Toutes les entreprises en ligne doivent gérer les risques. En fait, il existe de nombreux types de risques, allant du risque de réputation (comme la façon dont votre marque est perçue) au risque opérationnel (comme les temps d'interruption du système).
Ce guide se concentre sur trois types de risques liés aux paiements : le risque de crédit, le risque de fraude et le risque de prise de contrôle de compte. Bien qu'il soit impossible d'éliminer complètement les risques liés aux paiements, ce guide présente des méthodes pour évaluer et gérer votre exposition à ces risques, et vous aide à prendre une décision éclairée quant à la meilleure voie à suivre.
Introduction au risque de crédit et au risque de fraude
Lorsque les plateformes logicielles ajoutent des services de facilitation des paiements à leur offre, elles sont confrontées à trois types de risques uniques et complexes en raison de leur modèle commercial tripartite (composé de la plateforme, des marchands ou prestataires de services qui acceptent les paiements à travers la plateforme logicielle, et des titulaires de cartes qui paient ces marchands ou prestataires de services) :
Risque de crédit : Le risque de crédit se manifeste généralement lorsque des marchands ont pleinement l'intention d'honorer leurs commandes de biens ou de services, mais ne disposent pas des ressources financières nécessaires pour le faire, accumulent plus de remboursements et de contestations de paiement qu'ils ne peuvent en couvrir financièrement et risquent de mettre fin à leur activité. Les titulaires de carte peuvent demander une contestation de paiement puisque les biens ou services n'ont pas été fournis. Vous devrez alors rembourser ces clients car, en règle générale, les plateformes qui facilitent les paiements acceptent d'être responsables des activités de leurs marchands.
Risque de fraude : Les plateformes doivent également gérer les risques liés aux marchands et aux comptes frauduleux. Par exemple, une même personne peut agir à la fois comme marchand frauduleux et titulaire frauduleux de la carte, en accédant aux informations de la carte volée, en créant un compte sur votre plateforme et en se payant avec la carte volée. Ou bien, vous pourriez avoir un vendeur frauduleux et un titulaire de carte honnête, où le vendeur trompe le titulaire de la carte pour qu'il lui donne de l'argent (par exemple en vendant des marchandises qu'il n'a pas l'intention de livrer). Les plateformes peuvent également être confrontées à un type de fraude appelé « utilisation abusive par le titulaire » ou « fraude amicale ». Cela se produit lorsqu'un titulaire de carte légitime effectue un achat, mais le conteste par la suite. Il peut s'agir d'un incident accidentel, parce qu'il n'a pas reconnu la transaction sur son relevé, ou d'un acte délibéré (par exemple, en raison d'un regret de l'acheteur ou d'une tentative d'obtenir frauduleusement des marchandises sans les payer).
Prises de contrôle de compte : Il ne suffit pas d'avoir un bon vendeur et un bon titulaire de carte pour éliminer complètement les risques liés aux paiements. Les plateformes doivent également gérer les piratages de comptes, qui surviennent lorsqu'un tiers malveillant accède aux identifiants du compte d'un vendeur et vole ses fonds.
Stratégies de gestion du risque de crédit
La plupart des marchands sont régulièrement exposés à des risques de crédit (sous forme de contestations de paiement et de remboursements à couvrir), mais disposent des liquidités nécessaires pour les couvrir. Cela devient risqué pour vous lorsque vos marchands enregistrent moins de ventes et davantage de demandes de remboursement, ce qui pourrait les empêcher de rembourser leurs clients.
Par exemple, supposons que vous gériez une plateforme sur laquelle les organisateurs d'événements peuvent vendre des billets et que vous payiez l'organisateur avant la tenue de l'événement. Si l'événement en présentiel est annulé, les organisateurs doivent rembourser les clients. Mais si les organisateurs n'ont pas assez d'argent pour effectuer les remboursements, vous, en tant que plateforme, pourriez être tenu de compenser cette perte. Vous assumez donc un risque de crédit important pour le compte de vos vendeurs, ce qui pourrait vous exposer à des pertes.
Il existe plusieurs façons de gérer le risque de crédit, et nous avons classé ces stratégies de gestion en trois catégories : inscription des utilisateurs, surveillance et atténuation.
Inscription des utilisateurs
Les nouveaux comptes présentent intrinsèquement un risque lorsqu'ils rejoignent votre plateforme, simplement parce qu'ils n'ont pas encore d'antécédents ni d'historique de traitement chez vous. Plus vous recueillez d'informations à leur sujet, mieux vous pouvez évaluer votre propre risque et préserver la santé de votre plateforme. Par exemple, en vous basant sur leur activité financière, vous pouvez identifier les comptes qui sont plus susceptibles de rencontrer des problèmes de trésorerie et d'afficher des soldes négatifs avant même que cela ne se produise.
Évaluer le risque : Évaluez le risque lié aux comptes potentiels lors de leur inscription, avant de les autoriser sur votre plateforme. Assurez-vous de recueillir suffisamment de renseignements sur les services proposés afin de déterminer s'ils peuvent être considérés comme présentant un risque élevé. Vous pouvez vous renseigner sur leur politique de remboursement ou le volume brut de paiements prévu, et examiner leur historique d'activité sur des plateformes similaires à la vôtre. Pour les marchands plus importants, envisagez de procéder à une évaluation plus manuelle, comprenant un examen financier et une vérification de la solvabilité des propriétaires ou des dirigeants de l'entreprise.
Limiter temporairement les transactions : Pour les comptes nouveaux ou à haut risque, vous pouvez mettre en place un certain nombre de contrôles temporaires jusqu'à ce que vous compreniez mieux leur activité sur votre plateforme. Vous pouvez par exemple envisager de limiter leur volume total de transactions par jour ou par mois. S'ils dépassent ces limites, vous pouvez suspendre leurs paiements afin de pouvoir examiner les transactions.
Collecter des réserves : Réservez une certaine somme d'argent à titre de garantie pour les vendeurs potentiellement à risque à l'aide de l'API sur les réserves de Stripe, qui fait partie de Radar for Platforms. Vous pouvez libérer la réserve au fil du temps, à mesure que les vendeurs établissent un historique positif avec vous.
Surveillance
Les entreprises sont rarement simples et statiques, et à mesure qu'elles évoluent au fil du temps, leur profil de risque évolue également. Surveillez en permanence les litiges, les soldes négatifs, le volume de traitement et les plaintes des clients afin d'identifier les comportements frauduleux et de prendre immédiatement les mesures qui s'imposent.
Configurer des alertes : Créez des alertes pour surveiller les marchands présentant un risque plus élevé afin de pouvoir adapter rapidement votre stratégie de gestion des risques. Les marchands présentant un risque plus élevé ont un volume fortement réduit, des soldes négatifs ou des taux de litiges plus élevés (une activité relative aux litiges supérieure à 0,75 % est généralement considérée comme excessive).
Effectuer des vérifications périodiques : Si la configuration d'alertes peut vous aider à surveiller les marchands au quotidien, il est également important de procéder à des examens approfondis périodiques. Vous devez examiner les taux de remboursement et de litige d'un marchand, son volume de traitement et les réclamations des clients.
Sensibiliser les marchands : Créez des ressources pour aider vos marchands à se préparer à l'imprévu. Citons par exemple les ressources sur la COVID-19 proposées par Shopify et Xero, ou les informations sur l'ouragan Harvey destinées aux entreprises fournies par Mindbody.
Atténuation
Une fois que vous comprenez les profils de risque de vos marchands nouveaux et existants, vous pouvez commencer à gérer votre exposition de manière proactive. Par exemple, pour les marchands qui semblent plus susceptibles de présenter un risque pour votre plateforme, vous pouvez modifier votre calendrier de paiement et les encourager à changer leur façon de traiter les remboursements et les contestations de paiement.
Retarder les versements : Retardez les versements jusqu'à ce que vous vous familiarisiez avec les volumes moyens et les taux de contestation de paiement des marchands. Vous pouvez même lier la fréquence des versements à la catégorie de risque du marchand. Par exemple, plus la catégorie de risque est élevée, plus la fréquence des versements est espacée. Pour les biens et services qui ne sont pas fournis immédiatement, retenez les versements jusqu'à leur livraison. Cela réduit le risque de contestations de paiement et de remboursements, car vous pouvez confirmer que les clients ont bien reçu ce pour quoi ils ont payé avant de débloquer les fonds.
Gérer les soldes négatifs : Mettez en place un processus pour récupérer les fonds auprès des marchands qui affichent des soldes négatifs importants (les marchands dont le solde est négatif ne pourront pas traiter les contestations de paiement et les remboursements, ce qui fait peser le risque sur votre plateforme). En fonction de la localisation de vos marchands, vous pouvez mettre en place des prélèvements automatiques afin de retirer automatiquement les fonds de leur compte bancaire et de récupérer les soldes négatifs.
Définir votre concentration de risque : Envisagez de fixer un seuil maximal d'exposition au risque pour certaines zones géographiques (par exemple, seul X % de votre exposition totale au risque devrait provenir d'un seul pays) ou pour certains vendeurs (par exemple, seul X % de votre exposition totale devrait provenir d'un seul vendeur). Si votre exposition dépasse ce seuil, vous pouvez renforcer vos politiques de gestion des risques.
Encaisser les fonds à la date de livraison : Réduisez l'écart entre la date de paiement et la date d’exécution afin de réduire l'exposition au risque. Cette mesure est particulièrement importante pour les marchands à haut risque qui traitent les paiements bien avant la livraison des biens ou la prestation des services (comme les organisateurs d'événements qui vendent des billets pour un événement sportif ou un concert). Pour prélever les fonds à la date de livraison (ou aussi près que possible de celle-ci), créez une charge afin de bloquer les fonds du titulaire de la carte, mais ne prélevez les fonds qu'une fois que le marchand a livré les biens ou fourni les services.
Stratégies de gestion du risques de fraude
Au niveau le plus élémentaire, un paiement est considéré comme frauduleux lorsque le titulaire de la carte n'autorise pas le débit. Il peut s'agir d'un vol de carte ou d'une tentative de test frauduleux de carte. Un exemple courant est celui d'un fraudeur qui effectue un achat à l'aide d'une carte volée. Ce type de risque de fraude peut être prévenu et géré à l'aide d'un logiciel anti-fraude (comme Stripe Radar).
Outre les titulaires frauduleux de cartes, les plateformes doivent également gérer les risques liés aux marchands frauduleux. Il existe plusieurs façons de gérer le risque de fraude, et nous avons classé ces stratégies en trois catégories : inscription des utilisateurs, surveillance et atténuation.
Inscription des utilisateurs
L'inscription d'un compte ou d'un marchand est l'occasion pour vous de recueillir autant de renseignements que possible afin de vérifier la légitimité d'une entreprise. Toutefois, pour prévenir les risques de fraude, vous devez tenir compte d'autres facteurs, comme la vérification croisée des comptes existants et des comptes précédemment refusés afin d'identifier les comptes en double.
Évaluer les risques : Vérifiez l'identité du marchand lors de son inscription et assurez-vous que son activité est légitime. Examinez les profils du marchand sur les réseaux sociaux, recueillez les licences commerciales appropriées, consultez son site web (recherchez les signaux d'alerte tels que les sites web basés sur des modèles, le contenu copié à partir d'autres sites web, etc.) et vérifiez les informations appropriées à la plateforme, telles que l'adresse physique, la liste des stocks ou l'historique des ventes.
Vérifier s'il existe des comptes en double : Des fraudeurs peuvent ouvrir plusieurs comptes sur votre plateforme. Pour éviter cela, vérifiez si certaines informations sont identiques à celles de comptes précédemment refusés (informations bancaires, informations fiscales, nom et date de naissance, par exemple). Vous pouvez également rechercher des liens entre les comptes, comme plusieurs comptes provenant de la même adresse IP ou du même domaine de messagerie.
Collecter des réserves : Réservez une certaine somme d'argent à titre de garantie pour les vendeurs potentiellement à risque. Vous pouvez libérer la réserve au fil du temps, à mesure que les vendeurs établissent un historique de traitement positif avec vous.
Surveillance
Les marchands frauduleux peuvent prendre le temps de se forger une réputation positive sur votre plateforme avant de commettre une fraude, ce qui souligne l'importance d'une surveillance continue. Apprenez à reconnaître les activités normales des marchands, configurez des alertes de détection des anomalies pour signaler tout changement ou pic important, et soyez prêt à demander des informations supplémentaires si vous constatez une activité suspecte.
Identifier un comportement normal : Surveillez l’activité de vos marchands pour comprendre leur comportement typique. Quel est leur volume mensuel moyen de transactions ? Quels sont leurs taux moyens de contestation de paiement et de contestations ? Cela offre un point de référence par rapport auquel vous pouvez rechercher un comportement suspect (comme le montant et la fréquence des paiements) et prendre les mesures appropriées.
Personnaliser vos alertes : Créez des alertes basées sur des règles pour surveiller les vendeurs les plus risqués afin de pouvoir rapidement adapter votre stratégie de gestion des risques. Examinez les vendeurs frauduleux confirmés afin d'identifier des schémas récurrents dans leurs activités, ce qui vous aidera à adapter et à personnaliser vos alertes.
Demander des informations supplémentaires : Si vous constatez des transactions suspectes, contactez le vendeur pour obtenir plus d'informations. Vous pouvez demander des factures, des photos de l'inventaire ou des numéros de suivi.
Atténuation
Une fois que vous comprenez les profils de risque de vos marchands nouveaux et existants, vous pouvez commencer à gérer votre exposition de manière proactive. Par exemple, pour les marchands qui semblent plus susceptibles de présenter un risque pour votre plateforme, vous pouvez modifier votre calendrier de paiement et les encourager à changer leur façon de traiter les remboursements et les contestations de paiement.
Retarder les versements : Retardez les versements jusqu'à ce que vous vous familiarisiez avec les volumes moyens et les taux de contestation de paiement des marchands. Vous pouvez même lier la fréquence des versements à la catégorie de risque du marchand. Par exemple, plus la catégorie de risque est élevée, plus la fréquence des versements est espacée. Pour les biens et services qui ne sont pas fournis immédiatement, retenez les versements jusqu'à leur livraison. Cela réduit le risque de contestations de paiement et de remboursements, car vous pouvez confirmer que les clients ont bien reçu ce pour quoi ils ont payé avant de débloquer les fonds.
Prévenir les attaques par test (frauduleux) de cartes : Vous pouvez identifier la plupart des activités de test (frauduleux) de cartes par une augmentation significative des refus (ces refus sont classés comme des erreurs 402 dans vos journaux de requêtes échouées). Pour prévenir ces attaques, mettez en place des mesures de sécurité supplémentaires lors du paiement, telles que le CAPTCHA.
Stratégies de gestion des risques pour les prises de contrôle de comptes
Vous pourriez vérifier personnellement la légitimité de chaque marchand utilisant votre plateforme et rester néanmoins exposé à la fraude aux paiements sous forme de piratage de comptes. Même si des tiers malveillants existeront toujours sur Internet, vous pouvez investir dans des mesures de sécurité et d'identification strictes afin d'empêcher les acteurs malintentionnés de pirater les comptes de vos marchands.
Appliquer des mesures de vérification d'identité : L'un des meilleurs moyens pour empêcher la prise de contrôle des comptes consiste à appliquer des mesures strictes en matière de sécurité et de vérification d'identité. Par exemple, imposez des politiques de mots de passe uniques et mettez en place une authentification à deux facteurs lors de la connexion.
Surveiller les activités suspectes : Il est important de comprendre les signes d'un piratage de compte afin de pouvoir immédiatement suspendre les paiements. Les signes courants d'un piratage de compte comprennent une forte augmentation du volume de traitement ou de la taille moyenne des commandes, ou des connexions à partir de nouveaux appareils ou d'adresses IP non locales.
Vos options de gestion des risques grâce à Stripe
Les plateformes qui utilisent Stripe ont deux options pour gérer les risques : 1) vous pouvez demander à Stripe de vous aider à gérer les risques liés aux paiements ou 2) vous pouvez vous charger vous-même de la gestion des risques. L'approche la plus courante consiste à demander à Stripe de vous aider à gérer les risques liés aux paiements, ce qui réduit les frais généraux opérationnels et diminue votre exposition. Avec Stripe Managed Risk, vous bénéficiez de notre solution complète de gestion des risques, qui comprend la surveillance continue et l'atténuation des risques de crédit et de fraude. Stripe surveille et gère activement les risques en votre nom, y compris en couvrant les soldes négatifs irrécouvrables attribués aux entreprises sur votre plateforme. Cette option est idéale pour vous décharger de la gestion des risques, vous permettant ainsi de vous concentrer sur vos priorités essentielles, quelle que soit votre expertise en matière de risques.
Pour aider les entreprises à s'adapter à une économie en pleine numérisation, Salesforce, l'un des plus grands éditeurs de logiciels au monde, s'est associé à Stripe pour lancer Salesforce Commerce Cloud. Les paiements n'étant pas leur cœur de métier, Salesforce a confié la gestion des risques à Stripe afin de pouvoir se concentrer sur la création d'une solution commerciale performante pour ses clients.
Si vous disposez d'une expertise en matière de risques et que vous connaissez bien vos vendeurs, vous pouvez vous charger vous-même de la gestion des risques. Les plateformes qui choisissent de gérer elles-mêmes les risques disposent généralement de ressources opérationnelles et techniques dédiées pour mettre en place et maintenir une solution anti-fraude interne, allouer des capitaux suffisants pour couvrir les pertes éventuelles, intégrer des outils tiers, et surveiller et signaler les pertes liées à la fraude.
En plus de consacrer des équipes spécifiques à la gestion des risques, vous devrez établir des partenariats avec d'autres services internes susceptibles d'être affectés par les risques, notamment :
Équipes juridiques : Un juriste généraliste interne ou un juriste spécialisé dans les produits de paiement devra se tenir informé des lois, réglementations et règles sectorielles applicables, et collaborer avec des équipes interfonctionnelles pour répondre aux audits et aux demandes de renseignements.
Équipes d’assistance :Les équipes internes ou externes chargées du service à la clientèle devront être prêtes à répondre aux questions des utilisateurs concernant les activités de gestion des risques, notamment les contestations de paiement, les litiges et les retards de versement.
Lorsque vous gérez vous-même les risques, vous pouvez personnaliser votre approche grâce à la puissante suite d'outils de prévention et de surveillance de Stripe, notamment :
Prévention de la fraude compte et transaction : Stripe Radar pour plateformes offre une protection contre les risques financiers spécialement conçue pour les plateformes, en utilisant une intelligence artificielle formée sur le réseau Stripe afin de prévenir la fraude dans les paiements et les comptes. Les plateformes peuvent utiliser cet outil pour détecter et bloquer les comptes potentiellement à risque, définir des règles personnalisées au niveau des comptes et accéder à des analyses avancées. Le moteur de règles de Radar est configurable pour prendre des mesures tant au niveau des comptes que des transactions et aide les plateformes à adapter leur protection contre la fraude aux besoins de leur entreprise. Stripe assure un contrôle continu des comptes afin de bloquer les comptes connectés frauduleux lors de leur création et d'offrir une protection contre les prises de contrôle potentielles.
Inscription des comptes : Inscrivez rapidement et en toute sécurité les comptes grâce à des interfaces utilisateur préconfigurées et optimisées pour la conversion, qui collectent en toute sécurité les informations personnelles sensibles et les documents d'identité nécessaires à la vérification. Stripe s'appuie sur son expérience acquise lors de la vérification de millions de comptes et utilise des systèmes propriétaires pour approuver davantage d'entreprises avec moins de friction. Les flux d'inscription de Stripe s'adaptent de manière dynamique à l'évolution des réglementations et à la localisation internationale, offrant une expérience d'intégration transparente à mesure que vous vous développez et pénétrez de nouveaux marchés.s développez et que vous vous lancez sur de nouveaux marchés.
Vérification d'identité : Les plateformes particulièrement exposées aux fraudeurs professionnels peuvent prévenir les pertes liées à la fraude provenant de faux comptes grâce à Stripe Identity, qui confirme par voie programmatique l'identité des vendeurs internationaux tout en minimisant les frictions pour les clients légitimes.
Faire apparaître les informations relatives aux litiges et aux remboursements : Surveillez la santé (et les risques) de vos vendeurs grâce au Dashboard Stripe préconfiguré, qui fournit une série d'analyses et de graphiques en temps réel sur les performances de votre plateforme, ou utilisez Stripe Sigma pour analyser rapidement vos données Stripe en écrivant des requêtes SQL directement dans le Dashboard. Grâce à un accès structuré à vos données, vous pouvez identifier les comptes qui traitent le plus de litiges et de remboursements et repérer les tendances au fil du temps. Créez des web hooks pour générer des alertes en cas de comportement potentiellement frauduleux et examinez les comptes présentant des soldes négatifs ou des taux élevés de remboursements et de contestations de paiement.
Activer des fréquences des virements flexibles : Stripe Connect propose plusieurs options de fréquence des virements que vous pouvez utiliser en fonction du profil de risque de vos marchands. Vous pouvez choisir de verser automatiquement les fonds instantanément ou quotidiennement pour les marchands établis, ou définir la fréquence des virements personnalisé afin de ralentir ou de différer les versements vers les comptes à haut risque.
Pour en savoir plus sur les offres de gestion des risques de Stripe, communiquez avec notre équipe commerciale.