Equilibrando la seguridad y la conveniencia

La migración a tarjetas con chip y terminales de punto de venta con chip en los Estados Unidos ha ayudado a mitigar el riesgo de fraude para los titulares de tarjetas, comerciantes y emisores bancarios. 

A finales de 2021, más del 82 % de las transacciones con tarjeta presente en los Estados Unidos se realizaron con la tecnología con chip en comparación con el 73 % del año anterior. La demanda de transacciones sin contacto también está impulsando el incremento de la adopción de la tecnología con chip, y se prevé que en los Estados Unidos haya un crecimiento del 300 % en el número de transacciones sin contacto en los próximos cinco años.  Visa ha reportado una disminución de más del 87 % en el fraude con tarjetas falsificadas desde que se adoptó la tecnología EMV. 

Sin embargo, el fraude ha migrado a canales menos protegidos. Los estafadores son conscientes de que ya no pueden falsificar tarjetas físicas y usarlas en un entorno de chip. A medida que el entorno en línea está menos protegido, el fraude sin tarjeta sigue aumentando.*

Creación del equilibrio

Para los bancos, los aspectos más desafiantes de la lucha contra el fraude pueden ser protecciones ajustadas constantemente basadas en esquemas emergentes y equilibrar la necesidad de una buena experiencia del titular de la tarjeta con la estrategia de protección adecuada.

Si las estrategias de fraude son demasiado estrictas, podrían rechazarse transacciones más legítimas. Por otro lado, si las protecciones son demasiado flexibles, es menos probable que se identifiquen y mitiguen las transacciones fraudulentas.

Al centrarse en identificar y disputar diligentemente el fraude cuando ocurre, aprovechar los productos bancarios que ayudan a mitigar el impacto del fraude y emplear las mejores prácticas en la administración de tu programa de tarjeta, puedes reducir la incidencia de fraude, aumentar tu seguridad y minimizar las molestias a tu compañía.

Los riesgos de hoy

Existen varias maneras en que PNC ve el fraude en los programas de tarjetas comerciales. Estos son esquemas externos. Pero ten en cuenta que el fraude de los empleados también puede ocurrir.

Filtraciones de datos. Aunque el fraude por falsificación con transacciones con tarjetas presentes ha disminuido, las filtraciones de datos en los comerciantes aún ocurren. Los criminales están robando datos y luego vendiendo la información de la cuenta de la tarjeta a otros estafadores que luego pueden crear tarjetas falsificadas e intentar usarlas en los terminales de los puntos de venta de los comerciantes o en línea.

Situaciones de autorización fallida. El fraude por falsificación aún puede ocurrir cuando los comerciantes no tienen terminales que acepten chip, o cuando una tarjeta con chip no se ejecuta como una transacción “chip-on-chip”, incluso si el comerciante tiene un terminal con chip. La palabra de la industria para eso es "fall-back" (plan b), lo que significa que el comerciante podría ejecutar la transacción usando la banda magnética si hay un problema percibido con el chip. Pero podría ser que el chip sea falso y que un estafador haya intentado crear una tarjeta falsificada.  

La actividad de autorización fallida fue más frecuente cuando la tecnología de chips EMV se introdujo por primera vez en el mercado de los EE. UU. y se espera que disminuya a medida que el mercado de los EE. UU. madure porque los empleados de los comerciantes tienen más experiencia con la tecnología y es más probable que los emisores bancarios creen estrategias que marquen transacciones de banda magnética con un chip de plástico como posible fraude. Las redes de tarjetas ahora evalúan los cargos por autorización fallida de los comerciantes que tienen transacciones con autorización fallida que superan cierto nivel. Esto sirve para desalentar esta práctica para que se puedan lograr los beneficios de reducción de fraude del chip. La industria está avanzando hacia la eliminación futura de la banda magnética del reverso de las tarjetas, lo que obligará a los comerciantes a invertir en terminales habilitadas para chip para poder aceptar tarjetas o formas de pago tokenizadas.

Al mismo tiempo, los ladrones de datos están teniendo más éxito al intentar usar datos de tarjetas robadas para transacciones en línea que en el punto de venta.

Las tarjetas extraviadas y robadas representan un volumen menor que los escenarios de falsificación. Un chip y una tarjeta con PIN pueden ayudar a prevenir el fraude por perdida y por robo porque un mal actor que obtuvo una tarjeta perdida no podría usar la tarjeta porque no sabrían el PIN. Chip y firma y chip y PIN son dos variedades de tarjeta EMV. Ambos tienen el beneficio del algoritmo criptográfico en el chip que es único para cada transacción y ha llevado a la disminución del fraude con tarjeta presente. Muchos piensan que no vale la pena la complicación adicional de que los titulares de tarjetas tengan que recordar su PIN solo para obtener el beneficio de prevenir el fraude por perdida o por robo.

El fraude de toma de control de cuentas es una forma de robo de identidad que afecta a la industria de tarjetas comerciales, así como a las tarjetas de consumo. En un esquema reciente, un grupo de estafadores obtuvo el número de cuenta corporativa del titular de la tarjeta en la web oscura. El estafador conocía el banco emisor y el número de servicio al cliente del titular de la tarjeta. Con esa información, el estafador llamó al número de servicio al cliente, haciéndose pasar por el titular de la tarjeta. Dependiendo de si se necesita autenticación adicional, un estafador podría tomar medidas en la cuenta a través del representante del centro de llamadas, como quitar una retención por fraude o cambiar una dirección.

Algunos estafadores están profundizando aún más, al obtener el nombre del administrador del programa y luego hacerse pasar por esa persona. Si logran adivinar el código de seguridad del administrador, pueden hacer aún más daño, por ejemplo, al cambiar un límite de crédito en una cuenta o agregar la funcionalidad de anticipo de dinero en efectivo. 

Apoyo de la industria para minimizar las tarjetas de fraude

Los emisores de tarjetas y las marcas de la red reconocen los impactos que el fraude puede tener en la industria: pérdida de confianza del titular de la tarjeta, inconveniencia de transacciones rechazadas y reemisiones de tarjetas, y pérdidas financieras. La industria invierte en tecnología para ayudar a reducir la incidencia y los inconvenientes del fraude.

Los emisores de tarjetas emplean redes neuronales inteligentes y una combinación de herramientas para ayudar a detectar posibles fraudes. Los emisores constantemente ajustan las estrategias de fraude para identificar las transacciones verdaderamente fraudulentas al tiempo que permiten autorizar las legítimas. Una estrategia de fraude estricta podría disminuir el riesgo de manera más efectiva, pero también puede dar lugar a que se rechacen transacciones legítimas. Por otro lado, una estrategia más relajada maximiza la autorización, pero puede dejar pasar transacciones fraudulentas. Los emisores intentan alcanzar el equilibrio correcto.

Qué esperar de tu banco

Además de los procesos y herramientas utilizados para detectar el fraude, la industria continúa desarrollando productos y soluciones que pueden ayudar a minimizar las instancias y el impacto del fraude. Tu banco también debe ofrecer productos y servicios integrales de mitigación de fraude como estos:

• Visa IntelliLink Compliance Auditor puede ayudar a las compañías a detectar el fraude o uso indebido por parte de los empleados. La aplicación permite a la compañía establecer reglas que reflejen su propia política de gastos para que puedan identificar la actividad que ha ocurrido en contra de esa política y luego gestionarla después del hecho.
• Tokenización es un desarrollo de la industria que reemplaza el número de cuenta principal (PAN) con un valor simbólico que cambia con cada transacción. El PAN nunca se almacena en un sistema de punto de venta comercial, y el valor del token cambia con cada transacción, por lo que los datos comprometidos no tienen valor al intentar crear una transacción falsificada. La tokenización se puede aplicar a billeteras digitales, como Apple Pay®, transacciones sin contacto “tap-and-go” y otras transacciones con tarjeta virtual.
• Las cuentas de un solo uso o las cuentas virtuales también pueden ayudar a reducir el fraude, ya que solo son válidas para una transacción. Se pueden usar al realizar pagos posteriores a la factura en un programa de tarjeta de cuentas por pagar y también para viajar. Pueden ser una buena solución para realizar compras en aerolíneas, reservar estadías en hoteles y otros tipos de cargos. El titular de la tarjeta no necesita usar un número de tarjeta física para liquidar esa transacción.
• Alertas de fraude por mensaje de texto. Los titulares de tarjetas pueden inscribirse para recibir alertas de texto cuando se haya identificado una transacción potencialmente fraudulenta en su cuenta. Esto permite al titular de la tarjeta verificar la transacción lo más rápido posible y resolver el problema para evitar que se rechacen transacciones futuras.

Además de los procesos y herramientas utilizados para detectar el fraude, la industria continúa desarrollando productos y soluciones que pueden ayudar a minimizar las instancias y el impacto del fraude. 

Una lista de verificación de consideraciones para tu organización

Asegúrate de proteger a tu compañía siguiendo las mejores prácticas comprobadas, monitoreando diligentemente las cuentas para detectar actividades fraudulentas e informando a tu banco de manera oportuna para aumentar la probabilidad de recuperar fondos. Algunas de estas mejores prácticas pueden ser obvias, pero forman una buena lista de verificación para tus esfuerzos internos de mitigación contra el fraude

• Aprovecha los controles disponibles en tu plataforma tecnológica de tarjetas. Por ejemplo:
  • Límites de crédito: evita poner más fondos disponibles en una cuenta de los necesarios para respaldar a ese titular de tarjeta. Asegúrate de que cualquier aumento de límite temporal que sea necesario vuelva a los niveles normales de forma rápida y automática.
  • Código MCC y restricciones de volumen: usa los códigos MCC para restringir el tipo de actividad que puede ocurrir en una cuenta y establecer límites en el tamaño de la transacción o el número de transacciones diarias o el monto que puede ocurrir en la cuenta. Esta estrategia puede ayudar a detener a un estafador que tiene en sus manos un número de cuenta y está tratando de causar la mayor cantidad de estragos posible.
• Utiliza una cuenta de viaje central o un programa de viaje virtual para minimizar el límite de crédito en las cuentas individuales de los titulares de las tarjetas. Grandes gastos en dólares, como pasajes aéreos y hoteles, se facturan a una cuenta central con estas soluciones.
• Cierra las cuentas que no se utilizan. Almacena las tarjetas activas de forma segura. Y evita que el administrador del programa active las tarjetas en nombre del titular de la tarjeta.
• No escribas el PIN en la tarjeta. Si usas tarjetas con chip y PIN, mantén el PIN seguro y cambia el PIN llamando al número que figura en el reverso de la tarjeta si crees que el PIN puede haber sido comprometido.
• Verifica la identidad de las personas que llaman a los administradores del programa. Los estafadores pueden hacer ingeniería social para descubrir los nombres de los administradores. El estafador puede llamar al administrador y solicitar un recordatorio de su código de seguridad. Al procesar una solicitud por teléfono, los administradores deben verificar la identidad del titular de la tarjeta.
• Evita usar códigos simples como código de seguridad que puedan ser adivinados fácilmente, por ejemplo, 1111 o dígitos secuenciales. También evita usar información personal que esté disponible públicamente. Si el estafador conoce tu nombre y puede descubrir tu fecha de nacimiento, por ejemplo, o los últimos cuatro dígitos de tu SSN, puede hacerse pasar por ti.
• No uses un código de seguridad común para todos los titulares de tarjetas. Proporciona a cada titular de la tarjeta un código único y, si es posible, evita el uso de información personal.
• No uses el mismo número de tarjeta para varios empleados. Las transacciones podrían rechazarse si los números de tarjeta se usan al mismo tiempo en dos ubicaciones diferentes. Aún más importante, si hay una transacción fraudulenta, no se puede saber quién realizó la transacción si varias personas están usando la misma cuenta.
• Implementa una política de uso y comunícala en tu organización. Monitorea y actualiza la política regularmente para los titulares de tarjetas para que puedas reportar el fraude de manera oportuna.
• Inscríbete en el programa de exención de responsabilidad de tu proveedor y sigue los protocolos requeridos. Si se produce un fraude interno en la cuenta, tener un acuerdo del titular de tarjeta y despedir al infractor del fraude puede ser muy efectivo para limitar tu riesgo.

Listos para ayudar

PNC se enfoca en ayudarte a equilibrar la reducción del fraude con la experiencia del titular de la tarjeta y, a menudo, puede trabajar contigo para ayudarte a desarrollar estrategias contra el fraude para tu situación específica. Para obtener más información, comunícate con tu funcionario de administración de tesorería o visita pnc.com/treasury.