Accéder directement au contenu
Créez un compte
 ou
connecter-vous
Logo de la documentation Stripe
/
Créez un compte
Connectez-vous
Aperçu
Financement et trésorerie
Treasury
Gestion des paiements
Gérer vos fonds

Guide de Treasury sur la fraude

Découvrez les bonnes pratiques de gestion de la fraude en tant que plateforme Treasury.

Stripe Treasury est une API de services bancaires qui vous permet d’intégrer des services financiers au produit de votre plateforme. Grâce à nos partenariats avec des banques nationales aux États-Unis, Stripe Treasury s’intègre directement à votre application pour vous permettre de proposer un compte préapprovisionné à vos comptes connectés. Ces derniers peuvent utiliser ce compte pour exécuter des opérations financières, p. ex. envoyer et recevoir des fonds (par le biais de virements ACH), générer des revenus et dépenser de l’argent par carte bancaire.

  • Fraude commerciale : Un fraudeur crée un compte connecté sous une identité fausse ou volée dans l’intention de commettre une fraude.
  • Transaction frauduleuse : Un fraudeur utilise des informations de carte ou de compte financier compromises pour effectuer une activité non autorisée sur un compte connecté légitime. Sur Stripe, les transactions frauduleuses se manifestent par des paiements non autorisés sur une carte émise par Stripe ou des débits non autorisés sur un compte financier émis par Stripe.
  • Fraude par usurpation de compte : Un fraudeur utilise des identifiants volés pour se connecter à un compte connecté légitime et effectuer des activités non autorisées. Les attaques courantes par usurpation de comptes Treasury consistent à transférer des fonds vers un compte financier externe et à effectuer des transactions non autorisées sur une carte émise par Stripe.

Pour vous protéger contre la fraude, vous devez vérifier les comptes connectés lorsqu’ils souscrivent aux produits Treasury et surveiller en permanence les transactions pouvant présenter des risques.

Exemples de fraude en entreprise

Les types de fraude les plus courants dans les entreprises sont la fraude directe, la fraude via un tiers et la fraude par capture forcée ou par capture excessive. Un stratagème de fraude peut être complexe, et peut relever de transactions frauduleuses ou de l’usurpation de comptes. Passez en revue les mécanismes pour vous aider à concevoir vos défenses.

Exemple de fraude directe (prélèvement ACH)

Dans cet exemple, un fraudeur a accès à deux comptes :

  • Un compte financier auprès de l’établissement financier A, créé sous une fausse identité
  • Un compte financier auprès de l’établissement financier B, créé sous une autre identité
  1. Le fraudeur se connecte à son compte dans l’établissement A et effectue un prélèvement ACH pour retirer des fonds de son compte financier dans l’établissement B. Dans ce cas, l’établissement A est l’émetteur du débit (ODFI) et l’établissement B est le destinataire du débit (RDFI).
  2. Lorsque les fonds débités deviennent disponibles sur le compte de l’institution A, l’auteur de la fraude les retire ou les dépense immédiatement.
  3. L’auteur de la fraude dépose un litige auprès de l’établissement B, affirmant que le prélèvement ACH effectué par l’établissement A n’a pas été autorisé.
  4. L’établissement B initie un retour ACH pour prélèvement non autorisé et rappelle le montant débité.
  5. Le compte de l’établissement A présente un solde négatif et l’auteur de la fraude l’abandonne.

Exemples de fraudes commises via un tiers

Dans ces exemples, un fraudeur a accès à deux comptes :

  • Compte Treasury A appartenant à un compte connecté de votre plateforme, créé par l’auteur de la fraude à partir d’informations apparemment légitimes (souvent des informations d’identité volées)
  • Compte externe B de la banque Y, appartenant à un tiers, mais accessible par l’auteur de la fraude, souvent à l’aide d’identifiants volés

Fraude au virement ACH :

  1. Le fraudeur initie un virement ACH ou bancaire du compte externe B vers le compte Treasury A.
  2. Lorsque les fonds crédités deviennent disponibles sur le compte A, l’auteur de la fraude les retire ou les dépense immédiatement.
  3. Le véritable propriétaire du compte B informe la banque Y que le crédit n’a pas été autorisé.
  4. La banque Y peut restituer les fonds au véritable propriétaire.

Dans ce cas, votre plateforme peut ne pas être responsable des fonds perdus, car dans la plupart des cas, l’institution financière émettrice ne peut pas rappeler le virement entrant. Toutefois, votre compte Treasury a donné lieu à des activités frauduleuses qui ont des conséquences sur la conformité et la réputation de Stripe et de ses partenaires financiers.

** Fraude au prélèvement ACH :**

  1. Le fraudeur crée un prélèvement ACH à partir du compte Treasury A, en prélevant des fonds sur le compte externe B.
  2. Une fois les fonds débloqués sur le compte A, l’auteur de la fraude les retire ou les dépense immédiatement.
  3. Le véritable propriétaire du compte B informe la banque Y que le débit n’était pas autorisé.
  4. La banque Y renvoie le paiement au véritable propriétaire.
  5. Votre plateforme doit restituer les fonds à l’institution financière Y.

Les réglementations ACH rendent votre entreprise responsable des fonds restitués. Étant donné que l’auteur de la fraude a déjà retiré les fonds du compte A, votre entreprise doit assumer une perte pour rembourser la banque Y.

Exemple de fraude par capture forcée ou surcapture

Dans cet exemple, un fraudeur a accès à deux comptes :

  • Un compte financier avec une carte rattachée à l’institution financière A, créé par le fraudeur sous une fausse identité
  • Un compte d’entreprise auprès de l’acquéreur B, créé par un fraudeur sous une fausse identité, ou créé par un compte légitime puis usurpé par un fraudeur.
  1. Le fraudeur utilise la carte émise par l’établissement A pour créer auprès de l’acquéreur B des autorisations qui ne confèrent pas de droit de contestation à l’émetteur. Il peut s’agir, par exemple, de transactions sur une carte à puce ou de transactions par carte non présente qui tentent d’utiliser 3D Secure (3DS) ou Visa Secure.
  2. Le fraudeur utilise ensuite le compte de l’acquéreur B pour forcer ou surcapturer les autorisations. Il peut capturer une même autorisation plusieurs fois.
  3. L’acquéreur B effectue un virement à partir du compte de l’entreprise et en faveur de l’auteur de la fraude.
  4. L’établissement A ne peut pas contester les montants capturés auprès de l’acquéreur B et se retrouve avec un solde négatif sur le compte de carte.

Réduire le risque de fraude sur les nouveaux comptes

Les stratégies suivantes vous aident à identifier les comptes créés pour faciliter la fraude ou qui sont susceptibles d’être utilisés à mauvais escient.

  • Vérifier l’identité du propriétaire du compte : effectuez des actions supplémentaires pour vérifier l’identité des propriétaires de comptes connectés, par exemple via Stripe Identity. (Les exigences KYC standard applicables aux comptes connectés nécessitent de vérifier l’authenticité des documents, mais pas l’identité de la personne ou de l’entreprise qui les fournit.)
  • Vérifier la propriété du compte bancaire : utilisez Financial Connections pour configurer et effectuer des transactions en toute sécurité avec les comptes bancaires externes de vos comptes connectés.
  • Vérifier le domaine de l’entreprise : vérifiez que le propriétaire du compte dispose d’une adresse e-mail correspondant au domaine de l’entreprise et qu’il peut recevoir des e-mails et y répondre.
  • Vérifier la présence en ligne de l’entreprise : collectez et vérifiez le site web et les comptes de réseaux sociaux des petites entreprises, sous-traitants ou créateurs.
  • Vérifier les licences commerciales : pour les secteurs nécessitant des licences, collectez et vérifiez les licences de vos comptes connectés.
  • Sécuriser les comptes : appliquez des exigences telles que l’authentification à deux facteurs et des politiques de mot de passe à vos comptes connectés. Fournissez des conseils sur la sécurité des données, par exemple sur la manière de protéger les identifiants des comptes et d’identifier les attaques par hameçonnage, et encouragez les utilisateurs à surveiller de près l’activité de leur compte Treasury à l’aide de notifications automatisées.
  • Surveiller l’accès au compte : collectez des informations telles que les identifiants d’appareils et les adresses IP afin d’identifier si des actions à haut risque (telles que des changements de mot de passe) proviennent d’un appareil sécurisé situé à un emplacement connu.
  • Surveiller les informations en double : maintenez une base de données des informations utilisées pour créer des comptes précédemment identifiés comme frauduleux, et comparez les nouveaux comptes à ces informations.
  • Surveiller le volume d’inscriptions : une augmentation soudaine du nombre de comptes souscrivant à votre produit Treasury peut indiquer que des fraudeurs ont découvert une vulnérabilité dans votre plateforme.
  • Limiter l’accès aux virements accélérés : si vos comptes connectés utilisent également Stripe pour les paiements, réservez l’accès aux virements Treasury accélérés aux comptes dignes de confiance. Par exemple, vous pouvez activer les virements accélérés uniquement pour les comptes qui ne présentent aucun problème à l’issue d’un certain délai ou d’un certain volume de traitement. Si vous subissez des pertes dues à la fraude, envisagez de ne pas autoriser les virements accélérés.
  • Limiter l’accès au financement « pull » : réservez l’accès aux transactions initiées par le compte bénéficiaire (telles que les prélèvements ACH) à des comptes dignes de confiance. Si vos comptes nécessitent des prélèvements ACH, limitez le montant qu’un compte peut traiter jusqu’à ce que sa fiabilité soit établie. La plupart des retours de prélèvements ACH sont effectués sous 4 jours ouvrables. Il convient donc de programmer les virements vers les nouveaux comptes au moins 4 jours après le prélèvement ACH.
  • Vérification globale des fraudes : à un moment donné du cycle de vie de chaque nouveau compte connecté, vérifiez manuellement le risque de fraude. Le moment approprié dépend de votre nombre de comptes connectés, de votre business model et de votre niveau de tolérance au risque. Vous pouvez le baser sur des conditions telles que le nombre de transactions ou les montants entrants ou sortants, ou vous pouvez examiner les comptes dès leur inscription.

Réduire le risque de transaction frauduleuse et d’usurpation de compte

L’atténuation des risques liés aux transactions individuelles comprend à la fois des stratégies généralement applicables et des mesures d’atténuation applicables à des types de transactions spécifiques.

Contrôles automatiques des risques

Stripe surveille le niveau de risque de tous les mouvements de fonds. Lorsque notre modélisation identifie un mouvement à haut risque, tel qu’une série de transferts entrants provenant de contreparties ne disposant pas de fonds suffisants, nous le bloquons et désactivons la fonctionnalité inbound_transfers du compte.

Dans les rares cas de fraude grave, Stripe désactive également les fonctionnalités outbound_transfers, outbound_payments, card_issuing et intra_stripe_flows. Cette action est généralement déclenchée par de nouveaux comptes qui semblent frauduleux.

Lorsque nous désactivons une fonctionnalité de compte financier, son état passe à restricted_other, avec le motif automated_fraud_prevention. Configurez un webhook pour surveiller les désactivations de fonctionnalités sur vos comptes, et examinez-les au fur et à mesure qu’elles se produisent.

Remarque

Les contrôles automatiques de Stripe n’affectent pas la responsabilité de votre plateforme Treasury. Ils sont destinés à renforcer votre programme de gestion des risques, et non à le remplacer. En fin de compte, il vous appartient de gérer les risques de manière appropriée pour votre plateforme et vos comptes connectés.

Surveiller les indicateurs qui permettent d’identifier les fraudes

Les indicateurs suivants peuvent vous alerter d’éventuelles fraudes sur les comptes Treasury qui utilisent également Stripe pour leurs paiements. Si vos comptes utilisent un autre prestataire de paiement, vous pouvez utiliser des indicateurs similaires qui correspondent à vos systèmes de paiement.

Indicateurs tardifs :

  • Taux de rejet sur les comptes ayant activé Treasury par rapport aux autres comptes
  • Pertes d’acquisition absolues sur les comptes ayant activé Treasury
  • Pourcentage de comptes ayant subi des pertes et bénéficiant de la fonctionnalité Treasury
  • Perte absolue par compte pour les comptes ayant activé Treasury par rapport aux autres comptes
  • Délai avant perte pour les comptes ayant activé Treasury par rapport aux autres comptes

Indicateurs clés :

  • Taux d’inscription pour les comptes ayant activé Treasury par rapport aux autres comptes
  • Les nouveaux comptes connectés avec un volume élevé de crédits ou de débits reçus (à l’exclusion des virements d’acquisition) au cours des 30 premiers jours
  • Faible volume de traitement d’acquisition avec un volume élevé de crédits ou de débits reçus (à l’exclusion des virements d’acquisition)
  • Des comptes présentant des crédits ou débits importants suivis de transactions OutboundTransfers ramenant le solde du compte Treasury à zéro
  • Comptes dont l’ensemble des dépenses par carte ou OutboundTransfers internationaux dépasse un certain seuil

Réduire le risque de fraude sur les cartes émises

Les stratégies suivantes vous aident à identifier les activités frauduleuses sur les cartes émises par votre plateforme. Pour en savoir plus sur l’identification et la prévention des activités frauduleuses sur les cartes que vous avez émises, consultez la section de la documentation Issuing consacrée à la gestion des fraudes.

  • Signaler toute activité inhabituelle pour vérification par le titulaire de la carte : surveillez les transactions par carte pour détecter toute activité suspecte et demandez au titulaire de la carte de les valider. Quelques exemples :
    • Transactions portant sur des montants élevés ou ronds
    • Transactions qui dépassent de manière significative le montant de transaction moyen du titulaire de carte
    • Transactions chez des marchands qui vendent couramment des cartes-cadeaux, comme les supermarchés et les grandes chaînes de discount.
    • Forcer les captures
    • Surcaptures
    • Transactions avec des entreprises situées en dehors du pays du titulaire de carte
  • Limiter les dépenses par carte : configurez des contrôles de dépenses pour bloquer ou limiter les dépenses en fonction des catégories de marchands ou des pays. Vous pouvez appliquer des contrôles de dépenses aux cartes ou aux titulaires de cartes si des transactions qui sortent de leurs habitudes de dépenses sont susceptibles d’être suspectes.
  • Inscrire des cartes à 3D Secure (3DS) : 3DS est un niveau supplémentaire d’authentification du titulaire de la carte pour les transactions en ligne qui ne fonctionne que lorsque l’entreprise et l’émetteur le prennent en charge. Toutefois, si une entreprise active 3DS, l’émetteur est responsable des litiges pour fraude, même s’il ne l’active pas. Si vous émettez des cartes, inscrivez-les à 3DS pour protéger votre entreprise.
  • Vérifier les scores d’autorisation avancés de Visa : Stripe utilise le score d’autorisation avancé de Visa (VAA) pour identifier et bloquer certaines autorisations suspectes. Si vous souhaitez que nous vous présentions ce score par le biais de l’API, contactez-treasury-support@stripe.com.

Réduire la fraude ACH sur les transferts entrants

Nous recommandons les stratégies suivantes pour évaluer le risque sur les transferts entrants :

  • Utilisez Financial Connections pour confirmer le propriétaire du compte bancaire externe.
  • Surveillez les transactions inhabituelles, telles que les transferts très fréquents ou importants.
  • Lorsque vous créez un transfert entrant, le modèle de prédiction des défaillances de Stripe analyse différents facteurs et renvoie une valeur dans la propriété outcome.risk_score de l’objet Charge. Cette valeur représente la probabilité qu’un retour soit effectué par la banque pour des motifs tels que des fonds insuffisants ou des informations de compte non valides. Un score de 65 ou plus indique un risque élevé, et un score de 75 ou plus indique un risque très élevé.

Stripe propose une fonctionnalité optionnelle qui vous permet de bloquer temporairement les transferts entrants afin de vous donner le temps d’enquêter sur les fraudes potentielles. Par exemple, vous pouvez contacter le compte pour vérifier le transfert. Vous pouvez configurer les blocages avant l’envoi par Stripe des transferts à nos partenaires bancaires, ou entre l’envoi du transfert et le déblocage des fonds sur le compte Treasury. La principale différence est que vous pouvez uniquement annuler un transfert tant que nous ne l’avons pas soumis à la banque.

Pour plus d’informations sur l’utilisation des blocages de transferts entrants, consultez la section dédiée à la vérification manuelle des transferts entrants

Limiter la fraude ACH sur les débits sortants

Nous recommandons les stratégies suivantes pour atténuer le risque sur les débits sortants :

  • Signaler les transactions à haut risque pour vérification par le titulaire du compte : surveillez les transactions sortantes pour détecter toute activité suspecte et demandez au compte de les valider. Quelques exemples :
    • Prélèvements pour les montants importants ou proches des plafonds en vigueur
    • Débits associés à une nouvelle personne initiatrice
    • Tentatives de prélèvement pour des montants supérieurs aux fonds du compte
  • Utiliser les méthodes « push » pour les débits sortants : encouragez vos comptes connectés à utiliser des méthodes « push », telles que les transferts sortants, plutôt que des méthodes « pull » qui proviennent de comptes externes.
  • Annuler des transactions suspectes : si vous soupçonnez qu’un ReceivedDebit est frauduleux, annulez-le en procédant à un DebitReversal. Vous devez annuler le débit dans les deux jours ouvrables suivant la transaction initiale.

Répondre aux cas de fraude identifiés

Lorsque vous détectez une fraude potentielle ou avérée, traitez-la immédiatement. Votre réponse dépend de la nature de la fraude.

Désactiver les comptes frauduleux ou compromis

Si vous soupçonnez qu’un compte est frauduleux ou qu’un compte légitime a été usurpé par un fraudeur, désactivez les transferts de fonds sortants jusqu’à ce que vous puissiez vérifier la fraude. Pour ce faire, paramétrez sa fonctionnalité outbound_flows sur restricted.

Si vous avez la certitude qu’un compte est frauduleux, désactivez ses fonctionnalités outbound_flows et inbound_flows. Si le compte présente un solde nul, vous pouvez le clôturer.

Si un compte légitime est compromis, faites expirer toutes les sessions de connexion existantes et désactivez les connexions. Contactez le titulaire du compte pour vérifier son identité, puis aidez-le à réinitialiser ses identifiants de connexion. Une fois le compte sécurisé, réactivez les identifiants de connexion et les fonctionnalités Treasury.

Si nécessaire, envisagez de clôturer un compte financier et d’en créer un nouveau.

Responsabilité du compte compromis

Le remboursement financier des fonds perdus par un compte compromis dépend des politiques de votre entreprise. Veillez à les communiquer clairement à vos comptes connectés.

Contester les transactions frauduleuses

Réagissez rapidement aux transactions frauduleuses, car il existe des délais stricts :

  • Pour les transactions par prélèvement ACH, vous devez informer Stripe de toute demande de retour au moins 24 heures avant la date de règlement de la transaction. Vous pouvez renvoyer un prélèvement ACH en créant un DebitReversal à l’aide de l’API.
  • Pour les transactions par carte, vous pouvez déposer un litige jusqu’à 110 jours après la capture des fonds. Vous pouvez contester une transaction par carte via le Dashboard ou l’API.

Si vous soupçonnez qu’une carte émise est compromise, clôturez-la et émettez une nouvelle carte.

Examiner la vulnérabilité

Examinez les cas de fraude pour déterminer comment les fraudeurs ont pu contourner les contrôles existants, et vérifiez minutieusement vos autres comptes pour déceler d’éventuelles exploitations de la même vulnérabilité. Révisez vos systèmes et processus pour éviter ce type de fraude à l’avenir.

Cette page vous a-t-elle été utile ?
OuiNon
Besoin d'aide ? Contactez le service Support.
Rejoignez notre programme d'accès anticipé.
Consultez notre log des modifications.
Des questions ? Contactez l'équipe commerciale.
LLM ? Lire llms.txt.
Propulsé par Markdoc