Lutter contre la fraude sans compromettre la performance des paiements
La fraude aux paiements en ligne a toujours été un fardeau qui pèse lourd sur les revenus des e-commerçants. En 2020 celle-ci est estimée à 35.54 milliards de dollars pour les marchands vendant en ligne et depuis son impact ne fait que croître. La crise économique et politique, entraînant la hausse du coût de la vie, accentue incontestablement les actes frauduleux et l’augmentation des taux de rétro facturations (chargebacks). Aujourd’hui on estime que les vendeurs en ligne subiront des pertes dépassant les 206 milliards de dollars entre 2021 et 2025 en raison de la fraude.
Et d’après une étude menée par Checkout.com en début d’année, 10% des consommateurs admettent vouloir tenter un acte frauduleux dans le but d’obtenir un article “gratuit”.
Au-delà des pertes de revenus, le marchand subit les coûts cachés de la fraude, encore plus importants et plus durables, tels qu’une augmentation des taux de chargebacks, un coût de transaction plus élevé, une rotation des clients et une atteinte à la crédibilité de la marque.
Les experts de TBD accompagnés des experts de Checkout.com, vous livrent leur analyse sur les nouveaux comportements frauduleux, ainsi que leurs bonnes pratiques pour lutter efficacement contre les fraudes aux paiements sans compromettre la performance de votre site.
1- Point sur l’évolution des comportements frauduleux sur les sites marchands
Entre la demande décroissante des consommateurs, les pressions d’inflation forçant les marchands à réduire les marges, chaque transaction est une pépite pour maximiser les revenus. La sécurisation des paiements est donc renforcée à son maximum pour convaincre et rassurer le client. Face à cette nouvelle approche défensive, les fraudeurs deviennent de plus en plus inventifs et tactiques, en diversifiant leurs attaques selon le profil des marchands. Plusieurs exemples parlants:
- Les entreprises de commerce en ligne, de billetterie aérienne, de transfert d’argent et de services bancaires sont plus vulnérables au credential stuffing (cyber attaque durant laquelle des identifiants de connexion volés à un service sont utilisés pour tenter de s’introduire sur les comptes d’autres service sans lien avec le premier) et aux prises de contrôle de compte.
- Les marketplaces en ligne sont les cibles parfaites pour les faux comptes, les fausses publicités, les annulations de commandes et les fausses boucles fermées acheteur/vendeur.
- Le secteur de la cryptomonnaie est touché par de faux échanges, des prises de contrôle de portefeuilles et des attaques Man-in-the-Middle (« MITM », type de cyberattaque où les attaquants interceptent une conversation ou un transfert de données existant, soit en écoutant, soit en se faisant passer pour un participant légitime).
Les comportements frauduleux évoluent et s’adaptent en fonction de l’activité des e-commerçants. C’est pourquoi il n’existe pas de solution miracle. Il est nécessaire de créer une stratégie de lutte contre la fraude adaptée, qui repose sur les données granulaires, une capacité d’analyse puissante et l’expertise pointue en la matière.
2- Bonnes pratiques pour lutter contre la fraude et maximiser les revenus.
Bien que le comportement et les actions des fraudeurs s’adaptent au secteur d’activité du marchand, il est possible de détecter certains actes frauduleux en mettant en place quelques bonnes pratiques simples et efficaces :
Auditer régulièrement votre site marchand
On ne le répétera jamais assez souvent mais un site respectant les bonnes pratiques (code, UX, parcours d’achat …) et mis à jour régulièrement reste l’une des premières actions pour sécuriser votre site marchand. Pour cela une seule règle à suivre : la règle des 3A.Code de bonne conduite pour assurer un site marchand fonctionnel, efficient et sécurisé, la règle des 3A permet de faire un tour d’horizon de sa plateforme (technique, fonctionnel, sécurité, focus client …) pour toujours avoir un coup d’avance. Un site performant est un site MAÎTRISÉ ! Auditer – Analyser – Adapter : règle d’or à suivre sans modération.
→ Relire notre article Cadrage projet AMOA : 1ère étape vers le succès d’un site marchand abouti
Affiner et pérenniser les stratégies de prévention de la fraude grâce aux règles flexibles
Idéalement, le marchand doit disposer d’une marge de manœuvre illimitée pour créer des règles adaptées à son activité, pour discerner un transaction frauduleuse. Les règles peuvent être basées sur les informations basiques dont le marchand dispose: soit le montant de la transaction, la validité de l’adresse de facturation ou encore les données statistiques dérivées du trafic, par exemple si la même carte a déjà été utilisée plus de 3 fois au cours de la dernière heure. Plusieurs règles peuvent être regroupées pour produire un score comportemental pondéré et apporter plus de précision dans les résultats obtenus. Les règles de vitesse de base sont un élément non négligeable à prendre en compte, pour permettre de vérifier l’occurrence d’un seul attribut sur une période donnée. Par exemple, lorsque le nombre d’adresses e-mail pour un seul titulaire de carte dépasse 10 au cours d’une période de 30 jours, il s’agit d’une tendance suspecte qui mérite d’être examinée de plus près.
Mettre en place une gestion de risque efficace par segmentation:
Un outil de risque efficace doit donner la possibilité aux commerçants de créer des stratégies de fraude appropriées pour chacune des transactions. La capacité de segmentation des transactions en fonction de différents critères peut être utilisée de manières diverses. Par exemple, séparer les zones géographiques à haut risque et les zones à faible risque; segmenter les transactions selon différentes méthodes de paiement, ou encore établir une stratégie de lutte contre la fraude pour des codes de produits spécifiques qui subissent plus d’attaques frauduleuses que d’autres.
La segmentation donne également la possibilité de définir des seuils de fraudes individuels pour différents segments.
Cela permet de définir les actions à déclencher lorsqu’un seuil n’est pas atteint : accepter – refuser – envoyer à 3DS – révision manuelle…
Quelques exemples pour mieux comprendre :
- Suite à analyse des transactions, un marchand a identifié des taux de fraude élevés lorsqu’il s’agit des achats effectués avec des cartes émises aux États Unis. Une combinaison des règles spécifiques sera appliquée aux consommateurs qui payent avec une carte émise aux États-Unis, tandis que toutes les transactions impliquant d’autres méthodes de paiement sont identifiées et examinées par le module de machine learning.
- Une agence de voyage a remarqué la hausse du taux de rétrofacturations pour l’achat des billets de vol d’un transporteur spécifique. En envoyant le code du produit en tant que metadata dans une requête API, l’agence de voyage peut créer une règle de risque personnalisée pour tout achat des billets de vol en question, en appliquant une vérification supplémentaire sous forme d’un review manuel par exemple.
Installer une Machine Learning pour une prise de décision plus intelligente
Basé et formé sur des milliards de données collectées et analysées, un outil de machine learning apprend des modèles de fraude par secteur et par pays pour pouvoir appliquer efficacement les informations récoltées et ainsi empêcher les activités suspectes au moment de la transaction. Le fait de disposer des données historiques par secteur et par zone géographique contribue à prendre du recul pour apprendre des erreurs passées.
Exemple : L’entreprise A connaît un cas de fraude. Le machine learning de votre outil de gestion de fraude enregistre et apprend automatiquement de cette activité frauduleuse, stockant les attributs de paiement comme potentiellement anormaux. Quelques semaines plus tard, lors de la numérisation d’une transaction dans l’entreprise B, l’outil identifie les mêmes attributs que l’attaque contre l’entreprise A. Cette transaction de paiement est considérée comme très susceptible d’être frauduleuse et est automatiquement refusée.
Vous l’aurez bien compris la menace est de plus en plus présente et élaborée. Pour autant le client légitime ne doit ni être bloqué dans sa démarche ni être victime d’un processus de paiement lourdement sécurisé. Le marchand doit donc mettre en place une stratégie de gestion des risques finement équilibrée et adaptée à son activité.
3- Bonnes pratiques pour lutter contre la fraude sans nuire à l’expérience client
Afin qu’une stratégie de gestion de la fraude soit efficace, celle-ci doit prendre en compte l’expérience client tout en contrant les actes frauduleux.
D’après une étude menée par Checkout.com, 34 % des internautes ont cessé de consulter un site marchand en raison d’un paiement refusé. Et 52% sont prêts à abandonner leurs paniers si le processus de paiement est trop complexe. Un outil de fraude focalisé sur la performance donne un juste équilibre entre sécurité et expérience client, grâce aux listes de confiance et de refus qui permettent d’identifier les clients légitimes des clients illégitimes.
Les commerçants ont pour obligation de se conformer aux exigences de la SCA (Strong Customer Authentication) sans pour autant freiner le processus de paiement de leur client.
Avec une technologie de pointe et un accompagnement adapté, il est possible d’augmenter les paiements sans SCA, par exemple, en utilisant des analyses en arrière-plan afin de filtrer efficacement les transactions à faible risque (TRA).
Conclusion
La gestion de la fraude n’est pas une mince affaire et malheureusement la solution miracle n’est pas encore d’actualité. Cependant avec la mise en place d’une stratégie de lutte contre la fraude adaptée à votre activité, l’application régulière de bonnes pratiques et les recommandations d’experts dans le domaine, vous serez à même d’identifier, corriger et protéger votre plateforme. Pour commencer, pensez à faire auditer votre site marchand par le binôme gagnant TBD Group – Checkout.com. Contactez nos équipes.