Medios de pago y fraude en el ecommerce (parte de las 10 ideas que saqué de las jornadas de @adigital_org)
1 marzo 2013
Esta semana estuve en el II Foro de Medios de Pago y Fraude organizado por la Asociación Española de la Economía Digital (adigital).
Andaba bastante pez en el tema de medios de pago en el comercio online. Sabía de la existencia de Redsys como “un ente” que agrupaba a bastantes entidades financieras y gestionaba los TPVs, y poco más.
Tenía la experiencia como mero observador (lo montó un compañero en el proyecto, yo no) con la pasarela de pago de Cajamar (Servired/Redsys); me pareció un proceso no demasiado complicado a pesar de que las pasarelas de pago tienen fama de “algo complicado y abstracto” en el mundillo de los profesionales del sector (supongo que las empresas de programación web son responsables de parte de esta percepción… cuando en sus presupuestos incluyen algo que tiene que ver con pasarela de pago le sacan punta al lápiz y comienzan a añadir ceros; el cliente cuando ve muchos ceros piensa: “esto tiene que ser la leche de complicado”… 🙂 ).
Bien, vamos a la parte práctica.
Palabrería del mundillo (o argot)
(como comento normalmente, cuando entables una conversación con alguien sobre estos temas es conveniente que uses la mayoría de estos términos que pongo a continuación porque eso significará que controlas mogollón sobre esta temática de sistemas de pagos y fraude, aunque no sepas lo que dices, tú repite muchas veces estas palabras y quedas como un experto 😀 ):
- “El merchant”
así se llama a los comercios, que son los que contratan la pasarela de pago a un banco o PSP. Nadie dice comercio, todo el mundo dice “los merchant”. - Los PSP (Proveedor de Servicios de Pago)
son empresas de reciente aparición en España. Se interponen entre el comercio y el banco aportando servicios de valor añadido. Más adelante lo comentaremos. - Scoring:
Por lo visto en las empresas con recursos es lo primero que se hace al recibir una petición de servicio o compra. Mediante un automatismo informático o de forma manual (por personas) hay que tratar de determinar el riesgo de esa operación: cuando un cliente o potencial cliente solicita una operación, “se puntua” su riesgo. Si el scoring es bajo (por debajo de un umbral que hayamos definido) la operación se rechaza. Si el cliente u operación saca una puntuación de scoring por encima del umbral, se acepta la operación. Para hacer un scoring o análisis de riesgos podemos contratar a terceros que nos ofrezcan este servicio o bien montarnos nosotros mismos un sistema informático que lo haga. Este sistema informático ganaría en eficacia conforme aumentase el volumen de datos memorizados. A partir de análisis medios de operaciones, histórico de compras del cliente, forma de pago y otros datos complementarios podríamos hacer una ponderación y obtener una puntuación de riesgo para cada operación (voy pensando sobre la marcha…). Al principio podría no ser demasiado fiable, pero como todo sistema de umbrales, a base de ajustes a partir de la experiencia, podría ser bastante fiable al cabo de unas cientos de operaciones.
No sé si la práctica habitual es incluir dentro del scoring otras variables “antifraude” o se implementarían en un paso posterior, tales como la información de posible fraude en un pago con tarjeta que nos pueda facilitar nuestra entidad bancaria o el PSP (por ejemplo, si con una misma tarjeta se ha realizado un pago en China, en Italia y ahora en España en la última hora, aunque sí que es posible hemos de admitir que es poco probable, y podría ser una alerta a tener en cuenta). Como curiosidad, enlazo a continuación un post donde Yoigo explica algo sobre su scoring: Yoigo explica en facebook su política de scoring. - Chargebacks:
En el caso de los pagos con tarjeta de crédito se llama así al hecho de que el comprador del servicio o la mercancia devuelva el cargo en su tarjeta por alguna disconformidad (o porque es un pequeño estafador que no quiere pagar). El proceso de chargebacks comienza con una reclamación del comprador/cliente a su banco (al banco al que pertence la tarjeta con la que el comprador ha pagado la operación). El banco emisor de la tarjeta contacta con la empresa que ha procesado el pago (es la empresa que gestiona los pagos del merchant (¿ehhhh?, como piloto ya, que he dicho merchant!! 😛 ), que puede ser un PSP o el banco/pasarela de pagos del banco). En el momento de recibir la reclamación de chargebacks, la gente de nuestra pasarela contactará con nosotros para que le aportemos documentación y poder defender la operación frente al banco emisor de la tarjeta (parte compradora). En este post Jon Valencia explica un poco más en detalle: http://ovalencia.com/que-es-chargeback-o-contracargo/ - 3D Secure:
Es un método de seguridad añadida a la hora de realizar/recibir el pago. Lo debe ofrecer como servicio la pasarela de pago o PSP que haya contratado el merchant para su tienda. La explicación práctica es la siguiente: si recordáis, cuando habéis hecho pagos por internet, algunas veces habéis metido el número de tarjeta, la fecha de caducidad, el CVV/CV2 (que es otro método de seguridad) y habéis realizado el pago, sin necesidad de nada más. Otras veces, sin embargo, cuando estáis realizando el pago la página os remite a la página de vuestro banco. En la página de vuestro banco, tenéis que teclear una contraseña que solo vosotros sabéis, o bien un código de una tarjeta de coordenadas o bien os manda un SMS al móvil con un código para poner en la web y verificar que sois vosotros los que estáis realizando el pago.
En estos segundos casos, cuando al realizar el pago se os remite a la web de vuestro banco, es cuando el comercio o merchant está usando 3D Secure.
Podríamos pensar que esto es una maravilla y que si tenemos un comercio lo deberíamos usar siempre. Estaríamos en un error si pensamos esto. Las estadísticas de compra en los comercios online arrojan que cuando se usa 3D Secure la tasa de conversión (cuántas compras se realizan al final) disminuye respecto a cuando no se usa. Hay gente (clientes) que tiene la tarjeta de crédito pero no la tiene activada con esta opción: esa compra la perderíamos.
Al parecer, la práctica común de mercado (y recomendación) es usar 3D Secure en operaciones de cierto riesgo, por el montante de la operación, por scoring o por alguna otra razón; al final, el análisis de los históricos de pago nos dirá dónde poner el umbral para usar 3D Secure o no usarlo (también dependerá del producto que vendamos; es posible que queramos usarlo siempre… cada negocio tendrá su estrategia). - PCI DSS:
Es el estandar de seguridad que han de seguir las empresas de la industria del pago. Hay que hacer notar que el comercio en ningún momento obtiene datos de la transacción, como el número de tarjeta del cliente, la fecha de caducidad o cualquier otro dato de la tarjeta. En el momento que se va a realizar el pago, se abre una conexión con el PSP o el banco y los datos del cliente van directamente a la pasarela de pago, sin pasar por el comercio. Si el comercio decidiese quedarse con datos de la transacción, debería cumplir el PCI DSS (algo faraónico por las medidas de seguridad con las que hay que dotar los sistemas). Más info sobre estas normas en wikipedia ES: http://es.wikipedia.org/wiki/PCI_DSS - Sistema de tokenización (de token):
Por lo que pude entender se llama así al sistema que usa paypal, o itunes, o google play… es decir, cuando metemos nuestros datos de tarjeta una sola vez, son almacenados por la entidad que corresponda y las veces siguientes para realizar el pago (desde el punto de vista del cliente), tan solo nos autentificamos con un usuario y una contraseña y se realiza la transacción.
Desde el punto de vista ahora del comprador, creo que se usará esto cuando estamos dados de alta en un servicio con pago mensual y el cargo nos lo pasan por la tarjeta de crédito (pienso en algún caso personal mio como los servicios del proveedor tecnológico OVH, que lo hace así, o los cargos que hace Google Adwords en la tarjeta de crédito, también de forma mensual).
Tras ver todos estos términos, comentaré algunos conceptos que me parecieron interesantes.
¿Por qué los bancos se metieron en esto de crear pasarelas de pago?
Me pareció bastante interesante el punto de vista de Jordi Pascual, Director de eCommerce Banc Sabadell.
Hablo ahora desde el punto de vista del merchant. Si observamos, no todos los bancos ofrecen entre sus servicios el TPV virtual; hay algunas entidades que lo llevan ofreciendo desde hace algún lustro (recuerdo La Caixa y Cajamar) y otras comenzaron hace poco o no lo ofrecen.
Jordi Pascual comentaba que en realidad, en su división de negocio son “tecnológicos”; ellos no saben nada de hipotecas, de préstamos… básicamente, son informáticos. ¿Y por qué un banco tiene que ofrecer servicios tecnológicos?. En opinión de Jordi Pascual, en otros paises cuando apareció la necesidad de los pagos online rápidamente surgieron los PSP, las empresas intermediarias, que fueron las que se encargaron de montar las pasarelas de pago y de estar entre los comercios y los bancos. En España, esto no fue así. El mercado tuvo la necesidad de “pasarelas de pago” pero esa demanda no fue cubierta por empresas de servicios del tipo PSP, por lo que los bancos “fueron obligados” a crear departamentos especiales para satisfacer esta demanda.
Ahora, los bancos que comenzaron con esto tienen este tema más que trillado. Poner el TPV es tan fácil como ir a tu oficina cercana, solicitarlo, pasar el control de crédito (al final, que te den un TPV es un crédito, igual que cuando vas a pasar recibos por CSB19) y contactar con el departamento técnico del banco. Tienen guias, plugins para los sistemas comerciales más habituales (magento, os-commerce, prestashop)… en definitiva, que ya queda poco por descubrir y está todo bastante mascadito. Aquí está la zona de ecommerce del Banco Sabadell: https://www.bancsabadell.com/ecommerce
¿Qué bancos estuvieron en la presentación?
Hicieron presentación de sus servicios de TPV Virtual: La Caixa (a través de Comercial Global Payments), CatalunyaCaixa y Banc Sabadell. Los tres ofrecían servicios similares y la sensación de seguridad y control sobre el servicio fue muy buena en todos los casos. Tendría que entrar al detalle de las features para tomar una decisión sobre cuál elegir.
Métodos de pago en España y en el resto del mundo:
En España, en comercio online, el pago con tarjeta es el usado en más de un 70% de operaciones. Que esto sea así en España, no quiere decir que sea un reflejo de lo que ocurre en otros países. Hay países donde los métodos de pago son locales y el pago con tarjeta de crédito puede representar menos del 5%. Si vamos a comercializar en otros países deberemos tenerlo muy en cuenta y contratar un PSP o pasarela de pago que tenga acuerdo con proveedores de pago locales en aquellos países donde vayamos a comercializar.
¿Con qué tarjetas se puede pagar en tu pasarela de pago?
No todas las pasarelas de pago admiten todas las tarjetas que hay en el mercado. Esto deberemos tenerlo en cuenta a la hora de decidir la pasarela para nuestro comercio. Por ejemplo, la de Sabadell, admite todas las tarjetas de crédito y debito de las marcas Visa y Mastercard. Dice el folleto comercial de Sabadell: “En el caso de que desee aumentar [..] también puede compatibilizar su TPV Virtual con tarjetas de Amex y Diners, pero en este caso deberá formalizar un contrato privado entre su comercio y dichas marcas”.
Si decidimos trabajar con un PSP, probablemente el abanico de tarjetas y otros medios de pago del que dispongamos sea mucho mayor. Creo recordar que La Caixa contaba con bastantes marcas de tarjetas más.
Otros servicios que ofrecen las pasarelas de pago de los bancos
El uso más conocido del TPV Virtual es el pago de un bien o servicio pero son varios los servicios adicionales que normalmente se ofrecen, a saber:
- Autorizaciones: Se trata de la operativa más habitual. El TPV Virtual solicita la autorización para realizar el cargo al titular de la tarjeta utilizada.
- Preautorizaciones: Se utiliza cuando se desconoce el importe exacto o, simplemente, se desa reservar un importe a la espera de la una confirmación posterior. Solo tiene una validez de 7 días. Hasta que no se da la confirmación, al titular de la tarjeta no se le carga el importe pero sí que se le retiene, de modo que el comercio siempre tiene la seguridad de poder cobrarlo.
- Autenticaciones: Se trata de un tipo de operación muy similar a la preautorización. La diferencia es que en lugar de retener el importe a la espera de la confirmación, solo se valida la identidad del titular.
- Devoluciones: Se da cuando un comercio quiere retornar al cliente, total o parcialmente, un importe ya cobrado. El TPV Virtual busca la operación inicial y la devuelve, de modo que el titular de la tarjeta recibe un abono.
- Pago de suscripciones y pagos exprés (lo que comentábamos de la “tokenización”): Permite al comercio fidelizar y mejorar la experiencia de compra de sus clientes evitando que tengan que introducir los datos de la tarjeta al realizar cada operación. Con esta funcionalidad, el cliente del comercio únicamente introduce los datos la primera vez que realiza una compra. Los datos se almacenan en la propia pasarela de pago para futuras compras (en el caso de Banco Sabadell máximo 1 año o 99 operaciones), cumpliendo con todos los requisitos de seguridad y normativas vigentes.
(estos servicios los he extraido del documento comercial de Banco Sabadell, pero los servicios son similares en el resto de pasarelas de pago).
Además, la mayoría de las pasarelas ofrecen la conversión de divisas. Por ejemplo, no tenemos porqué tener en nuestra tienda los precios de los productos en 10 divisas distintas si no queremos. La pasarela de pago en el momento que el cliente (comprador) introduce su número de tarjeta, identifica que es de otro país y le pregunta si desea pagar en su moneda local o desea pagar en euros (si la tienda la tenemos en euros). Si vamos a vender en el extranjero, es algo que debemos contemplar.
Es interesante que el entorno de la pasarela sea multidispositivo. Es posible que nuestra tienda “esté movilizada o no”, pero es interesante que cuando el cliente va a realizar el pago, al conectar con la pasarela, el entorno esté adaptado a tablet, móvil o smartphone (las pasarelas de los tres bancos que vimos, estaban adaptadas).
También interesante que la página donde el cliente/comprador ingresa para meter los datos de su tarjeta pueda ser “tuneada” con la imagen de nuestra tienda (esta característica la ofrecía CatalunyaCaixa), aunque tampoco lo considero estrictamente necesario ya que el usuario está ya habituado a saltar a una pasarela para realizar el pago.
La pasarela debería poder permitir al comercio elegir qué operaciones hace con 3D Secure y qué operaciones no (permitir ambos sistemas on demand).
Informe de Fraudes
Creo que las tres plataformas presentadas (si no las tres, al menos recuerdo que la de Sabadell si lo daban), mandaban un fichero diario con las operaciones realizadas. Entre la información facilitada en la operación, está el potencial fraude de la transacción.
Los bancos cuentan con información sobre las tarjetas y las “marcan” como posiblemente fraudulentes (lo que comentábamos más arriba, si una tarjeta ha realizado un pago en China, otro pago en Estados Unidos y otro en Polonia en 15 minutos, es posible que esté “pinchada” y sea un fraude).
Si tenemos en marcha un sistema de scoring o unos mínimos mecanismos de control de fraude, deberíamos exigir esta información a nuestra pasarela de pago.
Los PSPs
Entre los proveedores de servicios de pagos que se presentaron comento Sage Pay (aquí puedes ver más info about). Los PSPs, como comentamos arriba, están entre el comercio y los bancos ofreciendo una serie de servicios de valor añadido. Por ejemplo, pueden tener conexiones con pasarelas de varios bancos, redundancia, más acuerdos con redes internacionales, más soporte en herramientas antifraude. No hay que olvidar que el negocio principal de los PSP es este, por lo que deben ser muy buenos en esto. Los precios/comisiones serán más caros que los de la pasarela de un banco, pero también ofrence más servicios. Los PSP se encontrarían donde indica la imagen de abajo:
Y bueno, ya no me queda más tiempo para escribir. Quede aquí esta info como apuntes de una agradable jornada (y gracias a Confianza Online por pagar mi inscripción, muy majetes ellos 🙂 ).
Abrazas y abrazos,
aabrilru en twitter
Muy buen articulo, resume perfectamente a lo que nos dedicamos en Aztive:
Estamos especializados en métodos de pago.
Aztive ofrece 8 formas de pago adicionales en una sola integración: SMS, línea 905, paysafecard, tarjeta bancaria (crédito, debito y recurrencia), direct billing, moneda virtual y Paypal.
El comercio ha de poder despreocuparse de cada uno de los métodos de pago y poder dedicarse a mejorar su prestación de servicios al usuario final, siendo AztivePay quien se encargue de todo el proceso, desde el momento del “checkout” hasta la aceptación de cobro.
Todo mediante una API “plug and play” que se puede personalizar a elección del comercio.