Guide de Treasury sur la fraude

Stripe Treasury est une API de services bancaires qui vous permet d’intégrer des services financiers à votre plateforme. Grâce à nos partenariats avec des banques nationales aux États-Unis, Stripe Treasury s’intègre directement à votre application pour vous permettre de proposer à vos comptes connectés un compte préapprovisionné. Ces derniers peuvent utiliser ce compte pour exécuter des opérations financières, p. ex. envoyer et recevoir des fonds (par le biais de virements ACH), générer des revenus et dépenser de l’argent par carte bancaire.

Stripe Treasury utilise les mêmes workflows que Stripe Connect pour permettre aux comptes connectés d’être opérationnels, notamment les différentes exigences KYC et de conformité. Vous pouvez utiliser notre API pour personnaliser la façon dont vous gérez le risque de fraude et simplifier le processus pour vos comptes connectés.

Consultez les conseils généraux suivants pour savoir comment surveiller et limiter la fraude lorsque vous utilisez Stripe Treasury, car vous êtes responsable des pertes dues à la fraude et des litiges de vos comptes connectés. Ce guide présente trois principales catégories de fraude :

• Fraude commerciale : une personne crée un compte connecté frauduleux (souvent en usurpant l’identité d’autrui) pour commettre une fraude
• Transaction frauduleuse : les données bancaires ou le compte financier d’un compte connecté légitime sont dérobés ou compromis, ce qui donne lieu à des activités non autorisées.
• Fraude par usurpation de compte : les données de connexion du titulaire d’un compte connecté légitime sont compromises par un tiers, et des actions non autorisées sont effectuées sur son compte.

Exemples de fraude en entreprise

Les types de fraude les plus connus dans le secteur des services financiers sont la fraude directe, la fraude par un tiers et la fraude par capture forcée ou par surcapture.

Exemple de fraude directe (prélèvement ACH)

1. Un contrevenant usurpe l’identité d’autrui ou utilise une fausse identité pour ouvrir un compte financier (établissement financier A).
2. Le contrevenant se connecte à l’établissement financier A et effectue un prélèvement ACH de 10 000 USD pour prélever des fonds sur un autre compte financier dont il est également propriétaire (l’établissement financier B). Dans ce cas, l’établissement financier A est à l’origine du débit (ODFI), et l’établissement financier B est le bénéficiaire du débit (RDFI).
3. Lorsque les fonds débités apparaissent sur le compte de l’institution financière A, le contrevenant dépense ou transfère immédiatement les fonds.
4. Le contrevenant se connecte ensuite à l’établissement financier B et affirme que le prélèvement ACH effectué par l’établissement financier A n’a pas été autorisé.
5. L’établissement financier B effectue un remboursement ACH en invoquant que le débit n’a pas été autorisé, et annule le montant total du débit.
6. L’institution financière A se retrouve avec un solde négatif.

Exemple de fraude par un tiers (prélèvement ACH)

1. Un contrevenant usurpe l’identité d’autrui ou utilise une fausse identité pour ouvrir un compte financier (établissement financier A).
2. Le contrevenant se connecte à l’établissement financier A et effectue un prélèvement ACH de 10 000 USD pour prélever des fonds sur un autre compte financier dont il n’est pas propriétaire. Il dispose toutefois du numéro du compte et du numéro de routage en faveur de l’établissement financier B. Dans ce cas, l’établissement financier A est à l’origine du débit, et l’établissement financier B est le bénéficiaire du débit (RDFI).
3. Lorsque les fonds débités apparaissent sur le compte de l’institution financière A, le contrevenant dépense ou transfère immédiatement les fonds.
4. Le titulaire du compte de l’établissement financier B remarque alors le prélèvement erroné sur son compte, et signale à sa banque que le prélèvement effectué par l’établissement financier A n’a pas été autorisé.
5. L’établissement financier B effectue un retour ACH en invoquant que le débit n’a pas été autorisé, et annule le montant total du débit.
6. L’institution financière A se retrouve avec un solde négatif.

Exemple de fraude par un tiers (virement ACH ou bancaire)

1. Un contrevenant usurpe l’identité d’autrui ou utilise une fausse identité pour ouvrir un compte financier (établissement financier A).
2. Le contrevenant utilise soit les identifiants de connexion d’un compte financier qu’il a usurpé, ou d’autres moyens d’effectuer un virement ACH ou bancaire depuis un autre compte financier vers l’établissement financier A.
3. Lorsque les fonds crédités apparaissent sur le compte de l’institution financière A, le contrevenant dépense ou transfère immédiatement les fonds.
4. Il est possible que l’établissement financier A ne soit pas en situation de perte dans ce cas, car seul l’établissement financier à l’origine du virement peut, dans certains cas limités, annuler le virement ou le virement entrant. Cela dit, l’établissement financier A aura effectué des activités frauduleuses via son compte, ce qui a des conséquences sur la conformité et la réputation de Stripe et de ses partenaires financiers.

Exemple de fraude par capture forcée ou par surcapture

1. Le contrevenant usurpe l’identité d’autrui ou utilise une fausse identité pour ouvrir un compte financier auquel est rattachée une carte bancaire (établissement financier A).
2. Le contrevenant crée un compte distinct ou compromet un autre compte en règle pour un autre acquéreur (en prenant le contrôle de son compte).
3. Le contrevenant utilise ce compte pour créer des autorisations sur la carte émise par l’établissement financier A, qui ne dispose pas des droits de contestation de l’émetteur (par exemple, des transactions par carte présente sur une carte à puce non présente ou des transactions par carte non présente effectuant des tentatives d’authentification 3D Secure(3DS) ou Visa Secure.
4. Le contrevenant force alors les captures ou les surcaptures sur les autorisations précédentes.
5. Le contrevenant reçoit ensuite un virement de l’acquéreur via le compte de l’entreprise.
6. Le contrevenant ouvre ensuite des litiges pour fraude sur la carte émise par l’établissement financier A, mais puisque l’établissement financier A ne dispose pas de droits de contestation, il ne peut pas ouvrir de litiges contre l’acquéreur et perd les litiges.
7. Le compte financier se retrouve avec un solde négatif correspondant au montant des surcaptures ou des captures forcées.

Le meilleur moyen de vous protéger contre la fraude sur Treasury, y compris dans les scénarios précédents, est de vous assurer que les comptes connectés qui s’inscrivent pour accéder au produit Treasury sont légitimes. Nous vous recommandons d’évaluer globalement le profil de risque d’un nouveau compte. En règle générale, mieux vous comprenez vos clients et leur entreprise, mieux vous pouvez évaluer et gérer votre exposition aux risques.

Stratégies d’atténuation des risques de fraude

Utilisez les stratégies d’atténuation des risques suivantes pour vous protéger aux différentes phases de votre activité.

À l’inscription

• Surveillez le volume d’inscriptions : une hausse inattendue du volume d’inscriptions peut indiquer que votre plateforme est ciblée et exploitée par des personnes malveillantes. Il est également fréquent de constater un afflux de fraudes suite à une annonce marketing. Dans ce cas, portez une attention particulière au nombre d’inscriptions.
• Limitez l’accès aux virements accélérés : si vos comptes connectés utilisent également Stripe pour les paiements, nous vous recommandons de limiter le nombre de ceux qui ont accès aux virements accélérés vers leur compte Treasury. Réservez l’accès aux virements accélérés aux comptes connectés de confiance. Vous pouvez également envisager de mettre en place des critères permettant à vos comptes connectés de démontrer leur bonne foi et de « gagner » l’accès aux virements accélérés (par exemple, au bout d’un certain nombre de mois d’activité sans aucun problème, ou une fois un certain montant de volume traité).
• Contrôlez les prélèvements ACH : les prélèvements ACH présentent un risque élevé de fraude en raison de leur nature (moyen de paiement de débit). Compte tenu de ce risque élevé, il est important de traiter ce moyen de financement en adoptant le niveau de protection contre la fraude et de contrôle adéquat, notamment en réservant l’accès à cette fonctionnalité aux comptes de confiance.
• Ajoutez une étape de vérification d’identité supplémentaire : bien que le produit Treasury inclue la norme Connect KYC dans vos comptes connectés, ce processus se concentre sur la validation de l’identité (c’est-à-dire la vérification de la validité des informations fournies lors de l’inscription) plutôt que sur la vérification de l’identité (vérifier que la personne ou l’entreprise a fourni ses informations d’identité lors de l’inscription, et qu’elle est bien la personne ou l’entité qu’elle prétend être). Si vous le souhaitez, vous pouvez utiliser Stripe Identity, un produit de vérification d’identité qui confirme l’identité des clients de façon programmatique afin de réduire considérablement les attaques des personnes malveillantes, tout en simplifiant le processus pour les clients légitimes.
• Recueillez les informations pertinentes du secteur lors de l’inscription :
  • Si vos comptes connectés sont de petites entreprises, pensez à recueillir les URL et les informations pertinentes sur les réseaux sociaux tels que Linkedin, Facebook et X (anciennement Twitter).
  • Si vos comptes connectés sont des sous-traitants ou des créateurs, pensez à recueillir les informations pertinentes sur les réseaux sociaux tels que Facebook, X, TikTok, YouTube ou Instagram.
  • Si vos comptes connectés sont des entreprises d’un secteur pour lequel une licence est requise, pensez à recueillir cette licence lors de l’inscription.
• Vérifiez le domaine : confirmez l’adresse e-mail du propriétaire d’un compte connecté si elle est liée au domaine de son entreprise (par exemple, envoyez un e-mail à une adresse de ce domaine et demandez une réponse).
• Détectez les doublons : vérifiez que les informations d’un compte ne sont pas des doublons d’informations liés à des comptes connectés frauduleux déjà connus. Vérifiez notamment les informations du compte financier, le nom et la date de naissance, ainsi que les informations fiscales. Vous pouvez également vérifier les liens entre les comptes, tels que la création de plusieurs comptes à partir de la même adresse IP, du même appareil, etc.

Tout au long du cycle de vie d’un compte

• Procédez à la vérification globale des fraudes : effectuez une vérification manuelle des fraudes à un moment donné du cycle de vie de chaque nouveau compte connecté. En fonction de votre nombre de comptes connectés, de votre modèle économique et de votre tolérance au risque, il peut être judicieux de le faire au moment de l’inscription, pour un certain montant de fonds entrants, sortants ou autres conditions similaires.
• Signalez les activités anormales : signalez les entreprises présentant des activités anormales pour vérification manuelle. Cela peut inclure, mais sans s’y limiter, les entreprises comptant plus d’un certain nombre de transactions sans autorisation (captures forcées) ou des captures supérieures au montant autorisé (surcaptures), les virements d’un montant élevé sur un compte, les virements bancaires internationaux d’un montant important, les transactions par carte effectuées à l’extérieur du pays, ou les remboursements de prélèvements ACH sur le compte. Il est également essentiel d’encourager vos utilisateurs à faire de même, car ils sont souvent les mieux placés pour détecter les activités anormales et vous les signaler.

Si vous pensez qu’une entreprise est frauduleuse, définissez la fonctionnalité outbound_flows sur restricted jusqu’à ce que vous puissiez vérifier le compte et prendre une décision. Les exemples d’informations que vous pouvez demander à votre compte connecté lors de cette vérification manuelle dépendent de votre secteur d’activité, mais peuvent inclure des profils de réseaux sociaux, des documents d’entreprise, des photos des stocks, des numéros de suivi d’expédition, des agréments, etc.

Si vous pensez qu’une entreprise est frauduleuse, définissez les fonctionnalités outbound_flows et inbound_flows sur restricted. Si le solde du compte est nul, clôturez-le. Si le solde du compte n’est pas nul, vous ne pouvez pas clôturer le compte, mais vous pouvez désactiver les fonctionnalités indiquées.

Fraude aux transactions

La fraude aux transactions désigne l’utilisation non autorisée d’une carte bancaire ou d’un compte financier dans le but d’obtenir frauduleusement de l’argent ou des biens. Sur Stripe, la fraude aux transactions se manifeste par des paiements non autorisés via une carte bancaire émise par Stripe, ou des débits non autorisés sur un compte financier émis par Stripe. Les cartes bancaires peuvent être compromises soit par le vol ou la perte d’une carte, soit par des identifiants piratés par le biais de tentatives d’hameçonnage, de logiciels espions, de paiements non sécurisés, de violations externes, etc. Les comptes financiers peuvent être compromis si des contrevenants prennent connaissance des numéros de compte et de routage de votre compte financier.

Contrairement à la fraude décrite ci-dessus, la fraude aux transactions concerne les clients de bonne foi et peut survenir à n’importe quel moment du cycle de vie d’un client. Un compte connecté de votre plateforme peut utiliser le produit Treasury pendant des mois ou des années sans problème avant que sa carte ou son compte financier ne soit compromis.

À l’heure actuelle, Issuing offre une protection contre la fraude qui s’étend aux produits associés à une carte bancaire dans Treasury, mais vous devez tout de même surveiller les transactions frauduleuses. Le moyen le plus efficace de lutter contre la fraude aux transactions consiste à encourager vos comptes connectés à veiller à la sécurité des informations de leur carte et de leur compte financier. Incitez-les à faire particulièrement attention à l’activité de leur compte Treasury. Les notifications d’activité du compte par SMS ou e-mail peuvent vous aider à augmenter la visibilité sur ces fraudes. L’identification rapide des transactions frauduleuses donne à vos comptes connectés les meilleures chances d’être admissibles à des litiges.

Pour les litiges liés aux transactions par carte bancaire, la transaction peut uniquement faire l’objet d’un litige si moins de 110 jours se sont écoulés depuis la capture. Les litiges sont traités via le Dashboard ou l’API. Pour en savoir plus sur la soumission de litiges Issuing, consultez le guide Issuing sur les litiges.

Pour les litiges liés aux prélèvements ACH (remboursement), la transaction peut uniquement faire l’objet d’un litige si vous informez Stripe de toute demande de remboursement au moins 24 heures avant la date de virement des fonds. Les litiges concernant les prélèvements ACH sont actuellement traités manuellement par e-mail. En savoir plus sur la soumission de litiges relatifs aux prélèvements ACH.

Si la carte ou le numéro de compte financier de votre compte connecté est compromis, entraînant des transactions non autorisées, plusieurs options s’offrent à vous. Vous pouvez non seulement contester les transactions admissibles, mais aussi clôturer et réémettre la carte bancaire et ouvrir un nouveau compte Connect et financier afin d’éviter toute fraude ultérieure.

Vous pouvez également prendre des mesures proactives pour gérer les transactions frauduleuses sur votre plateforme. Voici quelques exemples de contrôles que vous pouvez mettre en place :

Stratégies de réduction de la fraude par carte bancaire

• Inscrivez-vous à 3DS : 3DS est une couche d’authentification supplémentaire utilisée par les entreprises pour s’assurer qu’un achat provient d’un titulaire de carte légitime. L’étape 3DS supplémentaire au moment du paiement consiste généralement à présenter au titulaire de la carte une page d’authentification sur le site Web de son établissement financier l’invitant à saisir un code de vérification envoyé sur son téléphone ou par e-mail. Le système 3DS est uniquement utilisé pour les transactions en ligne, et ne fonctionne que si l’entreprise et l’émetteur le prennent en charge. Si une entreprise a activé 3DS, la responsabilité est transférée automatiquement à l’émetteur en cas de litige pour fraude, que l’émetteur active ou non 3DS. Nous vous recommandons d’activer 3DS.
• Définissez des contrôles de dépenses : définissez des contrôles de dépenses pour bloquer les catégories de marchands (par exemple, les boulangeries) ou pour définir des limites de dépenses telles que 100 USD par autorisation ou 3 000 USD par mois. Vous pouvez appliquer ces limites de dépenses à la fois aux cartes et aux titulaires de cartes en définissant les champs spending_controls lors de leur création, ou en les mettant à jour ultérieurement. La mise en place de contrôles de dépenses est particulièrement efficace lorsqu’une carte ou un titulaire de carte a des habitudes de dépenses attendues, et qu’il est probable que des dépenses anormales ne soient pas autorisées. En savoir plus sur les contrôles de dépenses et leur configuration.
• Score VAA : Stripe dispose de certains moyens de protection contre la fraude sur les transactions Issuing, qui incluent dans certains cas le blocage automatique des autorisations suspectes à l’aide du score d’autorisation avancée (VAA) de Visa. Si vous souhaitez que nous vous présentions ce score via l’API, contactez treasury-support@stripe.com.
• Marquez les transactions à haut risque pour vérification par le titulaire de la carte : dans certains cas, nous vous conseillons de marquer les transactions par carte susceptibles de présenter un risque élevé pour vos comptes connectés, et de leur demander de confirmer que la transaction est autorisée. Voici quelques éléments à surveiller :
  • Transactions portant sur des montants élevés ou arrondis
  • Transactions dépassant largement le montant moyen des paiements effectués par le titulaire de la carte
  • Transactions auprès de marchands qui vendent fréquemment des cartes-cadeaux (p. ex., épiceries)
  • Captures forcées
  • Surcaptures
  • Transactions effectuées avec des entreprises établies en dehors du pays de résidence du titulaire de la carte

Stratégies de réduction de la fraude sur les transactions par prélèvement ACH

• Marquez les transactions à haut risque pour vérification par le titulaire de la carte : dans certains cas, nous vous conseillons de signaler les transactions par prélèvement ACH susceptibles de présenter un risque élevé pour vos comptes connectés, et de leur demander de confirmer que la transaction est autorisée. Voici certains types de prélèvements à surveiller :
  • Prélèvements portant sur des montants importants ou proches des plafonds en vigueur
  • Débits associés à une nouvelle personne initiatrice
  • Tentatives de prélèvement alors que le compte ne dispose pas de fonds suffisants

Cette étape est particulièrement importante si vous avez des raisons de penser que les données du compte de l’un de vos titulaires peuvent être compromises, car cela peut le rendre vulnérable à la fraude par débit ACH.

Si une transaction ACH reçue est suspectée d’être une activité non autorisée, nous vous recommandons de procéder immédiatement à un DebitReversal, ce qui peut être fait via le Dashboard Stripe ou l’API. Les annulations de débit permettent d’annuler la transaction, mais elles doivent être effectuées dans les deux jours ouvrables suivant la réception de la transaction. Ce court délai souligne l’importance de la vigilance à l’égard des opérations de débit ACH. Pour en savoir plus sur les annulations de débit et sur la manière de les utiliser efficacement, consultez le document Transferts de fonds avec Treasury à l’aide d’objets DebitReversal.

Pour réduire davantage ce risque, vous devriez encourager vos utilisateurs à utiliser des méthodes de financement « push » comme les OutboundTransfers. Vous pouvez également envisager de traiter automatiquement les annulations dans les scénarios que vous considérez comme à haut risque. Si vous souhaitez automatiser les annulations sur les comptes financiers individuels, vous pouvez également demander l’accès à la désactivation des ReceivedDebits basée sur l’API.

Fraude par usurpation de compte

Il y a fraude par prise de contrôle de compte lorsqu’un tiers accède à l’un de vos comptes connectés. En règle générale, le contrevenant effectue des actions non autorisées sur le compte pour obtenir un gain financier. Les actions les plus courantes effectuées par le contrevenant sur un compte Treasury sont le virement ou le transfert de fonds vers un compte financier externe et l’émission d’une nouvelle carte ou l’affichage des données du PAN brut d’une carte existante et l’initiation de transactions non autorisées sur la carte.

Le processus de protection contre la prise de contrôle de comptes diffère selon que ce soit Stripe ou votre plateforme qui gère les étapes de connexion et la vérification pour vos comptes connectés.

Voici quelques exemples de contrôles que vous pouvez mettre en place pour vous protéger contre les usurpations de comptes :

• Déployez l’authentification à deux facteurs sur tous les comptes connectés.
• Indiquez à vos comptes connectés de faire attention au hameçonnage et de ne pas partager leurs codes d’authentification à deux facteurs.
• Appliquez des politiques de mot de passe unique.
• Recueillez les informations sur l’appareil et l’adresse IP pour déterminer si des actions à haut risque (telles que les mises à jour de mots de passe, la modification de la méthode d’authentification à deux facteurs, la création d’une nouvelle carte, le transfert de fonds vers un nouveau compte financier externe) sont effectuées à partir d’appareils ou d’adresses IP obsolètes.
• Surveillez l’activité IP des connexions provenant d’emplacements ou de fournisseurs d’hébergement inconnus.
• Complexifiez les actions à haut risque, par exemple, en exigeant un code d’authentification à deux facteurs pour effectuer un virement bancaire vers un nouveau compte.
• Surveillez les comptes connectés afin de détecter toute activité anormale. Il peut s’agir, par exemple, d’un virement qui remet à zéro la totalité du solde Treasury ou des dépenses effectuées par carte internationale.

Si vous pensez qu’un compte a été usurpé, définissez les fonctionnalités outbound_flows et inbound_flowssur restricted, faites expirer la session de connexion existante et désactivez la connexion. Une fois le compte restreint, contactez le propriétaire d’origine du compte pour vérifier son identité et rétablir l’accès au compte. Pour résoudre ce problème, il suffit généralement d’appeler le numéro de téléphone associé au client (avant la prise de contrôle du compte), et de vérifier auprès du client diverses informations d’identification personnelles. Une fois l’identité du client confirmée, vous pouvez l’aider à réinitialiser son mot de passe ou son appareil avec authentification à deux facteurs (si modifié pendant la prise de contrôle), à réactiver la connexion et les fonctionnalités Treasury précédemment restreintes. Le remboursement des fonds perdus lors de la prise de contrôle du compte dépend de vos politiques internes.

Autres considérations relatives à l’atténuation des risques

Outre celles déjà décrites, tenez compte des considérations suivantes en matière d’atténuation des risques.

Contrôles des virements accélérés

Le fait de proposer des virements accélérés à de nouvelles entreprises présente des risques, et doit donc être envisagé avec prudence. Pour limiter ces risques, nous vous recommandons de mettre en place des contrôles permettant de désactiver les virements accélérés en cas d’afflux de fraudes.

Offrez à vos comptes connectés la possibilité de bénéficier de virements accélérés uniquement après avoir atteint un certain niveau de confiance, par exemple :

• Plus de 60 jours de traitement
• Volume total cumulé supérieur à 2 000 USD
• Taux de contestations de paiement ou de retours inférieurs à 3 %
• Proposez à vos connectés des virements accélérés à T+1 avant de leur permettre de bénéficier de virements accélérés à T+0
• Si le fait de réserver la possibilité d’effectuer des virements accélérés aux comptes connectés de confiance permet de limiter la fraude à l’inscription, cela n’exclut pas la possibilité de fraude sur les prises de contrôle de compte (ATO) ou les comptes « good-merchant-gone-bad » (GMGB). Il est important de mettre en place des alertes à déclencher sur les entreprises qui affichent des schémas de paiement anormaux généralement révélateurs d’un ATO ou GMGB (p. ex., hausse du volume de traitement ou évolution du montant moyen des transactions, parfois liées à une modification du compte bancaire ou des identifiants de connexion).

Contrôles des prélèvements ACH

En raison de leur nature (moyen de paiement de type pull), les prélèvements ACH (via Treasury InboundTransfers) présentent un risque élevé de fraude. Autrement dit, les titulaires de comptes Treasury saisissent les informations du client et prélèvent les fonds sur le compte du client. Ainsi, le client ne vire pas lui-même les fonds de son propre compte. En raison de ce profil de risque élevé, nous suggérons plusieurs mesures pour limiter les risques liés aux prélèvements ACH :

• Assurez-vous que l’entreprise en question est autorisée à prélever des fonds sur un compte bancaire et que le compte est vérifié. En savoir plus sur l’autorisation de prélèvement ACH et la vérification.
• Dans le cadre des prélèvements ACH, les fonds peuvent être remboursés pour un certain nombre de raisons, allant de la fraude à l’insuffisance des fonds. La plupart des échecs (par exemple, fonds insuffisants ou compte non valide) se produisent dans les 4 jours ouvrables suivant la date de virement. Il est donc important de s’assurer que les comptes connectés en qui vous n’avez pas encore confiance ne reçoivent pas leurs fonds avant la fin de ce délai initial de virement des fonds.
• Compte tenu du profil de risque élevé des prélèvements ACH, vous devez soit en réserver l’accès aux comptes connectés de confiance, soit imposer des limites strictes et en surveiller l’utilisation pour détecter les acteurs frauduleux. Vous pouvez par exemple limiter le montant des prélèvements ACH à 2 000 USD par transaction et à 5 000 USD par semaine pour les nouveaux comptes. À mesure que la confiance s’installe avec les comptes connectés, vous pouvez augmenter ces limites au gré de la croissance de leurs entreprises.

Liste de contrôle en matière d’atténuation de la fraude

Lorsque vous soupçonnez une fraude, il est extrêmement important de prendre les mesures adéquates pour minimiser les pertes financières et d’autres activités frauduleuses. Minimiser les risques de fraude comprend deux principales étapes :

1. Mettez fin aux dommages immédiats.
2. Élaborez des solutions à long terme pour limiter les abus à l’avenir. Vous pouvez prendre les mesures importantes suivantes lorsque vous identifiez une fraude :
   • Assurez-vous que tous les flux de fonds et mouvements d’argent sont bloqués pour le compte en question. Par exemple, définissez les fonctionnalités outbound_flows et inbound_flowssur restricted.
   • Déterminez pourquoi le compte en question n’a pas été identifié par les contrôles de fraude et de risque, et assurez-vous que des contrôles supplémentaires sont mis en place. Lorsque les fraudeurs identifient une faille dans les systèmes de gestion des risques, ils continuent à l’exploiter jusqu’à ce qu’elle soit comblée.
   • Identifiez tout autre compte tentant d’adopter un comportement frauduleux similaire. Comme mentionné précédemment, les acteurs frauduleux continueront à exploiter les lacunes tant qu’elles existeront, et tenteront de le faire à grande échelle pour optimiser les résultats. Lorsque vous identifiez un cas de fraude, il est important de s’assurer que le même type de fraude ne se produit pas sur d’autres comptes, et que le fraudeur ne crée pas simplement un nouveau compte et ne répète pas les mêmes actions. Cela vous permet de potentiellement devancer les indicateurs tardifs, tels que les litiges, et d’inciter les fraudeurs à ne pas récidiver en limitant leurs gains potentiels.

Suivi des indicateurs suggérés

Voici quelques-uns des indicateurs que nous vous recommandons de surveiller pour vous aider à identifier et à mesurer la fraude chez vos clients utilisant Treasury. Les indicateurs suivants supposent que vos comptes connectés utilisent à la fois nos produits Treasury et Payments. Si ce n’est pas le cas, vous pouvez les modifier en conséquence.

Indicateurs tardifs

• Taux de rejet cumulé sur les comptes ayant activé Treasury par rapport aux autres comptes
• Pertes d’acquisition absolues sur les comptes ayant activé Treasury
• Pourcentage de comptes avec perte ayant activé Treasury
• Perte absolue par compte pour les comptes ayant activé Treasury par rapport aux autres comptes
• Délai avant perte pour les comptes ayant activé Treasury par rapport aux autres comptes

Indicateurs clés

• Taux d’inscription cumulé pour les comptes ayant activé Treasury par rapport aux autres comptes
• Anomalie du montant du transfert : nouveaux comptes connectés avec un volume élevé de ReceivedTransfers (à l’exclusion des virements d’acquisition) au cours des 30 premiers jours
• Anomalies du montant des transferts : faible volume de traitement d’acquisition combiné à un volume élevé de ReceivedTransfers (à l’exclusion des virements d’acquisition)
• Liste des comptes avec des ReceivedTransfers significatifs suivis de OutboundTransfers ramenant le solde Treasury à zéro
• Liste des comptes dont l’ensemble des dépenses par carte internationale ou des OutboundTransfers dépasse un certain seuil