Ce rapport dresse un état des lieux global de la fraude en ligne. Nous avons analysé des milliards de tentatives de paiement provenant de millions d'entreprises du réseau Stripe sur une période de deux ans. Nous avons également interrogé plus de 2 500 chefs d'entreprise répartis sur neuf marchés (Allemagne, Australie, Canada, États-Unis, France, Japon, Pays-Bas, Royaume-Uni et Singapour) avec l'aide de Milltown Partners (en partenariat avec Focaldata).
En combinant notre propre analyse à ces résultats d'enquête, nous avons pu dégager les principales tendances de fraude qui se sont dessinées l'année passée. Parmi elles, on compte l'augmentation des litiges liés aux produits en 2020 et l'inquiétude des entreprises à revenus récurrents face aux répercussions financières de la fraude. Ce rapport est émaillé de conseils pratiques pour vous permettre de vous adapter à ces nouvelles tendances avec succès. Il s'achève sur quatre bonnes pratiques fondamentales, basées sur nos prédictions quant à l'évolution du secteur.
Ce rapport est réparti en quatre sections :
- Pourquoi la fraude a-t-elle augmenté ?
- En quoi la fraude diffère-t-elle selon la région, le pays et la taille de l'entreprise ?
- L'impact commercial de la fraude
- Nos prévisions en matière de fraude
Résumé
- Selon une enquête, 64 % des chefs d'entreprise à travers le monde affirment qu'il est plus difficile pour leur entreprise de lutter contre la fraude depuis le début de la pandémie. Un constat sans doute lié à l'augmentation des types de fraudes et de leur volume global.
- Au début de la pandémie, nous avons observé une augmentation temporaire de 156 % des litiges liés aux produits, correspondant notamment aux codes « produit non reçu » et « produit non acceptable ». La raison ? De nombreux clients auraient contesté leurs paiements après de longs délais de traitement des commandes dus aux perturbations de la chaîne logistique.
- Nous avons en outre constaté une augmentation de 40 % du nombre d'entreprises ayant subi des tentatives de tests de cartes bancaires. Des milliers de nouvelles entreprises d'e-commerce ont vu le jour pendant la pandémie, générant de nouvelles opportunités pour les acteurs de la fraude.
- Les entreprises du monde entier ont constaté une augmentation du nombre de tentatives de fraude. Cependant, les entreprises d'Amérique latine semblent particulièrement vulnérables aux attaques frauduleuses, avec un taux de 97 % supérieur à celui de la région Amérique du Nord et de 222 % supérieur à celui de la région Asie-Pacifique. Ces chiffres s'expliquent par une variété de facteurs régionaux, tels qu'une infrastructure de paiement gérée à l'échelle locale.
Les entreprises à revenus récurrents, notamment celles qui proposent des abonnements B2C, sont les plus affectées. Plus de 75 % d'entre elles ont indiqué que leur charge de vérification manuelle avait augmenté et qu'elles avaient dû consacrer davantage de ressources à la lutte contre la fraude l'année dernière. Ces entreprises bénéficient souvent d'une plus grande notoriété auprès des consommateurs, ce qui facilite la revente de leurs produits. Par conséquent, elles sont la cible privilégiée des acteurs de la fraude. - L'impact commercial de la fraude ne se limite pas aux pertes financières. Notre analyse a révélé que la prévention de la fraude va malheureusement de pair avec le blocage de frais légitimes, ce qui réduit les taux de conversion des entreprises. Afin de réduire le nombre de faux positifs, les entreprises peuvent vérifier manuellement les paiements signalés comme suspects – une méthode qui implique des frais d'exploitation supplémentaires.
- D'après nos prévisions, les entreprises s'adapteront à ces tendances de quatre manières : 1) les interventions, telles que le processus 3DS, joueront un rôle plus important ; 2) des sources de données plus riches permettront aux entreprises de prendre des décisions éclairées plus rapidement ; 3) les émetteurs et les entreprises collaboreront davantage pour rationaliser les litiges et réduire le nombre de faux positifs ; et 4) les consommateurs continueront de se détourner des cartes bancaires, ce qui aura un impact sur l'évolution de la fraude.
Pourquoi la fraude a-t-elle augmenté ?
La pandémie a initié une phase de croissance sans précédent pour l'e-commerce. Les entreprises qui utilisent Stripe ont traité plus de 640 milliards de dollars de paiements en 2021, soit une hausse de 60 % par rapport à l'année précédente. Ces paiements provenaient d'un groupe d'entreprises à croissance rapide. Chaque jour, 1 400 nouvelles entreprises rejoignaient Stripe l'année dernière. Cette croissance a multiplié les opportunités pour les acteurs de la fraude, notamment dans le cas des nouvelles entreprises.
De nombreuses entreprises naissantes manquaient d'outils ou de ressources pour faire face à la fraude, tandis que d'autres ont privilégié le lancement et la rentabilité de leur activité à la mise au point d'une stratégie de prévention de la fraude. Cependant, même les entreprises bien établies n'y ont pas échappé, et ce, en raison de la complexité grandissante des types de fraude et de l'augmentation du taux de fraudes par rapport à la période prépandémique.
Par ailleurs, les acteurs de la fraude se montrent toujours plus ingénieux. Ils trouvent de nouvelles façons de cibler les entreprises, souvent en s'organisant en groupes et en partageant leurs « bonnes pratiques ».
Les paiements frauduleux ont augmenté parallèlement au nombre de transactions sur nos boutiques en ligne. Il est difficile de vérifier toutes les transactions manuellement. Nous n'en ciblons donc qu'une partie, car nos [ressources] [sont] insuffisantes.
Les litiges liés aux produits ont doublé de 2019 à 2020
Notre analyse a révélé que les paiements étaient deux fois plus susceptibles d'entraîner des codes de motif non frauduleux (« produit non reçu » ou « produit non acceptable ») de mars à mai 2020 par rapport à 2019. La raison ? De nombreux clients auraient contesté davantage de paiements après de longs délais de traitement des commandes en raison des perturbations de la chaîne logistique.
L'Amérique latine semble avoir connu les taux de litiges les plus bas en la matière – un résultat sans doute lié au comportement des émetteurs. Au Mexique, les litiges sont sept fois plus susceptibles d'être signalés sans code de motif que dans l'ensemble des autres pays. Au Brésil, ils sont deux fois moins susceptibles d'être signalés comme une fraude.
Bonnes pratiques pour prévenir les litiges liés aux produits :
-
Veillez à appliquer une politique de retour claire, transparente et raisonnable. Par exemple, la période de retour devrait commencer au moment de la livraison, et non à compter de l'expédition.
-
Ajoutez le nom de votre entreprise directement dans votre descripteur pour les paiements par carte de crédit.
-
Mettez en place un processus officiel pour le règlement des litiges.
-
Informez les clients avant de traiter leur paiement. Pour les entreprises proposant des abonnements, assurez-vous que les clients reçoivent au moins un rappel de leur paiement à venir.
-
Pour les entreprises d'e-commerce, exigez la signature d'un client à la livraison de sa commande.
Le nombre d'entreprises ciblées par les tentatives de tests de cartes bancaires a augmenté de 40 %
La fraude par test de cartes bancaires permet aux escrocs de déterminer si les informations de cartes volées sont actives afin de pouvoir les utiliser pour effectuer des achats. Ainsi, un fraudeur peut acheter des informations de cartes de crédit volées, puis tenter d'effectuer des achats avec ces cartes pour en déterminer la validité.
Durant la première année de la pandémie, nous avons constaté une augmentation de 40 % de la proportion d'entreprises victimes de tentatives de test de cartes. Cette tendance concernait à la fois les entreprises nouvelles et établies. Toutefois, les nouvelles entreprises (soit celles qui s'étaient inscrites sur Stripe dans les 90 jours précédents) représentaient une part plus importante des victimes.
Les attaques par test de cartes peuvent nuire aux entreprises de plusieurs manières. L'afflux de transactions dû à une activité de ce type peut entraîner des coûts de traitement des paiements plus élevés ainsi qu'un risque d'interruption de service (par exemple, si l'entreprise en question n'est pas en mesure de gérer le volume de trafic induit par cette attaque). En outre, une attaque par test de cartes réussie est préjudiciable à l'écosystème financier mondial. Les entreprises sont plus susceptibles de traiter les paiements provenant de cartes bancaires volées, ce qui entraîne davantage de litiges. En raison du risque pour l'écosystème financier, les entreprises peuvent être pénalisées par les émetteurs et les réseaux de cartes pour avoir autorisé ces attaques.
Une autre analyse Stripe de novembre 2021 a révélé que les organisations caritatives sont particulièrement touchées par ce type de fraude : sur l'ensemble des attaques par test de cartes que nous avons observées, 11 % ciblaient de telles organisations. Pourquoi ? De nombreuses organisations caritatives permettent aux donateurs (ou dans le cas présent, aux fraudeurs) de choisir un très petit montant de don, par exemple, un ou cinq dollars. Les petites transactions passent plus facilement inaperçues sur les relevés du titulaire de la carte. De plus, les équipes chargées de la détection de la fraude sont souvent plus restreintes dans les organisations caritatives, et n'ont pas les ressources nécessaires pour bloquer les transactions. Non seulement ces organisations (et toute entreprise victime de ce type de fraude) perdent de l'argent, mais elles sont également pénalisées par les banques pour avoir laissé ces attaques de cartes se produire.
Bonnes pratiques en matière de prévention des attaques par test de cartes :
-
Optimisez votre intégration avec votre prestataire de services de paiement. De nombreux prestataires appliqueront différents contrôles pour réduire le nombre d'attaques par test de cartes. Cependant, le succès de ces contrôles dépend de la qualité de votre intégration et des signaux que vous envoyez au prestataire. En général, plus votre intégration fournit de données, plus la prévention de ces tests est efficace.
-
Protégez vos clés API. Votre clé API secrète peut servir à effectuer l'appel à l'API de votre choix au nom de votre compte (par exemple, pour créer des paiements ou effectuer des remboursements). Traitez votre clé API secrète comme vous le feriez pour tout autre mot de passe et limitez-en l'accès au sein de votre entreprise.
-
Activez CAPTCHA dans votre tunnel de paiement pour différencier les clients légitimes des robots testeurs de cartes bancaires.
-
Définissez des limites de débit pour contrôler la quantité de trafic entrant et sortant. Par exemple, si les testeurs valident les cartes bancaires en les associant à de nouveaux clients, vous pouvez limiter le nombre de nouveaux clients provenant d'une seule adresse IP au cours de la même journée.
-
Envisagez de demander aux clients de se connecter à leur compte pour effectuer un paiement.
En quoi la fraude diffère-t-elle selon la région, le pays et la taille de l'entreprise ?
La lutte contre la fraude est un enjeu universel : 90 % des dirigeants sondés ont déclaré que la prévention de la fraude en ligne constituait un enjeu important pour leur entreprise. L'activité de fraude présente toutefois des différences subtiles selon le secteur d'activité et l'emplacement de l'entreprise, ce qui témoigne d'une réalité complexe.
La fraude par région et par pays
Stripe disposant d'un volume de paiement plus élevé pour les entreprises nord-américaines, nous avons utilisé les données nord-américaines comme référence pour d'autres régions dans la section ci-dessous.
Si toutes les entreprises en ligne doivent faire face à la fraude, notre étude a toutefois révélé que les entreprises d'Amérique latine étaient particulièrement exposées à l'augmentation du taux de fraude.
L'Amérique latine a connu les taux de fraude par carte les plus élevés au monde au cours de la période analysée : 97 % supérieurs à ceux de la région Amérique du Nord et 222 % supérieurs à ceux de la région Asie-Pacifique. L'infrastructure de paiement étant gérée à l'échelle locale et l'utilisation des cartes de crédit étant moins fréquente, les modèles de fraude utilisés par les banques locales tendent à être moins efficaces que dans d'autres régions. Par ailleurs, les règles favorisent généralement les titulaires de cartes dans le traitement des litiges, ce qui rend les entreprises particulièrement vulnérables à la fraude. Outre ces facteurs locaux, il faut noter que la migration du marché sur Internet s'accélère (nous avons constaté une augmentation de 518 % des nouvelles entreprises lancées sur Stripe en Amérique latine en 2021), ce qui multiplie les opportunités d'attaques pour les fraudeurs.
Les entreprises en Europe, au Moyen-Orient et en Afrique affichaient des taux de fraude nettement inférieurs à ceux de l'Amérique du Nord. Ce phénomène reflète sans doute l'impact de la réglementation d'authentification forte du client (Strong Customer Authentication, SCA), qui oblige les entreprises à ajouter une authentification à deux facteurs à leur tunnel de paiement.
Nous avons également constaté des variations notables entre différents pays. Par exemple, la France affichait un taux de fraude presque deux fois supérieur à celui de l'Allemagne, tandis que 50 % de la fraude à travers la région Asie-Pacifique ne visait que Singapour. Pour les entreprises internationales, ces différences rendent la lutte contre la fraude encore plus complexe. Par conséquent, il n'existe pas d'approche unique en matière de gestion de la fraude.
Si vous en avez les moyens, nous vous recommandons d'analyser les comportements de vos clients ainsi que les tendances et réglementations des marchés où vous exercez votre activité afin de mieux comprendre le type de fraude susceptible de vous affecter. À mesure que les entreprises évoluent, cette complexité peut s'avérer trop lourde à gérer, d'où l'importance de tirer parti d'un outil de lutte contre la fraude automatisé et sophistiqué.
Fraude par taille d'entreprise et modèle économique
Les chefs d'entreprise ont une perception différente du risque de fraude en fonction de la taille de leur entreprise et de son modèle économique. Par exemple, notre enquête a montré que la prévention de la fraude s'intensifie en fonction de l'échelle. Un phénomène logique, étant donné que les grandes entreprises ont davantage de ressources à investir dans cette stratégie de prévention que les petites structures. Cependant, les ressources seules ne suffisent pas à prévenir la fraude. D'après notre enquête, les chefs d'entreprise disposant d'importantes équipes anti-fraude étaient plus susceptibles d'être confrontés à des défis opérationnels et à des pertes plus élevées en matière de fraude.
Ces tendances constituent une opportunité potentielle pour les petites entreprises : elles peuvent choisir de développer une stratégie élaborée de lutte contre la fraude durant leur phase de croissance afin d'anticiper le problème. Cependant, mobiliser du temps et des ressources pour lutter contre la fraude pourrait se faire au détriment de la croissance de l'entreprise. Les petites entreprises doivent donc minutieusement examiner l'alternative qui s'offre à elles.
Nous avons également analysé les résultats de l'enquête en fonction du modèle économique, en classant les entreprises sous les catégories suivantes :
- Logiciel en tant que service (SaaS)
- Abonnements B2C
- Places de marché et plateformes
- Ecommerce
Nous avons constaté que les entreprises à revenus récurrents étaient les plus soucieuses de l'impact financier de la fraude. En effet, les équipes anti-fraude des entreprises d'abonnement s'inquiétaient davantage des pertes économiques liées à la fraude que leurs homologues. Par ailleurs, elles avaient tendance à attribuer à la fraude des pertes de revenus plus élevées en 2021 qu'avant la pandémie. Ces inquiétudes proviennent sans doute de leur modèle économique : ces entreprises, qui génèrent des revenus selon un calendrier défini (par exemple, sur une base mensuelle ou trimestrielle) et qui ont vu leur taux de fraude augmenter au cours de l'année passée, sont par conséquent plus susceptibles de penser que la tendance se poursuivra au fil de leur croissance.
Les entreprises proposant des abonnements B2C ont plus particulièrement souffert de la charge opérationnelle de la fraude. Elles étaient plus nombreuses à déclarer avoir augmenté le nombre de vérifications manuelles en 2021, mobilisé davantage de ressources pour lutter contre la fraude et reporté leurs investissements ou plans d'expansion.
Il est possible que la majorité des entreprises B2C aient connu plus de tentatives de fraude de par leur renommée, qui facilite la revente de leurs produits ou services par les fraudeurs. (Ces derniers peuvent par exemple acheter un abonnement numérique avec une carte volée et le revendre à moindre coût.).
L'impact commercial de la fraude
La fraude coûte cher : 59 % des personnes interrogées s'attendent à des pertes de revenus supérieures à celles de l'année passée en matière de fraude.
La fraude fait perdre de l'argent aux entreprises, tant sur le plan des litiges qui en découlent que sur celui de la prévention. Par exemple, si votre entreprise perd un litige, vous serez tenu de payer un montant supérieur à celui de la transaction d'origine. La fraude entraîne souvent des frais de contestation de paiement (le coût associé à l'annulation du paiement par la banque) et des frais de réseau plus élevés en cas de litige.
Cependant, notre enquête a révélé que les répercussions de la fraude sur les entreprises dépassent les simples pertes financières. Pour y faire face, de nombreuses entreprises doivent étoffer leur équipe de détection de la fraude ou mobiliser des ressources d'ingénierie, détournant ainsi des ressources précieuses de leur produit principal.
Réduction des taux de conversion des paiements
Notre analyse a révélé que plus une entreprise essaie de prévenir la fraude, plus elle risque de bloquer des paiements légitimes.
Les faux positifs, ou refus de paiement erronés, se produisent lorsqu'un client légitime essaie d'effectuer un achat mais en est empêché. Les faux positifs ont un impact négatif à la fois sur les revenus de l'entreprise et sur sa réputation. Ainsi, 33 % des consommateurs ont déclaré qu'ils ne tenteraient plus d'achat auprès d'une entreprise après un faux positif.
Un simple cas de fraude [peut] causer une avalanche de problèmes et éventuellement nous faire perdre un acheteur légitime en raison de vérifications de sécurité supplémentaires.
Il existe un compromis entre la prévention des litiges et la réduction du nombre de clients légitimes bloqués. En empêchant le taux de fraude de croître, vous augmenterez le nombre de clients légitimes qui se verront bloqués. D'un autre côté, en réduisant le nombre de faux positifs, vous verrez sans doute davantage de véritables tentatives de fraude passer entre les mailles du filet. Ce compromis dépend, en outre, de la solution anti-fraude que vous utilisez : s'il s'agit d'une solution statique que vous n'améliorez pas en continu, vous devrez gérer ce compromis de façon permanente. Si vous disposez d'une solution anti-fraude qui s'adapte et change continuellement en fonction des vecteurs de fraude, votre tâche en sera facilitée.
Compte tenu du compromis qui existe entre la prévention des litiges et le blocage des paiements légitimes, les entreprises peuvent déterminer le seuil auquel bloquer les paiements afin de maximiser leur profit. C'est à ce point de maximisation des profits que la différence entre les coûts de fraude évités et les profits bloqués est la plus importante.
Lescore de risque est le seuil de blocage des transactions à l'aide de Radar (les paramètres par défaut bloquent les transactions ayant un score de risque supérieur à 75).
Leséconomies nettes liées à la fraude sont le résultat des coûts de fraude évités moins les profits légitimes bloqués.
Lepoint de maximisation des profitsest le point auquel une entreprise a maximisé les économies nettes liées à la fraude, en optimisant le compromis entre le blocage des transactions frauduleuses et celui des transactions légitimes.
Comment lire ce graphique : à mesure que le seuil de risque augmente le long de l'axe des abscisses, la probabilité qu'une transaction soit frauduleuse est plus élevée. Plus le seuil de risque est élevé, moins vous bloquez de transactions. À mesure que vous bloquez des transactions, vos économies nettes liées aux fraudes augmentent, mais vous êtes également plus susceptible de bloquer des transactions légitimes.
Le compromis entre la prévention de la fraude et le blocage des transactions légitimes dépend de la marge par transaction. Par exemple, les entreprises présentant des transactions à marge élevée (50 %) le long de la ligne bleu foncé du graphique seront susceptibles d'autoriser davantage de transactions et d'afficher un seuil de risque plus élevé, car chaque transaction légitime est bien plus profitable (par rapport à une entreprise à faible marge, par exemple).
Les entreprises doivent gérer ce compromis en fonction de leurs marges, de leur profil de croissance et d'autres facteurs. Si les marges de votre entreprise sont faibles (par exemple, si vous vendez des denrées alimentaires en ligne), il vous faudra potentiellement compenser le coût d'une transaction frauduleuse par des centaines de transactions légitimes. Dans ce contexte, chaque faux négatif implique à lui seul des coûts importants. Les entreprises de ce type sont susceptibles de privilégier la prévention de la fraude au détriment du blocage de clients légitimes. Par contre, si les marges d'une entreprise sont élevées (comme dans le cas d'une entreprise SaaS), l'inverse est vrai. La perte de revenus découlant d'un client légitime bloqué pourrait être supérieure au coût d'un volume de fraude accru. Notez que l'optimisation des taux de fraude par les entreprises a ses limites : si la fraude atteint certains niveaux, les réseaux de cartes imposeront des frais et des amendes.
Frais d'exploitation
Afin de réduire le nombre de faux positifs, les entreprises peuvent vérifier manuellement les paiements signalés pour déterminer s'ils sont vraiment frauduleux. Ce processus, plutôt laborieux, requiert une équipe d'analystes de la fraude pour évaluer les risques en fonction de divers facteurs, tels que les détails des transactions et l'historique des clients.
C'est très frustrant parce que je suis contraint de détourner des ressources pour y faire face, sans quoi la situation pourrait devenir incontrôlable.
Nous avons constaté que les grandes entreprises sont plus susceptibles d'opter pour des vérifications manuelles, mais plus leur structure est grande, plus la fraction des transactions qu'elles examinent est faible. Par exemple, plus de 20 % des entreprises ayant effectué plus de 100 000 transactions au cours de l'année précédente ont eu recours à des vérifications manuelles. Pourtant, ces vérifications n'ont porté que sur 1 % de leurs transactions. Si ces grandes entreprises disposent des ressources nécessaires pour ce type de vérifications, elles les réservent pour les transactions à plus gros enjeux
-
Pour les petites entreprises sans équipe chargée de la détection de la fraude, la mise en place d'une solution de garantie de contestation de paiement (avec un tiers garantissant la couverture des frais) peut s'avérer particulièrement utile.
-
Pour les moyennes et grandes entreprises d'e-commerce, une solution de machine learning facilite la lutte contre la fraude à grande échelle, sans ressources d'ingénierie supplémentaires.
-
Les grandes entreprises utilisent souvent une sélection de solutions ponctuelles (telles que des outils spécifiques pour prendre en charge CAPTCHA ou la numérisation des cartes) conjointement à un logiciel anti-fraude, ou comme entrées dans leurs propres modèles de lutte contre la fraude.
Nos prévisions en matière de fraude
La fraude ne cesse d'évoluer, et 2021 n'a pas fait exception à la règle. Les fraudeurs ont même gagné en sophistication, ciblant les entreprises en ligne de façon inédite. Nous avons abordé un certain nombre de défis dans ce rapport, mais quels enseignements en tirer pour pouvoir vous adapter au paysage changeant de la fraude ? Voici les quatre tendances principales que nous avons dégagées :
1. Les interventions, telles que le processus 3DS, joueront un rôle plus important
Les interventions permettent de bloquer ou d'autoriser les transactions suspectes de manière éclairée, en lançant un « défi » aux clients (comme la saisie d'un code ponctuel envoyé par SMS).
Les interventions peuvent prendre plusieurs formes :
- La méthode 3DS, qui exige que les clients procèdent à une authentification à deux facteurs pour effectuer un paiement. Il s'agit de la principale méthode d'authentification par carte utilisée pour répondre aux exigences de la réglementation d'authentification forte du client Strong Customer Authentication, (SCA) en Europe et d'un mécanisme clé permettant aux entreprises de demander des exemptions à la SCA.
- Des vérifications d'identité, telles que demander aux clients de scanner une pièce d'identité officielle afin de vérifier leur identité.
- Des scans de cartes bancaires pour vérifier que le client a bien en sa possession sa carte physique au moment de la transaction.
- Des outils CAPTCHA qui demandent aux visiteurs du site Web de résoudre une énigme simple, comme transcrire une série de chiffres ou de lettres à partir d'une image déformée.
Les interventions gagnent déjà en popularité. Nous avons analysé l'activité d'une intervention spécifique, l'authentification 3DS, parmi les entreprises Stripe en 2021. Nous avons constaté qu'elle était de plus en plus populaire, particulièrement en dehors de l'Amérique du Nord. Sans surprise, les entreprises européennes sont celles qui ont le plus adopté la procédure 3DS (c'est le résultat de l'application intégrale des exigences SCA dans la majorité des pays européens éligibles l'année dernière). La réglementation de type SCA gagne également en popularité en dehors de l'Europe, particulièrement en Inde.
Dans le cadre d'un test, Stripe a constaté que l'abaissement du seuil auquel 3DS est déclenché entraînait une diminution de 74 % du taux de litiges pour fraude. En outre, 3DS permet à la majorité des paiements d'aboutir par rapport au blocage total des frais, (67 % pour tous les niveaux de risque et 5 % pour le niveau de risque élevé). Notez que les performances de 3DS peuvent varier d'un émetteur à l'autre.
À l'avenir, nous nous attendons à un succès croissant du recours aux interventions. Les entreprises appliqueront des interventions de manière plus systématique et opteront pour des types d'interventions diversifiés, privilégiant ceux qui fluidifient le processus de paiement.
Conseils en matière d'utilisation des interventions :
-
Remplacez les transactions actuellement bloquées par des interventions pour augmenter la conversion et éviter de bloquer des frais légitimes.
-
Les interventions sont susceptibles de compliquer l'expérience client, ce qui peut avoir un impact négatif sur la conversion. Optimisez et testez méticuleusement la façon dont vous souhaitez déclencher des interventions pour éviter de nuire à l'expérience des clients légitimes.
-
Chaque intervention possède un taux de réussite différent et des répercussions différentes sur la réduction de la fraude. Par exemple, bien que les clés de sécurité soient extrêmement efficaces pour prévenir la fraude, elles peuvent considérablement nuire à la conversion. Choisissez l'intervention appropriée en fonction du risque de l'action effectuée par votre client et de votre tolérance au risque / à la conversion.
-
Effectuez des interventions lorsqu'elles s'avèrent être la solution la plus logique dans le parcours de l'utilisateur (par exemple, demander la numérisation d'une carte bancaire lorsqu'un client indique les informations de celle-ci).
2. Des sources de données enrichies permettent aux entreprises de prendre des décisions plus rapides et mieux éclairées
La gestion de la fraude était autrefois très manuelle, impliquant l'intervention d'une équipe d'analystes pour examiner chaque transaction. Aujourd'hui, la majorité des entreprises utilisent des modèles de machine learning et d'automatisation pour lutter contre la fraude à grande échelle, en plus des vérifications manuelles, le cas échéant (cette approche hybride varie en fonction des secteurs et des modèles économiques). Les modèles de machine learning apprennent à distinguer les transactions légitimes des transactions potentiellement frauduleuses. Les modèles les plus évolutifs peuvent même s'entraîner eux-mêmes, pour une plus grande efficacité.
Les modèles de machine learning étaient autrefois considérés comme une technologie anti-fraude de pointe, mais ils sont désormais indispensables. Aujourd'hui, les fonctionnalités du machine learning ne suffisent plus à elles seules à atténuer les risques de fraude, qui ne cessent d'évoluer. Les répondants à notre enquête en conviennent : plus de la moitié d'entre eux (dont le processus de vérification est principalement automatisé) ont déclaré que le type et le volume de fraude auxquels ils sont confrontés évoluent trop rapidement pour que leur entreprise puisse s'y adapter.
Les possibilités de fraude financière se sont diversifiées et complexifiées au fil du temps. Nous devons constamment nous adapter aux nouveaux modèles et cas de fraude.
Nous sommes persuadés qu'à l'avenir, la gestion de la fraude se fondera sur des données plus détaillées pour mieux éclairer les modèles de fraude. Les outils et la technologie permettant de recueillir ces informations sont aujourd'hui à la portée de tous, mais ils se trouvent souvent dans des systèmes cloisonnés et disparates. Les entreprises utilisent par exemple des outils distincts pour la vérification d'identité et la biométrie. D'après nos prévisions, les entreprises seront bientôt en mesure de tirer parti de technologies et d'intégrations optimisées pour centraliser ces informations, offrant ainsi une approche holistique pour améliorer l'efficacité des modèles de lutte contre la fraude.
En examinant les données pertinentes de l'ensemble du parcours client (y compris la biométrie comportementale, les données tierces enrichies liées aux numéros de téléphone, aux adresses e-mail et même aux plateformes de réseaux sociaux, ainsi que le réservoir inexploité des données des émetteurs), les entreprises peuvent détecter les tentatives de fraude avec une plus grande précision.
Bien que les données de ce type soient très utiles pour améliorer les modèles de lutte contre la fraude, les entreprises doivent faire preuve de prudence lorsqu'elles collectent et stockent ces informations afin de garantir le respect des lois internationales sur la sécurité et la confidentialité des données.
3. Une collaboration plus étroite entre émetteurs et entreprises en vue de rationaliser les litiges et de réduire les refus de paiement erronés
Lorsqu'un client finalise un achat sur votre site, votre prestataire de services de paiement recueille les détails de la transaction et les envoie, sous forme de demande de paiement, à la banque émettrice (la banque du client), par l'intermédiaire des réseaux de cartes tels que Visa, Mastercard ou China UnionPay. La banque émettrice (par exemple, Chase, Citi ou Barclays) a le dernier mot. Il lui revient d'approuver ou de refuser la transaction pendant la phase d'autorisation. Elle calcule le risque de fraude en fonction des signaux reçus lors de l'autorisation, lesquels sont assez limités.
Les entreprises, quant à elles, disposent de précieuses données sur les clients et les transactions, telles que les adresses e-mail et de facturation des clients. Ajoutées aux informations dont dispose déjà l'émetteur, ces données peuvent favoriser un plus grand pourcentage de transactions acceptées.
L'amélioration des taux d'autorisation et de fraude est mutuellement avantageuse : la banque émettrice peut réduire les pertes dues à la fraude, économiser sur les coûts opérationnels et augmenter le volume des transactions en réduisant le nombre de demandes des clients en cas de faux positifs. Parallèlement, les entreprises bénéficient de meilleurs taux de conversion des paiements et d'une meilleure fidélisation de la clientèle. Toutefois, la plupart des entreprises ne partagent toujours pas ces données avec les émetteurs. En découle une asymétrie des informations qui contribue aux 443 milliards de dollars de refus de paiement erronés en 2021.
Nous constatons aujourd'hui un changement chez les émetteurs, qui investissent dans la création d'API d'autorisation améliorées telles que l'API Enhanced Decisioning Data de Capital One et l'API Enhanced Authorization d'Amex. Les grandes entreprises (pour lesquelles chaque point de pourcentage en matière d'autorisation se traduit par des millions de dollars) accordent désormais de l'importance aux partenariats de données et commencent à investir en vue d'intégrer les émetteurs. Mais des millions d'autres entreprises n'ont pas la capacité technique ou le volume de paiements requis pour pouvoir investir dans des intégrations sur mesure avec des émetteurs. Ces entreprises devront s'appuyer sur des partenaires financiers, tels que Stripe et d'autres fournisseurs de paiement, qui faciliteront cet échange en tirant parti de leur envergure et de leurs propres partenariats avec les émetteurs.
4. Les consommateurs continueront de se détourner des cartes bancaires au profit d'autres moyens de paiement, ce qui aura une incidence sur les types de fraude pratiqués
Les autres moyens de paiement, tels que les paiements différés, les portefeuilles électroniques et les cartes cryptographiques sans numéro de carte imprimé (telles que la carte de crédit Gemini) sont en plein essor. Les services de paiements différés, en particulier, ont connu une popularité croissante : plus de la moitié des clients américains ont déjà utilisé un service de paiements différés. Ce moyen de paiement a connu la croissance la plus rapide en Inde et au Royaume-Uni en 2020.
Tous les moyens de paiement utilisés en ligne s'accompagnent d'un certain niveau de risque de fraude. Les moyens de paiement sans carte bancaire ne dérogent pas à cette règle. Par exemple, si les paiements différés présentent un risque de fraude moins élevé sur les transactions, ils sont plus exposés à la fraude aux nouveaux comptes (c'est-à-dire quand un escroc crée une nouvelle identité pour ouvrir un compte frauduleux pendant le flux d'inscription, parfois mal protégé). Ils sont également plus exposés aux prises de contrôle de comptes (lorsqu'un tiers malveillant accède aux informations d'identification du compte d'un client et utilise ses informations de paiement pour effectuer des achats frauduleux).
Les entreprises peuvent réduire ces risques grâce à des stratégies de prévention en amont du cycle de vie du client. Plutôt que de se concentrer sur la transaction elle-même, les entreprises peuvent dépister les activités frauduleuses plus tôt dans le parcours client afin de procéder à une évaluation avant même que le client (ou le fraudeur) n'effectue un achat. Par exemple, les entreprises doivent confirmer l'identité d'un client lors de son inscription, vérifier les comptes en double et appliquer des mesures de vérification d'identité (telles que l'authentification à deux facteurs) lors de la connexion.
Comment Stripe peut vous aider
Stripe est une suite de produits de paiement entièrement intégrée qui s'adapte à tous types d'entreprises, des commerces en ligne et physiques aux entreprises d'abonnement, en passant par les plateformes logicielles et les places de marché. De la lutte contre la fraude à la vérification des identités, des millions d'entreprises utilisent Stripe aux fins suivantes :
Optimiser l'expérience de paiement
- Collectez davantage d'informations lors des paiements : en demandant aux clients de fournir davantage d'informations pertinentes au moment du paiement, vous pourrez mieux vérifier leur légitimité. Par exemple, assurez-vous de collecter leur nom et leur adresse e-mail. Ces informations supplémentaires peuvent être transmises à Stripe Radar pour une meilleure détection de la fraude grâce au machine learning, et constitueront autant de preuves en cas de litige.
- Proposez différents moyens de paiement : les bons moyens de paiement permettent d'offrir une plus grande flexibilité à vos clients tout en réduisant le risque de fraude. Les portefeuilles électroniques, tels qu'Apple Pay ou Google Pay, nécessitent une vérification supplémentaire du client (comme la biométrie, les SMS ou un code d'accès) pour effectuer un paiement, ce qui réduit les taux de litige. De même, la plupart des prélèvements bancaires (lorsque vous retirez des fonds directement du compte bancaire d'un client) reposent sur un mandat ou sur la vérification de l'identité du propriétaire du compte, ce qui renforce la sécurité et réduit les risques de litiges.
Prévenir la fraude lors des paiements
- Tirez parti de la détection de la fraude via le machine learning :la détection de la fraude basée sur des règles préétablies n'a pas été conçue pour les entreprises modernes opérant en ligne et peut donc entraîner une perte de revenus. Stripe Radar s'appuie sur un modèle de machine learning adaptatif. Ses algorithmes évaluent chaque transaction pour lui attribuer un score de risque, avant de bloquer ou d'autoriser le paiement en fonction du risque qu'il pose. Les algorithmes de Radar s'adaptent rapidement, aussi bien à l'évolution des pratiques frauduleuses qu'à l'activité de votre entreprise.
- Luttez contre la fraude et augmentez votre taux d'autorisation grâce à des partenariats avec des émetteurs : les partenariats de Stripe facilitent le partage de données relatives aux risques afin d'aider les émetteurs à distinguer les transactions frauduleuses des paiements légitimes. Une intégration avec des émetteurs est une valeur ajoutée, aussi bien pour le titulaire de la carte que pour l'entreprise : les clients peuvent faire leurs achats en toute sérénité tandis que les entreprises voient leur taux d'autorisation augmenter, sans pour autant affecter leur taux de litiges.
- Appliquez dynamiquement l'authentification à deux facteurs : Stripe Checkout peut gérer les exigences de la SCA européenne et appliquer une authentification (telle que 3DS) de manière dynamique lorsque la banque du détenteur de la carte l'exige ou en cas de soupçons de fraude. Stripe Checkout prend également en charge le procédé le plus simple de validation PCI au moyen d'un formulaire SAQ A prérempli. En outre, il déclenche un CAPTCHA uniquement en cas de suspicion d'attaque par test de carte afin d'empêcher toute tentative de fraude
Gérer la fraude avec votre équipe
- Créez des règles pour personnaliser la lutte contre la fraude : à l'aide de Radar for Fraud Teams, vous pouvez créer des règles personnalisées pour gérer les paiements entrants, en bloquant les paiements suspects ou en les plaçant en vérification. Par exemple, vous pouvez réduire le score de risque requis pour déclencher des vérifications manuelles ou examiner des commandes importantes de nouveaux clients. Radar for Fraud Teams fournit également des données sur les risques liés à des paiements particuliers pour vous permettre de mieux comprendre les raisons derrière un score de risque élevé. Vous pouvez utiliser ces informations pour créer des règles plus ciblées.
- Vérifiez manuellement les paiements à haut risque : Radar for Fraud Teams comprend un processus de vérification supplémentaire qui vous permet de soumettre certains paiements à vérification (un processus qui n'affecte pas le traitement des paiements en question). Si Radar for Fraud Teams est très populaire auprès des grandes organisations, il s'adapte néanmoins aux entreprises de toutes tailles. Sa fonction de vérification manuelle des paiements est particulièrement prisée par les petites structures. La vérification manuelle des paiements suspects vous permet d'intervenir de manière plus ciblée, avant même qu'un litige ne se produise. Par exemple, si vous avez des doutes sur un paiement en cours de vérification, vous pouvez contacter le client par téléphone ou par e-mail. Et en cas de paiement suspect, vous pouvez rembourser le montant en question.
Conseils supplémentaires sur la prévention de la fraude
- Accédez à des données plus détaillées sur les tendances en matière de fraude : Stripe Sigma vous permet d'analyser rapidement vos données Stripe via des requêtes SQL prédéfinies ou personnalisées dans le Dashboard Stripe. Trouvez réponse à toutes vos questions commerciales, des raisons qui poussent les clients à contester les paiements au pourcentage de litiges que vous contestez. Vous pouvez également utiliser Stripe Data Pipeline pour transférer vos données Stripe vers votre entrepôt de données Snowflake ou Amazon Redshift. Cet exercice vous permet de combiner vos scores de risque Stripe à d'autres données pertinentes afin de générer des rapports plus complets, en toute facilité.
- Vérifiez les clients à travers le monde : Stripe Identity vous permet de confirmer l'identité de vos utilisateurs de manière programmatique afin de réduire le nombre d'attaques frauduleuses sans pénaliser vos clients légitimes.
- Optimisez la conversion et récupérez davantage de revenus : Stripe Card Image Verification aide à réduire le nombre de transactions bloquées par erreur. Au lieu de bloquer les transactions à haut risque, cette fonction demande aux utilisateurs de scanner une photo de la carte bancaire utilisée afin de confirmer qu'elle est bien en leur possession (lancement en 2022).
Pour en savoir plus sur la façon dont Stripe Radar peut aider votre entreprise à lutter contre la fraude, lisez notre documentation ou créez un compte.
Autres ressources
Vous trouverez ci-dessous des ressources supplémentaires pour vous aider à gérer la fraude et à protéger votre entreprise :
Méthodologie
Stripe a analysé des milliards de tentatives de paiement provenant de millions d'entreprises entre 2019 et 2021. Dans le cadre de cette analyse, nous avons passé en revue les litiges et leurs raisons, les prédictions de nos modèles de machine learning, l'utilisation de l'intervention 3DS et l'activité de vérification manuelle des entreprises. En ce qui concerne les taux de fraude au niveau national, nous avons exclu de notre analyse les pays ayant effectué moins de 10 000 paiements (un nombre insuffisant pour calculer les taux de fraude de manière fiable) en 2021.
En début d'année, Stripe s'est associée à Milltown Partners (en partenariat avec leur fournisseur de données, Focaldata) pour interroger plus de 2 500 chefs d'entreprise répartis sur neuf marchés (Allemagne, Australie, Canada, États-Unis, France, Japon, Pays-Bas, Royaume-Uni et Singapour) qui attribuent 10 % de leurs revenus à la vente en ligne.