Stripe tampak ramah terhadap “friendly fraud”

 (gingerlime.com)
1 poin oleh GN⁺ 22 jam lalu | 1 komentar | Bagikan ke WhatsApp
  • Friendly fraud adalah masalah ketika pelanggan menyangkal pembayaran setelah menerima barang, dan ini seharusnya menjadi area yang bisa ditangani lebih baik oleh Stripe yang memiliki banyak sinyal pembayaran
  • Pelanggan Ciglue mengajukan sengketa setelah pesanan pertama yang memiliki bukti pengiriman dari DHL, menjelaskannya sebagai kesalahan bank, tetapi pada kenyataannya tidak pernah mengoreksinya
  • Penjual menyerahkan bukti pengiriman, percakapan dengan pelanggan, dan kebijakan, tetapi bank tetap memihak pelanggan sehingga penjual kehilangan uang, produk, ongkos kirim, dan biaya sengketa sekaligus
  • Bahkan tangkapan layar saat pelanggan membanggakan modusnya pun dikirim ke Stripe, tetapi Stripe menjawab bahwa itu tidak digunakan sebagai sinyal penipuan lintas merchant
  • Respons Stripe berhenti pada aturan Radar di akun merchant penjual, sehingga penjual berikutnya harus kembali menanggung penyalahgunaan berulang oleh pelanggan yang sama dari nol

Gambaran insiden dan hasil sengketa

  • Friendly fraud adalah masalah ketika pelanggan menyangkal pembayaran setelah menerima barang, dan pembahasan ini berangkat dari pandangan bahwa operator besar seperti Stripe, yang memiliki banyak sinyal pembayaran, seharusnya bisa menanganinya dengan lebih baik
  • Pelanggan membeli produk perekat cerutu Ciglue dua kali, dan pesanan pertama dikirim melalui DHL lalu selesai terkirim dengan bukti pengiriman
  • Pelanggan tidak meminta refund atau pengiriman ulang, tetapi justru mengajukan sengketa, lalu kemudian menjelaskan bahwa bank keliru mengelompokkan pembayaran ini bersama transaksi penipuan nyata di Filipina
  • Pelanggan mengatakan akan menghubungi bank dan bahkan akan membayar ulang lewat PayPal, tetapi kenyataannya tidak pernah mengoreksi ke bank dan tetap mengklaim seolah-olah tidak menerima produk
  • Bank memihak pelanggan, dan penjual kehilangan uang, produk, ongkos kirim, serta biaya sengketa, sementara bukti pengiriman, percakapan dengan pelanggan, dan kebijakan situs yang diajukan pun tidak mengubah hasilnya
  • Sebelum sengketa pertama masuk, pelanggan yang sama membuat pesanan kedua dengan pengiriman tanpa pelacakan, lalu beberapa hari setelah sengketa pertama, sengketa kedua juga diajukan
  • Setelah sengketa pertama diputuskan menguntungkan pelanggan, pelanggan itu membanggakan modusnya lewat email, dan penjual mengirim tangkapan layar tersebut ke Stripe

Respons Stripe dan keterbatasannya

  • Penjual mengirim tangkapan layar ke Stripe sambil menanyakan apakah bukti itu bisa dilaporkan dengan semestinya, baik ke bank, jaringan pelaporan penipuan, maupun setidaknya di dalam Stripe sendiri
  • Ini bukan permintaan untuk membalikkan sengketa yang sudah selesai atau mengambil kembali uang, melainkan harapan agar bukti jelas penyalahgunaan chargeback dapat dipakai secara bermakna dengan cara apa pun
  • Stripe menjawab bahwa bukti penyalahgunaan chargeback yang diterima dari satu penjual tidak dijadikan sinyal penipuan lintas merchant, dan juga tidak digunakan untuk memengaruhi merchant lain berdasarkan kartu, email, atau detail pelanggan lainnya
  • Memang tidak ideal jika seseorang otomatis diblokir di seluruh sistem pembayaran Stripe hanya karena satu penjual yang marah, tetapi ada jarak yang sangat besar antara “pemblokiran total” dan “kami menerima tangkapan layar ini, silakan tinjau Radar”
  • Stripe memasarkan Radar dengan banyak pembayaran dan sinyal, deteksi penipuan yang lebih baik, serta efek jaringan berbasis machine learning, tetapi bukti nyata penyalahgunaan chargeback oleh pelanggan pada praktiknya tidak berubah menjadi sinyal jaringan
  • Solusi yang direkomendasikan adalah memblokir pembelian ulang pelanggan tersebut dengan aturan Radar, dan penjual mungkin harus melakukan upgrade serta membayar biaya tambahan ke Stripe untuk bisa memakai aturan itu
  • Transaksi ini tampak normal, lolos pemeriksaan, dan bahkan alamat aslinya cocok, sehingga sulit menyaring situasi “pelanggan menerima produk lalu berbohong ke bank” hanya dengan aturan checkout
  • Penjual kecil nyaris tidak punya daya tawar dalam sengketa, bank yang mengambil keputusan, dan sementara Stripe menunjuk ke bank, penjual kehilangan uang, produk, biaya, dan waktu penanganan
  • Jika bukti baru muncul belakangan, bisa jadi sudah terlambat untuk diajukan, dan meski pelanggan yang sama mengulanginya di tempat lain, penjual berikutnya tetap bisa dirugikan lagi dari awal
  • Tidak ada yang “friendly” di sini, dan karena Stripe tidak mengambil tindakan apa pun, strukturnya pada akhirnya menjadi ramah bagi pelaku penipuan

Bacaan terkait

1 komentar

 
GN⁺ 22 jam lalu
Komentar Hacker News

  • Saya Josh, yang memimpin produk pencegahan penipuan Radar di Stripe. Penyalahgunaan seperti ini memang sangat menjengkelkan, dan jelas bukan pengalaman yang ingin Stripe berikan kepada pengguna
    Poin utama yang disampaikan banyak orang di sini valid. Ini bukan sekadar soal apakah sengketa tertentu bisa dibalik setelah kejadian, tetapi juga apakah bukti penyalahgunaan chargeback bisa dipakai untuk melindungi pelaku usaha berikutnya
    Namun, kami juga tidak ingin hidup di dunia di mana hanya dengan laporan dari satu pelaku usaha, pembeli otomatis diblokir di seluruh merchant Stripe. Ada sengketa yang sah, ada juga akun konsumen yang dibajak, dan false positive dari pemblokiran berlebihan bisa merugikan pembeli yang sebenarnya sah
    Tetap saja, jelas ada celah antara “otomatis blokir orang ini di mana-mana” dan “terima kasih atas screenshot-nya”, dan kami ingin memperbaiki bagian itu
    Karena penipuan ramah (friendly fraud) meningkat tajam, kami sedang memperluas Radar dari sekadar pencegahan penipuan transaksi menjadi produk yang mencegah penipuan dan penyalahgunaan di seluruh siklus hidup pelanggan, seperti pendaftaran akun, memulai masa uji coba, dan seterusnya
    Saat ini kami sedang membangun perlindungan seperti mengidentifikasi pelaku penyalahgunaan chargeback berulang di seluruh jaringan Stripe lalu menampilkannya ke pelaku usaha sebelum transaksi agar bisa dipertimbangkan dalam pengambilan keputusan, memberi skor risiko akumulatif untuk penyalahgunaan pada akun pelanggan itu sendiri, serta membantu merchant menyusun bukti dengan lebih baik lewat Smart Disputes saat terjadi penipuan ramah agar peluang menang sengketa lebih tinggi
    Jika punya masukan tentang Radar, boleh kirim ke jackerman at stripe dot com

  • Saya menjalankan SaaS dan sesekali mengalami hal seperti ini. Saat chargeback masuk, pada prinsipnya pelanggan itu harus diblokir total dari database
    Jika kartu, alamat email, dan fingerprint akses semuanya diblokir, itu bisa sangat mengurangi kerepotan saat mereka mencoba mendaftar lagi atau membeli produk lalu mengulang masalah yang sama

    • Penyalahguna bisa dengan mudah mengakali pemblokiran seperti ini. Orang yang melakukan penyalahgunaan secara luas itu kelompok kecil
    • Pengguna tingkat lanjut bisa dengan mudah mengganti ketiga pengenal seperti kartu, email, dan fingerprint. Saya penasaran apa tepatnya yang dimaksud dengan “fingerprint akses”
      Saya sudah melihat browser fingerprint untuk pelacakan pengguna, tetapi tidak yakin apakah yang dimaksud semacam pengambilan fingerprint yang hanya dipakai saat diperlukan
    • Cukup paksa 3D Secure, maka tanggung jawab berpindah ke bank pelanggan. Kalau mereka benar-benar menginginkan produknya, kebanyakan orang tidak terlalu keberatan membuka aplikasi bank di ponsel untuk memverifikasi transaksi
    • Kalau mau menerapkan kebijakan seperti itu, sebaiknya tanggapi dengan cepat pertanyaan dukungan pelanggan yang sah
    • Jika ini aplikasi iOS, pakai juga DeviceCheck. Uber menggunakannya untuk pemblokiran akun secara menyeluruh

  • Saya terkejut Stripe menyatakannya sejelas ini: “bukti penyalahgunaan chargeback pada satu merchant tidak dijadikan sinyal penipuan lintas-merchant untuk merchant lain, juga tidak digunakan untuk mengambil tindakan terhadap pelanggan di merchant lain berdasarkan kartu, email, atau informasi lainnya”
    Bagus juga Stripe benar-benar menyampaikan detail seperti ini. Namun, saya juga paham logika mengapa banyak perusahaan besar hanya memberi jawaban tidak transparan seperti “terima kasih atas laporannya, kami akan menanganinya dengan cara yang tepat”. Saat mereka mengatakan fakta sebenarnya, orang justru makin marah

    • Tidak juga. Kalau jawabannya samar, saya akan jauh lebih marah. Saya tetap marah karena mereka memang tidak mengambil tindakan apa pun
      Memang sempat perlu beberapa kali bolak-balik sebelum mendapat jawaban yang jelas, tetapi pada akhirnya saya mendapat jawaban yang jelas, dan berdasarkan pengalaman saya dukungan Stripe tetap sangat baik serta komunikatif
    • Tidak juga. Jawaban yang samar jauh lebih membuat marah. Hanya saja dalam kasus seperti itu tidak ada yang bisa ditulis

  • Pelanggan menipu Anda, lalu bank pelanggan juga melakukannya. Bukan Stripe yang melakukannya. Saya tidak paham kenapa Stripe disalahkan dalam judul dan isi tulisan itu
    Tentu, Stripe mungkin bisa berbuat lebih banyak bahkan tanpa Radar, tetapi jika Stripe menjalankan bisnis yang memblokir pelanggan di seluruh jaringannya hanya berdasarkan keluhan satu penjual, itu bisa berbahaya. Pendekatan seperti itu jelas bisa menimbulkan banyak masalah

    • Benar. Tapi Stripe tidak melakukan apa pun untuk mencegah merchant berikutnya jatuh ke jebakan yang sama. Mereka punya semua buktinya, tetapi tetap mengabaikannya
      Itu inti yang ingin saya sampaikan di tulisan blog tersebut. Tentu saja tidak adil juga kalau merchant bisa terlalu mudah memblokir konsumen. Tetapi pasti ada titik tengah
      Stripe secara sangat eksplisit mengatakan bahwa mereka tidak melakukan apa pun dengan laporan seperti ini. Itu hanya diabaikan
    • Bukan begitu, Stripe juga punya tanggung jawab. Anggapan bahwa chargeback diputuskan oleh bank pelanggan adalah kesalahpahaman yang umum. Dalam praktiknya, setelah beberapa putaran proses bolak-balik, keputusan akhir dibuat oleh jaringan kartu
      Saya pernah bekerja beberapa tahun di sisi penerbit kartu, dan beberapa kali melihat materi pengajuan dari merchant yang memakai Stripe. Saya tahu ada kasus yang menurut aturan jaringan jelas akan dimenangkan, tetapi Stripe menolak untuk menggugatnya
      Tampaknya Stripe menilai melawan sebagian besar chargeback tidak menguntungkan secara finansial. Mungkin karena biayanya bisa dialihkan ke merchant, dan mereka merasa merchant tidak akan pindah ke tempat lain
    • Anda jelas tidak menginginkan “sebuah sistem di mana satu merchant yang kesal bisa memblokir seseorang dari seluruh sistem pembayaran Stripe”. Tetapi ada jarak yang cukup besar antara “otomatis blokir orang ini di mana-mana” dan “terima kasih atas screenshot-nya. Silakan lihat Radar”, dan titik itulah yang membuat frustrasi

  • Saya pernah menangani chargeback bernilai jutaan dolar di Stripe. Kami menjual tiket, tiketnya mudah dijual kembali, dan pelanggan kami adalah wisatawan dari seluruh dunia yang datang untuk menonton pertunjukan
    Stripe Radar bukan produk yang bagus. Sangat sering transaksi yang amat mencurigakan diberi skor risiko 1 atau 2 dari 100. Saya tidak punya latar belakang machine learning, tetapi sepertinya ada yang cacat dalam metodologinya, seperti ada satu kabel yang tidak tersambung di dalamnya. Sayangnya, tampaknya Stripe tidak punya insentif besar untuk peduli

  • Sekarang saya cukup yakin bahwa setidaknya secara mental, Stripe sudah mendekati PayPal 2.0
    Menutup mata terhadap penipuan di platformnya, lalu mengunci kreator atau penjual dewasa setelah menerima uangnya, hadir di mana-mana tetapi tidak benar-benar disukai
    Memang bagus bahwa Stripe mengubah lanskap fintech dan membuat lebih banyak orang bisa mengaksesnya secara terprogram, tetapi karena alasan-alasan seperti ini saya jadi sering mengatakan kepada orang yang meminta saran soal pembayaran akhir-akhir ini: “hindari Stripe”

    • Memang seperti itulah sifat industri ini. Pemain lama menumpuk berbagai kendala selama bertahun-tahun, menjadi lambat, kaku, dan tidak menyenangkan untuk diajak berurusan
      Pendatang baru lalu mengambil pangsa pasar dengan membedakan diri lewat kelincahan dan kemudahan diajak bekerja sama
      Seiring waktu, pendatang baru itu juga makin harus menangani pengawasan regulasi, penipuan, beban operasional, praktik penghindaran tanggung jawab, dan seterusnya
      Lalu pendatang baru itu menjadi pemain lama, dan siklus pun kembali ke awal
    • Siapa yang Anda rekomendasikan sebagai alternatif?

  • Saya pernah terkena chargeback yang curang. Klaimnya pembelian tidak diotorisasi, padahal orang itu datang langsung ke kelas. Yang lebih parah, karena pembayarannya lewat Link, Stripe secara aktif memverifikasi orang itu dengan autentikasi dua faktor
    Bisa jelaskan kenapa Stripe atau pesaingnya tidak menyediakan pengaturan seperti “tolak transaksi dari kartu yang telah mengajukan lebih dari x chargeback terhadap merchant tahun ini”?

    • Aturan seperti itu tampaknya agak rumit. Bisa saja kartu seseorang benar-benar dicuri
      Yang membuat frustrasi adalah Stripe membanggakan machine learning, aturan Radar, dan semacamnya, tetapi tidak mampu memasukkan data yang benar-benar bernilai ke sana
      Dukungan Stripe melihat email tempat pelanggan membual bahwa dia telah menipu saya, dan sepenuhnya setuju bahwa ini jelas friendly fraud, tetapi tidak melakukan apa pun dengan informasi itu
    • Saya tidak tahu apakah ini alasannya, tetapi jika saya diminta membuat sistem seperti itu, saya akan cukup khawatir apakah itu akan dianggap sebagai laporan konsumen menurut Fair Credit Reporting Act
      Saya juga tidak ingin drama berita yang pasti akan muncul. Bisa saja diberitakan seperti, “Saya hanya nenek miskin dan lugu yang percaya iklan Facebook, lalu Stripe memblokir saya dari separuh toko internet karena saya tertipu!”
    • Anda bilang klaimnya pembelian tidak diotorisasi dan orang itu datang langsung ke kelas, tetapi meskipun memang ada seseorang yang datang ke kelas, bagaimana Anda tahu bahwa orang itu adalah pemilik kartu kredit yang digunakan?
    • Model bisnis mereka adalah mengizinkan sebanyak mungkin transaksi yang “valid”, bukan melayani “pelanggan perusahaan” mereka. Mereka adalah penyedia layanan pembayaran

  • Ini cuma penipuan. “Friendly fraud” itu untuk kasus yang tidak disengaja atau bermaksud baik, seperti pelanggan tidak mengenali tagihan lalu mengajukan chargeback

    • Tidak mengenali tagihan itu sendiri bukan penipuan. Penipuan membutuhkan niat, atau setidaknya kelalaian besar seperti, “kalau saya tidak ingat, saya akan sengketakan semuanya dan hampir tidak berusaha mengingat”
      Istilah “sekadar penipuan” sudah dipakai untuk kasus “pelaku kriminal c menggunakan kartu milik pemegang kartu a yang tidak tahu-menahu di merchant b yang juga tidak tahu-menahu”. Jadi saya penasaran kenapa orang menolak istilah “friendly fraud”?
    • Itulah intinya. Anda bisa mengajukan tuntutan pidana, dan kemungkinan juga menang di pengadilan perdata
    • Benar. Dan Stripe sebenarnya bisa mencegah ini jauh lebih baik, tetapi tidak melakukannya

  • Tulisan yang bagus. Bagian pentingnya adalah Stripe mengakui mereka tidak akan menggunakan bukti friendly fraud pascasengketa sebagai sinyal lintas-merchant di Radar
    Ditambah pelanggan itu secara harfiah membual setelah menang chargeback, ini menunjukkan betapa sistemnya condong merugikan penjual independen

  • Jelas Stripe mencatat data terkait friendly fraud. Setidaknya mereka mengimplementasikan Visa Compelling Evidence 3.0 https://support.stripe.com/questions/how-does-stripe-support...
    Karena tidak ada tangkapan layar pesan dari dukungan Stripe, saya curiga mereka hanya mencoba membuatnya berhenti dengan jawaban samar yang hati-hati dan aman secara hukum, lalu itu berubah menjadi tulisan blog yang marah

    • Saya bisa membagikan jawaban Stripe apa adanya. Ada korespondensi bolak-balik yang cukup panjang. Dari sebagian email terbaru, tampaknya jelas bahwa mereka tidak menggunakan bukti yang saya berikan
      “Saya akan mencatat masukan Anda dan meneruskannya ke tim. Poin Anda tentang deteksi penyalahgunaan pascatransaksi memang valid. Stripe memiliki deteksi penipuan tingkat jaringan yang kuat, tetapi tampaknya ada celah dalam memanfaatkan bukti penipuan yang dikonfirmasi dan diberikan merchant untuk melindungi ekosistem merchant yang lebih luas. Masukan seperti ini dari merchant yang memiliki bukti langsung bernilai untuk peningkatan sistem.”
    • Jika “mereka hanya mencoba membuatnya berhenti dengan jawaban samar yang hati-hati dan aman secara hukum” itu benar, maka mengabaikan masalah sepenuhnya sendiri merupakan tindakan menyesatkan, jadi itu bukan situasi yang jauh lebih baik
    • Tautan itu membahas bahwa transaksi tanpa sengketa dengan Anda selama 4–12 bulan sebelumnya dapat membuktikan bahwa transaksi yang disengketakan kali ini memang sah
      Tetapi kasus dalam tulisan itu adalah tentang seseorang yang hanya melakukan pembelian yang disengketakan dalam 1–2 minggu
    • Satu-satunya keluhan saya soal Stripe mencatat data terkait friendly fraud adalah bahwa saya tidak bisa menghapus informasi kartu untuk langganan aktif yang sudah saya setel agar tidak diperpanjang dari halaman pembayaran layanan, dan yang memang tidak ada niat untuk saya perpanjang
    • Apa intinya? Menurut Anda penting apa yang dikatakan Stripe? Saya penasaran jawaban seperti apa yang tidak akan membenarkan tulisan blog yang marah itu