Sep.26

Paiement frauduleux par carte bancaire : mieux s’en prémunir

Paiement frauduleux par carte bancaire : mieux s’en prémunir

La vie d’un e-commerçant est indéniablement rempli de très bons moments et de joies, mais aussi hélas de moments difficiles et d’événements parfois irritants : la répudiation de paiement par carte bancaire en fait partie. Cette dernière occasionne en effet une perte sèche pour la boutique en ligne, et à fréquence importante, peut remettre en cause l’avenir du site marchand.

A l’occasion de cet article, je vous propose d’en savoir plus sur le paiement frauduleux par carte bancaire, et quelques astuces pour tenter de déceler les opérations frauduleuses.

Existe-t-il des façons de se prémunir contre les paiements frauduleux par CB ?

Beaucoup de banques et de sociétés de monétique ont souvent entendu cette question, et beaucoup de commerçants connaissent la réponse qui est « oui et non ».

Même si le e-commerce évolue techniquement, le paiement en ligne par carte bancaire reste le parent pauvre de cette évolution, et l’ensemble des moyens permettant une sécurisation maximale des paiements en ligne présentent quelques inconvénients. Nous pouvons par exemple mentionner :

  • 3D Secure : cette option offre un niveau de sécurité élevé, et laisse peu de place à la fraude, cela autant du côté porteur de la carte que du côté e-commerçant. Rappelons, pour les non-initiés, que le 3D Secure est un système qui va vous demander de vous authentifier à l’aide d’un code envoyé par SMS, ou un code disponible sur votre web-banking. Si la sûreté est au rendez-vous, les différents étapes rallongent indéniablement le process de commande (tunnel de commande) et conduit bien souvent à un taux d’abandon de panier extrêmement important ;
  • le paiement par CB via PayPal : Paypal offre à ses abonnés commerçants, une grande sécurité en matière de paiement en ligne, et assure bien souvent toutes les transactions contre la répudiation. Ce service a hélas un prix ; un taux de commission parfois supérieur à celui pratiqué par les banques.

A défaut de sécurisation maximale, certains compagnies d’assurance et même certaines banques assurent désormais les e-commerces en cas de répudiation de paiement. Ces contrats, qui sortent peu à peu de l’ombre présentent cependant quelques points négatifs :

  • ils sont particulièrement onéreux : le montant de la police d’assurance étant fixé en fonction du volume de transaction et du montant de ces dernières ;
  • l’indemnisation se fait au cas par cas : l’assureur n’est en effet pas obligé d’indemniser une transaction répudiée, et le vendeur doit prouver qu’il a pris toutes les mesures de vérification nécessaires avant l’expédition
  • les contrats sont bien souvent très « volatiles » : l’assureur peut rompre le contrat quand il le désire (notamment si le volume d’impayés est trop important)

Aussi, et avant de recourir à des moyens de sécurisation des paiements qui peuvent avoir des incidences sur votre activité, ou à des assurances ayant un fonctionnement parfois un peu complexe, quelques règles de bases peuvent être observées.

Comment détecter une opération frauduleuse par carte bancaire ?

Note préalable : figurent ci-dessous un éventail de points à vérifier. Une incohérence sur un de ces points ne signifie pas que l’opération est frauduleuse. Seuls un ensemble de points vérifiés constituera un faisceau d’indices qui pourront vous conduire à ne pas assurer la livraison du produit.

Le contenu de la commande et la fréquence des commandes

Si de par le passé les boutiques en ligne de produits de luxe, de matériel hifi et vidéo étaient les plus touchés, aujourd’hui aucun secteur d’activité ne peut se targuer d’être à l’abri d’opérations frauduleuses. La vigilance est de mise et commence par une observation scrupuleuse du contenu et de la fréquence des commandes.

Aussi, vous devez porter une attention particulière aux commandes d’un montant important, ou ayant un assemblage de produits hétéroclite. En effet, bien des fraudeurs, n’ayant à disposition qu’un numéro de carte bancaire falsifié, tentent le « coup de poker » et passent une commande d’un montant important. Ces commandes doivent immédiatement attirer l’attention.

A l’instar des commandes importantes, les commandes de faible montant à une fréquence élevée doivent aussi éveiller la suspicion. Bien des fraudeurs procèdent à l’achat de faux numéros de cartes bancaires, et pour ne pas trop attirer les regards procèdent à des commandes multiples, qui se noient plus facilement dans le flux de l’activité.

La mise en place d’un process de vérification et d’alerte reposant sur le montant où la fréquence d’utilisation d’un compte est donc impératif.

Le combo adresse postale, adresse IP

Attention, ce « combo » est à surveiller avec soin, car c’est bien souvent après analyse de la cohérence de ces éléments qu’il est possible de statuer ou non sur le caractère frauduleux d’une opération. Avant de débuter une énumération des points, il est important de rappeler que ces éléments, pris un à un ne sont pas significatifs et que seuls leur recoupement permet de qualifier une transaction.

La cohérence entre l’adresse IP de l’acheteur et son adresse de livraison/facturation

Prérequis à ce contrôle de cohérence : la capacité de votre site à enregistrer les adresses IP des acheteurs, et l’obligation d’informer les internautes que leur adresse IP est enregistrée à des fins de sécurité, mais non divulguée (déclaration CNIL indispensable pour la France).

Ce contrôle se veut extrêmement simple. Il va consister à mettre en parallèle le pays de livraison/facturation, et l’adresse IP collectée. Il est possible de connaître la localisation géographique de l’IP grâce à différents services dont http://who.is/

Si vous détectez une anomalie entre ces différents éléments, votre niveau de vigilance doit être augmenté.

Note importante 1 : comme indiqué précédemment, ce contrôle en lui seul ne suffit pas, car certaines entreprises utilisent des proxy, qui peuvent fausser la géolocalisation de l’IP… tout comme il est aussi possible pour des fraudeurs d’obtenir une IP géolocalisée via des services de proxy.

Note importante 2 : beaucoup de solutions e-commerce proposent des listes standards de pays de livraison. Sachez qu’il existe des zones géographiques plus sensibles que d’autres en termes de suivi de commande, de traçabilité des paiements. Même s’il est flatteur pour un e-commerçant de pouvoir se dire qu’il est capable de livrer tous les pays, il est parfois bon de revoir cette liste, et d’évincer les pays n’offrant pas de garanties suffisantes. Afin de ne pas avoir une attitude discriminatoire, n’hésitez pas à inviter les prospects résidant dans ces pays à vous contacter pour une prise de commande manuelle, et non automatisée.

Le combo nom, adresse, téléphone et email

Voici un autre contrôle simple à effectuer en cas de doute. Le process ce veut relativement simple et bien souvent infaillible.

  • Goggleisez le nom : à l’heure d’internet, rares sont les personnes qui ne sont pas « connues » sur internet : facebook, Twitter, Linkedin, Pages Jaunes… le simple fait de saisir un prénom, un nom, avec une ville permet d’obtenir des informations… ou pas.
  • Goggleisez l’adresse : n’hésitez pas à utiliser un outil tel que Google Maps pour vérifier l’existence de l’adresse. En effet, dans le cas de livraison par transporteur bien des auteurs de transactions frauduleuses n’hésitent pas à faire changer l’adresse de livraison dès le départ du paquet, en contactant directement le transporteur, s’assurant de la plus grande opacité auprès du e-commerçant
  • Le téléphone : dans le cas d’opérations frauduleuses, les auteurs utilisent fréquemment des numéros de téléphone portable et des adresses créées sur des services gratuits

Si vous constatez trop d’incohérences entre ces éléments, la vigilance doit encore être accrue et il conviendra de passer à l’étape suivante : la vérification des données avancées.

Un doute : comment agir ?

Certains des éléments mentionnés ci-dessus mettent au jour certaines incohérences ? il est bon d’agir rapidement, et de ne pas laisser le temps passer : l’immobilisme est l’ennemi du commerçant en matière de paiement frauduleux, car :

  • si il s’agit effectivement d’une opération douteuse vous laissez libre cours aux auteurs, qui peuvent sévir sur d’autres boutiques, ou retenter leur chance, avec plus de succès sur la vôtre, avec une identité différente
  • si il s’agit d’une opération justifiée mais marginale, vous risquez de perdre un client, mécontent d’attendre sa commande.

Il est donc impératif d’agir, de façon simple et efficace.

Le contact par email

Le contact par email est à privilégier dans un premier temps. Il se veut très simple, cordial et son objectif va être double :

  • d’une part il va vous permettre de vérifier si l’adresse email est réellement utilisée. Si le courrier électronique vous est retourné au motif d’adresse invalide, la probabilité de fraude est augmentée
  • d’autre part d’obtenir des pièces justificatives de la part de l’acheteur.

Pour ce qui est des pièces justificatives, il est conseillé de demander les pièces suivantes :

  • la copie de la pièce d’identité de la personne qui a passé la commande
  • la copie d’un justificatif de domicile récent, attaché à l’adresse de livraison

Certains préalables sont nécessaires en vue de l’obtention de ces pièces :

  • pensez à mettre à jour vos conditions générales de vente en prévoyant la possibilité de demander au client des éléments justificatifs de leur identité. N’hésitez pas pour cette modification à demander le concours d’un juriste ou d’un avocat ;
  • garantissez au client destinataire de la demande, la destruction des documents justificatifs après vérification

Le contact par téléphone

Ce contact est à privilégier dans un second temps, et si vous n’avez pu obtenir les documents justificatifs. Lors de ce contact, vous pourrez réitérer votre demande de pièces justificatives, et expliquer à votre client l’intérêt de votre démarche. Ce sera aussi l’occasion pour vous de vérifier si le numéro de téléphone est attribué, et de redoubler de prudence si le numéro est non-attribué ou inexact.

L’opération est frauduleuse, ou le client refuse de coopérer : que faire ?

Après la prise de contact mentionnée précédemment, le e-commerçant peut se retrouver dans l’une de ces deux situations ci-dessous.

le client refuse de donner les documents justificatifs

Compte tenu du volume de fraudes au paiement sur internet, rares sont désormais les clients qui refusent de communiquer les justificatifs demandés. Il peut cependant (hélas) y avoir des récalcitrants.

Dans ce cas, sachez tout d’abord rappeler au client que la demande de documents justificatifs est prévue dans les conditions générales de vente, et qu’il ne s’agit en rien d’une mesure discriminatoire ou abusive.

Ensuite, deux choix s’offrent à vous : soit vous décidez de courir le risque et d’envoyer la commande, soit vous décidez de jouer la carte de la sécurité et d’annuler la vente : c’est « le pari de Pascal »

le client ne répond pas aux emails ni aux appels téléphoniques

Dans ce cas, il est recommandé de ne pas procéder à l’expédition de la commande : le risque étant trop important.

Si vous désirez annuler la vente au motif de non communication des éléments demandés, encore une fois, quelques précautions élémentaires sont de mise :

  • il ne faut en aucun cas rembourser le client par chèque, ou virement : en effet, les banques n’informent les e-commerçants que très tardivement de la répudiation d’un paiement (ce délai peut dans certains cas atteindre les 120 jours).. si vous remboursez la transaction par chèque ou virement et en cas d’opération douteuse avérée, vous perdriez donc deux fois le montant de la transaction (il n’est en effet pas possible d’annuler un chèque ou un virement)
  • vous devez impérativement rembourser votre client par « annulation de transaction » ou « recrédit de carte bancaire ». Ces options sont disponibles sur l’interface web de votre Terminal de Paiement électronique.

Vous avez envoyé la commande et la transaction est frauduleuse

Dans ce cas, force est de constater que vous n’avez pas ou peu de recours. Tout d’abord, et avant tout tentez de contacter le client. Il est bon de rappeler que parfois, certains détenteurs de carte bancaire, après un vol, font une opposition de masse à tous les paiements, et attendent que les bénéficiaires des paiements rejetés se manifestent pour compenser l’opération.

Si malgré les tentatives de contact, les coordonnées de l’auteur de la fraude s’avèrent erronés, et l’acheteur indélicat injoignable, il ne vous restera plus qu’un seul recours : le dépôt de plainte auprès du commissariat de police ou la gendarmerie la plus proche.

Afin que ce dépôt de plainte soit le plus efficace possible, certains éléments indispensables doivent être réunis, et ils sont de deux natures :

  • ceux destinés à prouver votre identité : votre carte d’identité est indispensable, ainsi qu’un K-Bis de votre société et une éventuelle procuration vous autorisant à porter plainte si vous n’êtes pas gérant de la société
  • ceux relatifs à la transaction : tous les éléments relatifs à la transaction doivent être réunis afin de faciliter le travail des enquêteurs : copie de la commande, informations techniques quant à la connexion de l’auteur (date et heure de connexion, adresse IP..) , copie du justificatif d’envoi (avec éventuellement preuve de réception émargé ou signé) , attestation de rejet de la transaction

Il faudra ensuite s’armer de patience, car bien souvent ce n’est qu’à la suite de plaintes multiples et répétées que les autorités compétentes arrivent à regrouper suffisamment de preuves pour mettre hors d’état de nuire les acheteurs indélicats.

Si le paiement en ligne est donc désormais incontournable, cette qualité alliée à sa simplicité ne doit pas faire oublier qu’il existe un risque important attaché à ce dernier. La vigilance, l’attention sont donc indéniablement de mise… même si parfois ces derniers viennent entraver les automatisations existantes.

Blog

About ludovic

Passionné par Internet, accro aux méthodes de référencement Google, je vous propose de découvrir via mon blog, le fruit de ma veille technique, mes astuces de référencement. Bonne découverte !