Accéder directement au contenu
Créez un compte
 ou
connecter-vous
Logo de la documentation Stripe
/
Créez un compte
Connectez-vous
Aperçu
Produits
Émission de cartes

Gérer la fraude avec les contrôles et outils de Stripe Issuing

Découvrez l'impact de la fraude sur votre programme d'émission de cartes et les mesures à prendre pour l'éviter.

En tant qu’outil de facilitation des paiements, Issuing entraîne des risques de fraude et de pertes, tant pour les entreprises que pour les émetteurs. Par conséquent, il est nécessaire de bien comprendre votre responsabilité en cas de perte et la manière de gérer au mieux ce risque dans le cadre de l’utilisation de notre plateforme. Ce document fournit des conseils sur les types de fraude, précise qui assume les pertes en cas de fraude, et décrit les ressources mises à disposition par Stripe pour vous aider à la prévenir.

Fraude et Issuing

Les paiements sont soumis à trois principaux types de fraude :

  • Transaction frauduleuse : utilisation non autorisée d’une carte bancaire afin d’obtenir de manière illicite de l’argent ou des biens.
  • Fraud commerciale : une personne crée un compte frauduleux (souvent en usurpant l’identité d’autrui) afin de commettre une fraude.
  • Fraude par usurpation de compte : les données de connexion du titulaire d’un compte sont usurpées par un tiers non autorisé qui effectue des actions sur son compte.

Bien que les cas de fraude commerciale et de fraude par usurpation de compte existent sur Issuing, la fraude aux transactions présente habituellement un risque plus important. Ce guide se concentre sur la fraude aux transactions et sur les outils disponibles pour vous aider à y faire face.

Fraude aux transactions

Sur Stripe Issuing, les transactions frauduleuses se manifestent par des paiements non autorisés sur une carte émise par Stripe. Les transactions frauduleuses peuvent survenir à n’importe quel moment du cycle de vie d’un titulaire de carte. Les achats effectués auprès d’entreprises légitimes sont également susceptibles de faire l’objet de transactions frauduleuses. Une carte bancaire peut être compromise pour les raisons suivantes :

  • Vol physique
  • Perte par le titulaire de la carte
  • Informations de carte compromises par des pratiques frauduleuses telles que :
    • Hameçonnage
    • Logiciels espions
    • Paiements non sécurisés
    • Violations externes

Responsabilité des pertes

La responsabilité des pertes est engagée lorsque un problème lié à une transaction entraîne une perte financière pour une partie. Cela se produit typiquement en cas de transaction frauduleuse ou quand une entreprise ne respecte pas ses obligations suite à un achat.

La responsabilité des pertes peut incomber au marchand (le fournisseur des produits ou services achetés), à vous en tant qu’utilisateur de Stripe Issuing, ou (dans de rares cas) au titulaire de la carte. Autrement dit, lorsque la responsabilité des pertes est attribuée à l’« émetteur », c’est vous qui êtes responsable, sauf exception.

Stripe Issuing vous permet de concevoir votre système de surveillance de la fraude et de prendre vos propres décisions en ce qui concerne vos transactions et votre logique métier. Bien que Stripe puisse vous aider à prévenir les transactions frauduleuses, vous restez responsable de toutes les pertes desquelles l’émetteur est jugé responsable. Vous devez donc mettre en place les contrôles nécessaires pour surveiller, gérer et prévenir la fraude.

Attribution de la responsabilité

Dans de nombreux cas, c’est l’entreprise qui assume la responsabilité des pertes liées aux transactions frauduleuses. Mais en tant qu’utilisateur de Stripe Issuing, la responsabilité peut vous incomber dans certaines conditions.

  • Transactions carte présente si une carte bancaire ou un portefeuille mobile est présenté lors de la transaction, l’émetteur est généralement responsable en cas de fraude, à quelques exceptions près :

  • Les puces ou bandes magnétiques des cartes et portefeuilles doivent être lues électroniquement chaque fois que c’est possible, avec ou sans contact. Lorsque les numéros de carte bancaire sont saisis manuellement, par exemple lors d’une commande par courrier ou par téléphone, la responsabilité incombe à l’entreprise.

  • Si une carte à puce est utilisée sur un terminal qui ne prend en charge que les paiements par lecture de la bande magnétique, la responsabilité est transférée au marchand.

    • Toutefois, si le terminal utilisé par le marchand prend en charge la lecture de la puce, mais qu’une transaction donnée est effectuée par lecture de la bande magnétique, la responsabilité vous incombe en tant qu’utilisateur d’Issuing.

  • Transactions carte non présente Si la carte n’est pas présentée lors de la transaction (commerce en ligne), la responsabilité est déterminée principalement par l’authentification 3DS.

Note

3DS 3DS est un niveau d’authentification supplémentaire qu’un marchand peut demander pour des autorisations qu’il estime à haut risque (et donc susceptibles d’entraîner la responsabilité de l’émetteur en cas de litige). Ce niveau de vérification supplémentaire (généralement par le biais d’une authentification à deux facteurs telle qu’un code d’accès à usage unique) déclenche un « transfert de responsabilité » où la responsabilité de la fraude passe du marchand à l’émetteur, quelles que soient les circonstances.

Lorsque 3DS est demandé par une entreprise pour une autorisation de carte spécifique, le titulaire de la carte peut avoir besoin d’une authentification supplémentaire pour effectuer la transaction. Toutefois, le déclenchement de l’authentification dépend de l’inscription de la carte à 3DS et de l’existence éventuelle d’exemptions ou de « flux d’authentification simple », qui contournent automatiquement toute demande 3DS configurée. L’inscription à 3DS n’est pas requise aux États-Unis et est désactivée par défaut ; par conséquent, les émetteurs américains n’inscrivent pas systématiquement leurs cartes parce qu’ils veulent éviter les complexités inutiles pour leurs titulaires de cartes. Dans le contexte de Stripe Issuing, lorsqu’un commerçant déclenche 3DS, la responsabilité de la fraude vous incombe généralement automatiquement, en tant qu’utilisateur de Stripe Issuing, que vous ayez ou non activé 3DS sur vos cartes. En conséquence, l’activation de 3DS vous aide à réduire le risque de responsabilité financière pour les transactions frauduleuses. Pour en savoir plus, consultez la page consacrée à 3DS pour Stripe Issuing.

Utilisation de portefeuilles électroniques

Indépendamment de l’authentification 3DS, l’utilisation d’une carte Stripe Issuing dans un portefeuille Apple Pay ou Google Pay lors d’une transaction carte non présente transfère également la responsabilité à l’émetteur.

Contrôles et outils pour contrer la fraude aux transactions

Compte tenu du risque que peut entraîner la responsabilité des fraudes, vous devez prendre des mesures proactives pour prévenir la fraude. Vous trouverez ci-dessous les contrôles et outils que vous pouvez ajouter à votre programme Stripe Issuing. Nous vous recommandons d’utiliser autant de contrôles et d’outils que possible pour limiter le risque de fraude sur les transactions de votre programme.

Contrôle/outilAvantagesInconvénients
3D Secure (3DS)Réduit la responsabilité des pertes sur certaines transactions en introduisant un niveau supplémentaire de vérification du titulaire de la carte.Les titulaires de carte sont soumis à une étape de vérification supplémentaire pour certaines transactions.
Contrôles des dépensesDéfinit des règles concernant les cartes et les titulaires de cartes afin de contrôler les dépenses.Possibilité restreinte d’appliquer un ensemble complexe de règles.
Webhook en temps réelApprouve ou refuse une décision d’autorisation en temps réel sur la base de toutes les données disponibles sur le point de vente.Nécessite une intégration dans le webhook Stripe.
Stripe Defense Layer betaBloque automatiquement les transactions à haut risque d’après la modélisation des risques de StripeCertaines transactions légitimes peuvent être refusées.
Données de vérificationRefuse les autorisations lorsque le CVV ou la date d’expiration ne correspond pas à l’autorisation.Aucune configuration personnalisée disponible.
Gestion des tokensVous permet de suspendre ou de désactiver les tokens de portefeuilles électroniques impliqués dans des activités frauduleuses.Nécessite une intégration dans l’API Tokens.
Gestion des cartesVous permet de suspendre ou de désactiver les cartes physiques ou virtuelles impliquées dans des activités frauduleuses.Aucune.
LitigesLes litiges peuvent vous aider à recouvrer les fonds perdus suite à des activités non autorisées.Les litiges ne garantissent pas le recouvrement des fonds et leur résolution peut être longue.

Contrôles proactifs de protection contre la fraude

KYC/KYB

Know Your Customer (KYC) ou Know Your Business (KYB) désigne le processus obligatoire de collecte et de vérification des informations sur l’entreprise ou la personne physique qui utilisera les cartes bancaires. Ces informations comprennent l’entité juridique et les informations personnelles sur le représentant de l’entreprise, ainsi que celles des propriétaires ou des gérants de l’entreprise.

La façon la plus simple de gérer les exigences KYC/KYB est d’intégrer Connect Onboarding, qui permet à Stripe de se charger de ces opérations complexes.

Contrôles des dépenses

Le contrôle des dépenses vous permet de bloquer des pays ou des catégories de marchands spécifiques (par exemple, les casinos) et de fixer des limites de dépenses par autorisation (par exemple, 100 USD) ou par mois (par exemple, 3000 USD par mois). Vous pouvez appliquer ces contrôles à des cartes individuelles ou à des titulaires de cartes. Ils sont plus efficaces lorsque les habitudes de dépenses prévues sont connues.

Nous vous recommandons de mettre à la fois en place des limites de dépenses et des contrôles des catégories de marchands pour limiter votre exposition aux risques en cas d’utilisation non autorisée. Pour en savoir plus, veuillez consulter la page Contrôle des dépenses.

3D Secure

3D Secure (3DS) est un processus d’authentification supplémentaire utilisé par les marchands pour s’assurer qu’un achat en ligne a été initié par un titulaire de carte légitime. 3DS concerne les transactions en ligne et ne fonctionne que si le marchand en fait la demande et si vous l’avez activé pour votre programme Issuing. L’étape 3DS supplémentaire a lieu au moment du paiement. Le titulaire de la carte est invité à saisir sur une page d’authentification le code de vérification reçu par SMS ou par e-mail.

Nous vous recommandons d’activer 3DS pour réduire l’exposition aux pertes dues à la fraude pour les transactions en ligne. Pour en savoir plus, veuillez consulter la page concernant 3DS et sa procédure d’activation.

Contrôles de protection contre la fraude en temps réel

Webhook en temps réel

Vous pouvez approuver ou refuser des demandes d’autorisation en temps réel en fonction des données dont vous disposez au moment de l’autorisation. De cette manière, vous garder la mainmise sur les résultats des autorisations et vous pouvez mettre en œuvre votre propre logique de prévention de la fraude. Utilisez le webhook en temps réel de Stripe pour cibler un schéma de fraude spécifique tout en minimisant l’impact sur les autres comportements de dépense. Par exemple, vous pouvez utiliser des données d’autorisation à l’emplacement de l’autorisation pour bloquer des zones géographiques, des devises et des marchands spécifiques. Pour en savoir plus, veuillez consulter le webhook en temps réel et son fonctionnement.

Stripe Defense Layer

Par défaut, Stripe propose plusieurs contrôles automatiques pour vous aider à réduire votre exposition à la fraude sans modifier la responsabilité des pertes. En plus d’autres considérations, Stripe tente de bloquer les types d’autorisation suivants :

  • Transactions identifiées comme test de cartes bancaires
  • Transactions à risque très élevé selon notre modélisation des risques.

Ces mesures de protection affectent habituellement un très petit nombre d’autorisations (moins de 0,5 %). Elles ne doivent pas se substituer à votre propre programme de gestion du risque, mais visent à le compléter. Il vous appartient d’identifier le juste équilibre entre l’expérience utilisateur et la gestion des risques en fonction des caractéristiques spécifiques de votre programme. Stripe Defense Layer est sans incidence sur l’attribution de la responsabilité.

Challenges anti-fraude

Les étapes de détection de la fraude offrent aux utilisateurs un niveau de vérification supplémentaire pour confirmer les achats par SMS. Cela permet de minimiser les blocages accidentels d’achats légitimes qui peuvent initialement sembler à haut risque. Après avoir confirmé l’achat, le titulaire de la carte peut relancer la transaction. Pour en savoir plus, veuillez consulter la page Étapes de détection de la fraude.

Indicateurs d’autorisation

Les signaux d’autorisation vous permettent de prendre des décisions en temps réel pour rejeter ou approuver une autorisation, en fonction de :

Pour en savoir plus, veuillez consulter la page Indicateurs d’autorisation.

Outils à utiliser suite à une transaction frauduleuse

Gestion des tokens

Gérez les tokens des portefeuilles électroniques via l’API pour désactiver rapidement les cartes impliquées dans des activités frauduleuses. Pour en savoir plus, veuillez consulter la section concernant l’activation de la gestion des tokens et sur l’API.

Gestion des cartes

Si vous ou un titulaire de carte soupçonnez une activité frauduleuse, vous pouvez désactiver temporairement une carte à l’aide du Dashboard ou de l’API afin d’empêcher toute utilisation non autorisée le temps d’analyser la source du problème. Si l’activité a été autorisée, vous pouvez conserver les identifiants de la carte et la réactiver. Dès que vous constatez une opération non autorisée, annulez immédiatement la carte. Pour en savoir plus, veuillez consulter la section concernant la gestion des cartes et l’utilisation de l’API.

Litiges

En cas de transactions frauduleuses, vous pouvez entamer une procédure de litige auprès de Visa ou de Mastercard via le Dashboard ou l’API pour les transactions ayant pour motif ‘Fraudulent’. Dans certains cas, selon la vérification effectuée au point de vente, le marchand peut être tenu responsable de la transaction frauduleuse. Pour en savoir plus, veuillez consulter la section concernant la gestion des litiges.

Contrôles et informations utilisateur

Vous pouvez réajuster divers éléments des contrôles de fraude de Stripe et informer vos titulaires de carte afin de diminuer la fréquence à laquelle une intervention est requise.

Configurations des utilisateurs

En fonction de votre cas d’usage et de votre workflow, vous pouvez demander à modifier les contrôles par défaut de Stripe, notamment :

  • Assouplissement des exigences 3DS
  • Augmentation des plafonds de transaction

Bien que Stripe puisse répondre à ces demandes au cas par cas, vous êtes responsable de tout risque accru ou de toute perte résultant de ces demandes.

Informer vos titulaires de cartes

Expliquez à vos titulaires de carte comment protéger les informations relatives à leur carte. Apprenez-leur à surveiller de près l’activité de leurs comptes afin d’augmenter la probabilité qu’ils (et vous-même) détectent rapidement toute activité frauduleuse. Communiquez à vos titulaires de cartes les mesures préventives suivantes :

  • Vérifiez la présence de skimmers de cartes bancaires dans les boutiques physiques : vérifiez qu’il n’y a pas de caméra ni d’équipement de skimming sur le terminal de paiement. Vérifiez qu’aucun périphérique n’est inséré ou connecté au lecteur de carte, aux ports, à l’écran ou au clavier.
  • N’achetez qu’auprès d’entreprises dignes de confiance : ne fournissez les informations de votre carte bancaire qu’à des marchands que vous connaissez et en qui vous avez confiance.
  • En cas de vol ou de perte, annulez immédiatement votre carte : réagissez sans tarder pour empêcher toute utilisation non autorisée avant qu’un fraudeur ne puisse obtenir les identifiants de votre carte. Pour pouvoir continuer à effectuer des achats, créez une nouvelle carte après avoir annulé la carte perdue ou volée.

Surveiller les indicateurs

Nous vous recommandons de surveiller les indicateurs suivants pour vous aider à identifier et à mesurer la fraude sur vos comptes ayant activé Issuing.

Indicateurs clés

Les indicateurs précurseurs permettent d’identifier rapidement les risques de fraude.

  • Refus d’autorisations due à des données de vérification incorrectes (CVC2, date d’expiration), dans le temps.
  • Évolution du taux d’autorisation.
  • Autorisations hors zone géographique, dans le temps.
  • Autorisations par pays du marchand acquéreur, dans le temps.
  • Autorisations par code de catégorie de marchand, dans le temps.
  • Captures forcées, dans le temps.

Indicateurs tardifs

Les indicateurs différés permettent d’évaluer après coup l’impact des activités frauduleuses sur votre programme Issuing.

  • Pourcentage des dépenses totales contestées pour fraude, dans le temps.
  • Taux de litiges remportés et perdus, dans le temps.
  • Pertes absolues liées aux litiges, dans le temps.
  • Marchands acquéreurs avec le pourcentage le plus élevé de transactions contestées.

Gestion de la fraude

Issuing présente un potentiel de fraude significatif, nécessitant une surveillance continue et une gestion proactive de la fraude. En comprenant vos rôles et responsabilités et en exploitant efficacement les ressources de Stripe, vous pouvez réduire ces risques à des niveaux que vous jugez adaptés à votre entreprise.

Gardez à l’esprit les points suivants pour déterminer votre approche en matière de gestion de la fraude :

L’ampleur de la fraude attendue : le volume de fraude mensuel moyen varie considérablement en fonction du secteur d’activité, de la zone géographique, du modèle économique, etc. La plupart des utilisateurs signalent un niveau de fraude inférieur ou égal à 0,1 % de leur volume de transactions, mais ce chiffre peut varier considérablement en fonction de votre activité d’émission de cartes. Quelques rares modèles économiques permettent d’éviter totalement la fraude, mais à moins d’un volume de transactions particulièrement faible, la grande majorité des entreprises y sont exposées.

Définition d’un litige : un litige survient lorsqu’un titulaire de compte conteste un paiement sur son relevé de carte bancaire auprès de l’émetteur de sa carte. Les motifs de litige varient : le titulaire du compte peut ne pas reconnaître le paiement, le percevoir comme frauduleux ou ne pas être satisfait des biens ou services qu’il a achetés. Les litiges peuvent aider les émetteurs à récupérer des fonds en cas d’activité frauduleuse.

Signaux et contrôles Stripe supplémentaires en matière de fraude : Stripe Issuing propose actuellement en version bêta une suite d’outils de gestion des risques avancée. Elle est destinée aux utilisateurs qui utilisent principalement les API et souhaitent bénéficier de signaux avancés pour identifier et prévenir les transactions frauduleuses. Pour en savoir plus, contactez le service d’assistance.

Cette page vous a-t-elle été utile ?
OuiNon
Besoin d'aide ? Contactez le service d'assistance.
Rejoignez notre programme d'accès anticipé.
Consultez notre journal des modifications des produits.
Des questions ? Contactez l'équipe commerciale.
Propulsé par Markdoc
Sur cette page
Fraude et Issuing
Fraude aux transactions
Responsabilité des pertes
Attribution de la responsabilité
Utilisation de portefeuilles électroniques
Contrôles et outils pour contrer la fraude aux transactions
Contrôles proactifs de protection contre la fraude
Contrôles de protection contre la fraude en temps réel
Outils à utiliser suite à une transaction frauduleuse
Contrôles et informations utilisateur
Configurations des utilisateurs
Informer vos titulaires de cartes
Surveiller les indicateurs
Indicateurs clés
Indicateurs tardifs
Gestion de la fraude
Produits utilisés
Issuing