Konuk yazarımız Tarık Tombul, PayU Türkiye'de Risk & Operasyon Müdürü olarak görev almaktadır.
Özünde sahtecilik/dolandırıcılık anlamı taşıyan 'fraud', çoğunlukla finansal ve itibari kayba yol açan, adli soruşturmaya konu olabilen, hemen her sektörde farklı türlerini görebileceğiniz bir terimdir.
Ödeme sistemleri anlamında fraud, başkalarına ait kredi ya da debit kart ile herhangi bir işyeri ya da ATM’den işlem yaparak haksız kazanç sağlamak, bu sayede gerçek kart hamili, işyeri ya da bankayı zarara uğratmaktır. Dolandırıcı (fraudster) şahıs(lar) tarafından gerçekleştirilen söz konusu işlemler, fiziki ya da sanal bir ortamda yapılabilmektedir.
Fiziki ortamda gerçekleştirilen sahtecilikler (CP-Card Present Fraud)
Bu kategorideki işlemler kartın manyetik şeridi ya da çipinde yer alan bilgilerin (Track datası) POS ya da ATM’ye okutulması suretiyle ya da temassız (contactless) olarak gerçekleştirilmektedir. Kart ve dolandırıcı fiziken işyerindedir. Bu tür sahtecilikler kayıp, çalıntı ya da kopyalanmış (sahte) kartlar ile çoğunlukla manyetik şeritten ve şifresiz olarak, yapılmaktadır.
Sahteciliğin en çok görüldüğü mağazalar; kuyumcular, cep telefonu ve TL yükleme satışı yapan mağazalar, elektrik/elektronik mağazaları, market ve akaryakıt istasyonları ile ATM’lerdir. Çip ve Şifre (Chip & PIN) geçişi sonrası 'Card Present' sahtecilikleri önemli derecede azalma göstermiş fakat bu kategorideki sahtecilikler içerisinde ATM’de sahte kartlar ile yapılan nakit çekim işlemleri ciddi oranda artış göstermiştir.
Bu tür sahteciliklerin önlenmesinin en temel yöntemi, işlemin çip okuyucudan ve şifre girilerek yapılmasını sağlamaktır. Çipsiz kartlarda kartın fiziksel güvenlik özellikleri (mor ışık, micro bordür, logo, imza bandı, vb.) ve imza (imza bandında yer alan imza ile satış slibine atılan imzanın karşılaştırılması) kontrolü yapılmak suretiyle sahtecilik önlenebilir. Şüpheli durumlarda mutlaka banka aranılmalı ve bilgi alınmalıdır.
Sanal ortamda gerçekleştirilen sahtecilikler (CNP-Card Not Present Fraud)
Bu tür sahteciliklerde kart ve dolandırıcı fiziken işyerinde değildir. İşlem, hassas kart verisi (kart no., SKT, güvenlik kodu ve şifre) POS cihazına işyeri tarafından tuşlanmak (MO-TO, Mail Order-Telefon Order Sahtecilikleri) ya da dolandırıcı tarafından web sitesinde yer alan ödeme sayfasına girilmek (Sanal POS sahtecilikleri) suretiyle gerçekleştirilmektedir. Gelişen teknoloji ile birlikte ödeme sayfasında QR Code okutulmak suretiyle de CNP sahteciliği yapılabilmektedir.
Sahteciliğin en çok görüldüğü sektörler; uygulama indirme mağazaları (iTunes, Google Play, Facebook), bilet satışı yapan web siteleri ve havayolu şirketleri (uçak ve otobüs bileti), GSM siteleri (TL yükleme), elektronik ürün satışı yapan web siteleri ile giyim ve aksesuar satışı yapan dikey segmentteki websiteleridir.
CNP sahteciliklerinin önlenmesindeki en etkili yöntem güçlü bir fraud önleme (Anti-Fraud) yazılımı ve tecrübeli fraud ekibidir. Yazılım kurum içi (inhouse) olabileceği gibi profesyonel bir şirket tarafından da temin edilebilir. Inhouse yazılımlarda yazılımı yapan kişinin aynı zamanda sahtecilik saptama tecrübesine sahip olması beklenir. Profesyonel sahtecilik önleme hizmeti sunan şirketlerin ürünleri, kurum içi yazılımlara kıyasla biraz daha pahalı olmasına karşın, sürekli yenilenmeleri nedeniyle, sahteciliği tespit oranları bakımından daha fazla tercih edilmektedir. Özellikle bankalar ve büyük ölçekli elektronik ticaret şirketleri tarafından tercih edilen profesyonel sahtecilik önleme yazılımları kural bazlı ve gelişmiş filtreleme sistemleri ile donatılmışlardır.
Sahteciliği yakalamak için şans vardır
Bir siparişin sahte olduğuna dair belirtilere sahipseniz sahteciliği yakalamak için hala bir şansınız var demektir. Bu belirtilerden en bilindik olanları; bankaların işleme döndükleri riskli cevap kodları, bu kodların sipariş ve siparişi oluşturan benzersiz (unique) değerler ile eşleştirilmesi, kullanılan kart sayısı, IP, saat dilimi (time zone) bilgisi, kartın kullanım sıklığı, isim bilgisi, ürün bilgisi, teslimat adresi (kargo şirketine yapılan teslimatlar), kullanılan e-postalar ve uzantıları gibi yüzlerce kontrol noktasıdır.
Profesyonel sahtecilik önleme hizmeti sunan şirketler bu varsayılan filtrelere ilave olarak daha karmaşık ve sahteciliği yakalayan gelişmiş filtreler kullanmaktadır. Bu noktada diğer önemli konu ise, yazılımınız ne kadar güçlü olursa olsun, manuel kontrol için gri alana düşürdüğünüz işlemlerin sahtecilik olup olmadığına karar verecek izleme ekibinizin donanımıdır. Tecrübeli bir sahtecilik ekibine sahip değilseniz, yazılımınız ne kadar güçlü olursa olsun ve ne kadar sahtecilik vakası yakalarsa yakalasın, gri alan kontrolünde yanlış karar verebilir ve sahtecilik zararı ile karşılaşabilirsiniz.
Fraud kontrolü yapılmasının bir diğer önemli noktası marka ve itibarın koruma altına alınmasıdır. Bir fraud saldırısına maruz kalındığında finansal kayıp dışında markanın zarar görmesi de mümkündür. Bu konuda Visa, Mastercard, American Express gibi lisansör kuruluşların belirledikleri standart oranların üzerinde bir “fraud” ve “chargeback” hacmine ulaşır ve bu hacim süreklilik arz eder ise işyeri ilgili kuruluşlar tarafından diskalifiye edilebilir. Bu standartlar işyerinin aylık bazda karşılaştığı fraud işlem adedi, fraud işlem tutarı ve raporlanan toplam fraud tutarının aylık toplam ciroya oranıdır. Aynı şekilde aylık bazda karşılaşılan chargeback işlem adedi, chargeback işlem tutarı ve raporlanan toplam chargeback tutarının aylık toplam ciroya oranının da belirlenen standart seviyelerin altında olması gereklidir.
Fraud hacmi hesaplama ve standartlar
Bir işyeri ya da banka için fraud rasyosu (toplam fraud /toplam ciro) x10.000 şeklinde hesaplanır ve Bases Point (Baz Puan) olarak adlandırılır. Örneğin bir aylık dönem için fraud işlem tutarınız 100.-TL ve cironuz 100.000.-TL ise fraud baz puanınız “(100/100.000)x10.000= 10” On Binde 10’dur.
Bir işyeri ve banka için maksimum fraud standardı On Binde 4’tür. Bu oran, Avrupa bölgesinde yaklaşık On Binde 8 iken, dünya genelinde On Binde 11 seviyesindedir. Türkiye ortalamasında ise bankadan bankaya göre değişiklik göstermekle birlikte, yaklaşık ortalama On Binde 2 seviyesindedir.
Sektör bazında fraud rasyoları değişiklik göstermekle birlikte riskli kategorilerde, örneğin uçak bileti satan bir acentada, % 8 (Yüzde Sekiz) seviyesine dahi çıkabilmektedir. Bu tür durumlarda işyeri, Visa (MFP-Merchant Fraud Perfomance), Mastercard (GMAP-Global Merchant Audit Programme ve MOST-Merchant Online Status Tracking), AMEX (HRSE-High Risk Service Establisment) gibi kuruluşların risk izleme programlarına girmekte ve Acquirer bankalara işyeri ile ilgili bildirimler gönderilerek seviyeleri doğrultusunda (Level 1,2,3) işyeri hakkında aksiyon alınması istenmektedir.
2012 yılında sadece ABD ve Kanada’daki e-ticaret şirketlerinde 3.5 milyar dolar zararın oluşması, fraud’un tespit edilmesi ve kaynağında engellenmesinin (Anti-Fraud) ne kadar önem arz ettiğini net bir şekilde ortaya koyuyor.