Accéder directement au contenu
Créez un compte
 ou
connecter-vous
Logo de la documentation Stripe
/
Créez un compte
Connectez-vous
Aperçu
Utilisation pour votre entreprise
Cartes bancairesConversion instantanée de devises
Intégrez-le à votre plateforme
Comptes financiers pour plateformes

Guide en matière de fraude de Financial Accounts pour les plateformes

Découvrez les bonnes pratiques en matière de gestion de la fraude en tant que plateforme.

Financial Accounts pour les plateformes est une API de services bancaires qui vous permet d’intégrer des services financiers à votre plateforme. Grâce à nos partenariats avec des banques nationales aux États-Unis, Financial Accounts pour les plateformes s’intègre directement à votre application pour vous permettre de proposer à vos comptes connectés un compte pré-approvisionné. Ces derniers peuvent utiliser ce compte pour exécuter des opérations financières, p. ex. envoyer et recevoir des fonds (par le biais de virements ACH), générer des revenus et dépenser de l’argent par carte bancaire.

  • Fraude commerciale : Un fraudeur crée un compte connecté sous une identité fausse ou volée dans l’intention de commettre une fraude.
  • Transaction frauduleuse : Un fraudeur utilise des informations de carte ou de compte financier compromises pour effectuer une activité non autorisée sur un compte connecté légitime. Sur Stripe, les transactions frauduleuses se manifestent par des paiements non autorisés sur une carte émise par Stripe ou des débits non autorisés sur un compte financier émis par Stripe.
  • Fraude par prise de contrôle de compte : un fraudeur utilise des identifiants volés pour se connecter à un compte connecté légitime et effectuer une activité non autorisée. Les attaques courantes par prise de contrôle de compte Financial Accounts pour les plateformes comprennent le transfert de fonds vers un compte financier externe et la réalisation de transactions non autorisées sur une carte bancaire émise par Stripe.

Pour vous protéger contre la fraude, vous devez à la fois vérifier les comptes connectés lorsqu’ils s’inscrivent pour la fonctionnalité Financial Accounts pour les plateformes et surveiller continuellement les transactions pour détecter les risques.

Exemples de fraude en entreprise

Les types de fraude les plus courants dans les entreprises sont la fraude directe, la fraude via un tiers et la fraude par capture forcée ou par capture excessive. Un stratagème de fraude peut être complexe, et peut relever de transactions frauduleuses ou de l’usurpation de comptes. Passez en revue les mécanismes pour vous aider à concevoir vos défenses.

Exemple de fraude directe (prélèvement ACH)

Dans cet exemple, un fraudeur a accès à deux comptes :

  • Un compte financier auprès de l’établissement financier A, créé sous une fausse identité
  • Un compte financier auprès de l’établissement financier B, créé sous une autre identité
  1. Le fraudeur se connecte à son compte dans l’établissement A et effectue un prélèvement ACH pour retirer des fonds de son compte financier dans l’établissement B. Dans ce cas, l’établissement A est l’émetteur du débit (ODFI) et l’établissement B est le destinataire du débit (RDFI).
  2. Lorsque les fonds débités deviennent disponibles sur le compte de l’institution A, l’auteur de la fraude les retire ou les dépense immédiatement.
  3. L’auteur de la fraude dépose un litige auprès de l’établissement B, affirmant que le prélèvement ACH effectué par l’établissement A n’a pas été autorisé.
  4. L’établissement B initie un retour ACH pour prélèvement non autorisé et rappelle le montant débité.
  5. Le compte de l’établissement A présente un solde négatif et l’auteur de la fraude l’abandonne.

Exemples de fraudes commises via un tiers

Dans ces exemples, un fraudeur a accès à deux comptes :

  • Le compte financier A appartenant à un compte connecté sur votre plateforme, créé par l’auteur de la fraude à l’aide d’informations apparemment légitimes, souvent des informations d’identité volées
  • Compte externe B de la banque Y, appartenant à un tiers, mais accessible par l’auteur de la fraude, souvent à l’aide d’identifiants volés

Fraude au virement ACH :

  1. Le fraudeur initie un virement ACH ou virement bancaire du compte externe B au compte financier A.
  2. Lorsque les fonds crédités deviennent disponibles sur le compte A, l’auteur de la fraude les retire ou les dépense immédiatement.
  3. Le véritable propriétaire du compte B informe la banque Y que le crédit n’a pas été autorisé.
  4. La banque Y peut restituer les fonds au véritable propriétaire.

Dans ce scénario, votre plateforme pourrait ne pas être tenue responsable des fonds perdus, car dans la plupart des cas, l’établissement financier d’origine ne peut pas rappeler le virement ou le transfert de fonds entrant. Cependant, votre compte financier a permis une activité frauduleuse, ce qui a des implications en matière de conformité et de réputation pour Stripe et nos partenaires financiers.

** Fraude au prélèvement ACH :**

  1. Le fraudeur effectue un prélèvement ACH sur le compte financier A, en prélevant des fonds du compte externe B.
  2. Une fois les fonds débloqués sur le compte A, l’auteur de la fraude les retire ou les dépense immédiatement.
  3. Le véritable propriétaire du compte B informe la banque Y que le débit n’était pas autorisé.
  4. La banque Y renvoie le paiement au véritable propriétaire.
  5. Votre plateforme doit restituer les fonds à l’institution financière Y.

Les réglementations ACH rendent votre entreprise responsable des fonds restitués. Étant donné que l’auteur de la fraude a déjà retiré les fonds du compte A, votre entreprise doit assumer une perte pour rembourser la banque Y.

Exemple de fraude par capture forcée ou surcapture

Dans cet exemple, un fraudeur a accès à deux comptes :

  • Un compte financier avec une carte rattachée à l’institution financière A, créé par le fraudeur sous une fausse identité
  • Un compte d’entreprise auprès de l’acquéreur B, créé par un fraudeur sous une fausse identité, ou créé par un compte légitime puis usurpé par un fraudeur.
  1. Le fraudeur utilise la carte émise par l’établissement A pour créer auprès de l’acquéreur B des autorisations qui ne confèrent pas de droit de contestation à l’émetteur. Il peut s’agir, par exemple, de transactions sur une carte à puce ou de transactions par carte non présente qui tentent d’utiliser 3D Secure (3DS) ou Visa Secure.
  2. Le fraudeur utilise ensuite le compte de l’acquéreur B pour forcer ou surcapturer les autorisations. Il peut capturer une même autorisation plusieurs fois.
  3. L’acquéreur B effectue un virement à partir du compte de l’entreprise et en faveur de l’auteur de la fraude.
  4. L’établissement A ne peut pas contester les montants capturés auprès de l’acquéreur B et se retrouve avec un solde négatif sur le compte de carte.

Réduire le risque de fraude sur les nouveaux comptes

Les stratégies suivantes vous aident à identifier les comptes créés pour faciliter la fraude ou qui sont susceptibles d’être utilisés à mauvais escient.

  • Vérifier l’identité du propriétaire du compte : effectuez des actions supplémentaires pour vérifier l’identité des propriétaires de comptes connectés, par exemple via Stripe Identity. (Les exigences KYC standard applicables aux comptes connectés nécessitent de vérifier l’authenticité des documents, mais pas l’identité de la personne ou de l’entreprise qui les fournit.)
  • Vérifier la propriété du compte bancaire : utilisez Financial Connections pour configurer et effectuer des transactions en toute sécurité avec les comptes bancaires externes de vos comptes connectés.
  • Vérifier le domaine de l’entreprise : vérifiez que le propriétaire du compte dispose d’une adresse e-mail correspondant au domaine de l’entreprise et qu’il peut recevoir des e-mails et y répondre.
  • Vérifier la présence en ligne de l’entreprise : collectez et vérifiez le site web et les comptes de réseaux sociaux des petites entreprises, sous-traitants ou créateurs.
  • Vérifier les licences commerciales : pour les secteurs nécessitant des licences, collectez et vérifiez les licences de vos comptes connectés.
  • Implémentez la sécurité des comptes : appliquez des exigences telles que les politiques d’authentification à deux facteurs et de mot de passe sur vos comptes connectés. Fournissez des conseils sur la sécurité de l’information, comme la façon de protéger les identifiants des comptes et d’identifier les attaques d’hameçonnage, et encouragez-les à surveiller de près l’activité de leur compte financier à l’aide de notifications automatisées.
  • Surveiller l’accès au compte : collectez des informations telles que les identifiants d’appareils et les adresses IP afin d’identifier si des actions à haut risque (telles que des changements de mot de passe) proviennent d’un appareil sécurisé situé à un emplacement connu.
  • Surveiller les informations en double : maintenez une base de données des informations utilisées pour créer des comptes précédemment identifiés comme frauduleux, et comparez les nouveaux comptes à ces informations.
  • Surveiller le volume d’inscription : une augmentation soudaine du nombre de comptes s’inscrivant à votre produit Financial Accounts pour les plateformes peut indiquer que des fraudeurs ont découvert une vulnérabilité dans votre plateforme.
  • Limiter l’accès aux virements accélérés : si vos comptes connectés utilisent également Stripe pour les paiements, limitez l’accès aux virements accélérés aux comptes dignes de confiance. Par exemple, vous pouvez activer les virements accélérés uniquement pour les comptes qui ne présentent aucun problème après un certain temps ou un certain volume de traitement. Si vous subissez des pertes dues à la fraude, envisagez de désactiver les virements accélérés.
  • Limiter l’accès au financement « pull » : réservez l’accès aux transactions initiées par le compte bénéficiaire (telles que les prélèvements ACH) à des comptes dignes de confiance. Si vos comptes nécessitent des prélèvements ACH, limitez le montant qu’un compte peut traiter jusqu’à ce que sa fiabilité soit établie. La plupart des retours de prélèvements ACH sont effectués sous 4 jours ouvrables. Il convient donc de programmer les virements vers les nouveaux comptes au moins 4 jours après le prélèvement ACH.
  • Vérification globale des fraudes : à un moment donné du cycle de vie de chaque nouveau compte connecté, vérifiez manuellement le risque de fraude. Le moment approprié dépend de votre nombre de comptes connectés, de votre business model et de votre niveau de tolérance au risque. Vous pouvez le baser sur des conditions telles que le nombre de transactions ou les montants entrants ou sortants, ou vous pouvez examiner les comptes dès leur inscription.

Réduire le risque de transaction frauduleuse et d’usurpation de compte

L’atténuation des risques liés aux transactions individuelles comprend à la fois des stratégies généralement applicables et des mesures d’atténuation applicables à des types de transactions spécifiques.

Contrôles automatiques des risques

Stripe surveille le niveau de risque de tous les mouvements de fonds. Lorsque notre modélisation identifie un mouvement à haut risque, tel qu’une série de transferts entrants provenant de contreparties ne disposant pas de fonds suffisants, nous le bloquons et désactivons la fonctionnalité inbound_transfers du compte.

Dans les rares cas de fraude grave, Stripe désactive également les fonctionnalités outbound_transfers, outbound_payments, card_issuing et intra_stripe_flows. Cette action est généralement déclenchée par de nouveaux comptes qui semblent frauduleux.

Lorsque nous désactivons une fonctionnalité de compte financier, l’état de cette fonctionnalité est restricted_other, avec le motif automated_fraud_prevention. Configurez un webhook pour surveiller vos comptes pour détecter les fonctionnalités désactivées, et examinez-les au fur et à mesure qu’elles se produisent.

Remarque

Les contrôles automatiques de Stripe n’affectent pas la responsabilité de votre plateforme en matière de Financial Accounts pour les plateformes et sont destinés à augmenter votre programme de gestion des risques, et non à le remplacer. En définitive, vous êtes responsable de la gestion des risques d’une manière appropriée pour votre plateforme et vos comptes connectés.

Surveiller les indicateurs qui permettent d’identifier les fraudes

Les indicateurs suivants peuvent signaler une fraude potentielle sur les comptes financiers qui utilisent également Stripe pour les paiements. Si vos comptes utilisent un autre prestataire de services de paiement, vous pouvez utiliser des indicateurs similaires qui correspondent à vos systèmes de paiement.

Indicateurs tardifs :

  • Taux de rejet sur les comptes financiers par rapport aux autres comptes
  • Pertes d’acquisition absolues sur les comptes financiers
  • Pourcentage de comptes financiers présentant des pertes
  • Perte absolue par compte pour les comptes financiers par rapport aux autres comptes
  • Délai pour comptabiliser les pertes sur les comptes financiers par rapport aux autres comptes

Indicateurs clés :

  • Taux d’inscription des comptes financiers par rapport aux autres comptes
  • Les nouveaux comptes connectés avec un volume élevé de crédits ou de débits reçus (à l’exclusion des virements d’acquisition) au cours des 30 premiers jours
  • Faible volume de traitement d’acquisition avec un volume élevé de crédits ou de débits reçus (à l’exclusion des virements d’acquisition)
  • Comptes pour lesquels des crédits ou débits importants ont été reçus, suivis de OutboundTransfers, ce qui ramène le solde du compte financier à zéro
  • Comptes dont l’ensemble des dépenses par carte ou OutboundTransfers internationaux dépasse un certain seuil

Réduire le risque de fraude sur les cartes émises

Les stratégies suivantes vous aident à identifier les activités frauduleuses sur les cartes émises par votre plateforme. Pour en savoir plus sur l’identification et la prévention des activités frauduleuses sur les cartes que vous avez émises, consultez la section de la documentation Issuing consacrée à la gestion des fraudes.

  • Signaler toute activité inhabituelle pour vérification par le titulaire de la carte : surveillez les transactions par carte pour détecter toute activité suspecte et demandez au titulaire de la carte de les valider. Quelques exemples :
    • Transactions portant sur des montants élevés ou ronds
    • Transactions qui dépassent de manière significative le montant de transaction moyen du titulaire de carte
    • Transactions chez des marchands qui vendent couramment des cartes-cadeaux, comme les supermarchés et les grandes chaînes de discount.
    • Forcer les captures
    • Surcaptures
    • Transactions avec des entreprises situées en dehors du pays du titulaire de carte
  • Limiter les dépenses par carte : configurez des contrôles de dépenses pour bloquer ou limiter les dépenses en fonction des catégories de marchands ou des pays. Vous pouvez appliquer des contrôles de dépenses aux cartes ou aux titulaires de cartes si des transactions qui sortent de leurs habitudes de dépenses sont susceptibles d’être suspectes.
  • Inscrire des cartes à 3D Secure (3DS) : 3DS est un niveau supplémentaire d’authentification du titulaire de la carte pour les transactions en ligne qui ne fonctionne que lorsque l’entreprise et l’émetteur le prennent en charge. Toutefois, si une entreprise active 3DS, l’émetteur est responsable des litiges pour fraude, même s’il ne l’active pas. Si vous émettez des cartes, inscrivez-les à 3DS pour protéger votre entreprise.
  • Vérifier les scores d’autorisation avancés de Visa : Stripe utilise le score d’autorisation avancé de Visa (VAA) pour identifier et bloquer certaines autorisations suspectes. Si vous souhaitez que nous vous présentions ce score par le biais de l’API, contactez-treasury-support@stripe.com.

Réduire la fraude ACH sur les transferts entrants

Nous recommandons les stratégies suivantes pour évaluer le risque sur les transferts entrants :

  • Utilisez Financial Connections pour confirmer le propriétaire du compte bancaire externe.
  • Surveillez les transactions inhabituelles, telles que les transferts très fréquents ou importants.
  • Lorsque vous créez un transfert entrant, le modèle de prédiction des défaillances de Stripe analyse différents facteurs et renvoie une valeur dans la propriété outcome.risk_score de l’objet Charge. Cette valeur représente la probabilité qu’un retour soit effectué par la banque pour des motifs tels que des fonds insuffisants ou des informations de compte non valides. Un score de 65 ou plus indique un risque élevé, et un score de 75 ou plus indique un risque très élevé.

Stripe propose une fonctionnalité facultative qui vous permet de bloquer temporairement les transferts entrants afin de vous laisser le temps d’enquêter sur les fraudes potentielles. Par exemple, vous pouvez contacter le compte pour vérifier le transfert. Vous pouvez configurer les blocages pour qu’ils interviennent avant que Stripe n’envoie un transfert à nos partenaires bancaires, ou entre l’envoi du transfert et le versement des fonds sur le compte financier. La principale différence est que vous ne pouvez annuler un transfert qu’avant que nous ne le soumettions à la banque.

Pour en savoir plus sur l’utilisation des transferts entrants bloqués, consultez la page vérifier manuellement les transferts entrants

Blocage automatique des transferts entrants le jour même

Les virements entrants le jour même augmentent le risque de déboursement de fonds provenant d’un débit frauduleux avant que la fraude ne soit détectée. Pour atténuer ce risque, les systèmes Stripe peuvent empêcher la création d’un virement entrant le jour même lorsqu’ils identifient la transaction comme présentant un risque élevé de fraude. Lorsque Stripe bloque un transfert entrant, l’API renvoie une erreur inbound_transfer_not_same_day_eligible. Cette erreur indique que nous ne pouvons pas garantir le règlement le jour même pour cette transaction. Réessayez le transfert en utilisant la soumission ACH standard, qui laisse plus de temps pour que le débit ACH sous-jacent soit compensé et réduit l’exposition de la plateforme à la fraude. Pour plus de détails sur le traitement de cette erreur et la gestion des transferts entrants, consultez la section de transferts entrants.

Limiter la fraude ACH sur les débits sortants

Nous recommandons les stratégies suivantes pour atténuer le risque sur les débits sortants :

  • Signaler les transactions à haut risque pour examen par le titulaire du compte : surveillez les transactions sortantes afin de détecter toute activité suspecte et demandez au titulaire du compte de les vérifier. Quelques exemples :
    • Prélèvements pour les montants importants ou proches des plafonds en vigueur
    • Débits associés à une nouvelle personne initiatrice
    • Tentatives de prélèvement pour des montants supérieurs aux fonds du compte
  • Utiliser des méthodes Push pour les débits sortants : encouragez vos comptes connectés à utiliser des méthodes Push, telles que les transferts sortants, plutôt que des méthodes Pull qui proviennent de comptes externes.
  • Annuler les transactions suspectes : si vous soupçonnez qu’un ReceivedDebit est frauduleux, annulez-le en traitant un DebitReversal. Vous devez annuler le débit dans les 2 jours ouvrables suivant la transaction initiale.

Répondre aux cas de fraude identifiés

Lorsque vous détectez une fraude potentielle ou avérée, traitez-la immédiatement. Votre réponse dépend de la nature de la fraude.

Désactiver les comptes frauduleux ou compromis

Si vous soupçonnez qu’un compte est frauduleux, ou qu’un compte légitime a été repris par un fraudeur, désactivez les mouvements de fonds sortants jusqu’à ce que vous puissiez vérifier la fraude. Pour ce faire, définissez sa fonctionnalité outbound_flows sur limitée.

Si vous avez la certitude qu’un compte est frauduleux, désactivez ses fonctionnalités outbound_flows et inbound_flows. Si le compte présente un solde nul, vous pouvez le clôturer.

Si un compte légitime est compromis, expirez toutes les sessions de connexion existantes et désactivez les connexions. Contactez le propriétaire du compte et vérifiez son identité, puis aidez-le à réinitialiser ses identifiants de connexion. Une fois le compte sécurisé, réactivez les connexions et les fonctionnalités de Financial Accounts pour les plateformes.

Si nécessaire, envisagez de clôturer un compte financier et d’en créer un nouveau.

Responsabilité du compte compromis

Le remboursement financier des fonds perdus par un compte compromis dépend des politiques de votre entreprise. Veillez à les communiquer clairement à vos comptes connectés.

Contester les transactions frauduleuses

Réagissez rapidement aux transactions frauduleuses, car il existe des délais stricts :

  • Pour les transactions par prélèvement ACH, vous devez informer Stripe de toute requête de retour au moins 24 heures avant la date de règlement de la transaction. Vous pouvez renvoyer un prélèvement ACH en créant un DebitReversal à l’aide de l’API.
  • Pour les transactions par carte, vous pouvez déposer un litige jusqu’à 110 jours après la capture des fonds. Vous pouvez contester une transaction par carte via le Dashboard ou l’API.

Si vous soupçonnez qu’une carte émise est compromise, clôturez-la et émettez une nouvelle carte.

Examiner la vulnérabilité

Examinez les cas de fraude pour déterminer comment les fraudeurs ont pu contourner les contrôles existants, et vérifiez minutieusement vos autres comptes pour déceler d’éventuelles exploitations de la même vulnérabilité. Révisez vos systèmes et processus pour éviter ce type de fraude à l’avenir.

Cette page vous a-t-elle été utile ?
OuiNon