Bedrijven die consumenten oplichten, handelen vaak niet alleen. Trek het gordijn open en achter de schermen zie je bedrijven die een handje helpen. De FTC beweert dat het in Atlanta gevestigde First Data Merchant Services en haar voormalige vice-president, Chi “Vincent” Ko, zich schuldig hebben gemaakt aan gedrag dat fraudeurs hielp megabucks van de rekeningen van consumenten binnen te halen. De voorgestelde schikking bedraagt in totaal $40,2 miljoen moet andere bedrijven waarschuwen voor de gevaren van het de andere kant op kijken als fraude u in het gezicht staart.
Toegang tot het creditcardsysteem is de levensader van veel bedrijven. Maar banken die lid zijn van creditcardnetwerken zullen niet zomaar voor iedereen een handelsrekening openen. Verschillende entiteiten – waaronder betalingsverwerkers en onafhankelijke verkooporganisaties (ISO’s) – fungeren als tussenpersoon tussen banken en handelaren. Creditcardnetwerken leggen banken en andere derde partijen een antifraudebeleid op. Zij sluiten op hun beurt contracten met betalingsverwerkers en ISO’s die naleving van deze regels vereisen, inclusief due diligence en monitoring. Het doel van deze meerlagige eisen ligt voor de hand: fraudeurs buiten het creditcard-ecosysteem houden en ervoor zorgen dat betalingsverwerkers en anderen snel actie ondernemen als er aanwijzingen zijn dat ze zijn geïnfiltreerd.
Je zult willen lezen klacht voor een diepgaand onderzoek, maar volgens de rechtszaak van de FTC openden de beklaagden verkopersrekeningen en verwerkten ze betalingen voor ten minste vier frauduleuze transacties. Drie van hen – Geniet van leren, Coachende afdelingEn EC-systemen – was onderworpen aan de wetshandhaving van de FTC. Het resultaat was een vierde operatie waarbij gestolen creditcardgegevens werden gebruikt om consumenten zonder hun toestemming te factureren strafrechtelijke procedure door het Ministerie van Justitie.
De FTC zegt dat beklaagde Ko al in 2012, via zijn bedrijf First Pay Solutions, begon met het goedkeuren van honderden nep-handelaarsaanvragen voor de vier oplichtingsoperaties. In de toepassingen wordt bijvoorbeeld vaak gebruik gemaakt van stromannen en lege vennootschappen. Bovendien beschreven ze vaak zakelijke activiteiten die verboden zijn door creditcardregelgeving. (Voorbeelden van verboden categorieën zijn onder meer ‘diensten voor het consolideren van schulden’, ‘snel rijk worden’ en ‘elke handelaar die zich bezighoudt met enige vorm van misleidende marketingpraktijken.’) Gezien het feit dat sommige van Ko’s verkoopagenten meerdere strafrechtelijke veroordelingen, F-ratings bij het Better Business Bureau of civiele veroordelingen wegens misleidend gedrag hadden, had hij niet verrast moeten zijn door wat er aan de hand was. Andere leden van Ko’s staf waarschuwden hem al vroeg dat sommige verkoopagenten verkopersaccounts openden op basis van nepapplicaties. Maar volgens de FTC heeft Ko zijn plicht geschonden om toezicht te houden op wat er aan de hand was en om te handelen op basis van bewijs dat er sprake was van fraude.
Welke rol speelde First Data – een van de grootste betalingsverwerkers van het land –? First Data schakelde Ko en First Pay Solutions in als ISO’s om zijn diensten te verkopen en betalingen te verwerken voor de vier in de klacht genoemde activiteiten. Gedurende de hele relatie met First Pay Solutions beschikte First Data over wat de sector ‘schaduwacceptatie’ noemt, waardoor First Data toegang kreeg tot informatie over de verwerkingsactiviteiten van First Pay Solutions-handelaars.
Volgens de FTC begon First Data al in april 2012 vraagtekens te zetten bij de soorten rekeningen die First Pay Solutions opende. De daaropvolgende jaren communiceerden First Data en First Pay Solutions over het misleidende gedrag en de hoge terugboekingen, maar leken er nooit veel aan te doen. Hoe erg was het probleem? Erg. Op een gegeven moment hebben de verkopers van First Pay Solutions in minder dan een jaar meer dan 300.000 terugboekingen gegenereerd, wat neerkomt op ongeveer 40% van de buitensporige terugboekingsovertredingen van First Data voor de gehele groothandel.
De FTC zegt dat First Data waarschuwingen en direct bewijs bleef ontvangen dat de portefeuille van First Pay Solutions vol zat met fraude, maar Ko en zijn bedrijf toch toestemming bleef geven om verkopersrekeningen te openen met minimaal toezicht. In 2014 stuurde een Executive Vice President van Wells Fargo een e-mail naar de General Counsel van het moederbedrijf van First Data en stelde deze vooruitziende vraag: “Waarom ondertekent First Data ISO’s zoals (First Pay)? Ze zullen First Data en Wells Fargo in de problemen brengen met de FTC en het CFPB wegens misleidende consumentenpraktijken….” Tegen het einde van dat jaar beëindigde Wells Fargo zijn verwerkingscontract voor First Pay Solutions.
Bovendien verbood Visa First Pay Solutions in december 2014 om handelaars met een hoog risico aan boord te brengen totdat een volledige audit kon worden uitgevoerd. Visa eiste ook dat First Data $18,7 miljoen aan restitutie betaalde aan de verkopers van First Pay Solutions. In april 2015 ontdekte een forensisch accountantskantoor grote tekortkomingen in de risicobeheerpraktijken, waaronder ontoereikende monitoring van handelstransacties en fouten in de due diligence door Ko en zijn bedrijf.
Op basis van deze ontwikkeling kun je verwachten dat First Data First Pay Solutions loslaat voor zeer twijfelachtig gedrag, toch? In plaats daarvan kocht First Data in mei 2015 de verkopersaccounts van het bedrijf, nam de kantoorruimte over en nam de meeste werknemers in dienst. Een paar maanden later vroeg First Data Wells Fargo om voormalige medewerkers van First Pay Solutions toestemming te geven om handelaars met een hoog risico te benaderen. Wells Fargo was het daarmee eens, maar onder twee voorwaarden: dat de werknemers niet ‘geassocieerd waren met of verwant waren aan Vincent Ko’ en dat First Data kon bevestigen dat ‘Vincent Ko geen invloed heeft’.
Door deze kanttekeningen lijkt een daaropvolgende personeelsbeslissing van First Data bijzonder ironisch: voor wie heeft First Data in januari 2017 aangenomen als vice-president van strategische partnerschappen? Vincent Co.
De klacht geeft veel meer details over de aantijgingen van de FTC. In punt 1 wordt ten laste gelegd dat First Data en Ko de FTC-wet hebben geschonden door zich bezig te houden met oneerlijke betalingsverwerkingspraktijken, waaronder het openen of onderhouden van accounts voor lege vennootschappen of anderen die betrokken zijn bij fraude, het verwerken van transacties voor verkopers die consumenten hebben bedrogen, het niet beëindigen van verkopers en het negeren van bewijs van frauduleuze activiteiten op verkopersaccounts. Volgens punt 2 heeft gedaagde Ko zich schuldig gemaakt aan het witwassen van creditcards in strijd met Verkoopregel voor telemarketing. In punt 3 wordt beweerd dat First Data de TSR heeft geschonden door het witwassen van creditcards te bevorderen. En punt 4 beschuldigt First Data en Ko van het schenden van de TSR door bedrijven te helpen en aan te moedigen die (onder andere) valse of misleidende verklaringen gebruikten om diensten voor schuldenregeling of investeringsmogelijkheden op de markt te brengen.
Naast het vonnis van $40 miljoen tegen First Data en het vonnis van $270.373 tegen Ko, zijn de voorwaarden van voorgestelde schikking vereisen dat First Data de komende drie jaar jaarlijkse audits ondergaat door een door de FTC goedgekeurde onafhankelijke beoordelaar. Het bevel verbiedt Ko ook levenslang om betalingen aan risicovolle verkopers te verwerken.
