Frode sui rimborsi e serial returner: un approccio basato sul grafo dei dispositivi
La frode sui rimborsi e i serial returner sfruttano i punti ciechi a livello di account. Un grafo dei dispositivi collega account, indirizzi e pagamenti che un operatore usa per industrializzare resi, wardrobing e reclami a scatola vuota.
La frode sui rimborsi è la categoria in cui la maggior parte dei retailer investe troppo poco, perché si nasconde dentro una metrica che vogliono mantenere alta — l'accettazione dei resi — e perché le perdite arrivano un reclamo alla volta anziché in un singolo chargeback drammatico. Un serial returner che costa a un commerciante qualche centinaio di dollari al mese non fa scattare alcuna soglia. Mille di loro, coordinati o meno, sono una voce di bilancio.
Questo articolo parla di come rilevare la fascia coordinata e semi-coordinata di quello spettro usando un grafo dei dispositivi: la struttura che collega gli account, i metodi di pagamento e gli indirizzi di spedizione che un singolo operatore usa per industrializzare i resi. Il pubblico sono i team frodi e rischio delle piattaforme e-commerce e marketplace che già eseguono controlli sulla frode nei pagamenti al checkout e ora guardano più a valle, all'imbuto dei resi.
Cosa conta come frode sui rimborsi?
La frode sui rimborsi è qualsiasi reso o richiesta di rimborso che recupera un valore a cui il cliente non ha diritto, sia attraverso l'inganno sia attraverso l'abuso della policy. È uno spettro, e separare le fasce conta perché la risposta differisce in ciascuna.
All'estremo benigno: i resi onesti. Un cliente ha comprato la taglia sbagliata, l'articolo non corrispondeva all'annuncio, è arrivato danneggiato. Questo è il costo di fare impresa e ciò che le policy di reso generose sono progettate ad assorbire. Non vuole combattere questo.
Nel mezzo: l'abuso opportunistico. Wardrobing — comprare un vestito, indossarlo una volta, restituirlo. Abuso del fit-finder — ordinare cinque taglie con l'intenzione di restituirne quattro, su larga scala, a ogni ordine. Serial returning in cui il tasso di reso è così alto che il cliente sta di fatto noleggiando l'inventario. Questo è comportamento individuale, di solito non coordinato, e la risposta giusta è la policy: commissioni di reso, condizioni di riassortimento, finestre più strette per gli account segnalati.
All'estremo organizzato: i gruppi di frode. Reclami a scatola vuota (segnalare che il pacco è arrivato vuoto), reclami di mancata consegna (DNA) su pacchi consegnati, falsi reclami di danno con prove riciclate, scambi con reso dell'articolo sbagliato (restituire un sasso, tenere il telefono) e doppi incassi rimborso-poi-chargeback. Queste operazioni gestiscono molti account, fanno ruotare metodi di pagamento e indirizzi e trattano il flusso di rimborso come una fonte di reddito. È qui che il rilevamento automatizzato si ripaga.
Il grafo dei dispositivi è più prezioso contro le fasce di mezzo e organizzata, perché entrambe condividono una proprietà che la fascia onesta non ha: un operatore dietro molte identità.
Perché i controlli a livello di account mancano i serial returner
I controlli a livello di account mancano i serial returner perché l'abuso è definito a livello di persona, non di account, e un abusatore determinato controlla molti account. Il suo flag sul tasso di reso dell'account A non dice nulla sul fatto che gli account A, B, C e D sono la stessa persona sullo stesso laptop, ciascuno tenuto appena sotto la soglia di segnalazione.
Questo è lo stesso punto cieco che il rilevamento del multi-account affronta sul lato registrazione, applicato al lato resi. L'account è l'unità di analisi sbagliata. Un abusatore che comprende la sua soglia sul tasso di reso distribuirà semplicemente i suoi resi su un numero sufficiente di account da restare sotto la soglia su ciascuno. Se la sua soglia è un tasso di reso del 40%, gestisce cinque account al 35% ciascuno. Ogni account sembra accettabile; l'operatore sta restituendo un terzo di tutto ciò che ordina.
Nemmeno l'email e il metodo di pagamento colmano il divario. L'email è gratuita e infinita. I metodi di pagamento sono economici — carte prepagate, carte virtuali e carte regalo sono abbondanti, e un'operazione organizzata tratta una carta bruciata come uno spammer tratta un dominio bruciato. L'indirizzo di spedizione sembra più duraturo, ma i servizi di reshipper, gli indirizzi di package-forwarding e i magazzini di freight-forwarding permettono a un operatore di presentare decine di punti di consegna dall'aspetto distinto.
Ciò che sopravvive attraverso tutto questo è l'ambiente hardware e di rete da cui l'operatore lavora effettivamente. Può ruotare l'email, la carta e l'indirizzo a ogni ordine, ma è comunque seduto a un insieme finito di dispositivi su un insieme finito di reti. Il grafo dei dispositivi è la chiave di join che i dati di account trattengono deliberatamente.
Come un grafo dei dispositivi collega lo schema
Un grafo dei dispositivi collega l'abuso sui rimborsi risolvendo ogni account, ordine e reclamo fino al dispositivo e all'ambiente di rete che lo ha prodotto, per poi esporre i cluster in cui un'impronta hardware si dirama su molte identità. È la stessa analisi del grafo dei dispositivi sottostante usata per il collegamento degli account, orientata al problema dei resi.
Il punto di partenza è un identificatore di dispositivo stabile che sopravvive ai tentativi di evasione dell'operatore. I cookie non bastano — vengono cancellati tra un account e l'altro da chiunque faccia questo deliberatamente. Un'impronta del dispositivo costruita da segnali di browser, hardware, rete e comportamento produce un identificatore che persiste attraverso storage cancellato, sessioni in incognito e creazione di nuovi account. (La meccanica della costruzione di quell'identificatore è trattata in come funziona il fingerprinting del dispositivo; in breve, si tratta di una corrispondenza probabilistica su molti segnali, non di un singolo token memorizzato.)
Con un identificatore di dispositivo persistente collegato a ogni account e ogni reclamo, gli archi del grafo che contano per la frode sui rimborsi diventano visibili:
Un dispositivo, molti account. Una singola impronta del dispositivo associata a cinque, dieci o cinquanta account è il segnale strutturale primario. Una famiglia che condivide un computer domestico produce due o tre account collegati; un'operazione di serial returning ne produce decine, e gli account hanno un comportamento di reso correlato.
Molti metodi di pagamento, un dispositivo. L'arco inverso. Quando dieci carte diverse — BIN diversi, nomi diversi — transano tutte dallo stesso dispositivo, la storia dei «clienti diversi» crolla. I dispositivi condivisi legittimi vedono un insieme piccolo e stabile di metodi di pagamento; le operazioni di abuso ne consumano in continuazione.
Raggruppamento degli indirizzi per dispositivo. Gli indirizzi di reshipper e forwarding sembrano non correlati nel campo indirizzo ma convergono sulle stesse impronte del dispositivo. Il grafo rivela che «dodici clienti che spediscono a dodici indirizzi» sono un unico operatore i cui pacchi passano tutti attraverso lo stesso magazzino di forwarding, ordinati dagli stessi due laptop.
Correlazione comportamentale attraverso il cluster. Gli account in un cluster di dispositivi non condividono solo l'hardware — condividono il comportamento. Tempistica degli ordini simile, categorie di prodotto simili, motivi di reso inseriti in un linguaggio simile. Un cluster in cui ogni account presenta reclami «articolo arrivato danneggiato» a un tasso del 30% non è una coincidenza.
L'output non è un singolo punteggio di frode. È una struttura collegata: questo reclamo proviene da un account che appartiene a un cluster di undici account su tre dispositivi che hanno collettivamente presentato quarantadue reclami di reso per un importo noto in dollari, con un tasso di reso ben al di sopra della baseline. Quella struttura è ciò che rende la decisione di un revisore manuale rapida e difendibile.
Dove fare lo scoring: al momento dell'ordine o al momento del reclamo?
Faccia lo scoring al momento del reclamo. La frode sui rimborsi si rivela nel reso, non nell'acquisto, e fare lo scoring al momento del reclamo significa decidere con il contesto completo della cronologia dei resi dell'account — e del cluster — anziché tirare a indovinare al checkout.
Al momento dell'ordine si sa molto poco che sia predittivo dell'abuso sui rimborsi. L'ordine sembra normale; il pagamento viene autorizzato; l'articolo viene spedito. Bloccare al momento dell'ordine sul sospetto di cluster di dispositivi significa bloccare acquisti legittimi di persone che semplicemente condividono un dispositivo, il che è un cattivo scambio — si perde fatturato reale per prevenire un reso che potrebbe non arrivare mai.
Al momento del reclamo, il quadro è completo. Si conosce il tasso di reso dell'account, il tasso di reso del cluster, il tipo specifico di reclamo (un reclamo DNA su un pacco consegnato e firmato è categoricamente diverso da un reso per taglia sbagliata) e se questo cluster di dispositivi ha una cronologia dello stesso tipo di reclamo. È anche qui che l'abuso è costoso: un reclamo a scatola vuota o DNA su un gruppo organizzato è una perdita diretta di denaro, ed è esattamente il tipo di reclamo che una cronologia collegata al dispositivo espone.
In pratica, questo significa eseguire gli smart signals e la ricerca sul grafo dei dispositivi come parte del workflow di resi e reclami, non solo al checkout. Il verdetto alimenta una risposta graduata anziché un blocco binario:
- Rischio basso: approvi automaticamente il rimborso. La stragrande maggioranza dei resi. Non aggiunga attrito ai clienti onesti.
- Rischio elevato (schema di abuso individuale): sposti l'account su un livello di policy più rigido — commissioni di reso, richieste di prove, finestre più brevi — senza accusare nessuno. Il wardrobing e il serial returning sono problemi di policy, e la policy è lo strumento proporzionato.
- Rischio alto (segnali di gruppo organizzato): instradi alla revisione manuale con il contesto completo del cluster di dispositivi allegato. Richieda la prova del reclamo (foto, conferma del corriere). Trattenga il rimborso in attesa della revisione anziché emetterlo automaticamente.
Il grafo dei dispositivi non prende la decisione finale su alcun singolo reclamo. Rende completo il contesto del revisore e trasforma un flusso di reclami dall'aspetto individualmente innocente in uno schema leggibile.
Quali segnali del dispositivo contano di più per l'abuso sui resi
I segnali che discriminano l'abuso sui rimborsi sono quelli che rivelano un operatore dietro molte identità e un ambiente dietro molti reclami — collegamento del dispositivo, contesto di rete e coerenza comportamentale attraverso un cluster.
Il collegamento del dispositivo è il fondamento, come descritto sopra: l'identificatore persistente che connette account, carte e indirizzi. Senza di esso, nient'altro nel grafo è ancorato.
Il contesto di rete aggiunge una seconda dimensione. Il livello IP intelligence distingue una connessione residenziale da un data center, una VPN o un proxy residenziale. Le operazioni di reso organizzate lavorano spesso da infrastruttura di hosting o ruotano attraverso proxy per far apparire i loro account geograficamente diversi — e quell'infrastruttura è essa stessa un segnale. Un cluster di account che condivide un dispositivo e transa anche da IP di proxy è uno schema più forte del solo collegamento del dispositivo.
La coerenza comportamentale è la terza. I reclami di un'operazione di resi genuina portano impronte linguistiche e procedurali — lo stesso fraseggio nei campi del motivo di reso, gli stessi tipi di reclamo, la stessa tempistica rispetto alla consegna. Quando i reclami di un cluster di dispositivi sono comportamentalmente uniformi, quell'uniformità è la prova di una singola mano.
Il motivo per combinarli anziché affidarsi a uno solo: ciascuno è evitabile indipendentemente, ma la coerenza attraverso tutti è difficile da falsificare. Un operatore può falsificare un segnale del dispositivo, o passare attraverso un proxy residenziale, o variare il linguaggio dei reclami — ma fare tutte e tre le cose in modo coerente su decine di account, a ogni ordine e a ogni reclamo, è abbastanza costoso da smettere di essere redditizio. È lo stesso principio di coerenza ambientale che sta alla base dell'intelligence dei dispositivi in generale, applicato all'economia specifica dei resi.
Cosa cambia operativamente
Adottare una visione dei resi basata sul grafo dei dispositivi cambia tre cose. Primo, l'unità di analisi si sposta dall'account all'operatore, che è l'unico livello a cui il serial returning è persino visibile. Secondo, le decisioni di rimborso acquisiscono una cronologia — un reclamo per la prima volta da un account in un cluster abusivo di lunga vita viene trattato con il contesto che il cluster fornisce, non come una tabula rasa. Terzo, la risposta diventa graduata e difendibile: livelli di policy per l'abuso individuale, revisione manuale con prove per i gruppi organizzati e nessun attrito aggiunto per la maggioranza onesta.
Nulla di questo richiede di accusare i clienti o di bloccare nettamente i resi. Richiede di sapere quali reclami provengono dalle stesse mani e di trattare uno schema coordinato diversamente da uno isolato.
Tracio fornisce l'identità di dispositivo persistente e il collegamento del grafo dei dispositivi da cui questo approccio dipende — un identificatore visitatore stabile che sopravvive a cookie cancellati e nuovi account, il contesto di rete dall'IP intelligence e gli smart signals che fanno emergere il raggruppamento account-dispositivo e pagamento-dispositivo. Il verdetto e i segnali sottostanti tornano in meno di 50ms al momento del reclamo, con il cluster collegato disponibile per il revisore.
Vuole vedere come un grafo dei dispositivi espone i serial returner nei suoi stessi dati sui resi?
Avvii la sua prova gratuita — 2.500 verifiche gratuite, nessuna carta di credito richiesta. Prenoti una demo per esaminare il rilevamento della frode sui rimborsi contro il suo specifico imbuto dei resi e modello di policy.