Wprowadzenie: realny problem, nie teoria

Dlaczego coraz więcej sklepów mierzy się z zalewem podejrzanych transakcji

Fałszywe zamówienia potrafią zrujnować marżę, zablokować zasoby obsługi klienta i wypaczyć wyniki kampanii reklamowych. Przychodzą falami, wyglądają niewinnie, a po chwili okazuje się, że to próby kradzieży, testowania skradzionych kart albo boty generujące koszykowe śmieci. Jeśli prowadzisz e‑commerce, prawdopodobnie już to znasz: nagły wzrost odrzuconych płatności, paczki wracające z „pobrania”, chargebacki po kilku tygodniach. Dobra wiadomość? Da się ten chaos uporządkować i w znacznym stopniu ograniczyć.

Fałszywe zamówienia: co to jest i z czego wynikają

Rodzaje oszustw i ich motywacje – poznaj przeciwnika

Pod jednym parasolem „fałszywych zamówień” kryje się kilka zjawisk:

• Oszustwa kartowe (card‑not‑present): użycie skradzionych danych płatniczych do zakupu i szybkiej odsprzedaży towaru.
• Friendly fraud (niefortunnie nazwany „życzliwy”): klient dokonuje zakupu, a potem zgłasza chargeback, twierdząc, że „to nie ja”.
• Zasypywanie sklepu zamówieniami testowymi: boty lub konkurencja generują puste/nieopłacone koszyki, by sparaliżować obsługę lub badać dostępność.
• Płatność przy odbiorze (pobranie) bez zamiaru zapłaty: towar wraca, a koszty logistyki i pakowania zostają po stronie sklepu.
• Tożsamości syntetyczne i „muły” wysyłkowe: kombinacje fałszywych danych do odbioru i dalszego przerzutu.

Motywacja jest prosta: szybki zysk i minimalne ryzyko. Dlatego zabezpieczenia muszą być zwinne, a nie wyłącznie „sztywne” i utrudniające życie uczciwym klientom.

Najczęstsze sygnały ostrzegawcze

Czerwone flagi, które powinny uruchomić czujność

Zwróć uwagę na wzorce, które statystycznie łączą się z wyższym ryzykiem:

• Niezwykłe wartości koszyka (bardzo wysokie albo podejrzanie niskie przy wielu sztukach).
• Ekspresowa dostawa do paczkomatu lub punktu odbioru oddalonego od adresu rozliczeniowego.
• Kilkukrotne nieudane próby płatności przed finalizacją.
• Różnice między krajem IP, krajem karty i krajem dostawy.
• Jednorazowe e‑maile (domeny jednorazowe) i numery telefonów pre‑paid bez historii.
• Zamówienia w nocy z wielu urządzeń na ten sam adres lub z tego samego urządzenia na wiele adresów.
• Wzmożone zamówienia na „pobranie” po kampanii rabatowej.

To nie są „dowody winy”, ale wskazówki do automatycznego podniesienia progu weryfikacji lub wstrzymania do ręcznego sprawdzenia.

Weryfikacja danych klienta i adresów

Małe tarcia, duża oszczędność – jak potwierdzać tożsamość bez frustrowania klientów

• Walidacja e‑mail: sprawdzaj format, domenę i reputację. Double opt‑in (link weryfikacyjny) dla nowych kont znacząco redukuje boty.
• Weryfikacja telefonu: SMS OTP przy podejrzanych transakcjach lub w przypadku wyższej wartości koszyka.
• Normalizacja adresów: korzystaj z baz typu PNA/ULIC (lub komercyjnych API adresowych), aby unikać pomyłek i aliasów utrudniających wykrywanie duplikatów.
• Geolokalizacja IP vs. adres dostawy: duże odchylenie = wyższy scoring ryzyka.
• Historia konta: liczba udanych dostaw vs. zwrotów, wzorce zakupowe, wiek konta.

Ważne, by nie zamieniać sklepu w „twierdzę”. Ustawiaj progi elastycznie: im więcej czerwonych flag z poprzedniej sekcji, tym więcej wymagań weryfikacyjnych.

Analityka behawioralna i odcisk urządzenia

Zobacz, jak kupuje człowiek, a jak automat – to dwa różne światy

• Device fingerprinting: identyfikuj unikalne kombinacje przeglądarka/OS/czcionki/wtyczki. Pozwala powiązać wiele kont z jednym urządzeniem.
• Rytm i trajektoria myszy, czas wypełniania pól, kolejność kliknięć: boty mają inne „tempo” niż ludzie.
• Velocity checks: limituj tempo tworzenia kont, dodawania kart czy finalizacji zakupów z jednego IP/urządzenia.
• Korelacja zachowań: recykling adresów e‑mail z drobną modyfikacją (np. kropki w Gmailu) i te same wzorce zachowań wskazują na jednego sprawcę.

Te sygnały podnoszą precyzję reguł bez dokładania zbędnego tarcia dla uczciwych klientów.

Płatności i zabezpieczenia SCA

3‑D Secure 2, CVV, AVS i dobre praktyki bramek płatniczych

• W UE obowiązuje SCA (Silna Autoryzacja Klienta). Włącz 3‑D Secure 2 w bramce płatniczej i korzystaj z trybu frictionless, gdy ryzyko jest niskie.
• Wymagaj CVV/CVC i stosuj AVS (jeśli wspierane) – weryfikacja adresu rozliczeniowego zwiększa pewność transakcji.
• Autoryzacja i preautoryzacja: przy ryzykownych koszykach najpierw blokuj środki, wysyłaj po manualnym zatwierdzeniu.
• Reguły kwotowe: powyżej progu X zł uruchamiaj dodatkowe kroki weryfikacji (np. SMS OTP).
• Monitoruj chargeback ratio z podziałem na kanały, kraje i typy kart – tam optymalizuj ustawienia SCA.

Dobrze skonfigurowana bramka może sama odciążyć Twój zespół, ale warto łączyć jej scoring z wewnętrznymi regułami.

Automatyczne reguły i scoring ryzyka

Silnik decyzji: gdy liczy się szybkość i spójność

Zbuduj lekki „fraud engine”, który ocenia każde zamówienie. Przykładowe reguły:

• +25 pkt: różne kraje IP i dostawy; +15 pkt: IP z VPN/proxy/TOR.
• +10 pkt: e‑mail z domeny jednorazowej; +10 pkt: nowo utworzone konto bez historii.
• +20 pkt: 3+ nieudane płatności w ciągu 10 minut.
• +15 pkt: ekspresowa dostawa do paczkomatu >50 km od adresu rozliczeniowego.
• −20 pkt: klient z 10+ udanymi zamówieniami i brakiem chargebacków.
• −10 pkt: pozytywna weryfikacja telefonu + e‑mail.

Ustal progi: do 30 pkt – autoakcept; 31–60 – wstrzymanie i weryfikacja; >60 – automatyczny odrzut. Najważniejsze: regularnie koryguj wagi na podstawie realnych wyników, aby zredukować false positives.

Boty, zalew koszyków i ataki wolumetryczne

Jak odróżnić szum od prawdziwego popytu

• reCAPTCHA v3 lub hCaptcha: dyskretnie ocenia ryzyko bez „zaznaczania obrazków” przy każdej akcji.
• Rate limiting i WAF: ogranicz liczbę prób płatności/koszyka z jednego IP lub user‑agenta.
• Ukryte pola i „honeypoty”: boty je wypełniają, ludzie nie – prosta metoda wykrywania automatyzacji.
• Limit liczby zamówień na konto/urządzenie w krótkim oknie czasowym.
• Monitorowanie anomalii ruchu: nagły skok rejestracji lub prób płatności powinien wywołać alert.

Dzięki temu nie będziesz gasł pożarów ręcznie, gdy ktoś postanowi „przetestować” Twój sklep.

Logistyka i metody dostawy a ryzyko

Nie każdy kanał dostawy jest równy – dostosuj zasady

• Pobranie: wprowadź limity dla nowych klientów (np. max 300 zł) i próg preautoryzacji dla wyższych kwot.
• Odbiór w punkcie/paczkomacie: dodatkowa weryfikacja telefonu (kod odbioru) i analiza odległości.
• Odbiór osobisty: proś o dokument przy wyższych kwotach – jasno komunikuj to w koszyku.
• Zmiany adresu po złożeniu zamówienia: traktuj jako wysoki sygnał ryzyka; dopuszczaj tylko przez kontakt z supportem i dodatkowe potwierdzenie.

Transparentne zasady minimalizują spory i wzmacniają pozycję przy ewentualnych reklamacjach czy chargebackach.

Czarne i białe listy

Pamięć o oszustach i nagradzanie solidnych klientów

• Blacklisty: adresy e‑mail, numery, urządzenia, IP, konkretne wzorce adresowe – aktualizowane automatycznie po potwierdzeniu nadużycia.
• Whitelisty: sprawdzeni partnerzy B2B, stali klienci z niskim ryzykiem – mniej tarcia przy zakupach, wyższe limity.
• Uważaj na nadużycia: oszuści często modyfikują detale. Łącz wiele identyfikatorów naraz, a nie jeden parametr.

To proste narzędzia, ale skuteczne przy powracających schematach.

Ręczna weryfikacja i praca zespołu

Gdzie automat się waha, człowiek domyka decyzję

• Skrypt rozmowy: krótki, rzeczowy, uprzejmy. „Dzień dobry, w trosce o bezpieczeństwo transakcji proszę o potwierdzenie numeru zamówienia i adresu dostawy.”
• Dowód zakupu: przy wątpliwościach poproś o zdjęcie karty z zasłoniętymi cyframi (wszystko poza ostatnimi 4), jeśli regulamin na to pozwala.
• Eskalacja: jasne kryteria, kiedy odrzucasz, a kiedy warunkowo akceptujesz.
• Szkolenia: rozpoznawanie socjotechniki, presji czasu i prób „wymuszenia” szybkiej wysyłki.

Działaj uprzejmie, ale stanowczo. Bezpieczeństwo transakcji to też bezpieczeństwo klientów.

Prywatność i zgodność z prawem

RODO i PSD2 – bezpieczeństwo nie wyklucza zgodności

• Minimalizacja danych: zbieraj tylko to, co potrzebne do weryfikacji i realizacji zamówienia.
• Podstawy prawne: uzasadniony interes w zapobieganiu nadużyciom; informuj o tym w polityce prywatności.
• Przechowywanie i dostęp: dane wrażliwe (np. logi płatności, fingerprinty) zabezpieczone i dostępne tylko dla uprawnionych.
• Dokumentacja: procedury i rejestry czynności przetwarzania – pomogą także przy sporach z bankami.

Zgodność porządkuje procesy i zwiększa wiarygodność Twojej marki.

Metryki, które warto mierzyć

Bo bez liczb nie ma optymalizacji

• Chargeback ratio (ogółem i per kanał).
• Approval rate (po zmianach w regułach nie może dramatycznie spaść).
• False positive rate (ile dobrych zamówień zatrzymujesz lub odrzucasz).
• Czas do decyzji i czas do wysyłki (SLA obsługi ręcznej).
• Straty na zwrotach z pobrania vs. koszt dodatkowych weryfikacji.

Testuj A/B: drobne zmiany (np. kolejność pól w checkout) potrafią zmniejszyć ryzyko i poprawić konwersję.

Scenariusze wdrożeniowe

Mały sklep, średni e‑commerce i duży gracz – różne drogi, wspólny cel

• Mały sklep: proste reguły w panelu, reCAPTCHA, SMS przy wysokich koszykach, whitelisty dla stałych klientów.
• Sklep średniej wielkości: dedykowana wtyczka fraud‑prevent, device fingerprinting, scoring + lekki zespół do weryfikacji.
• Duży gracz: zewnętrzny dostawca antyfraud + własny model machine learning, integracja z DWH, korelacja z danymi logistycznymi i marketingowymi.

Nie ma jednego uniwersalnego zestawu. Liczy się dopasowanie do wolumenu, marży i profilu ryzyka.

Checklista: od jutra w praktyce

Krótki plan działania, który realnie zmniejszy problem

1. Włącz 3‑D Secure 2 i ustaw progi dodatkowej weryfikacji dla wysokich koszyków.
2. Dodaj reCAPTCHA v3 w kluczowych punktach ścieżki (rejestracja, logowanie, checkout).
3. Skonfiguruj proste velocity checks i blokadę znanych domen jednorazowych.
4. Uporządkuj politykę pobrania: limity dla nowych klientów, jasne zasady.
5. Zbuduj pierwszą wersję scoringu (5–7 reguł) i ustaw próg do ręcznej weryfikacji.
6. Przeszkol support: skrypt rozmowy, checklisty, wzorce socjotechniki.
7. Mierz metryki co tydzień i koryguj wagi w scoringu na podstawie wyników.

Każdy punkt to niewielki wysiłek, a razem dają widoczną poprawę.

Czego unikać

Najczęstsze błędy, które mszczą się po czasie

• Nadmierne tarcie dla wszystkich klientów – uderza w konwersję.
• Brak aktualizacji reguł – oszuści się uczą, Ty też musisz.
• Decyzje „na czuja” bez metryk – trudniej bronić się przy chargebackach.
• Silosy między zespołami płatności, IT i obsługi – ryzyko ginie „pomiędzy”.
• Zbyt późne reagowanie na anomalie – ustaw alerty i automaty.

Lepiej wdrażać małe poprawki iteracyjnie niż raz na rok „rewolucję”.

Podsumowanie

Strategia zamiast nerwowych reakcji – to się naprawdę opłaca

Zagrożenie ze strony nieuczciwych zamówień nie zniknie, ale możesz je sprowadzić do poziomu, który nie zjada marży ani spokoju zespołu. Połącz trzy filary: inteligentną weryfikację danych, ochronę płatności i mądre reguły oparte na zachowaniu użytkowników. Dodaj do tego lekkie tarcie wtedy, gdy rośnie ryzyko, oraz sprawny proces ręcznej weryfikacji. Efekt? Mniej strat, mniej stresu, więcej akceptowanych dobrych transakcji. To właśnie przewaga, która w e‑commerce potrafi decydować o wyniku całego kwartału.