Optimera verksamheten #3: Skydda kunder mot bedrägeri

Inom e-handeln har man, tills nyligen, prioriterat säkra betalningar framför kundupplevelsen, trots att där inte finns en inbyggd motsättning mellan dessa aspekter. Många betalningsleverantörer tillämpar ett bristfälligt och långsamt tillvägagångssätt för att bekämpa bedrägeri: de blockerar betalningar vid minsta avvikelse.

En annan IP-adress? Blockera. Nya kortuppgifter? Blockera. Ett ovanligt stort belopp? Blockera det också.

Trots detta har bedrägerierna fortsatt att öka. Nilson Report rapporterade redan år 2018 att bedrägeriförlusterna i hela världen uppgick till nästan 28 miljarder dollar under 2018. De beräknade även att summan skulle stiga till närmare 36 miljarder USD inom 3 års tid, det vill säga i nutid.

I denna tredje del av vår bloggserie om att optimera verksamheten kommer vi att utforska olika sätt att maximera säkerheten och skydda konsumenter från bedrägeri – utan att försämra kundupplevelsen. Vi kommer att titta på hur ni kan finslipa ert riskhanteringsverktyg och använda avancerade algoritmer för kundidentifiering och för att höja auktoriseringsgraden maximalt.

Riskhanteringsteknik handlar om att utveckla verktyg och tekniker för att hålla jämna steg med bedrägerierna, som ständigt utvecklas. Det finns olika sätt att hantera bedrägerier. Vissa leverantörer rekommenderar en kompromisslös hållning för att uppnå säkra betalningar. Denna strategi, där löften om 0% chargebacks främjas, leder däremot till att man avvisar riktiga kunder. Andra leverantörer lyfter nya framsteg inom maskininlärning, artificiell intelligens (AI), biometri och till och med PSD2-direktivets starka kundautentisering (SCA) som snabba lösningar på problemet.

Vi på Adyen har ett enkelt svar: Det finns ingen magisk allt-i ett-lösning. Vi tror att det bästa sättet att skydda verksamheten och dess kunder mot bedrägeri är att kombinera olika tekniker för att fatta de klokaste besluten.

Tidigare handlade e-handelsbedrägerier om att hacka plattformens gateway och stjäla kortuppgifter, men det har förändrats under senare år. Idag handlar arbetet kring bedrägerier om en kamp mot både automatiserade och mänskliga attacker.

Uppkomsten av klickfarmar och botar är ett exempel på denna utveckling. För tio år sedan visste väldigt få människor vad dessa attacker innebar, men idag påverkar de allt från reality-tv till politiska val och betalningsbedrägerier. De koordinerar automatiserade höghastighetsattacker för att åstadkomma resultat. Det rör sig ofta om fysiska ”låglönefabriker” där personer anställs för att utföra fokuserade attacker där de utger sig för att vara riktiga kunder. Arbetarna kombinerar en mängd datapunkter (födelsedatum, ett lösenord som läckts vid ett dataintrång eller ett postnummer) för att logga in. Därefter kan de få tillgång till information om betalningar och identitet.

Om man inte kan bemöta bedrägerier från både automatiserade och mänskliga attacker hamnar verksamheten på efterkälken och kunderna tappar förtroendet. Läget är inte hopplöst däremot. Det finns faktiskt en hel del som företag kan göra för att bekämpa bedrägeri och ständigt vara steget före.

Det finns fem byggstenar er verksamhet bör ha i åtanke för att bygga upp ett eget system för risk management. Vissa är självklara (teknik för bedrägeribekämpning) medan andra kan kännas främmande (testning och experiment). Låt oss ta en närmare titt på komponenterna och deras olika funktioner.

Det första steget mot att bekämpa bedrägeri är att upptäcka det. De flesta digitala lösningar för bedrägeribekämpning använder avancerad datavetenskap med maskininlärningsmodeller för att upptäcka beteendemässiga avvikelser över en rad datauppsättningar. Tekniken kan konfigureras för specifika högrisksegment, till exempel betting eller geografiska regioner med hög bedrägerifrekvens.

Hitta en leverantör som använder flera olika maskininlärningsmodeller för att upptäcka bedrägeri. På så vis tar ni höjd för alla möjliga scenarion och undviker oavsiktliga fördomar avseende regioner, betalningsmetod eller transaktionsvärde.

Att använda en kombination av egen kunskap eller erfarenheter och maskininlärningskunskap brukar kallas ’övervakad maskininlärning’. Vid övervakad maskininlärning används kategoriserad data, information om betalningsauktorisering och tusentals andra datapunkter som beslutsunderlag. Maskininlärningen ’belönas’ utifrån hur väl den lyckas (varje korrekt blockerad bedräglig transaktion). Detta innebär att den inte förlitar sig på förutbestämda idéer eller uppfattningar som vi människor.

Utgångspunkten är att man initialt ger maskininlärningen en bas av information och därefter anpassar sig maskinen till en mängd olika bedrägerisituationer.

Leverantörer som har en lång historia av riskhantering, internationell verksamhet och dessutom tillgång till omfattande data om transaktioner och kunder kan ofta få bättre analyser och resultat från maskinen. Säkerställ att din leverantör kontinuerligt utvecklar maskininlärningen för att hålla jämna steg med bedrägeriernas nya former av angrepp.

Tänk på att maskininlärning bara så bra som basdatan är. Om det finns speciella omständigheter eller unika skäl att blockera en betalning är det även viktigt att kunna ta in den mänskliga, ‘övervakande’ aspekten.

De flesta håller nog med oss om att det inte finns en lösning som passar alla när det gäller bedrägeriskydd. Vare sig det handlar om att erbjuda de rätta betalningsmetoderna, att verka på en viss marknad eller artikels tema, risk management (eller riskhantering), är det viktigt att kunna anpassa sig. Företag och branscher kan lära av varandra, i synnerhet när det handlar om att spåra vissa typer av bedrägerier. Och för det ändamålet kan det vara praktiskt med mallar för branschrisker.

Streamingtjänster med en freemium-prissättningsmodell kan ofta utsättas för många kortbaserade testattacker. På samma sätt kan en sportkedja som lanserar en populär träningssko attackeras av en bot som köper upp lagret innan de riktiga kunderna hinner handla. I sådana situationer kan det vara användbart med mallar för branschrisker, eftersom de ger företaget en delvis skräddarsydd guide baserat på branschen. Strategin kan alltid anpassas. Med den rätta riskhanteringsplattformen kan du bygga vidare på mallen genom att lägga till nya riskregler.

Riskregler gör det enkelt att tillämpa skräddarsydda inställningar som fokuserar på det specifika företagets behov när det handlar om att avgöra vad som ska ske med en betalning i ett visst scenario. Det kan röra sig om ett stort antal oväntade transaktioner eller höga volymer av betalningar från en viss IP-adress. Listan kan göras lång. Med hjälp av riskregler kan man även skapa risknotifikationer eller genomföra automatiska åtgärder som att skicka transaktioner till granskning eller neka betalningen. Genom att bygga ut och anpassa riskreglerna kan man ta höjd för bolagets egna riskaptit, säsongsvariationer på marknaden och ange fasta regler för företagets betalningar. Man kan också manuellt avvika från maskininlärningsreglerna med egna anpassade regler i de fall det är lämpligt.

På Adyen ger vi även förslag på anpassade regler baserat på data från vårt nätverk av handlare. Vi kan tillämpa dessa regler på kampanjnivå. För varor med begränsad upplaga, som den där träningsskon, kan man lägga till en begränsning där kunderna bara kan köpa en enhet av produkten.

Stärk riskinställningarna genom en vanlig A/B-testning. Det hjälper systemet att skydda konsumenter från bedrägeri.

Vid experiment som ska förfina riskinställningarna är det mycket viktigt att man formulerar en tydlig hypotes. Det är också viktigt att skapa ett stort urval. Man kan uppnå det genom att köra testerna längre och använda mindre segment för att identifiera eftersläpande indikatorer eller genom att välja vilka grupper man önskar testa mot: exempelvis vissa geografiska områden i stor skala under kortare tid.

Se till att välja en leverantör som kan använda A/B-testning, definiera målsegment och få rekommendationer om hur stor ett urval behöver vara. Ta hänsyn till avvikande värden som säsongsvariationer (dvs kör inga experiment under Black Friday) och förstå hur man extrapolerar resultaten för att göra meningsfulla förändringar baserat på testerna.

Vi vet att bedrägerier inte alltid är självklara. Om det inte är klickfarmar eller botar kan det handla om en väldigt shoppingsugen konsument med långsam internetuppkoppling. Det är oerhört viktigt att kunna optimera riskhanteringsflöden och fatta rätt beslut snabbt. Genom att anpassa och segmentera sin support kan man kontrollera ärendenas flöde genom att rikta trafiken till rätt supportkö.

Möjligheten att granska betalningar med relevant information är avgörande. Därför bör ni anlita en leverantör som integrerar databaser från tredje part som till exempel postnummerkontroll, förhandsvisningar från sociala medier och andra verifieringsdatabaser.

Det kanske inte alltid är möjligt att upptäcka bedrägeriet, men det går att bekämpa ändå. Det handlar om små stegvisa förbättringar som att använda maskininlärning, experiment eller regulatoriska åtgärder för att säkerställa att alla aspekter av bedrägeri omfattas av ens säkerhetsarbete.

Vår nästa och avslutande del av serien om optimering av verksamheten handlar om återhämtning av betalning.