Nos últimos anos, academias de ginástica passaram a ser alvo de diferentes tipos de fraudes envolvendo cartões de crédito. Isso acontece porque elas oferecem serviços digitais (como matrículas online, planos recorrentes e vendas avulsas) que permitem que criminosos testem ou utilizem cartões roubados de forma relativamente simples.
Os dois tipos de fraude mais comuns nesse contexto são o card testing e a triangulation fraud. Entenda como funcionam:
Card Testing
O que é
O card testing acontece quando criminosos obtêm dados de cartões roubados ou gerados ilegalmente e fazem pequenas transações online apenas para verificar se esses cartões estão ativos e podem ser usados em compras maiores.
Como funciona na prática
O fraudador utiliza o site de matrícula ou de pagamento da academia para tentar registrar transações de baixo valor.
Ele não está interessado em usar os serviços da academia, o seu objetivo é apenas confirmar se o cartão funciona.
Uma vez aprovado, esse cartão é usado em outras compras, geralmente de maior valor, em outros estabelecimentos.
Geralmente, os perfis criados possuem nomes fictícios e, muitas vezes, palavras inventadas ou caracteres embaralhados.
Impactos para a academia
Geração de múltiplas transações fraudulentas, que podem aumentar custos com estornos (chargebacks).
Risco de bloqueio ou penalidades no adquirente, caso o volume de fraude seja elevado.
Experiência negativa para clientes legítimos, que podem ser confundidos com fraudadores.
Número elevado de cadastros falsos, que levam à necessidade do estorno da transação e exclusão da venda e cadastro, gerando volumoso trabalho manual.
Triangulation Fraud
O que é
Na triangulation fraud, o criminoso cria um “esquema” em três partes: o cliente real, o fraudador e a academia (ou outro estabelecimento legítimo).
Como funciona na prática
O fraudador anuncia planos de academia ou produtos relacionados em redes sociais, ou sites paralelos, geralmente com preços muito abaixo do normal.
Um cliente real, atraído pelo preço, paga ao fraudador.
O fraudador então usa um cartão de crédito roubado para comprar esse plano ou serviço diretamente no site da academia, colocando os dados reais do cliente.
O cliente passa a usar o serviço, sem saber que ele foi adquirido de forma ilícita.
Impactos para a academia
O serviço é prestado normalmente, mas o pagamento feito com cartão roubado acaba sendo estornado.
A academia perde a receita e ainda arca com custos de chargeback.
Existe risco de desgaste de imagem, já que o cliente real pode se sentir enganado ao descobrir que o acesso foi feito de forma fraudulenta.
Como se proteger
Para o card testing
Ativar um serviço de antifraude no gateway de pagamentos: ele analisa informações adicionais do comprador (nome, CPF, endereço, telefone, e-mail) além dos dados básicos do cartão.
Monitorar volume de tentativas: um número anormal de transações rejeitadas em sequência pode indicar testes de cartões.
Habilitar no Evo o envio de e-mail para cadastro de novas oportunidades: disponível no menu Configurações - Autoatendimento. Dessa forma, uma etapa a mais é exigida para validar o cadastro. Apesar de ser uma barreira, não inviabiliza totalmente o card testing, uma vez que os criminosos criam contas de e-mail fictícias para burlar essa validação.
Para a triangulation fraud
Comunicar claramente os canais oficiais de venda: site da academia, aplicativo ou balcão.
Monitorar cadastros suspeitos: planos comprados por terceiros em grande quantidade podem ser sinal de fraude.
Treinar equipe de atendimento para identificar clientes que chegam com ofertas de sites ou anúncios paralelos.
Habilitar no Evo a opção Bloquear acesso após cadastrar um novo cartão: disponível em Configurações - Autoatendimento. Com essa opção, sempre que um cliente adicionar um novo cartão (em pagamentos de pendências ou cadastro), ele terá o acesso bloqueado e precisará apresentar o cartão na recepção. A equipe confere a posse do cartão e libera manualmente o bloqueio, garantindo mais segurança.
Bloquear acesso de clientes com chargeback: sempre que houver um chargeback, o acesso do cliente deve ser bloqueado até que ele compareça na recepção, justifique o ocorrido e cadastre um novo cartão válido. Isso evita que usuários que alegaram desconhecer uma transação continuem utilizando os serviços da academia sem regularizar a situação.
Conclusão
Fraudes como o card testing e a triangulation fraud podem trazer prejuízos financeiros e de imagem para academias de ginástica. A melhor forma de se proteger é combinar tecnologia antifraude, ferramentas do EVO e processos internos bem definidos.
Se você já é cliente EVO e utiliza também a Stone como adquirente pode contar com o antifraude da Pagar.me sem custo adicional. Para ativar, entre em contato com o nosso time de atendimento.
