Transações não autorizadas: como evitar fraudes com cartões de crédito e débito

As transações não autorizadas são geralmente tratadas como casos isolados de fraude. Na prática, elas são o resultado de uma cadeia de falhas que se desenrola ao longo do tempo. A conta de um cliente é comprometida, um método de pagamento da loja é utilizado e o pedido é processado normalmente. A contestação surge posteriormente.

Se você está tentando entender o que é uma transação fraudulenta, é útil olhar além da transação em si. As transações não autorizadas não são o ponto de partida. Elas são o resultado.

O que é uma transação não autorizada?

An unauthorized transaction is any payment made without the cardholder’s knowledge or consent. This can include stolen credit card transactions, unauthorized transactions on debit cards, or purchases made through compromised customer accounts.

In simple terms, an unauthorized transaction means a payment was processed without the cardholder’s approval, even if the system treated it as valid.

Os comerciantes costumam presumir que o cartão foi roubado quando pesquisam por “o que é uma transação fraudulenta” ou “significado de transação fraudulenta”. Mas isso é apenas parte do quadro.

Em muitos casos, a transação é tecnicamente válida: a conta correta é utilizada, o método de pagamento é legítimo e o sistema identifica um cliente recorrente, e é exatamente por isso que essas transações passam pelas verificações padrão contra fraudes sem serem sinalizadas.

A questão é a autorização. O cliente não aprovou a transação, mesmo que o sistema o tenha feito.

Como ocorrem transações não autorizadas

As transações não autorizadas não ocorrem aleatoriamente. Elas seguem padrões previsíveis.

O mais comum é a invasão de contas. Um fraudador obtém acesso à conta de um cliente usando credenciais vazadas ou reutilizadas. Uma vez dentro, ele pode usar métodos de pagamento armazenados, alterar os dados da conta e fazer pedidos sem levantar suspeitas. Tudo parece normal porque o sistema confia na sessão. Essa confiança elimina o atrito para o cliente, mas também elimina o atrito para o invasor.

Em um cenário comum, a conta de um cliente recorrente é acessada por meio de credenciais reutilizadas. O fraudador faz login, altera o endereço de entrega e faz um pedido usando um cartão cadastrado. Do ponto de vista do sistema, nada parece fora do normal. A contestação só surge mais tarde.

Outras opções incluem:

• Dados de cartão roubados, nos quais os dados do cartão são utilizados diretamente, sem acesso a uma conta. 
• Phishing e engenharia social, em que os clientes fornecem, sem saber, informações de login ou de pagamento.‍
• Vazamentos de dados e reutilização de credenciais, em que credenciais expostas em outros locais são reutilizadas em várias contas.

Em cada caso, a transação em si é a etapa final, e não o problema inicial. 

Causas comuns de transações não autorizadas

As transações não autorizadas são causadas por uma combinação de comportamentos inadequados e falhas no sistema. 

Os clientes reutilizam senhas em vários sites, o que facilita o comprometimento das contas. Os métodos de pagamento salvos facilitam a vida dos clientes, mas também facilitam a vida dos invasores. Uma vez concedido o acesso, muitos sistemas deixam de avaliar os riscos, e a visibilidade limitada entre as sessões torna mais difícil detectar padrões de abuso.

A maioria das fraudes ocorre ao longo do tempo. Ela se manifesta como uma sequência. Quando os sistemas avaliam os eventos isoladamente, deixam de perceber como essas ações se relacionam.

A dependência excessiva de ferramentas contra fraudes no checkout deixa lacunas, pois a maioria dos sistemas se concentra em cartões roubados, e não em contas comprometidas.

Esses não são casos isolados. São problemas estruturais.

Como detectar transações não autorizadas antecipadamente

Transações não autorizadas raramente são casos isolados. Elas seguem padrões, e a detecção depende do reconhecimento precoce desses padrões, antes que se transformem em transações concluídas.

A detecção depende do reconhecimento precoce desses padrões. 

Os principais sinais incluem:

• Comportamento de compra incomum: pedidos que não correspondem ao valor, à categoria ou à frequência habituais do cliente. 
• Novo dispositivo seguido de atividade: um login feito a partir de um dispositivo não reconhecido, seguido de alterações na conta ou de uma transação. 
• Sequências de ação rápidas: Login → alteração de conta → compra em um curto espaço de tempo. 
• Inconsistência entre o comportamento e o histórico: atividade que não se alinha à forma como o cliente costuma interagir. 

Nenhum sinal isolado confirma a fraude, mas os padrões sim. O risco aumenta quando vários sinais aparecem na mesma sessão ou em atividades relacionadas. 

Por exemplo, um cliente faz login a partir de um novo dispositivo, altera seu endereço de entrega e faz um pedido de alto valor em poucos minutos. Cada ação, por si só, pode parecer normal. Juntas, elas indicam um risco elevado.

Como evitar transações não autorizadas

Para evitar transações não autorizadas, é necessário controlar os riscos ao longo de todo o ciclo de vida. A maioria dos comerciantes investe excessivamente no bloqueio de pagamentos suspeitos e investe insuficientemente no monitoramento de sessões confiáveis. 

O risco de transações não autorizadas abrange várias etapas, não apenas o momento do pagamento.

Antes de fazer login: reduza a exposição

Limite as tentativas automáticas de login, utilize proteção contra bots e incentive práticas mais rigorosas de gerenciamento de credenciais para reduzir o volume de ataques antes que eles comecem. Essas medidas reduzem o volume de ataques, mas não eliminam o risco.

Durante o login: avaliar o risco

Aplique a autenticação baseada em risco avaliando sinais relacionados ao dispositivo, à localização e ao comportamento, e acione a verificação reforçada somente quando esses sinais indicarem um risco elevado. Acompanhe a consistência do dispositivo e da sessão para identificar anomalias antecipadamente. 

O objetivo não é bloquear totalmente o acesso. É questionar o acesso quando algo não estiver de acordo.

Após o login: monitorar o comportamento

É nesta fase que ocorre a maioria das transações não autorizadas.

Uma vez concedido o acesso, a sessão é considerada confiável. A partir desse momento, a fraude não se resume mais à validação do pagamento. Torna-se um problema comportamental.

Monitore alterações nas contas, acompanhe o comportamento das transações e implemente verificações para ações sensíveis. Relacione o comportamento entre sessões, pois a fraude raramente ocorre isoladamente. Ela segue uma sequência.

Muitas vezes, o comerciante tem um login bem-sucedido, uma transação concluída e uma confirmação de entrega, mas nenhuma prova clara de que o titular do cartão realmente autorizou a compra. Esses são os casos que, na maioria das vezes, resultam em disputas perdidas.

O que fazer quando ocorre uma transação fraudulenta

When an unauthorized transaction happens, control shifts away from the merchant. From the customer’s side, this usually starts with reporting an unauthorized transaction to their bank, which triggers the investigation and dispute process.

O cliente comunica a cobrança, e o banco emissor assume a investigação. A partir daí, o resultado depende menos da transação em si e mais da forma como ela é interpretada.

Para os comerciantes, o caso geralmente se transforma em uma disputa. Os fundos são retirados, é solicitada uma estorno, e recai sobre o comerciante o ônus de provar que a transação foi autorizada.

É aí que o desafio fica claro.

Mesmo quando a transação parece legítima, a conta pode estar válida, o método de pagamento pode estar cadastrado e o pedido pode ter sido atendido, muitas vezes não há prova definitiva de que o próprio cliente tenha aprovado a compra.

O reembolso antecipado da transação pode, em alguns casos, evitar um estorno, mas apenas antes de a contestação ser apresentada. Uma vez que a contestação chega ao emissor, a decisão já não está mais nas mãos do comerciante.

Transações não autorizadas e estornos

As transações não autorizadas geralmente não causam problemas imediatos. O impacto só se manifesta mais tarde, quando o cliente percebe a cobrança. 

‍

Na maioria dos casos, o processo é simples. A transação é concluída, o pedido é atendido e só depois o cliente contesta a cobrança e abre uma reclamação.

Nesse momento, a transação entra no processo de estorno, e a forma como é avaliada muda. 

Do ponto de vista do sistema, tudo parece estar correto. A conta é real, o meio de pagamento está cadastrado e a transação foi autorizada com sucesso.

Do ponto de vista do emissor, a situação é mais simples: o titular do cartão nega a cobrança.

É aí que surge a discrepância. O sistema valida a transação, mas é o emissor que avalia o resultado.

O que parece ser uma transação legítima internamente é tratado como não autorizado externamente. Sem provas claras que liguem o titular do cartão à compra, essas disputas são difíceis de resolver por meio de contestação de estorno. 

Para os comerciantes, o resultado é sempre o mesmo. Eles perdem receita após o atendimento do pedido, a contestação afeta os índices de estorno e gastam tempo respondendo a casos com baixa probabilidade de recuperação.

A falha não ocorre na fase final do processo. Ela ocorre antes, quando o acesso é concedido sem o controle necessário.

Prevenir transações não autorizadas é mais eficaz do que tentar recuperá-las posteriormente. Os comerciantes que monitoram o comportamento ao longo de todo o ciclo de vida reduzem as disputas antes que elas ocorram e evitam perdas irrecuperáveis.

Resumo

As transações não autorizadas não falham no momento do pagamento. Elas falham antes, quando o acesso é concedido sem o devido controle. O impacto se manifesta posteriormente na forma de contestações e estornos.

Se você já está lidando com disputas relacionadas a fraudes, a verdadeira questão não é como elas ocorrem. É como elas são tratadas quando se transformam em prejuízos.

Veja como o Chargeflow ajuda os comerciantes a recuperar receitas de transações não autorizadas e a automatizar o tratamento de estornos.