Le frodi nei programmi fedeltà: una guida pratica

Negli ultimi anni, tutte le più grandi aziende del mondo hanno attivato programmi fedeltà per migliorare l’esperienza di acquisto dei propri clienti. Molte, però, non possedendo adeguati strumenti di controllo, hanno subito delle frodi. È successo, ad esempio, al 90% delle 120 aziende intervistate dal provider di pagamenti online CyberSource nel 2016. Questi numeri mostrano uno scenario allarmante: più i programmi fedeltà diventano popolari ed accessibili, più un’azienda rischia di danneggiare la sua reputazione, le sue risorse finanziarie e di perdere Clienti, tutto a causa di una frode.

In questo articolo analizzeremo accuratamente questo fenomeno, per comprenderne l’effettiva portata a livello globale.

Solitamente è difficile rilevare una frode perpetrata nell’ambito di un programma fedeltà. Ne esistono però alcune molto comuni, che descriviamo di seguito: 

1. Accumulare punti sulle tessere del personale di punto vendita (tipicamente i cassieri), quando qualcuno che non è membro del programma fedeltà effettua un acquisto

2. In caso di reso di un articolo, storno di un pagamento o errore di configurazione nel rimborso dei punti, non detrarre correttamente ad un membro i punti fedeltà accumulati con l’acquisto

3. Sfruttare una configurazione errata o un POS difettoso, che consentono di pagare un articolo in taglio prezzo, ma accumulando punti per il prezzo pieno

4. Eseguire correzioni manuali, trasferimenti di punti o unioni di account non autorizzati, attività svolte solitamente dallo staff del punto vendita o dagli agenti del contact center

5. Sfruttare lacune tecniche o di configurazione, sia per velocizzare l’accumulo dei punti, sia per assicurarsi di essere qualificati per ottenere un livello di riconoscimento maggiore (es. passare da Silver a Gold) o un premio bonus

6. Assumere il controllo di un account loyalty o commettere furto d’identità

7. Utilizzare la stessa carta fedeltà per più persone (in questo caso si tratta di attività fraudolenta solo se termini e condizioni del programma non lo consentono)

Per individuare e limitare questo fenomeno, le aziende possono adottare una serie di contromisure, relative a diversi campi applicativi.

1. Dati personali dei consumatori

a. De-duplicazione

Il meccanismo di de-duplicazione deve essere concepito come una parte del processo di acquisizione dei dati sia in fase di registrazione che di aggiornamento, per assicurarsi che entrambi i profili, sia quello appena creato sia quello modificato, siano unici e autentici.

b. Black-list

Gli account fraudolenti identificati e confermati devono essere inseriti nella black-list, sia per la tutela dei dati personali del partecipante “autentico”, sia per avere traccia di dettagli come l’indirizzo IP originario o l’indicazione del luogo fisico in cui si trova il dispositivo usato per la frode.

c. Controllo degli indirizzi

Un buon modo di verificare se l’indirizzo utilizzato per l’iscrizione è autentico è quello di utilizzare apposite banche dati o servizi online, che permettono di verificare se, ad esempio, un numero di casa esiste in una determinata via o se il codice postale è coerente con gli altri elementi dell’indirizzo.

d. Verifica tramite email o telefono

La verifica tramite email, o preferibilmente per telefono, è una procedura obbligatoria durante il processo di registrazione, che consente di evitare il problema della creazione degli account di massa e di assicurarsi che il membro registrato sia una persona reale. Insieme ai meccanismi di de-duplicazione, questo è un buon metodo per effettuare un processo di registrazione sicuro.

2. Configurazione del programma

Le proposte presenti in questa sezione potrebbero non essere applicabili a tutti i programmi fedeltà, poichè la configurazione di un programma può variare in modo significativo in base al settore e al caso di studio. Tuttavia, è importante valutare tutti i potenziali rischi a livello di configurazione del programma, per identificare la contromisura più adeguata.

a. Rimandare l’utilizzo dei punti fedeltà

Uno dei metodi più semplici per prevenire molte attività fraudolente è rimandare l’utilizzo dei punti fedeltà. Ciò significa che, dopo l’accumulo dei punti, esiste un periodo di tempo prestabilito durante il quale questi punti non si possono utilizzare per rimborsi o qualsiasi altra operazione. Nella maggior parte delle truffe che abbiamo rilevato, causate da una configurazione errata o da una lacuna tecnica, i membri tendono ad utilizzare i loro punti subito dopo averli raccolti. Occorre poi ricordare che un account fraudolento accumula punti più velocemente rispetto alla media del programma.

Naturalmente si tratta di una contromisura che - ritardando il momento della redenzione dei punti anche ai partecipanti che li hanno legittimamente acquisiti - può rappresentare un problema dal punto di vista della Loyalty Experience.

b. Account fantasma o anonimi

Se il programma autorizza gli account fedeltà anonimi o fantasma (è consentito l’utilizzo di un identificatore come ad esempio una tessera in plastica o un QR code ma in assenza di una anagrafica registrata), è consigliabile configurare delle limitazioni aggiuntive per questi account. Di seguito alcuni esempi: vietare la redenzione dei punti prima di completare la registrazione, ridurre il periodo di durata dei punti, vietare il trasferimento dei punti o la fusione di account, ecc.

c. Limitare il numero delle transazioni autorizzate per membro

I meccanismi antifrode basati su regole sono condizionati da alcune restrizoni, ma è comunque importante configurare alcuni limiti di base su particolari tipi di transazioni. Questi possono variare in base al tipo di programma, ma spesso riguardano metriche come:

  • il numero massimo di redenzioni per membro al giorno;
  • il limite al numero di punti accumulati da una singola transazione;
  • il numero massimo di persone associate a un singolo account;
  • limiti giornalieri per la correzione o il trasferimento dei punti.

Il modo più semplice per stabilire questi limiti è analizzare lo storico dei dati (ad esempio, il numero più alto di riscatti giornalieri per un unico membro nell’anno precedente) e in seguito stabilire un limite, ad esempio il 110-120% di questo valore. Questo semplice meccanismo permetterà di prevenire violazioni del regolamento e di conseguenza un buon numero di potenziali attività fraudolente, derivanti dallo sfruttamento di lacune tecniche o di configurazione. 

d. Rimborsi, storni delle transazioni e reso degli articoli

Per controbilanciare i rischi derivanti da questi tre processi, occorre pianificarli in modo preciso e verificarne le procedure; è molto importante individuare tutti i possibili scenari, inclusi i casi più rari.

Ecco un esempio concreto: un membro accumula 100 punti con un acquisto, ne usa 80 per un premio e poi decide di rendere l’articolo acquistato. In questo contesto, il sistema dovrebbe autorizzare un saldo negativo dei punti (100-80-100 e quindi -20)? In caso affermativo, sarebbe utile impostare un limite inferiore?

3. Sicurezza degli endpoint

La sicurezza degli endpoint riguarda tutti punti di accesso alle piattaforme loyalty per gli utenti e i membri. Gli end-point più comuni includono:

  • il portale web o un’applicazione mobile per i membri;
  • il portale amministrativo per gli utenti business;
  • le applicazioni del contact center (web o desktop);
  • una piattaforma di reporting o di business intelligence.

a. Autenticazione dei membri e degli utenti

Oltre a rigide politiche sulle password, attualmente le aziende tendono ad implementare l’autenticazione a due fattori (2FA) o i meccanismi di one-time password (OTP) per rendere sicuro l’accesso alla piattaforma di fedeltà o alle operazioni come il riscatto dei premi o il pagamento tramite punti. Nonostante siano poco favorevoli in termini di user experience, questi meccanismi contribuiscono in modo significativo all’aumento della sicurezza generale dell’offerta loyalty, poichè possono ridurre il rischio di assunzione di controllo da parte di account ostili o di furto di identità.

Un possibile compromesso potrebbe essere implementare una one-time password solo quando il membro richiede di convertire i suoi punti e riscattare un premio, nel momento cioè in cui l’eventuale vantaggio illegittimo sarebbe erogato.

b. Verifiche di sicurezza periodiche

Indipendentemente dal tipo di tecnologia o di procedure adottate, ogni giorno emergono nuovi difetti tecnici. Una piattaforma ben protetta richiede verifiche di sicurezza periodiche e prove di penetrazione, preferibilmente da parte di un ente terzo.

c. La prevenzione contro i crawler/bot

Spesso i semplici CAPTCHA non bastano ad eliminare il rischio che crawler, scraper, spider o qualsiasi altro tipo di bot automatici indesiderati accedano ai dati protetti di un membro del portale. I programmatori o i provider di sistemi dovrebbero utilizzare honeypot e black-lists, cambiando regolarmente il codice sorgente della loro pagina web e monitorando gli accessi al server per qualsiasi attività sospetta.

4. User management

a. Requisiti minimi di accesso

E’ importante seguire la regola del requisito minimo di accesso: il personale deve avere visibilità unicamente sui dati del membro che sono strettamente necessari per svolgere le loro attività all’interno del sistema loyalty, non di più. Nella stragrande maggioranza dei casi, lo staff del punto vendita necessita solo di poter verificare un saldo o di applicare punti durante l’elaborazione di un’operazione di vendita. Qualsiasi altra operazione dovrebbe essere limitata al fine di mitigare il rischio di frodi interne.

b. L’approvazione aggiuntiva

Un’altra buona pratica è il principio del doppio controllo, da applicare ad alcune attività rischiose, come la correzione manuale dei punti sopra il limite prestabilito, la fusione di account, il trasferimento dei punti, e così via. Ciò aiuta a prevenire potenzali frodi commesse dallo staff e riduce il rischio di errore umano, che sarebbe più complicato da risolvere.

5. Reporting

Per il proprietario del sistema è infine essenziale monitorare i principali indicatori del programma fedeltà, come:

  • l’andamento periodico delle iscrizioni;
  • l’accumulo di punti e il riscatto;
  • la distribuzione dei membri tra i livelli di riconoscimento;
  • le conciliazioni di saldo tra partner.

Un picco insolito o un’anomalia in un rapporto o in un diagramma possono essere indici di una potenziale frode: a livello macro (programma) è piuttosto semplice rilevare questo tipo di attività, mentre a livello micro (membro) è più impegnativo, se non impossibile, individuarle manualmente.

In questi casi, il machine learning o l’intelligenza artificiale possono essere d’aiuto, essendo in grado di elaborare grandi quantità di dati transazionali in tempo reale e di evitare fin da subito che un’attività fraudolenta provochi qualsiasi tipo di danno.

Vuoi sapere di più sui nostri software?