Prevenção à fraude em marketplaces e ecommerces

Os marketplaces e ecommerces revolucionaram a forma como fazemos compras, oferecendo comodidade e uma ampla seleção de produtos. Mas, esta nova tecnologia também abriu um mundo de possibilidades para os fraudadores que procuram tirar vantagem de consumidores desavisados.

Desde listagens falsas de produtos ou serviços até fraudes mais sofisticadas, a fraude é um dos maiores riscos que os websites de vendas online enfrentam atualmente. É importante que tanto os compradores como os vendedores estejam conscientes dos diferentes tipos de golpes existentes para que possam proteger os seus interesses, seus sistemas e evitar tornarem-se vítimas. E é vital também que as próprias plataformas de ecommerce e marketplaces adotem medidas robustas para proteger seus consumidores contra fraudes e abusos.

Golpes aplicados a P2P ou C2C Marketplaces 
Dependendo do tipo de mercado, a fraude em um marketplace pode assumir algumas formas diferentes. Por exemplo, em plataformas Peer-to-Peer (P2P) ou Consumer-to-Consumer, ou seja, aquelas em que dois consumidores finais podem fazer negócio entre si, como Craigslist nos EUA, a OLX ou Facebook Marketplace, por exemplo, os métodos comuns de fraude incluem listagens falsas de serviços e produtos, anúncios falsos, bait and switch, ou, em português, fisgar e trocar, e engenharia social. 

Um exemplo comum de golpe de listagem falsa é quando alguém publica um item à venda por um preço muito baixo, apenas para atrair a atenção dos compradores e desaparecer quando o pagamento for efetuado. Em um esquema de bait and switch,  um vendedor pode listar um produto, mas enviar outro ao comprador, geralmente de qualidade muito inferior, ou seja, fisgou o consumidor com algo, mas trocou o item adquirido por outro.

Um exemplo de golpe de engenharia social seria o fraudador utilizar-se de uma plataforma de aluguel ou venda de imóveis para convencer os usuários a divulgarem informações confidenciais, como números de previdência social, endereços residenciais e mais. 

Golpes aplicados a marketplaces B2C 
As plataformas business to consumer (B2C) muitas vezes enfrentam problemas como listagens falsas, avaliações falsas que inflacionam artificialmente a classificação de produtos e vendedores, descrições imprecisas ou produtos que nunca são enviados depois que o comprador paga por eles.

Outros tipos de fraude em plataformas de marketplace ou ecommerce
Algumas formas de aplicar fraudes nestas plataformas são compartilhadas entre diferentes tipos de negócios. Por exemplo, preocupações comuns em plataformas P2P, B2B e B2C incluem fraude de cartão de crédito, roubo de contas, criação de contas falsas, lavagem de dinheiro e golpes de phishing.

Os marketplaces e ecommerces exigem que os usuários verifiquem sua identidade por vários motivos, o que inclui evitar fraudes e cumprir as leis criadas para coibir lavagem de dinheiro. Os processos de verificação de identidade variam em complexidade, mas geralmente incluem verificação de e-mail e telefone, identificação através de selfie e documentos, verificação de endereço e verificação biométrica.

Embora estes métodos sejam úteis para confirmar a identidade do usuário, podem ser vulneráveis ​​à manipulação ou violações de segurança. Neste tópico, exploraremos os métodos atuais de verificação de identidade usados ​​pelas plataformas e como, às vezes,  falham em fornecer uma confirmação confiável da identidade do usuário.

Verificação de e-mail e telefone 
A verificação de e-mail e telefone são dois dos métodos mais básicos e comumente utilizados ​​para verificar novas contas. Na verificação de e-mail, o usuário irá inserir seu endereço de e-mail ao se registrar em uma conta, o sistema então envia para esse endereço de e-mail uma mensagem automática com um código de validação que pode ser usado para ativar a conta. A verificação por telefone funciona de forma semelhante: o usuário é solicitado a fornecer um número de telefone, para o qual é enviada uma mensagem automática com um código de validação, geralmente por SMS ou, atualmente também por aplicativos de mensagens.

Uma vez inserido o código, a conta do usuário é verificada e ele pode começar a usar a plataforma. A verificação por e-mail e telefone é relativamente fácil de implementar e fornece algum nível de garantia de que alguém é quem diz ser.

No entanto, nenhum desses métodos é infalível, pois é possível que fraudadores criem endereços de e-mail e números de telefone falsos ou ainda que estejam de posse de dados de terceiros e utilizem-na para criar contas e obter vantagens estando atrás de outra identidade. 

Comparação de identificação com foto e selfie 
A verificação de identificação com foto e a comparação de selfies são dois métodos mais avançados usados ​​para verificar contas de usuários em marketplaces e ecommerces. Com a verificação de identidade com foto, os usuários são solicitados a enviar uma foto de seu documento de identidade emitido pelo governo (como carteira de motorista, RG ou passaporte). A plataforma então verifica as informações em um banco de dados, como no caso dos bureaus de crédito, para confirmar se a conta está associada a uma pessoa real.

A comparação de selfies funciona de forma semelhante, mas em vez de verificar a identidade em um banco de dados, a plataforma compara a foto do documento com uma tirada pela câmera ou smartphone do usuário.

Para fins de verificação, carregar uma foto oficial ou tirar uma selfie são etapas que acrescentam alto nível de fricção ao processo. Além disso, com o avanço da inteligência artificial e dos deepfakes, o reconhecimento facial e mesmo a prova de vida (piscar, sorrir, entre outras ações), comumente utilizados neste tipo de verificação, se tornarão mais vulneráveis a ataques de falsificação.

Verificação de endereço 
A verificação de endereço também pode ser usada para verificar contas de usuários em marketplaces e ecommerces. Para fazer isso, a plataforma exige que os usuários insiram seu endereço ao se registrarem para uma conta. O sistema então verifica esse endereço em bancos de dados para garantir que ele exista e esteja associado a um usuário legítimo. Isto ajuda a prevenir atividades fraudulentas, pois torna mais difícil para alguém criar uma conta falsa usando informações falsas.

No entanto, a verificação de endereço utilizando bases de dados estáticas tem muitas deficiências, principalmente lacunas associadas à atualização dos dados - quão corretos e atualizados estão e se cobrem todos os territórios em que essas plataformas operam, nacional e internacionalmente. Por exemplo, os Estados Unidos têm uma base de dados central de endereços através de organizações como o Serviço Postal dos Estados Unidos ou o Departamento de Veículos Motorizados, mas estas organizações não são padrão em todos os países, o que representa um problema imediato para as empresas globais que necessitam realizar o processo de verificação de endereço dos seus usuários. Se não houver um banco de dados público em que se possa confiar, as empresas terão que gastar muito para pagar por assinaturas privadas. 

Além disso, nem todos os indivíduos estão cobertos por estes tipos de bases de dados. Por exemplo, menores que moram com os pais e ainda não têm idade suficiente para dirigir podem não ter um registro oficial com o qual o sistema de verificação de endereço possa comparar suas informações, o que pode resultar em um falso positivo.

Por último, se as informações do banco de dados estiverem desatualizadas (por exemplo, se alguém se mudou recentemente), isso pode resultar em falsos positivos ou na aprovação de usuários ilegítimos por se basearem em informações antigas. 

Verificação biométrica 
A verificação biométrica está se tornando cada vez mais popular como método de verificação de identidade em marketplaces e ecommerces. Envolve o uso de dados biométricos, como impressão digital ou digitalização facial, para verificar a identidade de alguém que se registra em uma conta. Semelhante à verificação de endereço, os dados biométricos são comparados com bancos de dados, muitas vezes oficiais, a depender do país, para verificar se o usuário é quem afirma ser.

Dependendo do tipo de verificação biométrica, no entanto, este método pode ser vulnerável a ataques de “spoofing” ou falsificação, nos quais um invasor envia dados biométricos falsos ou manipulados para enganar o sistema e fazê-lo conceder-lhes acesso. Por exemplo, no caso do reconhecimento facial, alguém pode usar um vídeo com tecnologia de deepfake, gerado por computador, para simular o rosto, voz ou ambos da vítima, de modo a enganar o sistema de autenticação e receber a aprovação no processo de autenticação. 

Os usuários hoje esperam simplicidade, conveniência e facilidade ao se conectarem para usar uma nova plataforma. Portanto, é crucial equilibrar a segurança com o mínimo de fricção. Por mais seguros que sejam métodos como a verificação de identidade com foto ou a prova de vida, eles podem ser frustrantes para usuários que esperam uma experiência mais conveniente, que não impõe barreiras ao uso. Muita fricção adicionada ao processo de abertura de contas ou durante toda a jornada digital do usuário podem afastar os usuários de uma plataforma, prejudicando os números de aquisição e retenção de clientes. 

Ao mesmo tempo, sacrificar a segurança do usuário não é uma opção. É por isso que as melhores soluções de verificação de identidade do mercado são sempre aquelas que conseguem combinar baixa fricção com alta segurança.

O que torna um método de verificação de identidade frustrante para os usuários? 
A verificação de identidade passiva é um método de verificar contas de usuários sem solicitar ativamente informações adicionais do usuário. Os exemplos incluem verificação biométrica, onde o dispositivo lê automaticamente o rosto, impressão digital, voz ou comportamento de um usuário para verificação.

A verificação ativa de identidade, por outro lado, envolve pedir proativamente aos usuários que forneçam informações para verificar sua identidade. Os exemplos incluem comparação de identidade com foto, em que o usuário é solicitado a fazer upload de uma foto de sua identidade emitida pelo governo (como carteira de motorista, RG ou passaporte) e tirar uma selfie no momento da validação para comparação. Outro exemplo pode ser pedir ao usuário para recuperar e inserir um código enviado por telefone ou e-mail.

A verificação ativa de identidade pode ser frustrante para os usuários, pois requer etapas extras, às vezes complexas, no processo. Imagine que você estava sentado confortavelmente em seu escritório tentando se inscrever para um novo serviço online, quando de repente lhe é solicitada a conclusão da verificação por foto. Você pode ter que se levantar da cadeira, procurar seu documento de identidade oficial, trazê-lo de volta ao computador e tirar fotos dele e de você mesmo, tudo para um processo que você esperava que levasse apenas alguns cliques.

Outros fatores que podem tornar a verificação de identidade frustrante para os usuários incluem a preocupação com a privacidade e a proteção dos seus dados, afinal, os usuários podem se sentir desconfortáveis em compartilhar informações pessoais com a plataforma, e o tempo que leva para concluir o processo. Nenhum usuário quer ficar preso em um loop interminável de solicitações de verificação.


Por que os marketplaces devem usar a verificação de endereço em tempo real no processo de verificação de identidade? 
A verificação de endereço em tempo real é uma forma altamente eficaz de verificação de identidade sem fricção e que pode ser usada para verificar contas de usuários em marketplaces e plataformas de ecommerce. Neste método, os usuários inserem seu endereço ao se registrar para uma conta, e o sistema verifica o endereço em tempo real em relação aos seus dados de geolocalização.

A maioria das pessoas realiza transações sensíveis e acessa contas a partir de uma localização confiável, como sua casa ou trabalho, o que torna esse método eficaz para validar usuários sem exigir uma autenticação adicional, apresentação de comprovante de residência ou alguma outra ação. O contexto adicional fornecido pela localização também permite que as plataformas bloqueiem pessoas que fazem login em locais anteriormente associados a fraudes ou em locais que concentram dispositivos comprometidos.

A tecnologia proprietária de gelocalização da Incognia fornece esse tipo de dado de localização em tempo real, com precisão e resistente à falsificação (como no caso de GPS spoofing ou emulador), o que significa que mesmo se alguém tentar enganar o sistema manipulando suas informações de localização, a tecnologia da Incognia é capaz de detectar a tentativa de comprometer o dispositivo e retornar uma avaliação de alto risco. 

Usar um marketplace ou uma plataforma de ecommerce não deveria parecer uma aposta para consumidores e vendedores, mas também não deveria ser como correr por um percurso cheio obstáculos apenas para obter a verificação de identidade e poder concluir o processo de onboarding. O uso de métodos de verificação e autenticação de identidade sem fricção e à prova de manipulação pode ajudar as plataformas a gerenciarem as expectativas dos usuários, mantendo ao mesmo tempo um alto nível de confiança e segurança.