Bonnes pratiques pour prévenir la fraude

Vous pouvez réduire la fraude en mettant en place une stratégie efficace de prévention des litiges et de la fraude adaptée à votre entreprise. En appliquant certaines de ces bonnes pratiques dans le cadre de votre stratégie globale, vous pouvez limiter les contestations de paiement et les pertes.

Outils pour tous les utilisateurs

Ces outils peuvent être mis en place par n’importe quel utilisateur de Stripe (qu’il soit développeur ou non et qu’il utilise ou non les outils spécialisés de Stripe comme Radar) afin de réduire les fraudes et les litiges.

Faites preuve de clarté et de transparence avec vos clients

Des échanges clairs et fréquents avec vos clients peuvent contribuer à prévenir un bon nombre des motifs de litige. En répondant aux problèmes et en traitant rapidement les remboursements ou les échanges, vos clients sont bien moins susceptibles de contester un paiement. Veillez à ce que les coordonnées de votre service clientèle soient facilement accessibles, tenez les clients informés tout au long du processus de commande et fournissez des mises à jour sur les livraisons.

• Demandez à vos clients d'accepter les conditions d'utilisation

  Vos politiques et conditions d’utilisation du service doivent être facilement accessibles sur votre site Web et vos clients sont tenus de les accepter. Plutôt que de vous contenter d’inclure un lien vers ces politiques et conditions au moment du paiement, présentez la version complète sur la page de paiement ou dans une fenêtre contextuelle, en demandant aux clients de les accepter avant de valider leur commande.

• Affichez la politique complète

  Les émetteurs de cartes peuvent être très spécifiques quant à la manière dont vous présentez vos politiques. Si la case que vos clients doivent cocher pour accepter vos politiques contient uniquement un lien vers celles-ci, cela ne constitue pas une preuve satisfaisante que votre client en avait connaissance. Vous devez détenir une preuve raisonnable que votre client a eu accès à une copie complète de vos politiques avant son achat.

• Fournissez un suivi de livraison

  Lorsque vous expédiez des biens matériels à vos clients, recourez autant que possible à des transporteurs et à des prestataires qui fournissent un suivi en ligne et une confirmation de livraison. Transmettez ces informations à vos clients dès qu’elles sont disponibles (si vous devez fournir des informations de suivi en tant que preuves lors d’un litige, sachez que les émetteurs de cartes bancaires ne cliquent pas sur les liens, vous devez donc fournir des captures d’écran).

• Utilisez des libellés de relevé bancaire compréhensibles

  Dans les paramètres de votre compte, définissez un nom reconnaissable pour votre libellé de relevé bancaire. Nous vous recommandons d’utiliser le domaine de votre site Web ou le nom de votre entreprise afin de permettre à vos clients d’identifier facilement leurs transactions à la lecture de leur relevé bancaire.

  Les libellés de relevé bancaire doivent comporter entre 5 et 22 caractères. Ils doivent comporter au moins 5 lettres et ne peuvent pas contenir les caractères spéciaux <, >, \, ', or ".

• Créez des comptes distincts

  Évitez d’utiliser le même compte Stripe pour des entreprises distinctes. Chaque compte Stripe doit représenter une seule entreprise, car cela permet de renseigner des informations de contact et des libellés de relevé bancaire différents. Si vous devez traiter des paiements pour plusieurs entreprises, créez des comptes supplémentaires spécifiques.

Envisagez de rembourser de manière proactive les paiements suspects

Vous devez immédiatement rembourser tout paiement dont vous êtes sûr qu’il s’agit de fraude (sauf si vous être couvert par un quelconque transfert de responsabilité, comme avec 3D Secure). Si vous savez que vous allez recevoir un litige pour fraude sur ce paiement, vous pouvez économiser les frais de litige, éviter l’augmentation de votre taux de litiges, ainsi que la potentielle perte du produit en remboursant intégralement le paiement frauduleux.

Cependant, il peut arriver que vous soupçonniez qu’un paiement soit frauduleux, sans toutefois pouvoir en être certain. Dans un tel cas, il est parfois judicieux de rembourser automatiquement le paiement, et parfois pas.

Dans les situations suivantes, vous pouvez envisager d’opter pour une stratégie de remboursement agressive :

• Commande non traitée. La perte de votre produit pourrait être évitée par un remboursement. C’est-à-dire que si vous n’avez pas encore fourni votre produit ou service de manière irréversible au moment où vous suspectez une fraude, vous pouvez procéder au remboursement de manière proactive. En revanche, si votre produit ou service est irrécupérable (par exemple, le produit a été expédié, ou le service a déjà été rendu), il peut être plus logique de ne pas rembourser la transaction et d’attendre de voir si la fraude est avérée.
• Litiges excessifs. Votre activité relative aux litiges est considérée comme excessive selon les définitions des réseaux de cartes. Cette situation peut mettre en péril votre compte Stripe ou vous exposer au risque d’être identifié dans un programme de surveillance des contestations de paiement.
• Programme de surveillance des contestations de paiement. Vous êtes déjà intégré à un programme de surveillance des contestations de paiement et souhaitez le quitter.
• Jeunes et petites entreprises. Le volume de paiement de votre entreprise est tellement faible (par exemple, moins de 100 paiements par mois) qu’un ou deux litiges pour fraude peuvent avoir un impact considérable sur votre taux de litige, même si votre activité relative aux litiges reste relativement faible.

Si vous n’êtes concerné par aucune des situations mentionnées ci-avant, vous devriez être plus prudent quant à la fréquence à laquelle vous remboursez des paiements que vous soupçonnez d’être frauduleux.

Retardez l’expédition des commandes

Si vous expédiez des biens matériels, envisagez de retarder l’expédition de 24 à 48 heures. Ce délai offre aux titulaires de cartes le temps de détecter et de signaler une fraude sur leur compte. La transaction sera contestée quoi qu’il arrive, mais vous n’aurez pas envoyé inutilement les marchandises. Toutefois, tous les titulaires de cartes ne consultent par leurs relevés bancaires quotidiennement et l’émetteur de leur carte ne les informera peut-être pas spontanément de la transaction.

Méfiez-vous des clients qui demandent une expédition accélérée ou pour le lendemain. Ces commandes présentent un risque de fraude plus élevé, car le coût élevé de ces services est sans conséquence pour les fraudeurs. Pour identifier ces types de paiements, vous pouvez proposer l’expédition le jour même ou le lendemain à un tarif beaucoup plus élevé que les autres options d’expédition disponibles.

Contrairement à un client légitime, un fraudeur est généralement prêt à débourser une somme très élevée pour accélérer l’expédition des biens. Il ne verra aucun inconvénient à payer des frais de livraison supplémentaires. Vous pouvez ensuite filtrer manuellement les clients qui optent pour la méthode de livraison la plus chère et vérifier l’authenticité de la commande. Pour ce faire, utiliser des processus d’authentification et de capture distincts associés à des vérifications Radar est une bonne solution.

Expédiez les biens à une adresse vérifiée

La livraison à une adresse de facturation vérifiée, qui a passé les vérifications d’adresse et de code postal est la solution la plus sécurisée. Lorsque vous utilisez une adresse qui n’a pas été vérifiée, vous ne pouvez pas prouver que la commande a bien été expédiée au titulaire légitime de la carte bancaire si le paiement est contesté ultérieurement.

Cela ne vous empêche pas d’expédier vos commandes à une adresse différente, mais vous devez faire tout ce qui est en votre pouvoir pour limiter les risques encourus. Par exemple, vous pouvez accepter d’expédier des commandes à une adresse différente uniquement pour des clients récurrents dont vous avez vérifié la légitimité, ou qui fournissent une adresse de facturation entièrement vérifiable. De plus, les signes suivants peuvent indiquer un paiement suspicieux :

• La commande est beaucoup plus importante que d’habitude, ou n’est constituée que de vos produits les plus onéreux
• Le client a modifié l’adresse de livraison après avoir passé commande
• Le client a opté pour une livraison prioritaire
• Les produits commandés ont une valeur de revente élevée
• L’adresse de livraison est différente de l’adresse de facturation ou du pays d’émission de la carte bancaire (par exemple, l’adresse de facturation est en Espagne mais l’adresse de livraison est en France)

La vérification de la commande et des informations relatives à l’adresse de livraison peut vous aider à déterminer si la commande présente un risque que vous ne pouvez pas prendre.

Mesurez votre taux de litiges

Le taux de litiges de votre compte est un facteur important à prendre en compte lorsque vous analysez l’efficacité de vos méthodes de prévention des litiges et de la fraude. Vous pouvez consulter régulièrement cet indicateur dans votre Dashboard Stripe afin d’évaluer l’impact de vos stratégies de prévention.

Outils pour les utilisateurs de Radar for Fraud Teams

Radar est une suite de fonctionnalités et d’outils conçus pour contrer la fraude. Elle est intégrée à Stripe et ne nécessite aucun effort d’intégration supplémentaire.

Vérifiez manuellement les paiements

Radar for Fraud Teams inclut une fonction de vérification qui vous permet de placer certains paiements à l’étude. Cependant, ces paiements sont tout de même traités et la carte bancaire est débitée, à moins que vous n’utilisiez un processus d’autorisation et de capture distinct. Ces paiements sont placés dans la file de vérification pour que vous puissiez les examiner. Si vous suspectez un paiement d’être frauduleux, vous pouvez procéder à son remboursement.

Vous devez vérifier les paiements que Stripe a placés dans votre file de vérification dès que possible. Les paiements présentant un risque élevé de fraude sont automatiquement placés dans la file. Vous pouvez également créer des règles supplémentaires pour personnaliser les types de paiement qui doivent être placés dans votre file de vérification.

Voici quelques éléments à prendre en compte lors de la vérification d’un paiement :

• L’adresse de facturation correspond-elle à l’adresse de livraison ?
• L’adresse de facturation a-t-elle été vérifiée par AVS ? Correspond-elle au pays d’émission de la carte bancaire ?
• L’adresse e-mail du client correspond-elle au nom du titulaire de la carte bancaire ?
• Le client a-t-il demandé à ce que la commande soit expédiée plus rapidement ?
• Plusieurs commandes provenant de différentes cartes bancaires ont-elles été passées à partir de la même adresse IP ?
• Le client a-t-il effectué plusieurs tentatives de commande qui ont été refusées ?

Si vous avez des doutes sur un paiement lors de sa vérification, vous devez toujours contacter le client par téléphone ou par e-mail. Si les adresses de facturation et de livraison d’un paiement ne correspondent pas, recherchez l’adresse de livraison sur Google Maps et Street View pour en savoir plus. Les fraudeurs font couramment expédier les commandes à un service de fret, de courrier ou à une société de stockage qui achemine ensuite les biens à leur adresse réelle.

Utilisez des règles Radar pour bloquer automatiquement les paiements ou les placer dans la file de vérification

Directement intégré au tunnel de paiement, Radar for Fraud Teams associe un moteur de règles personnalisables à de puissants algorithmes de machine learning. Il détecte des modèles dans les paiements traités par les entreprises inscrites auprès de Stripe et évalue leur niveau de risque.

Utilisez des règles pour évaluer automatiquement les paiements sur la base de vos critères de détection spécifiques et pour prendre les mesures appropriées. Vous pouvez également créer des règles qui combinent plusieurs critères, vous permettant d’autoriser ou de bloquer les paiements qui remplissent plusieurs conditions. Chaque entreprise présente des risques différents.

Mettez en place des restrictions par pays et par type de carte bancaire

Si vous êtes confronté à une augmentation de la fraude en provenance de certains pays, vous pouvez définir des règles pour bloquer les paiements provenant des pays dont vous ne voulez pas accepter les paiements. Pour ce faire, utilisez les attributs de règle :ip_country: et :card_country:. Par exemple, la règle suivante permet de bloquer tous les paiements et toutes les cartes originaires du Canada : Block if :ip_country: = ca and :card_country: = 'ca'. De la même façon, si votre entreprise ne prend en charge que les paiements du pays dans lequel elle opère, vous pouvez créer une règle qui bloque les paiements provenant de tous les autres pays. La règle suivante bloque les paiements qui ne proviennent pas d’Australie : Block if :ip_country: != au and :card_country: != 'au'.

Vous pouvez configurer des restrictions sur les types de cartes bancaires que vous acceptez, que ce soit par marque (par exemple, Mastercard) ou par type de financement (par exemple, les cartes prépayées). Cette mesure peut se révéler particulièrement utile si vous constatez une fraude excessive liée à certains types de cartes. Voici un exemple de règle qui bloque les paiements depuis toutes les cartes de débit Visa : Block if :card_brand: = visa and :card_funding: = 'debit'.

Outils pour les développeurs

L’implémentation de ces outils nécessite un minimum de développement. Si vous faites appel à un partenaire Stripe pour votre intégration des paiements, il est possible que vous ne puissiez pas les implémenter vous-même.

Traiter vos transactions sur Stripe

La procédure Visa Compelling Evidence 3.0 s’appuie sur l’historique des transactions pour lutter contre les actes de fraude amicale. Elle permet de consulter les transactions non frauduleuses du titulaire de la carte au cours d’une période donnée. Lorsque vous êtes visé par un litige pour fraude Visa, Stripe peut identifier les transactions éligibles dans l’historique de votre plateforme et pré-remplir la réponse au litige avec la majorité des preuves requises. Grâce à ces preuves, vous augmenterez vos chances d’invalider le litige.

Stripe ne peut ni évaluer l’éligibilité ni soumettre de preuves concernant les transactions externes. C’est pourquoi nous vous recommandons :

• D’utiliser le traitement par Stripe dans la mesure du possible
• D’inclure l’adresse IP du client, son adresse e-mail, son adresse de livraison, ainsi que la description des produits dans vos transactions avec Stripe

Recueillez autant d’informations de paiement que possible

Nombreuses sont les entreprises qui perdent des litiges car elles n’ont pas collecté suffisamment d’informations au moment du paiement. Il est donc difficile (parfois impossible) pour Stripe ou l’émetteur de la carte bancaire de vérifier que le client est légitime. Par exemple, bien que le code postal de facturation ne soit pas toujours nécessaire au traitement d’un paiement par carte, l’inclure permet à l’émetteur de la carte de vérifier le paiement. Si la vérification échoue, envisagez de rejeter le paiement potentiellement frauduleux.

Utilisez Checkout ou la détection avancée de la fraude pour vous assurer que votre intégration est en mesure de fournir des informations de paiement pertinentes, notamment :

• Le nom du client
• L’adresse e-mail du client
• Le code CVC
• L’adresse de facturation complète et le code postal
• L’adresse de livraison (si elle est différente de l’adresse de facturation)
• Les informations de suivi

Mettez en place une méthode d’authentification du titulaire de la carte, telle que 3D Secure

3D Secure est une étape de vérification supplémentaire entre le client et l’émetteur de carte que vous pouvez intégrer à votre tunnel de paiement. Les paiements qui ont été authentifiés avec 3D Secure peuvent être protégés contre la plupart des litiges pour fraude grâce à une règle appelée transfert de responsabilité. Vous continuerez cependant à recevoir des alertes de suspicion de fraude qui pourront être comptabilisées dans les programmes de surveillance des marques de cartes.

Pour en savoir plus, consultez la page consacrée à l’authentification de la carte et 3D Secure.

Vérifiez l’identité de vos clients de manière programmatique

Dans certains cas, il peut être utile de vérifier l’identité des clients. Vous pouvez utiliser Stripe Identity pour vérifier une pièce d’identité et l’associer à une photo du titulaire du document. Vous pouvez également demander à vos clients d’associer leur compte Facebook ou LinkedIn pour obtenir une autre preuve de leur identité. Cette étape de vérification supplémentaire est susceptible de décourager les fraudeurs. Certains clients légitimes peuvent refuser de se soumettre à cette démarche supplémentaire et votre taux de conversion pourrait en subir les conséquences.

Utilisez l’autorisation et la capture lors de la création de paiements

Les tentatives de débit par carte bancaire sont traitées en deux temps. Le débit doit d’abord être autorisé, c’est-à-dire que l’émetteur de la carte doit autoriser le montant à débiter. Une fois le débit approuvé, il est immédiatement capturé par défaut et le montant est déduit de la carte.

Un flux de paiement à capture différée (parfois appelé « autorisation et capture ») consiste à exécuter ces deux étapes à deux moments distincts. L’autorisation, réalisée en premier, retient le montant sur la carte et apparaît sur le relevé du client comme une transaction en attente, mais ne déplace pas réellement l’argent de son compte. Le paiement peut ensuite être capturé à tout moment et au plus tard 7 jours après l’autorisation. La capture finalise le paiement et les fonds sont déduits de la carte du client. Si un paiement n’est pas capturé dans le délai imparti, l’autorisation est automatiquement levée.

Tout comme l’expédition différée, cette méthode vous offre généralement suffisamment de temps pour détecter une potentielle fraude, ce qui vous donne la possibilité de vérifier attentivement la transaction (et éventuellement de la rembourser). Les titulaires de cartes peuvent uniquement contester des paiements qui ont déjà été capturés. Avec Radar for Fraud Teams, vous pouvez capturer ces paiements manuellement dans le processus de vérification.

Définissez un libellé de relevé bancaire personnalisé pour chaque paiement

Le libellé de relevé bancaire est le texte qui apparaît sur les relevés bancaires du client. Il contient généralement des informations sur l’entreprise associée au paiement. Vous pouvez insérer un code court et aléatoire dans le libellé de relevé bancaire et demander à votre client de le vérifier. Lorsque vous soupçonnez une transaction d’être frauduleuse, contactez votre client et demandez-lui de vous communiquer le code qui figure sur son relevé bancaire en ligne. S’il refuse, procédez au remboursement.

Vous pouvez modifier votre libellé de relevé bancaire par défaut dans le Dashboard ou définir un libellé de relevé bancaire dynamique chaque fois qu’un paiement est créé via l’API.

Cette méthode ne permet pas de contrer un fraudeur qui aurait accès à l’émetteur de la carte en ligne ou au compte de crédit du titulaire de la carte, mais cette situation est extrêmement rare. Cette utilisation du libellé de relevé bancaire peut vous rassurer sur la légitimité du client. Comme pour d’autres méthodes de prévention, les interactions avec la clientèle peuvent parfois entraîner le remboursement de paiements légitimes.