Étapes de détection de la fraudeBêta
Activez les étapes de détection de la fraude pour :
- Minimiser le blocage accidentel des transactions qui semblent frauduleuses, mais qui sont en fait légitimes
- Effectuer des vérifications supplémentaires sur les autorisations que Stripe juge à haut risque
- Effectuer des vérifications supplémentaires sur les autorisations que vous jugez nécessaires
Les étapes de détection de la fraude permettent aux titulaires de carte de relancer des transactions non frauduleuses qui, sans cette fonctionnalité, auraient été bloquées par des contrôles de fraude. Tous les titulaires de carte ayant associé un numéro de téléphone peuvent utiliser les étapes de détection de la fraude.
Avant de commencer
- Veillez à collecter les numéros de téléphone de vos titulaires de carte
- Activez les étapes de détection de la fraude dans les paramètres d’émission de cartes
Transactions à haut risque
Stripe bloque les transactions dépassant un certain niveau de risque déterminé par le réseau que vous utilisez. Les autorisations à haut risque sont identifiées par la valeur suspected_fraud
dans le champ request_history.reason
. En cas de refus, elles ne déclenchent pas de webhooks issuing.authorization_request
.
Flux des étapes de détection de la fraude
Stripe commence à envoyer des étapes de détection de la fraude sur les autorisations à risque élevé dès que vous activez la fonctionnalité dans les paramètres d’émission de cartes.
Consultez l’activité relative aux étapes de détection de la fraude à l’aide de l’API Authorizations. Les autorisations refusées en raison d’une étape de détection de la fraude présentent une valeur dans le champ fraud_challenges. Les autorisations suivantes, dont le titulaire de la carte vérifie la légitimité, présentent la valeur true
dans le champ verified_by_fraud_challenge.
Voici un exemple d’autorisation bloquée et refusée pour cause de fraude :
{ "id": "iauth_1CmMk2IyNTgGDVfzFKlCm0gU", "object": "issuing_authorization", "approved": false, ... "fraud_challenges": [{ "channel": "sms", "status": "pending" }] }
Cet exemple illustre une autorisation ultérieure qui a été vérifiée par le titulaire de la carte :
{ "id": "iauth_1CmMk28Jx923VfJJwMCejmX", "object": "issuing_authorization", "approved": true, ... "verified_by_fraud_challenge": true }
Note
Les autorisations légitimes et vérifiées déclenchent des webhooks issuing_authorization.request
. Si vous utilisez une autorisation en temps réel, tenez compte du paramètre verified_by_fraud_challenge
au moment d’approuver ou non une autorisation. Si le titulaire de carte a explicitement confirmé l’authenticité d’une transaction, nous vous recommandons de n’appliquer aucun de vos propres contrôles des risques.
Pour utiliser les étapes de détection de la fraude, assurez-vous que :
- Le numéro de téléphone associé à votre titulaire de carte est valide et correct
- La logique de refus de transaction existante dans tout gestionnaire de webhook
issuing_authorization.request
n’entre pas en conflit avec les étapes de détection de la fraude
Flux pour les titulaires de carte
Vos titulaires de carte peuvent recevoir une étape de détection de la fraude et contacter le service client de votre entreprise pour en savoir plus. Par conséquent, vos équipes internes doivent se tenir prêtes à répondre aux éventuelles questions de vos clients au sujet de ces étapes de détection.
Lorsqu’un titulaire de carte reçoit une étape de détection de la fraude, il peut annuler le rejet de la transaction en vérifiant que l’opération suspecte est légitime et qu’il en est l’auteur. Les étapes de détection de la fraude sont uniquement disponibles pour les titulaires de carte aux États-Unis et au Royaume-Uni ayant associé un numéro de téléphone.
Le titulaire de la carte reçoit ce SMS l’invitant à confirmer l’annulation :
Avez-vous tenté d’effectuer une transaction de [montant] chez [marchand] ? Si oui, répondez « OUI », sinon répondez « NON ». Pour vous désinscrire, répondez « STOP ».
Si le titulaire de la carte répond « OUI », il reçoit le message suivant :
Merci, veuillez patienter quelques instants et réessayer.
Pour finaliser l’achat, le titulaire de la carte doit retenter la transaction. Une fois l’opération réalisée, il ne recevra pas d’invitation par SMS et Stripe ne bloquera pas la transaction pour risque élevé. Si le titulaire de la carte répond « NON » à la place, il reçoit le message suivant :
Cette transaction a été refusée. Nous vous recommandons d’annuler votre carte et d’en demander une nouvelle. Vérifiez que votre compte ne fait pas l’objet d’autres transactions suspectes.
Les titulaires de cartes peuvent répondre « STOP » pour se désinscrire des étapes de détection de la fraude et « START » pour s’y réinscrire.
Déclencher vous-même des étapes de détection de la fraude
Pour envoyer des étapes de détection de la fraude aux autorisations qui n’ont pas été bloquées par Stripe, utilisez les webhooks d’autorisation en temps réel. Pour déclencher des étapes de détection de la fraude lorsque vous détectez des dépenses qui vous semblent suspectes et souhaitez effectuer une vérification supplémentaire (par exemple, lorsqu’un titulaire de carte utilise sa carte à l’étranger), refusez le webhook issuing_authorization.request
et incluez le champ send_fraud_challenges
en indiquant la valeur ["sms"]
.
Voici un exemple de déclenchement d’une étape de détection de la fraude dans une réponse de webhook :
Les étapes de détection de la fraude pour les plateformes Connect
Si vous utilisez Connect avec Stripe Issuing, et que vous activez les étapes de détection de la fraude, elles seront activées pour tous les titulaires de cartes sur tous les comptes connectés.