A peneira perfeita: construindo um sistema de antifraude
O objetivo desse post é explicar como estamos construindo nosso sistema de antifraude. Se você não é dev não precisa se preocupar: a construção será analisada de um ponto de vista mais metafísico (como decidimos o que fazer, ao invés de como implementamos).
Oi, eu sou a Viviane, dev full stack aqui no aiqfome. Já fiz muita coisa por aqui, mas meu gosto por banco de dados acabou me levando ao time de antifraude. Hoje eu vou falar um pouco mais sobre como tomamos decisões e as dificuldades que temos que superar no dia a dia. Para entender nossa jornada, é importante primeiro entender como a fraude apareceu nas terras do fantasminha.
O aiqfome existe desde novembro de 2007, mas lançou sua primeira versão com pagamento online só em 24 de abril de 2018. Recebeu seu primeiro pedido de chargeback em 16 de maio, menos de um mês depois. Daí em diante a empresa teve muitos meses de taxas altíssimas de chargeback, até que encontrássemos um antifraude eficiente para nosso modelo de negócio. Isso aconteceu porque durante o desenvolvimento da plataforma nós continuamente subestimamos a habilidade do ser humano em tirar vantagem de qualquer situação.
Na primeira versão, inocentes que éramos, praticamente desconsideramos a necessidade de um sistema de antifraude. Parecia óbvio: nosso ticket médio é baixo, uma pessoa não pode pedir quantidades muito grandes de comida (comida estraga, afinal de contas), a entrega é feita diretamente pelo restaurante, que notaria qualquer coisa de errado, e assim por diante. Ninguém iria querer fraudar esse tipo de negócio. Difícil descrever o quanto estávamos redondamente enganados. Nessa fase tivemos os mais diversos e bizarros tipos de pedidos se transformando em chargeback: compras de R$200,00 em croissant, um x-salada com adicional de vinte e sete (!) potinhos de maionese caseira e, principalmente, bebidas. Houveram casos de compra, por exemplo, de duas garrafas de uísque (totalizando cerca de R$300,00) ou de três caixas fechadas de cerveja, entre muitos outros. Por sorte essa versão estava disponível apenas na cidade sede.
Aqui, ficou claro que tudo que havíamos assumido estava errado: ticket médio não significa necessariamente valor do ticket, uma vez que nada impede pedidos de valores muito altos; comida realmente estraga, mas bebidas não; por fim, o restaurante, no meio da correria do dia a dia e na certeza de que vai receber o dinheiro pago online (o prejuízo da fraude não pode, por lei, ser repassado a ele), dificilmente vai perceber algo “estranho”.
Com essas informações em mãos construímos a segunda versão. Nela, fizemos adaptações para nos proteger dos casos que nos chamaram mais atenção na primeira versão. Pelos dados que possuíamos, acreditamos que o que acontecia no nosso sistema é o que chamamos de auto-fraude: o cliente pede no próprio cartão e depois contesta as transações (que é o que faz mais sentido se estamos falando de comida). Ao fazer isso esbarramos na principal preocupação de qualquer sistema de antifraude, que nos acompanha até hoje: como diferenciar meus clientes reais dos clientes fraudulentos, e, principalmente, como não punir clientes reais na procura de clientes fraudulentos.
Podemos considerar esse equilíbrio como uma peneira, que pode ter uma trama mais aberta ou mais fechada. Se a trama for aberta demais nada vai ser barrado por ela. Por outro lado, se for apertada demais, o prejuízo de acabar barrando quem deveria passar supera o lucro de estar barrando corretamente as fraudes. Para exemplificar esse conceito podemos pensar no extremo absoluto: se não tivermos pagamento online não teremos fraude, mas também teremos bloqueado todas as transações boas (a trama da peneira está apertada demais).
Na segunda versão optamos por uma trama mais aberta. Isso porque, como empresa acreditamos que devemos manter o atrito com o usuário no menor nível possível. Precisamos que o usuário consiga se cadastrar e pedir rapidamente, porque comida é uma necessidade imediata. Por isso, nossa principal preocupação era não perder transações de usuários bons. Definimos um padrão bem abrangente de comportamento para os nossos usuários, e bloqueamos aquilo que fugia muito do padrão. Com isso, bloqueamos os pedidos absurdos da primeira versão, e, nos julgando preparados, lançamos o sistema de pagamento online para outras cidades.
Nessa fase tivemos uma noção mais verdadeira do que realmente é o mundo de compras online: se você está vendendo qualquer coisa, existe alguém, em algum lugar, que vai encontrar uma forma de tirar vantagem disso. Começamos a ter, por exemplo, usuários que faziam 10 pedidos por dia, tinham 80 contas, 120 cartões e outros números absurdos. Usuários com esse volume de contas/cartões não se tratam de usuários reais fazendo auto-fraude, mas sim de fraudadores profissionais, que clonam cartões. O que eles fazem com toda a comida é um mistério até hoje.
Fomos, então, notificados pela visa e entramos no programa de volume alto de chargeback. Isso significa que tínhamos 6 meses para baixar drasticamente nosso volume de fraude, ou passaríamos a ser multados pela bandeira a cada chargeback recebido. Era a hora de fechar a trama. Como não possuíamos expertise em fraude, contratamos uma consultoria, que nos ajudou a calibrar as regras de bloqueio de pedidos na nossa adquirente de pagamento online. É importante notar que esse trabalho foi feito em conjunto, uma vez que precisávamos explicar detalhadamente o que queríamos e como nosso negócio funcionava; apenas deixar a responsabilidade nas mãos deles não seria o suficiente para garantir o melhor equilíbrio possível. Também contratamos um suporte de antifraude, responsável por analisar os chargebacks recebidos, contatando quem os fez e identificando padrões novos de comportamento. A fase três efetivamente consistiu nos contatos e adaptação contínua das regras. Essas medidas simples conseguiram nos levar a níveis bem baixos de fraude, e nos tirar do programa de chargeback da visa.
Além disso, vimos como necessário iniciar negociações com empresas especializadas em prevenção de fraude. Elas são a solução adotada pela maioria dos vendedores, pois eliminam uma grande parte das preocupações com o assunto. Ao analisar os custos, entretanto, percebemos que devido ao nosso ticket médio essa opção era inviável no momento. Havia também o agravante de que grande parte da garantia dada por eles provinha de análise manual de pedido, e nosso negócio não nos dá o luxo de fazer o cliente esperar até 24h para ter sua compra aprovada. Decidimos, então, agrupar as regras que conhecíamos e desenvolver um antifraude próprio. Esse antifraude consistiria em um conjunto de regras estabelecidas pelo nosso conhecimento acumulado que nos ajudaria a bloquear clientes ruins, funcionando como um auxiliar para as regras de bloqueio de pedidos da adquirente.
Na fase quatro o sistema de antifraude teve sua primeira versão finalizada, e está atualmente em fase de análise de resultados para melhoria. Nessa fase, percebemos a importância de alinhar todas as ferramentas de forma que não existam regras duplicadas e que uma delas não atrapalhe a outra. Se esse equilíbrio não estiver correto, podemos acabar com uma situação pior do que se tivéssemos apenas uma ferramenta. Acreditamos, até agora, que algumas regras não são tão significativas para o nosso negócio, e devem ser alterada conforme conhecemos melhor nosso contexto e nos sensibilizamos a ele.
A meu ver, a principal lição a se levar dessa jornada, até o momento, é uma única palavra: atenção. Esteja sempre atento a padrões e a tudo que pode fugir deles, pois é essa atenção que vai garantir que você possui a peneira perfeita (pelo menos momentaneamente).
Caso você esteja se perguntando, esse post foi ilustrado com gifs do programa Febre do Ouro (Gold Rush). Caso sua pergunta seja outra ou você tenha algo a dizer, pode me mandar um Oi no LinkedIn.
