Accéder directement au contenu
Créez un compte
 ou
connecter-vous
Logo de la documentation Stripe
/
Créez un compte
Connectez-vous
Aperçu
Utilisation pour votre entreprise
Cartes bancairesConversion instantanée de devises
Intégrez-le à votre plateforme
Émission de cartes

Gérer la fraude avec les contrôles et outils de Stripe Issuing

Mesurez l'impact de la fraude sur les transactions dans le cadre de votre programme Issuing et les mesures que vous pouvez prendre pour l'éliminer.

En tant qu’outil de facilitation des paiements, Issuing entraîne des risques de fraude et de pertes, tant pour les entreprises que pour les émetteurs. Vous devez comprendre ce qu’est la fraude aux transactions, qui est responsable en cas de fraude et devez connaître les meilleurs moyens de surveiller et de prévenir la fraude à l’aide des ressources disponibles de Stripe. En prenant connaissance de vos rôles et responsabilités et en exploitant efficacement les ressources de Stripe, vous pouvez réduire ces risques à des niveaux que vous jugez adaptés à votre entreprise.

Gardez à l’esprit les points suivants pour déterminer votre approche en matière de gestion de la fraude :

  • **Volume de fraude attendu **: Le volume moyen de fraudes mensuelles varie considérablement en fonction du secteur d’activité, de la zone géographique, du business model et d’autres facteurs. La plupart des utilisateurs signalent un niveau de fraude inférieur ou égal à 0,1 % de leur volume de transactions, mais ce chiffre peut varier considérablement en fonction de votre activité d’émission de cartes. Quelques rares business models permettent d’éviter totalement la fraude, mais à moins d’un volume de transactions particulièrement faible, la grande majorité des entreprises y sont exposées.
  • **Définition d’un litige **: un litige intervient lorsqu’un titulaire de compte conteste un paiement figurant sur son relevé de carte auprès de l’émetteur de sa carte. Le motif du litige varie. Par exemple, le titulaire du compte peut ne pas reconnaître le paiement, le percevoir comme frauduleux ou ne pas être satisfait des biens ou services qu’il a achetés. Les litiges peuvent aider les émetteurs à récupérer des fonds en cas d’activité frauduleuse.

Fraude aux transactions

Il existe trois principaux types de fraude aux paiements :

  • Fraude aux transactions : utilisation non autorisée d’une carte de paiement pour obtenir frauduleusement de l’argent ou des biens.
  • Fraud commerciale : une personne crée un compte frauduleux (souvent en usurpant l’identité d’autrui) afin de commettre une fraude.
  • **Fraude par prise de contrôle de compte **: un tiers non autorisé compromet l’identifiant d’un propriétaire de compte légitime et prend des mesures sur son compte.

Bien que les cas de fraude commerciale et de fraude par prise de contrôle de compte existent sur Issuing, la fraude aux transactions présente habituellement un risque plus important.

Sur Stripe Issuing, les transactions frauduleuses se manifestent par des paiements non autorisés sur une carte émise par Stripe. Les transactions frauduleuses peuvent survenir à n’importe quel moment du cycle de vie d’un titulaire de carte. Les achats effectués auprès d’entreprises légitimes sont également susceptibles de faire l’objet de transactions frauduleuses. Une carte bancaire peut être compromise pour les raisons suivantes :

  • Vol physique
  • Perte par le titulaire de la carte
  • Informations de carte compromises par des pratiques frauduleuses telles que :
    • Hameçonnage
    • Logiciels espions
    • Paiements non sécurisés
    • Violations externes

Responsabilité des pertes

La responsabilité des pertes est engagée lorsque un problème lié à une transaction entraîne une perte financière pour une partie. Cela se produit typiquement en cas de transaction frauduleuse ou quand une entreprise ne respecte pas ses obligations suite à un achat.

La responsabilité des pertes peut incomber à l’entreprise (le fournisseur des produits ou services achetés), à vous en tant qu’utilisateur de Stripe Issuing, ou (dans de rares cas) au titulaire de la carte. Autrement dit, lorsque la responsabilité des pertes est attribuée à l’émetteur, vous êtes responsable, sauf exception. Pour en savoir plus sur les cas où l’émetteur est responsable des transactions frauduleuses, consultez la page Attribution de la responsabilité.

Stripe Issuing vous permet de concevoir votre système de surveillance de la fraude et de prendre vos propres décisions en ce qui concerne vos transactions et votre logique métier. Bien que Stripe puisse vous aider à prévenir les transactions frauduleuses, vous restez responsable de toutes les pertes desquelles l’émetteur est jugé responsable. Vous devez donc mettre en place les contrôles nécessaires pour surveiller, gérer et prévenir la fraude.

Attribution de la responsabilité

Dans de nombreux cas, l’entreprise assume la responsabilité des transactions frauduleuses. Il existe toutefois quelques facteurs qui peuvent faire en sorte que la responsabilité vous soit transférée, en tant qu’utilisateur d’Issuing :

  • **Transactions avec présentation de la carte **: si une carte bancaire ou un wallet mobile est présenté lors de la transaction, l’émetteur est généralement responsable en cas de fraude, à quelques exceptions près :
    • Les puces ou bandes magnétiques des cartes et wallets doivent être lues électroniquement chaque fois que cela est possible, avec ou sans contact. Lorsque les numéros de carte bancaire sont saisis manuellement, par exemple lors d’une commande par courrier ou par téléphone, la responsabilité incombe à l’entreprise.
    • Si une carte à puce est utilisée sur un terminal qui ne prend en charge que les paiements par lecture de la bande magnétique, la responsabilité est transférée à l’entreprise.
    • Si le terminal utilisé par le marchand prend en charge la lecture de la puce, mais qu’une transaction donnée est effectuée par lecture de la bande magnétique, la responsabilité vous incombe en tant qu’utilisateur d’Issuing.
  • Transactions sans présentation de la carte : si la carte n’est pas présentée lors de la transaction (e-commerce), la responsabilité est principalement déterminée par 3D Secure (3DS). La couche de vérification supplémentaire fournie par 3DS déclenche un « transfert de responsabilité », c’est-à-dire que la responsabilité de la fraude passe de l’entreprise à l’émetteur, quelles que soient les circonstances. Dans le contexte de Stripe Issuing, lorsqu’une entreprise déclenche l’authentification 3DS, la responsabilité de la fraude vous est généralement automatiquement transférée, en tant qu’utilisateur d’Issuing, que vous ayez activé ou non 3DS sur vos cartes. Par conséquent, l’activation de 3DS vous permet de réduire le risque de responsabilité financière en cas de transactions frauduleuses. Pour en savoir plus, consultez 3DS pour Stripe Issuing.
  • Transactions via un wallet : indépendamment des considérations liées à l’authentification 3DS, l’utilisation d’une carte Stripe Issuing dans un wallet Apple Pay ou Google Pay pour une transaction sans présentation de la carte transfère également la responsabilité à l’émetteur.

Contrôles et outils pour contrer la fraude aux transactions

Compte tenu du risque que peut entraîner la responsabilité des fraudes, vous devez prendre des mesures proactives pour prévenir la fraude. Vous trouverez ci-dessous les contrôles et outils que vous pouvez ajouter à votre programme Stripe Issuing. Nous vous recommandons d’utiliser autant de contrôles et d’outils que possible pour limiter le risque de fraude sur les transactions de votre programme.

Contrôles proactifs de protection contre la fraude

Stripe offre les contrôles proactifs de protection contre la fraude suivants :

KYC/KYB

Know your customer (KYC) ou Know your business (KYB) désigne le processus obligatoire de collecte et de vérification des informations sur l’entreprise ou la personne qui utilise les cartes. Ces informations comprennent l’entité juridique et les informations personnelles sur le représentant de l’entreprise, ainsi que celles des propriétaires ou des gérants de l’entreprise. Pour gérer les procédures KYC/KYB, vous pouvez intégrer Connect Onboarding, qui permet à Stripe de se charger des opérations complexes.

Pour en savoir plus sur l’utilisation de Connect dans le cadre de la gestion des procédures KYC/KYB, consultez la page Gestion des risques avec Connect.

Contrôles des dépenses

Le contrôle des dépenses vous permet de bloquer des pays ou des catégories d’entreprises spécifiques (par exemple, les casinos) et de définir des limites de dépenses par autorisation (par exemple, 100 USD) ou par mois (par exemple, 3000 USD par mois). Vous pouvez appliquer ces contrôles à des cartes individuelles ou à des titulaires de carte. Ils sont plus efficaces lorsque les habitudes de dépenses prévues sont connues.

Nous vous recommandons de mettre en place à la fois des limites de dépenses et des contrôles par catégorie d’entreprise afin de limiter votre exposition aux risques en cas d’utilisation non autorisée. Pour en savoir plus sur la définition de règles sur les cartes et les titulaires de carte afin de contrôler les dépenses, consultez la page Contrôles des dépenses.

3D Secure

3D Secure (3DS) est une couche d’authentification supplémentaire utilisée par les entreprises pour s’assurer qu’un achat en ligne provient d’un titulaire de carte légitime. 3DS est utilisé pour les transactions en ligne et ne fonctionne que si l’entreprise demande cette fonctionnalité et que vous l’avez activée pour votre programme Issuing. L’étape 3DS supplémentaire a lieu au moment du paiement, lorsque le titulaire de la carte voit une page d’authentification et reçoit un message lui demandant de saisir un code de vérification envoyé sur son téléphone ou par e-mail.

Nous vous recommandons d’activer 3DS pour réduire l’exposition aux pertes dues à la fraude pour les transactions en ligne. Pour en savoir plus sur 3DS et comment l’activer, consultez la page Authentification du titulaire de carte à l’aide de 3D Secure.

Contrôles de protection contre la fraude en temps réel

Stripe offre les contrôles de protection contre la fraude en temps réel suivants :

Couche de défense Stripe

Par défaut, Stripe propose plusieurs mesures de contrôle automatique qui vous aident à minimiser les risques de fraude sans transférer la responsabilité des pertes. Stripe tente, entre autres, de bloquer les autorisations qui semblent être des tests de cartes ou que nous estimons présenter un risque extrêmement élevé sur la base de notre propre modélisation des risques.

Ces stratégies de prévention supplémentaires impactent généralement un très petit sous-ensemble des autorisations (moins de 0,5 %). Ces contrôles automatiques ne doivent pas se substituer à votre propre programme de gestion des risques. Vous devez trouver le juste équilibre entre une bonne expérience utilisateur et la gestion des risques en fonction des caractéristiques spécifiques à votre programme. Stripe Defense Layer n’a aucune incidence sur la responsabilité.

Webhook en temps réel

Vous pouvez approuver ou refuser les demandes d’autorisation en temps réel en fonction des données dont vous disposez au moment de l’autorisation. Cela vous permet de contrôler les résultats des autorisations et de mettre en œuvre votre propre logique de prévention de la fraude. Utilisez le webhook en temps réel de Stripe pour cibler un schéma de fraude spécifique tout en limitant l’impact sur les autres habitudes de dépenses. Par exemple, vous pouvez utiliser les données sur l’emplacement de l’autorisation pour bloquer des zones géographiques, des devises et des entreprises spécifiques.

Pour en savoir plus sur le webhook en temps réel et son fonctionnement, consultez Autorisations en temps réel.

Challenges anti-fraude

Les étapes de détection de la fraude ajoutent un niveau de vérification supplémentaire lors de la confirmation des achats par SMS. Cela permet de réduire au minimum les blocages accidentels d’achats légitimes qui peuvent à première vue sembler risqués. Après avoir confirmé l’achat, le titulaire de la carte peut relancer la transaction.

Pour en savoir plus sur l’utilisation des étapes de détection de la fraude, consultez la page Étapes de détection de la fraude.

Comparaison des données de vérification

Pour chaque autorisation qui intervient, nous comparons les valeurs fournies lors du paiement avec celles qui figurent dans le fichier. Nous vous informons si nous détectons une incohérence sur :

  • Le CVV2 (ou code de sécurité)
  • Date d’expiration de la carte
  • Adresse de facturation
  • Le code postal de facturation
  • Le numéro d’identification personnel (PIN) (lorsqu’il est saisi)

Une discordance entre les informations de la carte figurant dans nos dossiers et celles saisies lors du paiement peut être le signe d’une activité frauduleuse. Par exemple, une incohérence entre le code postal de facturation et celui fourni lors du paiement peut être le signe d’une carte volée par un acteur frauduleux qui ne connaît pas le code postal du titulaire de la carte et qui tente d’utiliser la carte pour effectuer un achat. Si le CVV2 enregistré et celui saisi lors du paiement ne correspondent pas, il se peut qu’un contrevenant passe en revue des numéros de carte pour en trouver un qui fonctionne sans connaître le CVV qui lui est associé.

En fonction de votre tolérance au risque et des caractéristiques de l’autorisation (par exemple, s’il s’agit d’une autorisation en personne ou en ligne), vous pouvez rejeter des autorisations si des incohérences sont identifiées dans les valeurs des données de vérification.

Outils à utiliser suite à une transaction frauduleuse

Suite à une transaction frauduleuse, Stripe propose les outils suivants :

Gestion des tokens

Gérez les tokens de wallets via l’API Tokens pour désactiver rapidement les wallets impliqués dans des activités frauduleuses.

Pour en savoir plus sur la gestion des tokens de réseau sur vos cartes, veuillez consulter la section Gestion des tokens.

Gestion des cartes

Si vous ou un titulaire de carte soupçonnez une activité frauduleuse, vous pouvez désactiver temporairement une carte à l’aide du Dashboard ou de l’API Issuing afin d’empêcher toute utilisation non autorisée le temps d’analyser la source du problème. Si l’activité a été autorisée, vous pouvez conserver les identifiants de la carte et la réactiver. Dès que vous constatez une opération non autorisée, annulez immédiatement la carte.

Pour savoir comment désactiver une carte à l’aide de l’API Issuing, consultez la page Désactivation de cartes.

Litiges

En cas de transaction frauduleuse, vous pouvez soumettre un litige à Visa ou Mastercard via le Dashboard ou l’API pour ces transactions avec le motif « Frauduleux ». Dans certains cas, selon la vérification effectuée au point de vente, l’entreprise peut être tenue responsable de la transaction frauduleuse. Il n’est pas garanti que les litiges aboutissent au recouvrement des fonds et leur résolution peut prendre du temps.

Pour en savoir plus sur la gestion des litiges, consultez la page Litiges Issuing.

Contrôles et informations utilisateur

Vous pouvez réajuster divers éléments des contrôles anti-fraude de Stripe et informer vos titulaires de carte afin de diminuer la fréquence à laquelle une intervention est requise.

Configurations des utilisateurs

En fonction de votre cas d’usage et de votre workflow, vous pouvez demander à modifier les contrôles par défaut de Stripe, notamment :

Bien que Stripe puisse répondre à ces demandes au cas par cas, vous êtes responsable de tout risque accru ou de toute perte résultant de ces demandes.

Informer vos titulaires de cartes

Expliquez à vos titulaires de carte comment protéger les informations relatives à leur carte. Apprenez-leur à surveiller de près l’activité de leurs comptes afin d’augmenter la probabilité qu’ils (et vous-même) détectent rapidement toute activité frauduleuse. Communiquez à vos titulaires de cartes les mesures préventives suivantes :

  • Vérifiez la présence de skimmers de cartes bancaires dans les boutiques physiques : vérifiez qu’il n’y a pas de caméra ni d’équipement de skimming sur le terminal de paiement. Vérifiez qu’aucun périphérique n’est inséré ou connecté au lecteur de carte, aux ports, à l’écran ou au clavier.
  • Effectuez des transactions après d’entreprises de confiance : ne communiquez les informations de votre carte qu’à des entreprises que vous connaissez et en qui vous avez confiance.
  • En cas de vol ou de perte, annulez immédiatement votre carte : réagissez sans tarder pour empêcher toute utilisation non autorisée avant qu’un fraudeur ne puisse obtenir les identifiants de votre carte. Pour pouvoir continuer à effectuer des achats, créez une nouvelle carte après avoir annulé la carte perdue ou volée.

Surveiller les indicateurs

Nous vous recommandons de surveiller les indicateurs suivants pour vous aider à identifier et à mesurer la fraude sur vos comptes ayant activé Issuing.

Indicateurs clés

Les indicateurs précurseurs permettent d’identifier rapidement les risques de fraude.

  • Refus d’autorisations due à des données de vérification incorrectes (CVC2, date d’expiration), dans le temps.
  • Évolution du taux d’autorisation.
  • Autorisations hors zone géographique, dans le temps.
  • Autorisations par pays d’acquisition de l’entreprise, au fil du temps.
  • Autorisations par code de catégorie d’entreprise, au fil du temps
  • Captures forcées, dans le temps.

Indicateurs tardifs

Les indicateurs différés permettent d’évaluer après coup l’impact des activités frauduleuses sur votre programme Issuing.

  • Pourcentage des dépenses totales contestées pour fraude, dans le temps.
  • Taux de litiges remportés et perdus, dans le temps.
  • Pertes absolues liées aux litiges, dans le temps.
  • Entreprises acquéreuses ayant le pourcentage le plus élevé de transactions contestées.

Voir aussi

Cette page vous a-t-elle été utile ?
OuiNon