Discussione Stripe e le politiche di facilitazione (un po' troppo facile) dei pagamenti e potenziali addebiti indesiderati

[☣ᴋɪʟʟ ꜰᴏʀ ᴛʜᴇ ᴛʜʀɪʟʟ☣]

Salve a tutti,

vorrei riportare qua ciò che ho notato, ovvero la possibilità di usare una piattaforma per e-commerce, ovvero Stripe, per addebitare importi a scelta ad utenti a piacimento, dei quali si conoscono dati di carta di credito, oppure IBAN. Ho notato che con fin troppa disinvoltura vengono arginate in un attimo tutte le autenticazioni/verifiche di sicurezza multifattori, come il 3D Secure Mastercard e il SecureCard by Visa, basta inserire un contatto nella lista e creare una fattura, aggiungendo il suo numero di carta, scadenza e CVV, poi cliccando su Charge per far partire l'addebito di un proprio prodotto in lista (dal prezzo scelto anche casualmente) e trovarsi in pochi istanti i soldi sull'account Stripe, da cui poi si farà il Payout verso il proprio conto corrente bancario (spesso anonimo, se si parla di veri malintenzionati).

Cosa simile se si è a conoscenza dell'IBAN: è sufficiente utilizzare un'integrazione per la creazione di forms (moduli) che accettino metodo di pagamento Stripe (come JotForm di esempio nel video) e compilare il suddetto form inserendo l'IBAN ed il nominativo, per trovarsi i fondi dopo 6 giorni nell'account Stripe e fare il Payout verso conto corrente.

Se le carte erano considerate uno strumento di pagamento "a rischio" e protette, almeno l'IBAN veniva e viene distribuito da molti enti e scuole, università, al fine di ricevere donazioni e accrediti (si pensa solo quelli), mentre con le nuove disposizioni europee SEPA, è possibile inviare una mandata SEPA su un IBAN per avere accesso al credito di quel conto corrente e sbancarlo.

Cosa ne pensate?

 

[☣ᴋɪʟʟ ꜰᴏʀ ᴛʜᴇ ᴛʜʀɪʟʟ☣]

Nel post precedente abbiamo visto come sia possibile addebitare importi, talvolta anche volutamente ingiustificati e di qualsiasi entità, bypassando tutte le misure di sicurezza di una carta di credito (3D Secure), oppure avviando un mandato SSD SEPA debit, con la scelta di non spedire nemmeno l'email di avviso dell'inizio trasferimento del denaro.

Bene, tutto ciò è possibile, ma solo quando si gode di un'ottima reputazione, ovvero bisogna prima avere un determinato numero di pagamenti andati a buon fine e ricevuti senza lamentele da parte del cliente, errori nel processo di pagamento, nell'invocazione delle API, etc. Altrimenti, se l'account è nuovo e non rispetta determinati requisiti che per Stripe rappresentano indice di basso rischio (in base a quale criterio rimane un mistero, basato su parametri altamente soggettivi o assurdi: fare delle prove sul proprio conto corrente/carta di credito è molto rischioso), il minimo che può accadere è l'impossibilità ad utilizzare la piattaforma, mentre il peggio è quello di ricevere continuamente mandati SSD SEPA al proprio conto corrente, pari all'importo che si dovrebbe rimborsare al cliente, qualora egli abbia aperto una disputa per transazione fraudolenta, anche quando sussistono tutti i requisiti di regolarità e si esibiscono le prove di pagamento volontario, nonché corretta erogazione del servizio/fornitura del prodotto.

In poche parole, un cliente è libero di recarsi alla propria banca e disconoscere il pagamento dopo aver ottenuto il prodotto/servizio deliberatamente richiesto, aprendo così una contestazione, che va a generare un'infinita serie di conseguenze per il proprietario dell'account Stripe: addebiti fraudolenti, ma non solo. Lo staff della piattaforma può decidere di trattenere TUTTI i fondi provenienti dai regolari ricavi delle vendite e contrassegnarli come fondi di riserva, ovvero denaro destinato alla copertura di eventuali rimborsi (anche ingiustificati o doppi, quando il consumatore, ad esempio, è già stato rimborsato dall'assicurazione della propria banca), fee, tasse, etc. e diventa impossibile trasferire quel denaro bollato come riserva al proprio conto corrente, per periodi esageratamente lunghi, anche di diversi mesi di tempo.

Accettare un contratto e delle condizioni di un servizio non significa dare il diritto ad agire contro la legalità, in termini legislativi e morali, invece è bastata una prova di transazione effettuata da me stessa, immettendo una carta priva di fondi ed una disputa non legittima, ma volontariamente fraudolenta, in quanto il servizio è stato puntualmente e correttamente fornito, per avere 319€ completamente bloccati fino al 26 novembre, quando ieri 05 agosto avrebbero dovuto essere trasferiti al mio conto corrente bancario, per decisione assurda di Stripe. Ovviamente ho fornito le prove dell'erogazione del servizio e ho contestato la disputa, ma non è servito a niente, poiché lo staff, senza nessuno scrupolo, ha confermato l'inappellabilità alla decisione finale di blocco dei fondi per oltre 3 mesi.

Data quindi la fortissima aleatorietà del sistema di pagamento, sia per clienti che venditori, la piattaforma Stripe dovrebbe, a rigor di logica (e di legge), essere permanentemente chiuso e, nel mio piccolo, cercherò di agire contro la sua forte presenza e importanza online,

Se avete avuto esperienze riguardo questa piattaforma dalle dubbie legittimità di regolamento, positive o negative che siano, potete esprimerle e descriverle nei commenti qua sotto.