Prevence podvodů a chargebacků

Marius

Proč je prevence podvodů a chargebacků v darování specifická

Charitativní dary, petice a lead-gen kampaně mají odlišné rizikové profily než e-commerce. Útočníci využívají card testing (testování ukradených karet malými částkami), anonymitu nízkých dárcovských částek a pozitivní image značky, zatímco „friendly fraud“ (dárce tvrdí, že platbu nepozná) zvyšuje míru chargebacků. Současně nechceme poškodit konverze poctivých dárců. Cílem je najít rovnováhu mezi ochranou a bezproblémovým uživatelským zážitkem – a mít připravený proces, data a důkazy pro řešení sporů se schématy karet.

Typologie rizik: co hrozí neziskovým platbám

  • Card testing/carding: Boti testují stovky karet malými částkami (1–5 €) nebo nulovými autorizacemi.
  • Friendly fraud: Dárce zapomněl, nerozpoznal výpis, rodinný člen daroval bez vědomí držitele karty.
  • Account takeover: Převzetí dárcovských účtů a změna uloženého tokenu platby.
  • Refund fraud: Útočník žádá refundaci na jinou kartu nebo kanál.
  • Opakované pokusy/velocity: Krátké intervaly mezi pokusy, rotace karet a zařízení.
  • Praní špinavých peněz a sankční rizika: Vysoké/mezinárodní dary, politicky exponované osoby, sankční seznamy.

Signály podvodu: co sledovat v reálném čase

  • Technické: Nesoulad IP adresy a fakturační země, anonymizéry (TOR/VPN), neobvyklé uživatelské agenty/hlavičky, absence JavaScriptu a cookies.
  • Behaviorální: Extrémně rychlé vyplnění formuláře, sériové změny polí, cyklické používání BIN rozsahů, shodný device fingerprint.
  • Transakční: Více neúspěšných pokusů v krátkém čase, stejný e-mail pro různé karty, stejná karta u různých e-mailů, neobvyklé wzory centových částek (např. 1,01 €, 1,02 €…).
  • Obsahové: Dočasné e-maily, neexistující telefonní předvolby, generická jména spojená s náhodnými čísly.

Platební kontroly: základní výbava

  • AVS a CVV/CVC: Ověření adresy (kde dostupné) a bezpečnostního kódu – odmítejte kombinace „No Match“.
  • 3-D Secure 2 (SCA): Dynamicky vyžadujte silné ověření v EHP; pro nízké riziko použijte frictionless průběh.
  • BIN inteligence: Rozlišujte předplacené karty, firemní karty, zemi vydání; aplikujte různé prahové hodnoty.
  • Risk scoring a pravidla: Kombinujte pravidla (velocity, geolokace, reputace e-mailu) s ML skóre poskytovatele platebních služeb.
  • Device fingerprinting: Stabilní identifikátory (canvas, fonty, HW) spojují pokusy napříč účty.
  • Tokenizace a network tokens: Minimalizace úniků dat a vyšší úspěšnost opakovaných plateb.

Ochrana formuláře: proti botům i card testům

  • Rate limiting & bursting: Omezte počet darovacích pokusů na IP/adresu zařízení (např. 5/15 min; 15/24 h), exponenciální zpomalení.
  • Honeypots a detekce chování: Skrytá pole, detekce kopírování a vkládání do čísla karty, vzory lidského klikání.
  • CAPTCHA pouze adaptivně: Aktivujte při vysokém rizikovém skóre; netrestejte poctivé dárce plošně.
  • Prefill a validace: Silná klientská validace IBAN/karty, normalizace jména a adresy, blokování známých „disposable“ domén.

Specifika opakovaných (recurring) darů

  • Inicializace se SCA: Získejte mandát a token; následující platby jako MIT (merchant-initiated transaction).
  • Dunning logika: Inteligentní opakování plateb (retry po 1/3/7 dnech), změna dne v měsíci při selhání platby.
  • Upomínky dárcům: Včasné informace o expiraci karty, snadná obnova přes bezpečný odkaz.

Proces chargebacku: co potřebujete mít připravené

  1. Detekce: PSP nebo banka oznamují spor (kód schématu). Spouštějte interní playbook.
  2. Rozhodnutí: Pokud je zřejmý podvod (card testing), často je levnější refundovat a zablokovat vzory.
  3. Representment (obhajoba): Předložte důkazy: 3-DS důkazy/SCA protokol, logy IP a zařízení, časové razítka, souhlas s darem, komunikaci (potvrzení e-mailem/SMS), historii darů, záznam o využití benefitu (např. vstupenka na akci).
  4. Prevence recidivy: Aktualizujte pravidla (velocity, blacklist), kontaktujte dárce s vysvětlením položky na výpisu (název obchodníka, e-mail podpory).

Důkazní balíček: kontrolní seznam

  • Úplný transakční záznam (PSP ID, čas, částka, měna, výsledek, AVS/CVV, 3-DS hodnoty, CAVV/ECI).
  • Merchant descriptor a podpůrné kanály (viditelné na výpisu a v potvrzení).
  • Logy UX: IP, zařízení, prohlížeč, referer, chování, potvrzení e-mailu.
  • Politika refundů a Všeobecné obchodní podmínky platné v době daru.
  • Komunikace s dárcem: potvrzení, odpovědi, ID ticketu.

Právní rámec a compliance

  • SCA/PSD2 (EHP): Uplatňujte výjimky (low-value, TRA, MIT) pouze s adekvátním rizikovým rámcem.
  • GDPR & minimalismus údajů: Neskladujte plná čísla karet (PAN); používejte tokeny PSP a šifrování v klidu i přenosu.
  • PCI DSS: Pokud zpracováváte kartová data mimo PSP hostovaná pole, musíte splnit příslušný rozsah požadavků (scope).
  • Sankční/AML screeningy: U vysokých darů a mezinárodních převodů; zdokumentujte prahové hodnoty a rozhodnutí.

Organizační připravenost: role, SOP a incident response

  • Role: Vlastník rizika (finanční/fundraisingové operace), technický správce (platby), zákaznická podpora.
  • SOP: Playbook pro card testing (izolace platební brány, dočasné zvýšení tření), pro chargeback (shromažďování důkazů do X dnů), pro eskalaci k PSP.
  • Komunikace: Šablony pro dárce („jak rozpoznat položku na výpisu“), FAQ a jasná cesta k refundaci v případě omylu.

Metodika měření rizika: prahy a metriky

  • Chargeback ratio: Počet chargebacků / počet vypořádaných transakcí (dle schématu a měsíce).
  • Fraud-to-sale: Podíl potvrzených podvodných transakcí vůči úspěšným.
  • Authorization rate a 3-DS úspěšnost: Úspěšnost autorizací; dopad SCA na konverzi vs. podvody.
  • Velocity alerts: Počet a úspěšnost blokovaných sérií pokusů.

UX bez trestání poctivých dárců

  • Adaptivní tření: Frictionless průběh pro nízké riziko, dodatečné ověření při vysokém skóre rizika.
  • Transparentní descriptor: Název organizace + web/e-mail; po darování zašlete potvrzení ve formátu PDF.
  • Možnost opravy: Při neúspěchu nabídněte alternativní platební metody (Apple/Google Pay, SEPA), ne pouze výzvu „zkuste znovu“.

Prevence card testingu: technická opatření do 24 hodin

  1. Zapněte nebo zpřísněte rate limiting na endpoints (autorizace, webhooks).
  2. Omezte minimální dar (např. 3–5 €) nebo zaokrouhlujte platby na celé eura.
  3. Vyžadujte JS rendering a cookies na platební stránce (ztíží to skriptům).
  4. Blokujte disposable e-maily a podezřelé domény nejvyšší úrovně (TLD).
  5. Zaveďte časová razítka a auditní logy (IP/zařízení) do potvrzení o platbě.

Machine learning vs. pravidla: praktický kompromis

  • ML skóre PSP využívejte jako primární signál; vlastní pravidla nastavte jako „guardrails“ (ochranné mantinely).
  • Zpětná vazba: Označujte výsledky sporů (vyhráno/prohráno), aby modely mohly učit aktuální vzory.
  • Vysvětlitelnost: Při manuálním přezkoumání mějte krátký zdůvodnění blokace (audit a školení podpůrného týmu).

Tabulka: příklady pravidel a doporučené akce

Pravidlo Prahová hodnota Akce Poznámka
Velocity – pokusy na IP >= 5 / 15 min Dočasný zákaz 60 min, CAPTCHA Adaptujte dle kampaně
Nesoulad země IP vs. BIN Různé kontinenty Vyžadovat 3-DS/SCA Výjimky při roamingu
Disposable e-mail + nízká částka Částka < 3 € Odmítnout / Přesměrovat na jinou metodu Typické u testování
Neobvyklé centové částky Sekvence 0,01; 0,02… Blokace / Rate limit Vzor card testingu
Opakovaná karta, různé e-maily >= 3 / 24 h Manuální přezkum Potenciální zneužití

Komunikace a prevence friendly fraudu

  • Descriptor a potvrzení: Shodný název v e-mailu, PDF a na výpisu z účtu.
  • Upomínky: Při opakovaných darech zašlete upozornění e-mailem (např. 3 dny předem u ročních darů).
  • Self-service centrum: Zobrazení historie darů, možnost zrušit/pozastavit dary, jasný kontakt na podporu.

Spolupráce s PSP a bankou

  • Konfigurace rizika: Společné nastavení prahů, 3-DS politik a monitoringu alertů.
  • Monitoring v sandboxu: Simulace card testingu v testovacím prostředí (velocity, spouštěče CAPTCHA).
  • Reporty a exporty: Denní CSV se signály pro interní analýzu a zpětné učení.

Dashboardy a alerting

  • Reálný čas dashboard: Autorizace, odmítnutí, míra 3-DS, velocity spouštěče, výjimky.
  • Týdenní přehled: Poměr chargebacků, fraud-to-sale, ztráty na poplatcích a opakovaných vystaveních faktur.
  • Alerty: Neobvyklé špičky odmítnutí, nárůst malých částek, nový zdroj card testingu dle ASN.

Ekonomika rozhodnutí: kdy bojovat a kdy refundovat

  • Náklady na spor (poplatky, čas týmu) vs. pravděpodobnost výhry (SCA důkazy, historie dárce).
  • Reputační dopad: Proaktivní refundace a vysvětlení může snížit negativní hodnocení.
  • Strategické prahy: Například do 20 € preferovat rychlý refund, nad 20 € s důkazy bojovat.

Checklist zavedení programu prevence (30 dní)

  1. Dny 1–5: Audit nastavení PSP, aktivace 3-DS/SCA politik, revize descriptoru, minimální částka daru.
  2. Dny 6–10: Rate limiting, honeypots, blokování disposable mailů, e-mailové šablony potvrzení.
  3. Dny 11–15: Risk scoring a pravidla, velocity alerty, dashboardy a exporty.
  4. Dny 16–20: SOP pro card testing a chargeback, školení podpory, důkazní balíček.
  5. Dny 21–30: Pilotní A/B testování tření (adaptivní vs. plošné), vyhodnocení konverzního poměru a podvodů, finalizace prahů.

Bezpečnost bez ztráty důvěry a konverze

Prevence podvodů při darech je disciplína, která propojuje techniku, právo, podporu dárců a citlivý uživatelský zá

Súvisiace články

Partnerství neziskových organizací a značek

Partnerství neziskových organizací a značek propojují společenský dopad s obchodními cíli prostřednictvím strategických aliancí, které přinášejí finanční stabilitu, reputační posílení i inovace za podmínky transparentnosti a etických standa