Gérer la fraude avec les contrôles et outils de Stripe Issuing
En tant qu’outil de facilitation des paiements, Issuing entraîne des risques de fraude et de pertes, tant pour les entreprises que pour les émetteurs. Par conséquent, il est nécessaire de bien comprendre votre responsabilité en cas de perte et la manière de gérer au mieux ce risque dans le cadre de l’utilisation de notre plateforme. Ce document fournit des conseils sur les types de fraude, précise qui assume les pertes en cas de fraude, et décrit les ressources mises à disposition par Stripe pour vous aider à la prévenir.
Fraude et Issuing
Les paiements sont soumis à trois principaux types de fraude :
- Transaction frauduleuse : utilisation non autorisée d’une carte bancaire afin d’obtenir de manière illicite de l’argent ou des biens.
- Fraud commerciale : une personne crée un compte frauduleux (souvent en usurpant l’identité d’autrui) afin de commettre une fraude.
- Fraude par usurpation de compte : les données de connexion du titulaire d’un compte sont usurpées par un tiers non autorisé qui effectue des actions sur son compte.
Bien que les cas de fraude commerciale et de fraude par usurpation de compte existent sur Issuing, la fraude aux transactions présente habituellement un risque plus important. Ce guide se concentre sur la fraude aux transactions et sur les outils disponibles pour vous aider à y faire face.
Fraude aux transactions
Sur Stripe Issuing, les transactions frauduleuses se manifestent par des paiements non autorisés sur une carte émise par Stripe. Les transactions frauduleuses peuvent survenir à n’importe quel moment du cycle de vie d’un titulaire de carte. Les achats effectués auprès d’entreprises légitimes sont également susceptibles de faire l’objet de transactions frauduleuses. Une carte bancaire peut être compromise pour les raisons suivantes :
- Vol physique
- Perte par le titulaire de la carte
- Informations de carte compromises par des pratiques frauduleuses telles que :
- Hameçonnage
- Logiciels espions
- Paiements non sécurisés
- Violations externes
Responsabilité des pertes
La responsabilité des pertes est engagée lorsque un problème lié à une transaction entraîne une perte financière pour une partie. Cela se produit typiquement en cas de transaction frauduleuse ou quand une entreprise ne respecte pas ses obligations suite à un achat.
La responsabilité des pertes peut incomber au marchand (le fournisseur des produits ou services achetés), à vous en tant qu’utilisateur de Stripe Issuing, ou (dans de rares cas) au titulaire de la carte. Autrement dit, lorsque la responsabilité des pertes est attribuée à l’« émetteur », c’est vous qui êtes responsable, sauf exception.
Stripe Issuing vous permet de concevoir votre système de surveillance de la fraude et de prendre vos propres décisions en ce qui concerne vos transactions et votre logique métier. Bien que Stripe puisse vous aider à prévenir les transactions frauduleuses, vous restez responsable de toutes les pertes desquelles l’émetteur est jugé responsable. Vous devez donc mettre en place les contrôles nécessaires pour surveiller, gérer et prévenir la fraude.
Attribution de la responsabilité
Dans de nombreux cas, c’est l’entreprise qui assume la responsabilité des pertes liées aux transactions frauduleuses. Mais en tant qu’utilisateur de Stripe Issuing, la responsabilité peut vous incomber dans certaines conditions.
Transactions carte présente si une carte bancaire ou un portefeuille mobile est présenté lors de la transaction, l’émetteur est généralement responsable en cas de fraude, à quelques exceptions près :
Les puces ou bandes magnétiques des cartes et portefeuilles doivent être lues électroniquement chaque fois que c’est possible, avec ou sans contact. Lorsque les numéros de carte bancaire sont saisis manuellement, par exemple lors d’une commande par courrier ou par téléphone, la responsabilité incombe à l’entreprise.
Si une carte à puce est utilisée sur un terminal qui ne prend en charge que les paiements par lecture de la bande magnétique, la responsabilité est transférée au marchand.
- Toutefois, si le terminal utilisé par le marchand prend en charge la lecture de la puce, mais qu’une transaction donnée est effectuée par lecture de la bande magnétique, la responsabilité vous incombe en tant qu’utilisateur d’Issuing.
Transactions carte non présente Si la carte n’est pas présentée lors de la transaction (commerce en ligne), la responsabilité est déterminée principalement par l’authentification 3DS.
Note
3DS L’authentification 3DS est une couche d’authentification supplémentaire qu’un marchand peut demander sur les autorisations qu’il estime à haut risque (et par conséquent susceptibles d’entraîner la responsabilité des pertes dues à une fraude en cas de litige). Ce niveau de vérification supplémentaire (généralement par le biais d’une forme d’authentification à plusieurs facteurs comme un code secret à usage unique) déclenche un « transfert de responsabilité », par lequel la responsabilité des pertes dues à la fraude est transférée du marchand à l’émetteur, quelles que soient les circonstances.
Lorsque l’authentification 3DS est demandée par une entreprise pour une autorisation de carte spécifique, le titulaire de la carte peut devoir procéder à une authentification supplémentaire pour finaliser la transaction. Cependant, le déclenchement de l’authentification dépend directement de l’éventuelle activation de l’authentification 3DS sur cette carte et de l’existence d’exemptions ou de flux dits « simples » qui contournent automatiquement toute demande 3DS configurée. L’activation de 3DS n’est pas obligatoire aux États-Unis, où elle est désactivée par défaut. Par conséquent, les émetteurs américains n’activent pas systématiquement 3DS sur leurs cartes, afin d’éviter toute complexité inutile pour leurs titulaires. Dans le contexte de Stripe Issuing, lorsqu’un marchand active l’authentification 3DS, c’est généralement vous qui assumez automatiquement la responsabilité des pertes due à la fraude, en tant qu’utilisateur de Stripe Issuing, que l’authentification 3DS soit activée ou non sur vos cartes. Par conséquent, l’activation de 3DS vous permet de réduire le risque de responsabilité financière en cas de transaction frauduleuse. Pour en savoir plus, consultez la page dédiée à 3DS pour Stripe Issuing.
Utilisation de portefeuilles électroniques
Indépendamment de l’authentification 3DS, l’utilisation d’une carte Stripe Issuing dans un portefeuille Apple Pay ou Google Pay lors d’une transaction carte non présente transfère également la responsabilité à l’émetteur.
Contrôles et outils pour contrer la fraude aux transactions
Compte tenu du risque que peut entraîner la responsabilité des fraudes, vous devez prendre des mesures proactives pour prévenir la fraude. Vous trouverez ci-dessous les contrôles et outils que vous pouvez ajouter à votre programme Stripe Issuing. Nous vous recommandons d’utiliser autant de contrôles et d’outils que possible pour limiter le risque de fraude sur les transactions de votre programme.
Contrôle/outil | Avantages | Inconvénients |
---|---|---|
3D Secure (3DS) | Réduit la responsabilité des pertes sur certaines transactions en introduisant un niveau supplémentaire de vérification du titulaire de la carte. | Les titulaires de carte sont soumis à une étape de vérification supplémentaire pour certaines transactions. |
Contrôles des dépenses | Définit des règles concernant les cartes et les titulaires de cartes afin de contrôler les dépenses. | Possibilité restreinte d’appliquer un ensemble complexe de règles. |
Webhook en temps réel | Approuve ou refuse une décision d’autorisation en temps réel sur la base de toutes les données disponibles sur le point de vente. | Nécessite une intégration dans le webhook Stripe. |
Stripe Defense Layer beta | Bloque automatiquement les transactions à haut risque d’après la modélisation des risques de Stripe | Certaines transactions légitimes peuvent être refusées. |
Vérification des données | Refuse les autorisations lorsque le CVV ou la date d’expiration ne correspond pas à l’autorisation. | Aucune configuration personnalisée disponible. |
Gestion des tokens | Vous permet de suspendre ou de désactiver les tokens de portefeuilles électroniques impliqués dans des activités frauduleuses. | Nécessite une intégration dans l’API Tokens. |
Gestion des cartes bancaires | Vous permet de suspendre ou de désactiver les cartes physiques ou virtuelles impliquées dans des activités frauduleuses. | Aucune. |
Litiges | Les litiges peuvent vous aider à recouvrer les fonds perdus suite à des activités non autorisées. | Les litiges ne garantissent pas le recouvrement des fonds et leur résolution peut être longue. |
Contrôles proactifs de protection contre la fraude
3D Secure
3D Secure (3DS) est un processus d’authentification supplémentaire utilisé par les marchands pour s’assurer qu’un achat en ligne a été initié par un titulaire de carte légitime. 3DS concerne les transactions en ligne et ne fonctionne que si le marchand en fait la demande et si vous l’avez activé pour votre programme Issuing. L’étape 3DS supplémentaire a lieu au moment du paiement. Le titulaire de la carte est invité à saisir sur une page d’authentification le code de vérification reçu par SMS ou par e-mail.
Nous vous recommandons d’activer 3DS afin de réduire votre exposition aux pertes dues à la fraude sur les transactions en ligne. En savoir plus sur 3DS et sa procédure d’activation.
Contrôles des dépenses
Les contrôles de dépenses permettent de bloquer certains pays, ID de marchand ou catégories de marchands (par exemple, les casinos), ou de définir des limites de dépenses (par exemple, 100 USD par autorisation, 3 000 USD par mois). Les contrôles de dépenses peuvent s’appliquer à une carte ou à un titulaire de carte, et ils s’avèrent particulièrement efficaces en cas de dépenses régulières et prévues. Stripe recommande de mettre en œuvre une combinaison de limites de dépenses et de contrôles de catégories de marchands sur vos cartes et titulaires de cartes afin de limiter votre exposition en cas de tentative d’utilisation non autorisée. En savoir plus sur les contrôles de dépenses et leur configuration.
Contrôles de protection contre la fraude en temps réel
Webhook en temps réel
Vous pouvez approuver ou refuser des demandes d’autorisation en temps réel en fonction des données dont vous disposez au moment de l’autorisation. De cette manière, vous gardez la mainmise sur les résultats des autorisations et vous pouvez mettre en œuvre votre propre logique de prévention de la fraude. Utilisez le webhook en temps réel de Stripe pour cibler un type de fraude spécifique tout en minimisant l’impact sur les autres comportements de dépense. Vous pouvez par exemple utiliser des données d’autorisation concernant la localisation de l’autorisation pour bloquer des zones géographiques, des devises ou des marchands spécifiques. En savoir plus sur le webhook en temps réel et son fonctionnement.
Stripe Defense Layer
Par défaut, Stripe propose plusieurs contrôles automatiques pour vous aider à réduire votre exposition à la fraude sans modifier la responsabilité des pertes. En plus d’autres considérations, Stripe tente de bloquer les types d’autorisation suivants :
- Transactions identifiées comme test de cartes bancaires
- Transactions à risque très élevé selon notre modélisation des risques.
Ces mesures de protection affectent habituellement un très petit nombre d’autorisations (moins de 0,5 %). Elles ne doivent pas se substituer à votre propre programme de gestion du risque, mais visent à le compléter. Il vous appartient d’identifier le juste équilibre entre l’expérience utilisateur et la gestion des risques en fonction des caractéristiques spécifiques de votre programme. Stripe Defense Layer est sans incidence sur l’attribution de la responsabilité.
Données de vérification
Pour toute autorisation associée à une carte Stripe Issuing, nous comparons le CVV2 (ou code de sécurité) et la date d’expiration de la carte saisis au moment du paiement aux données enregistrées concernant cette carte. Si l’un de ces éléments ne correspond pas, Stripe rejette l’autorisation en votre nom et vous informe de toute incohérence potentielle via l’API. En savoir plus sur les vérifications que nous effectuons.
Configurations des utilisateurs
Selon votre cas d’usage et le flux souhaité, vous pouvez demander l’ajustement des contrôles Stripe par défaut afin de réduire la complexité, ce qui aura également pour effet d’augmenter le risque (par exemple, en assouplissant les exigences de 3DS, en augmentant le montant maximal ou en désactivant le blocage automatique des transactions à haut risque). Bien que Stripe puisse satisfaire ces demandes au cas par cas, toute augmentation du risque ou de la responsabilité des pertes qu’entraîne ces demandes vous incombe totalement.
Outils à utiliser suite à une transaction frauduleuse
Gestion des tokens
Gérez les tokens des portefeuilles électroniques via l’API pour désactiver rapidement les cartes impliquées dans des activités frauduleuses. En savoir plus sur l’activation de la gestion des tokens et sur l’API.
Gestion des cartes
Si vous ou un titulaire de carte soupçonnez une activité frauduleuse, vous pouvez désactiver temporairement une carte à l’aide du Dashboard ou de l’API afin d’empêcher toute utilisation non autorisée le temps d’analyser la source du problème. Si l’activité a été autorisée, vous pouvez conserver les identifiants de la carte et la réactiver. Dès que vous constatez une opération non autorisée, annulez immédiatement la carte. En savoir plus sur la gestion des cartes et l’utilisation de l’API.
Litiges
En cas de transactions frauduleuses, vous pouvez entamer une procédure de litige auprès de Visa ou de Mastercard via le Dashboard ou l’API en indiquant le motif « Frauduleux ». Dans certains cas, selon la vérification effectuée au point de vente, le marchand peut être tenu responsable de la transaction frauduleuse. En savoir plus sur la gestion des litiges.
Informer vos titulaires de cartes
Expliquez à vos titulaires de carte comment protéger les informations relatives à leur carte. Apprenez-leur à surveiller de près l’activité de leurs comptes afin d’augmenter la probabilité qu’ils (et vous-même) détectent rapidement toute activité frauduleuse. Communiquez à vos titulaires de cartes les mesures préventives suivantes :
- Vérifier la présence de copieurs de cartes bancaires, ou skimmers, dans les boutiques physiques : vérifiez qu’il n’y a pas de caméra ni d’équipement de skimming sur le terminal de paiement. Vérifiez qu’aucun périphérique n’est inséré ou connecté au lecteur de carte, aux ports, à l’écran ou au clavier.
- Acheter uniquement auprès d’entreprises dignes de confiance : ne fournissez les informations de votre carte bancaire qu’à des marchands que vous connaissez et en qui vous avez confiance.
- Faire immédiatement opposition en cas de vol ou de perte de la carte : réagissez sans tarder pour empêcher toute utilisation non autorisée avant qu’un fraudeur ne puisse obtenir les identifiants de votre carte. Pour effectuez vos achats malgré tout, créez une nouvelle carte après avoir bloqué la carte perdue ou volée.
Surveiller les indicateurs
Nous vous recommandons de surveiller les indicateurs suivants pour vous aider à identifier et à mesurer la fraude sur vos comptes ayant activé Issuing.
Indicateurs clés
Les indicateurs précurseurs permettent d’identifier rapidement les risques de fraude.
- Refus d’autorisations due à des données de vérification incorrectes (CVC2, date d’expiration), dans le temps.
- Évolution du taux d’autorisation.
- Autorisations hors zone géographique, dans le temps.
- Autorisations par pays du marchand acquéreur, dans le temps.
- Autorisations par code de catégorie de marchand, dans le temps.
- Évolution des captures forcées.
Indicateurs tardifs
Les indicateurs différés permettent d’évaluer après coup l’impact des activités frauduleuses sur votre programme Issuing.
- Pourcentage des dépenses totales contestées pour fraude, dans le temps.
- Taux de litiges remportés et perdus, dans le temps.
- Pertes absolues liées aux litiges, dans le temps.
- Marchands acquéreurs avec le pourcentage le plus élevé de transactions contestées.
Gestion de la fraude
Issuing présente un potentiel de fraude significatif, nécessitant une surveillance continue et une gestion proactive de la fraude. En comprenant vos rôles et responsabilités et en exploitant efficacement les ressources de Stripe, vous pouvez réduire ces risques à des niveaux que vous jugez adaptés à votre entreprise.
Gardez à l’esprit les points suivants pour déterminer votre approche en matière de gestion de la fraude :
L’ampleur de la fraude attendue : le volume de fraude mensuel moyen varie considérablement en fonction du secteur d’activité, de la zone géographique, du modèle économique, etc. La plupart des utilisateurs signalent un niveau de fraude inférieur ou égal à 0,1 % de leur volume de transactions, mais ce chiffre peut varier considérablement en fonction de votre activité d’émission de cartes. Quelques rares modèles économiques permettent d’éviter totalement la fraude, mais à moins d’un volume de transactions particulièrement faible, la grande majorité des entreprises y sont exposées.
Définition d’un litige : un litige survient lorsqu’un titulaire de compte conteste un paiement sur son relevé de carte bancaire auprès de l’émetteur de sa carte. Les motifs de litige varient : le titulaire du compte peut ne pas reconnaître le paiement, le percevoir comme frauduleux ou ne pas être satisfait des biens ou services qu’il a achetés. Les litiges peuvent aider les émetteurs à récupérer des fonds en cas d’activité frauduleuse.
Signaux et contrôles Stripe supplémentaires en matière de fraude : Stripe Issuing propose actuellement en version bêta une suite d’outils de gestion des risques avancée. Elle est destinée aux utilisateurs qui utilisent principalement les API et souhaitent bénéficier de signaux avancés pour identifier et prévenir les transactions frauduleuses. Pour en savoir plus, contactez le service d’assistance.