Stripeは「フレンドリー詐欺」に優しい
(gingerlime.com)- フレンドリー詐欺とは、顧客が商品受領後に決済を否認する問題であり、多くの決済シグナルを持つStripeがより適切に防ぐべき領域である
- Ciglueの顧客は、DHLの配達証明がある初回注文の後に異議申し立てを行い、銀行の誤りだと説明したが、実際には訂正しなかった
- 販売者は配送証拠、顧客とのやり取り、ポリシーを提出したが、銀行は顧客側を支持し、代金・商品・送料・異議申し立て手数料をすべて失った
- 顧客が手口を自慢したスクリーンショットまでStripeに渡されたが、Stripeはこれを加盟店間の不正シグナルとしては使わないと回答した
- Stripeの対応は販売者アカウントのRadarルールにとどまり、次の販売者は同じ顧客による反復的な悪用に最初からまた対処しなければならない
事件の概要と異議申し立ての結果
- フレンドリー詐欺は、顧客が商品を受け取った後に決済を否認するタイプの問題であり、Stripeのように多くの決済シグナルを持つ大手事業者なら、よりうまく対応できるはずだという問題意識から話が始まる
- 顧客は葉巻用接着剤製品の Ciglue を2回購入し、最初の注文はDHLで発送され、配達証明まである状態で配達完了となっていた
- 顧客は返金や再発送を求めずに異議申し立てを行い、その後、銀行はフィリピンでの実際の不正取引群とこの決済をまとめてしまったミスだったと説明した
- 顧客は銀行に連絡すると言い、PayPalで再度支払うとも述べたが、実際には銀行に訂正を求めず、商品を受け取っていないかのように主張した
- 銀行は顧客側を支持し、販売者は代金、商品、送料、異議申し立て手数料をすべて失い、提出した配送証拠、顧客とのやり取り、Webサイトのポリシーも結果を変えられなかった
- 最初の異議申し立てが入る前に、同じ顧客は追跡不能配送で2回目の注文を入れており、最初の異議申し立ての数日後には2件目の異議申し立ても行った
- 最初の異議申し立てが顧客有利で終わった後、顧客はメールで自分の手口を自慢し、販売者はそのスクリーンショットをStripeに渡した
Stripeの対応と限界
- 販売者はStripeにスクリーンショットを送り、銀行、不正報告ネットワーク、あるいはStripe内部であっても、この証拠を適切に報告できるのか問い合わせた
- すでに終了した異議申し立てを覆したり代金を回収したりしたいという依頼ではなく、明確なチャージバック悪用の証拠が何らかの形で意味のある使われ方をすることを期待していた
- Stripeは、1人の販売者から受け取ったチャージバック悪用の証拠を加盟店間の不正シグナルにしたり、顧客のカード・メールアドレス・その他の詳細情報について他の販売者に影響する措置に使ったりはしないと回答した
- 1人の怒った販売者のせいでStripe全体の決済システムから誰かが自動的にブロックされる仕組みは望ましくないが、「全面ブロック」と「スクリーンショットは受け取ったのでRadarを見直してほしい」の間には大きな隔たりがある
- StripeはRadarを、多くの決済とシグナル、より良い不正検知、機械学習ベースのネットワーク効果として売り込んでいるが、現実の顧客によるチャージバック悪用の証拠はネットワークシグナルにはつながらない
- 推奨される解決策は、Radarルールでその顧客の再購入を防ぐことであり、販売者はこのルールを使うためにアップグレードし、Stripeに追加費用を支払う必要がある可能性がある
- この取引は正常に見え、審査も通過し、実際の住所も一致していたため、「顧客が商品を受け取った後に銀行に嘘をつく」状況をチェックアウト時のルールで見抜くのは難しい
- 小規模販売者には異議申し立てにおける交渉力がほとんどなく、銀行が決定し、Stripeが銀行を指し示している間に、販売者は代金・商品・手数料・処理時間を失うことになる
- 新たな証拠が後から現れても提出するには手遅れであることがあり、同じ顧客が他所で繰り返しても、次の販売者がまた被害を受ける可能性がある
- 「フレンドリー」な要素は何もなく、Stripeが何の措置も取らないことで、結果的に不正行為者に優しい構造になっている
1件のコメント
Hacker Newsの意見
StripeでRadar不正防止製品を率いているJoshです。こうした不正利用には本当に腹が立つし、Stripeがユーザーに提供したい体験でもありません。
ここで多くの人が言っている要点はもっともです。特定の紛争を事後的に覆せるかどうかだけの問題ではなく、チャージバック悪用の証拠を次の事業者を守るために使えるかどうかの問題です。
ただし、ある事業者の申告だけでStripe全体の加盟店において購入者を自動ブロックする世界も望んではいません。正当な紛争もありますし、消費者アカウントが乗っ取られることもあり、過剰なブロックによる誤検知は実際の購入者に被害を与えかねません。
それでも、「この人を全面的に自動ブロックする」と「スクリーンショットありがとう」の間には明らかに空白があり、その部分を解決したいと思っています。
フレンドリー詐欺が大きく増える中で、Radarを単なる取引不正防止から、登録、トライアル開始など顧客ライフサイクル全体の不正・悪用を防ぐ製品へと拡張中です。
現在、Stripeネットワーク全体で常習的なチャージバック悪用者を特定して取引前に事業者へ表示し、意思決定に反映できるようにすること、顧客アカウント自体の累積悪用リスクをスコア化すること、フレンドリー詐欺が発生した際にSmart Disputesで証拠をより適切に構成し、紛争に勝てるよう支援する防御策を構築しています。
Radarへのフィードバックがあれば jackerman at stripe dot com まで送ってください。
SaaSを運営していますが、こういうことは時々あります。チャージバックが入ったら、原則としてその顧客をデータベースから完全に遮断する必要があります。
カード、メールアドレス、アクセス指紋をすべてブロックしておけば、彼らが再登録したり製品を買って同じ苦痛を与えようとしたときの手間をかなり減らせます。
ユーザー追跡用のブラウザ指紋は一通り見てきましたが、必要なときだけ使うようなフィンガープリンティングのことを言っているのかは分かりません。
「ある加盟店のチャージバック悪用の証拠を、他の加盟店向けの横断的な不正シグナルにしたり、顧客のカード・メール・その他の情報を他の加盟店に対する措置に使ったりはしない」とStripeがここまで明確に言ったことに驚きました。
Stripeがこうした詳細を実際に伝えるのは良いことです。ただ、多くの大企業がなぜ「ご報告ありがとうございます。適切な方法で対応します」のような不透明な返答しかしないのかという理屈も分かります。事実を言うと人はもっと怒るのです。
明確な答えを得るまで何度かやり取りはありましたが、最終的には明確な答えをもらえたし、経験上Stripeサポートは今でも素晴らしく、コミュニケーションも良いです。
顧客があなたをだまし、その次に顧客の銀行もそうしたのです。Stripeがそうしたわけではありません。タイトルと本文でなぜStripeが非難されているのか分かりません。
もちろん、RadarがなくてもStripeにもっとできることはあるでしょうが、1人の販売者の苦情だけでStripe全体のネットワークから顧客を締め出すような事業をStripeが行うなら危険かもしれません。そうしたアプローチには明らかに多くの問題が生じ得ます。
ブログ記事で言いたかった核心はそこです。もちろん、加盟店が消費者をあまりに簡単にブロックできても公平ではありません。しかし、明らかに中間地点はあるはずです。
Stripeは、こうした報告を受けても何もしないとはっきり明言しました。ただ無視されるだけです。
カード発行側で数年間働いていて、Stripeを使う加盟店の提出資料を何度も見ました。ネットワーク規則上は確実に勝てる案件なのに、Stripeが争うのを拒否したケースを知っています。
Stripeは、ほとんどのチャージバックは争っても採算が取れないと判断していたようです。おそらくコストを加盟店に押しつけられるし、加盟店が他へ移ることもないと見ているのでしょう。
Stripeで数百万ドル規模のチャージバックを処理したことがあります。私たちはチケットを販売していて、チケットは転売しやすく、顧客は世界中から公演を見に来る観光客でした。
Stripe Radarは良い製品ではありませんでした。非常に疑わしい取引を、100点満点中1点や2点のリスクとして評価することがよくありました。機械学習の背景はありませんが、手法に何か欠陥があるように思え、内部で一本線が抜けているような動きをしていました。残念ながら、Stripeには気にかけるインセンティブがあまりないように見えます。
もうStripeは、少なくともメンタルモデルとしてはPayPal 2.0にかなり近いと確信しています。
プラットフォーム内の不正行為には目をつぶり、金を受け取った後で成人向けクリエイターや販売者を締め出し、どこにでもいるが特に愛されてはいない存在です。
Stripeがフィンテック業界を変え、より多くの人がプログラム的にアクセスできるようにした点は評価していますが、こうした理由から最近は決済関連の助言を求める人に「Stripeは避けろ」とよく言うようになりました。
新規参入企業は俊敏で、一緒に仕事がしやすいことを差別化要因にしてシェアを取ります。
時間がたつと、新規企業も規制の監視、不正、運用負荷、責任回避的な慣行などにますます対処しなければならなくなります。
すると新規企業が既存の強者になり、また最初に戻ります。
不正なチャージバックを食らった。購入が承認されていないという主張だったが、その本人は授業に実際に来ていた。さらに悪いことに、Link で支払っていたため、Stripe は 2 段階認証でその人物を積極的に確認していた
なぜ Stripe やその競合が、「今年加盟店に対して x 件を超えるチャージバックを起こしたカードの取引を拒否する」のような設定を提供しないのか、説明できる人はいる?
いら立たしいのは、Stripe が機械学習の Radar ルールなどを誇っておきながら、実際に価値のあるデータをそこに入れられていない点だ
Stripe サポートは、顧客が私をだましたと自慢するメールを見ていて、明白な フレンドリー・フラウド だということにも完全に同意していたのに、その情報で何もしなかった
どうせ出てくるニュース沙汰も望まない。「私は貧しくて無知なおばあちゃんで、Facebook 広告を信じただけなのに、Stripe が私がだまされたという理由でネット上の店の半分から私を締め出した!」みたいな話になりかねない
これは単なる詐欺だ。フレンドリー・フラウド とは、顧客が請求明細を認識できずにチャージバックをするような、偶発的あるいは善意から生じる場合のことだ
「単なる詐欺」という表現は、すでに「犯罪者 c が、知らないカード所有者 a のカードを、無関係の加盟店 b で使う」ケースに使われている。だとすれば、「フレンドリー・フラウド」という表現に反対する理由は何なのか気になる
良い記事だ。要点は、Stripe が 紛争後のフレンドリー・フラウドの証拠 を Radar の加盟店横断シグナルとして使わないと認めた部分だった
そこに、顧客がチャージバックで勝った後に文字どおり自慢までしていたことを合わせると、このシステムがインディーの販売者にどれだけ不利に傾いているかが分かる
Stripe がフレンドリー・フラウド関連のデータを記録しているのは確かだ。少なくとも Visa Compelling Evidence 3.0 は実装している https://support.stripe.com/questions/how-does-stripe-support...
Stripe サポートが送ったメッセージのスクリーンショットがないので、慎重で法的に問題のない曖昧な返答で穏便に引き下がらせようとして、それが怒りのブログ記事になっただけではないかという気もする
「フィードバックを記録し、チームに共有します。取引後の悪用検知についてのご指摘はもっともです。Stripe には強力なネットワークレベルの不正検知がありますが、加盟店が提供した確定的な不正の証拠を、より広い加盟店エコシステムを守るために活用する点にはギャップがあるようです。直接的な証拠を持つ加盟店からのこのようなフィードバックは、システム改善にとって価値があります。」
だが記事の事例は、1〜2 週間以内に紛争対象の購入しかしていない人物についてのものだ