近日,我接受了 NPR 的 Planet Money (播客, 文字记录) 的采访,讨论信用卡诈骗的一个特别形式。有个观点未能播出,那就是:“理想的欺诈数量应该大于零。”
这个观点似乎有些反直觉,甚至可能会让人觉得我在自以为是,但你真的应该考虑接受这个观点。
犯罪率是一种政策选择
如果你对模拟游戏有所了解,可能会知道那种点击按钮,文明的某些统计数字急剧变化的情景。现实生活中的因果关系虽然更为细腻,但这种关系依然存在。历史上及当今,存在着与我们现状迥异的法律制度,它们因为不同的政策决策而带来了截然不同的效果。
可以这么说,犯罪率的高低其实是一种政策选择。这从两个方面可以看出:一方面,通过改变定义来降低犯罪率(例如,将某行为不再定性为犯罪);另一方面,犯罪率会直接受到我们可控因素的影响。大多数地区已经采取了很多简单且几乎无需妥协的政策。但是,从当前的角度来看,我们仍有许多极端的手段来控制犯罪,从增加警察预算,到全面禁酒,甚至实施类似乔治·奥威尔笔下的极权统治。
诈骗作为犯罪的一种特殊形式,很大程度上取决于非政府组织的执行力度。大部分被阻止、发现、裁决甚至惩处的诈骗案件,都是由私营部门的行为者来处理的。私营部门在这方面也需要做出政策决策,这些决策需要在诈骗的不良影响和社会利益之间找到平衡,例如保持社会的开放性、便捷获取服务,以及赚钱的目的。
聚焦于支付诈骗
为了使这个讨论不那么抽象,我们专注于一种特定的诈骗:不法分子盗取支付凭证,如信用卡号,然后利用它从企业那里获取价值商品或服务。这是一种非常普遍的诈骗方式,每年给全球造成约 100 亿到 200 亿美元的损失。然而,相对于所有类型的诈骗来说,它实际上是较为有限的。
这种诈骗之所以可能发生,是因为它是有意设计的。政府、金融业、支付行业和商界的顶尖人物齐聚一堂,共同决定允许这种诈骗的存在。虽然这听起来可能令人难以置信,但这确实是事实。
在我们深入探讨具体操作之前,先来看看背后的原因。
支付欺诈的成本由谁承担?
支付欺诈责任的分配像是一条连绵不断的河流,它由法规、合同和商业惯例共同塑造。要想具体了解这一过程,不妨以美国信用卡消费者为例。
你可能会以为,如果信用卡被盗或被黑客入侵,被不法分子用来购物,那么卡主应该负责。的确,他们首先会遭受损失,但根据规定(特别是根据Regulation E),这种损失应该由他们的金融机构承担,最多自付 50 美元的象征性费用。而作为营销策略,美国金融行业通常会免去这 50 美元的费用。
信用卡发行机构会根据信用卡品牌的规则(这些规则与法规相辅相成)去自动向商家的支付处理机构追讨这笔损失。同样,他们也会尝试从商家那里追回这笔款项。
在大多数情况下,责任的追究就此结束。虽然商家可以购买专门的退款保险或一般商业保险,但大多数商家会像对待办公室租金、员工工资和市场营销费用一样,直接吸收这部分欺诈成本。
那之前提到的每年 100 亿到 200 亿美元的欺诈成本?它们就是这样在日常商业活动中被处理的。这种损失分配方式大多是自动进行的,几乎不涉及法律程序,而且很少需要人工干预。
把欺诈看作是商业的必要支出
想象一下,你是 Business, Inc.新任命的反欺诈主管。你知道,按照这种模式,大部分欺诈最终都是由你来负责。那么,你会向 CEO 建议承担多少欺诈成本呢?
零?难道市场营销总监会希望营销预算为零吗?这显然是不切实际的。他们会被解雇,换成一个懂得衡量边际效益的人。
实际上,容忍一定程度的欺诈可能会带来超过零的边际回报,因此,你应该欢迎** 一定程度的欺诈。你可以将其视为一种必要的商业开支,就像支付租金、工资或广告费用一样。这部分开支甚至可以在税务上抵扣。(向你的会计师咨询具体情况;许多企业对这方面的规定理解不够透彻。)
这样做的原因在于,反欺诈主管明白他们的政策选择不仅影响欺诈者,也同样影响正常用户的体验。他们的目标是寻找一种平衡,既能减少欺诈行为,又不会给诚实用户的交易带来不便。
信任策略选择的成本与收益
或许,一开始就把讨论框架定在欺诈上,就使人们倾向于负面地看待这些选择。换个角度来看,问题其实是:在何种情况下,我们能够信任别人,又信任到什么程度?
所有的欺诈行为本质上都是对信任的滥用,它导致了受害者的经济损失和欺诈者的经济收益。理论上,如果我们在任何情况下都不信任任何人,欺诈就会消失。
然而,信任对社会来说是极其重要的。人类文明的一个基本局限是,任何人在睡眠中都可能轻易地受到致命伤害。社会的大量努力都在于建立一种环境,使这种潜在的脆弱几乎不会被利用。有传言说,上帝已经关闭了所有关于这一“特性”的报告,并表示短期内不会进行修复。
在商业活动中,信任同样至关重要。它是一个多层次的概念,不同的人在不同情况下展现出不同程度的信任。通常,增加信任意味着要预先承担一定的成本,但随后可以减少交易中的摩擦。比如,你可能更信任你的会计师而非大多数普通员工,你比信任客户更信任你的员工,你比信任一个素不相识的人更信任你的客户等等。
信任关系中的双方都要承担一定的成本。比如,为了聘请一名会计师,作为企业的你需要识别并面试多名候选人,最终选择一位并与之合作多年。而作为会计师的你,则需要花费多年时间获取专业资格,并在整个职业生涯中展现自己值得信任。这也是会计师常常被赋予处理公司和政府核心机密的原因之一。
显然,如果在网购一双运动鞋之前,需要消费者付出巨大努力,电子商务将无法继续。虽然这样可以几乎完全避免欺诈,但同时也会大大减少销售量。
如何赢得一个素未谋面的客户
支付行业面临着许多基础性问题。其中最核心的一个是如何迅速在未曾谋面的人之间建立信任,足以让他们消费昂贵的商品和服务,而这一切只基于对未来支付的承诺。
这个承诺,只不过是几句话而已!市场营销投入了无数资金,就是为了让你认为支付不仅仅是一个承诺。这其实是一个谎言,但我们都选择了相信它,部分原因是这个模型比现实更有效地运作世界。
企业当然更倾向于吸引新客户而非不吸引。他们可以选择让新客户在享受商品和服务之前需要经历多少障碍。许多企业发现,减少这些障碍可以吸引到更多新客户,这些客户不仅消费更多,而且还会进行更多次交易。(这些其实就是营销的三大目标。)
你可以要求首次购物的客户(甚至是老客户)经历复杂的审查过程,部分原因是为了增强对他们的信任,降低他们可能欺诈你的风险。比如,你可以要求他们在做生意前与你坚定地握手。
坚定的握手要求实际上是一种有效的防欺诈措施。面对面的要求降低了国际专业欺诈团伙对你的威胁,因为他们无法亲自与你握手。但不幸的是,出于同样的原因,这也限制了你能够触及的客户范围;大多数人并不住在你的实体店周边。
在线商务中的反欺诈环节
你可能在网购时遭遇过反欺诈措施,但你可能没意识到这一点。比如,曾被要求除了送货地址外还提供账单地址吗?这是为了 进行 AVS 验证。这种做法虽然对用户体验有所影响,但其效果是可以量化的;减少结账表单中的字段几乎总能提高转化率(转化率,一个行业术语,指成功购买商品的潜在客户的比例)。
有没有想过,为什么几乎每个网站都希望你注册账户?一个主要原因是,这样可以为客户建立购物历史,使企业能够将更多反欺诈资源用于(风险较高的)首次购物者,而不是(风险较低的)长期客户。允许游客直接结账其实是企业为获取额外销售而选择承受更多欺诈风险的一种策略。
一些更精细的干预措施可能在后台运行,或者不对所有用户显现。例如,对于特别高风险的订单,你可以要求购买者通过输入短信验证码来确认他们的电话号码,甚至在交易完成前让他们与欺诈部门的人工服务人员通话。这些措施的目的是破坏大规模欺诈的经济基础;相比于虚假身份,电话号码和语音通话成本较高,同时更容易泄露欺诈团伙的信息,从而有助于提高防御效果。
我们将在其他时间深入探讨这一话题,例如风险评估和边际干预策略,这是一个深奥且引人入胜的领域。
不同企业对欺诈的容忍度各异
利润决定了容忍度。总体来说,高利润的企业在营销和销售上的投入往往超过低利润的企业;如果不这样做,它们的竞争对手会利用自己的高额利润来增加吸引客户的成本。
同样,高利润的企业通常比低利润的企业更能接受支付欺诈。例如,销售视频游戏、流媒体服务或 SaaS 的公司,由于其利润通常超过 90%,面对转化率和欺诈率的权衡,他们倾向于优先考虑提高转化率,即使这意味着欺诈率可能高得难以想象。
而对于销售价值高且可再销售的商品,如苹果硬件或游戏机的企业,利润较低,他们在交易对象选择上必须更加小心。面对如何筛选边际订单的决策,他们会选择更严格的筛查。例如,他们可能会决定由欺诈部门审核每一个新订单,并在与首次购买者进行交流前暂停发货。
在这两种极端之间,存在着不同的欺诈容忍度。这在整体上是积极的,因为它意味着社会可以做出选择,决定允许多少资源流向不法分子,以及为打击欺诈投入多少社会资源,相比之下,又能为诚信行为提供多少低阻力的商业机会。在讨论欺诈时,这种权衡通常被忽视;其实,正是由于合法商业活动在过去几十年中的迅猛发展,欺诈行为才得以增加。世界变得更加富裕,商业障碍的减少,都是促进了合法商业活动的爆炸式增长。
这不仅仅关乎支付
因此,你可能会认同,互联网商家可以接受一定程度的欺诈。这个观点是普遍适用的,并涉及重要的伦理问题。我们作为一个社会,应该容忍一定程度的福利欺诈和逃税行为。你个人也可能从金融行业对防范所谓身份盗窃问题的不懈追求中受益。
这些权衡通常极其难以公开讨论。谁愿意被标签化为支持福利欺诈的政治家,或是被视为对洗钱掉以轻心的金融首席执行官?
这里有一个有趣的问题:谁有权解决这种冲突。通常情况下,这些问题将由私人行为者根据自己的成本效益决策来处理。在某些情况下,比如身份盗窃问题,法规可以帮助解决私人行为者可能为了自身利益而牺牲他人风险预算的问题。
如果你对其他与欺诈相关的子话题感兴趣,欢迎与我联系。