Fraud & chargeback prevencia pri daroch
Prečo je prevencia podvodov a chargebackov v darovaní špecifická
Charitné dary, petície a lead-gen kampane majú iné rizikové profily než e-commerce. Útočníci využívajú card testing (testovanie ukradnutých kariet na malých sumách), anonymitu nízkych darov a pozitívny brand sentiment, zatiaľ čo „friendly fraud“ (donor tvrdí, že platbu nepozná) zvyšuje mieru chargebackov. Zároveň nechceme poškodiť konverzie pre poctivých darcov. Cieľom je nájsť rovnováhu medzi ochranou a bezproblémovým UX – a mať pripravený proces, dáta a dôkazy pre spor so schémami kariet.
Typológia rizík: čo hrozí neziskovým platbám
- Card testing/carding: Boti skúšajú stovky kariet malými sumami (1–5 €) alebo nulovými autorizáciami.
- Friendly fraud: Darca zabudol, nerozpoznal výpis, rodinný člen daroval bez vedomia držiteľa.
- Account takeover: Prevzatie donorskych účtov a zmena uloženého tokenu platby.
- Refund fraud: Útočník žiada refund na inú kartu alebo kanál.
- Opakované pokusy/velocity: Krátky čas medzi pokusmi, rotácia kariet a zariadení.
- Pranie špinavých peňazí a sankčné riziká: Vysoké/medzinárodné dary, politicky exponované osoby, sankčné zoznamy.
Signály podvodu: čo sledovať v reálnom čase
- Technické: Mismatch IP vs. fakturačná krajina, anonymizéry (TOR/VPN), neobvyklé UA/hlavičky, chýbajúci JavaScript a cookies.
- Behaviorálne: Extrémne rýchle vyplnenie, sériové zmeny polí, cyklenie BIN rozsahov, rovnaký device fingerprint.
- Transakčné: Viac neúspešných pokusov v minútach, rovnaký e-mail iné karty, rovnaká karta iné e-maily, neštandardné množiny centov (napr. 1,01 €, 1,02 €…).
- Obsahové: Dočasné e-maily, neexistujúce telefónne prefixy, generické mená + náhodné čísla.
Platobné kontroly: základná výbava
- AVS a CVV/CVC: Overenie adresy (kde dostupné) a bezpečnostného kódu – odmietnite „No Match“ kombinácie.
- 3-D Secure 2 (SCA): Dynamicky vyžadujte silné overenie v EHP; použite frictionless tok pre nízke riziko.
- BIN inteligencia: Rozlíšte predplatené karty, komerčné karty, krajinu vydania; aplikujte rozdielne prahy.
- Risk scoring a pravidlá: Kombinujte pravidlá (velocity, geolokácia, e-mail reputácia) s ML skóre PSP.
- Device fingerprinting: Stabilné identifikátory (canvas, fonty, HW) spájajú pokusy naprieč účtami.
- Tokenizácia a network tokens: Minimalizácia únikov a vyššia úspešnosť opakovaných platieb.
Ochrana formulára: proti botom aj proti card testom
- Rate limiting & bursting: Obmedzte darovacie pokusy na IP/device (napr. 5/15 min; 15/24 h), exponenciálne zdržania.
- Honeypots a správanie: Skryté polia, detekcia copy-paste do čísla karty, ľudské vzory klikania.
- CAPTCHA len adaptívne: Aktivujte pri rizikovom skóre; netrestajte dobrých darcov plošne.
- Prefill a validácia: Silná klientská validácia IBAN/karty, normalizácia mena a adresy, blok známych „disposable“ domén.
Špecifiká opakovaných (recurring) darov
- Inicializácia so SCA: Získajte mandát a token; následné odbery ako MIT (merchant-initiated).
- Dunning logika: Inteligentné opakovanie platieb (retries po 1/3/7 dňoch), zmena dňa v mesiaci pri zlyhaní.
- Upomienky darcom: Včasné info o expirácii karty, jednoduché obnovenie cez bezpečný link.
Proces chargebacku: čo potrebujete mať pripravené
- Detekcia: PSP alebo banka oznámi spor (kód schémy). Spúšťajte interný playbook.
- Rozhodnutie: Ak je zjavný podvod (card testing), často je lacnejšie refundovať a zablokovať vzory.
- Representment (obhajoba): Predložte dôkazy: 3-DS dôkaz/SCA protokol, logy IP a zariadenia, časové pečiatky, súhlas s darom, komunikáciu (potvrdenie e-mailom/SMS), históriu darov, záznam o využití benefitu (napr. vstupenka na event).
- Prevencia recidívy: Aktualizujte pravidlá (velocity, blacklist), kontaktujte darcu s vysvetlením položky na výpise (názov obchodníka, e-mail podpory).
Dôkazný balíček: kontrolný zoznam
- Úplný transakčný záznam (PSP ID, čas, suma, mena, výsledok, AVS/CVV, 3-DS hodnoty, CAVV/ECI).
- Merch descriptor a podporné kanály (viditeľné na výpise a v potvrdení).
- Logy UX: IP, device, browser, referer, správanie, potvrdenia e-mailu.
- Politika refundov a T&C platná v čase daru.
- Komunikácia s darcom: potvrdenia, odpovede, ticket ID.
Právny rámec a compliance
- SCA/PSD2 (EHP): Uplatňujte výnimky (low-value, TRA, MIT) iba s adekvátnym rizikovým rámcom.
- GDPR & minimalizmus údajov: Neskladujte plné PAN; používajte tokeny PSP a šifrovanie v pokoji aj prenose.
- PCI DSS: Ak spracúvate kartové dáta mimo PSP hosťovaných polí, musíte splniť príslušný scope.
- Sankčné/AML skríningy: Pri vysokých daroch a medzinárodných prevodoch; zdokumentujte prahové hodnoty a rozhodnutia.
Organizačná pripravenosť: roly, SOP a incident response
- Roly: Vlastník rizika (finančný/fundraising ops), technický správca (platby), zákaznícka podpora.
- SOP: Playbook pre card testing (izolácia brány, dočasné zvýšenie trenia), pre chargeback (dôkazy do X dní), pre eskaláciu k PSP.
- Komunikácia: Šablóny pre donorov („ako rozpoznať položku na výpise“), FAQ a jasná cesta k refundu pri omyle.
Metodika merania rizika: prahy a metriky
- Chargeback ratio: Počet chargebackov / počet zúčtovaných transakcií (podľa schémy a mesiaca).
- Fraud-to-sale: Podiel potvrdených podvodných transakcií k úspešným.
- Authorization rate a 3-DS success: Úspešnosť autorizácií; dopad SCA na konverziu vs. fraud.
- Velocity alerts: Počet a úspešnosť blokovaných sérií pokusov.
UX bez trestania poctivých darcov
- Adaptívne trenie: Frictionless pre nízke riziko, dodatočné overenie pri vysokom skóre.
- Transparentný descriptor: Názov organizácie + web/e-mail; po darovaní pošlite PDF potvrdenie.
- Možnosť opravy: Pri neúspechu ponúknite alternatívne platby (Apple/Google Pay, SEPA), nie iba „skúste znova“.
Prevencia card testingu: technické opatrenia do 24 hodín
- Zapnite/pritvrďte rate limiting na endpointoch (autorizácie, webhooks).
- Obmedzte minimum daru (napr. 3–5 €) alebo zaokrúhlenie na celé €.
- Vyžadujte JS render a cookies na platobnej stránke (zhorší to skriptom).
- Blokujte disposable e-maily a podozrivé TLD.
- Zaveďte časové pečiatky a audit logy (IP/device) do potvrdení.
Machine learning vs. pravidlá: praktický kompromis
- ML skóre PSP využívajte ako primárny signál; vlastné pravidlá používajte ako „guardrails“.
- Spätná väzba: Označujte výsledok sporu (won/lost), aby modely učili aktuálne vzory.
- Explainability: Pri manuálnom preskúmaní majte krátky dôvod blokácie (audit a tréning tímu podpory).
Tabuľka: príklady pravidiel a odporúčané akcie
| Pravidlo | Prahová hodnota | Akcia | Poznámka |
|---|---|---|---|
| Velocity – pokusy na IP | >= 5 / 15 min | Dočasný ban 60 min, CAPTCHA | Adaptujte podľa kampane |
| Mismatch krajina IP vs. BIN | Rôzne kontinenty | Vyžadovať 3-DS/SCA | Výnimky pre roaming |
| Disposable e-mail + nízka suma | Suma < 3 € | Odmietnuť/Redirect na inú metódu | Typické pri testovaní |
| Nezvyklé centy | Sekvencie 0,01; 0,02… | Blok/Rate limit | Card testing pattern |
| Opakovaná karta, rôzne e-maily | >= 3 / 24 h | Manual review | Potenciálne zneužitie |
Komunikácia a prevencia friendly fraudu
- Descriptor a potvrdenia: Zhodný názov v e-maili, PDF a výpise.
- Pripomienky: Pri opakovaných daroch pošlite heads-up e-mail (napr. 3 dni vopred pri ročných daroch).
- Self-service centrum: Zobraziť históriu darov, možnosť zrušiť/pozastaviť, jasný kontakt na podporu.
Spolupráca s PSP a bankou
- Konfigurácia rizika: Spoločné nastavenie prahov, 3-DS politiky a monitoring alertov.
- Monitoring v sandboxe: Simulujte card testing v test prostredí (velocity, captcha triggery).
- Reporty a exporty: Denné CSV so signálmi pre internú analýzu a spätné učenie.
Dashboards a alerting
- Realtime tabuľa: Autorizácie, odmietnutia, 3-DS miera, velocity spúšťače, výnimky.
- Týždenný prehľad: Chargeback ratio, fraud-to-sale, straty na poplatkoch a reizáciách.
- Alerty: Neobvyklé špičky odmietnutí, nárast malých súm, nový zdroj card testingu podľa ASN.
Ekonomika rozhodnutí: kedy bojovať a kedy refundovať
- Náklady na spor (poplatky, čas tímu) vs. pravdepodobnosť výhry (SCA dôkazy, história darcu).
- Reputačný dopad: Proaktívny refund a vysvetlenie môže znížiť negatívne recenzie.
- Strategické prahy: Napr. do 20 € preferovať rýchly refund, nad 20 € s dôkazmi bojovať.
Checklist zavedenia programu prevencie (30 dní)
- Dni 1–5: Audit PSP nastavení, zapnúť 3-DS/SCA politiky, descriptor revízia, min. suma daru.
- Dni 6–10: Rate limiting, honeypots, disposable mail blok, e-mail šablóny potvrdení.
- Dni 11–15: Risk scoring + pravidlá, velocity alerty, dashboardy a exporty.
- Dni 16–20: SOP pre card testing a chargeback, tréning podpory, dôkazný balíček.
- Dni 21–30: Pilot A/B trenia (adaptívne vs. plošné), vyhodnotenie konverzie a fraudu, finalizácia prahov.
Bezpečnosť bez straty dôvery a konverzie
Prevencia podvodov pri daroch je disciplína, ktorá spája techniku, právo, podporu darcov a citlivé UX. Robustné opatrenia (3-DS, rate limiting, ML skóre) musia ísť ruka v ruke s transparentnou komunikáciou a jednoduchými cestami pre poctivých darcov. S jasným playbookom, meraním a spoluprácou s PSP dokážete udržať chargebacky pod kontrolou, chrániť rozpočet a najmä – chrániť dôveru, na ktorej neziskový sektor stojí.
