La fraude avec présentation de carte bancaire, ou fraude en personne, est un type de fraude à la carte bancaire où des criminels utilisent une carte de crédit ou de débit volée ou contrefaite pour effectuer un achat dans un commerce ou tout autre lieu physique. Pour commettre une fraude avec présentation de carte bancaire, les malfaiteurs dérobent des cartes ou en créent de fausses dont les informations sont encodées sur leur bande magnétique ou dans leur puce. La technologie des puces a rendu plus difficile l'exploitation de données de cartes volées, mais les acteurs malveillants savent inventer de nouvelles méthodes. De fait, 60 % des Américains détenteurs d'une carte de crédit ou de débit ont été victimes d'une fraude au moins une fois dans leur vie.
Vous trouverez ci-dessous un descriptif de ce que les entreprises doivent savoir à propos de la fraude avec présentation de carte bancaire : de quoi il s'agit, son mode opératoire ainsi que les moyens de la détecter et de la prévenir.
Sommaire
- Comment fonctionne la fraude avec présentation de carte bancaire ?
- Distinction entre fraude avec et sans présentation de carte bancaire
- En quoi la fraude avec présentation de carte bancaire représente-t-elle une nuisance pour les entreprises et les clients ?
- Comment détecter et prévenir la fraude avec présentation de carte bancaire ?
Comment fonctionne la fraude avec présentation de carte bancaire ?
La fraude avec présentation de carte bancaire se produit de deux manières : selon les cas, les criminels utilisent des cartes volées ou des cartes contrefaites.
Cartes volées : un voleur dérobe une carte de crédit ou de débit physique et l'utilise dans un terminal de point de vente (PDV), un distributeur automatique de billets (DAB) ou un autre commerce de détail.
Cartes contrefaites : un voleur crée de fausses cartes de crédit ou de débit à partir des informations d'une carte dérobée, puis effectue des achats en personne par ce biais.
Pour détourner les informations des cartes et créer des contrefaçons, les voleurs ont recours à un arsenal de méthodes décrites ci-après.
« Skimming » : acte qui consiste à installer un petit dispositif appelé « skimmer » sur les lecteurs de cartes, tels que ceux des distributeurs automatiques de billets ou des pompes des stations-service, afin de collecter les informations inscrites sur la bande magnétique lorsqu'une personne glisse sa carte dans le lecteur.
« Shimming » : insertion d'un minuscule dispositif dans un lecteur de cartes dans le but de recueillir les données de cartes à puce EMV au moment d'une transaction.
Détournement de systèmes de point de vente : consiste à compromettre des systèmes PDV au moyen de logiciels malveillants, de menaces internes ou d'autres méthodes visant à obtenir un accès non autorisé aux données des cartes.
Terminaux fantômes : mise en place de faux terminaux PDV afin de collecter les informations relatives aux cartes.
Distinction entre fraude avec et sans présentation de carte
Fraude avec présentation de carte bancaire (« CP »)
Ce type de fraude a lieu lorsqu'une carte de crédit ou de débit physique est présente au point de vente lors de la transaction. Cet acte peut être perpétré au moyen d'une carte physique dérobée ou contrefaite dont les données ont été détournées.
Fonctionnalités de sécurité : le client peut être invité à fournir une signature ou un numéro d'identification personnel (code confidentiel) pour finaliser la transaction.
Niveau de risque : la fraude CP est considérée comme moins risquée que la fraude sans présentation de carte en raison des niveaux de sécurité supplémentaires induits par la présence d'une carte physique.
Frais de traitement : ils sont généralement moins élevés pour les transactions CP dans la mesure où le risque de fraude est moindre comparé aux transactions sans présentation de carte.
Fiabilité : en cas d'usage illicite d'une carte à puce par le biais d'un terminal équipé d'une puce, la responsabilité incombe souvent à l'émetteur de la carte, c'est-à-dire l'établissement bancaire, plutôt qu'à l'entreprise. Toutefois, cette dernière peut être tenue responsable si elle n'utilise pas de lecteur de carte compatible EMV.
Fraude sans présentation de carte (« CNP »)
Ce type de fraude se produit lorsqu'aucune carte physique n'est présente lors de la transaction. Cette situation a lieu lorsque des achats sont effectués en ligne, par téléphone ou par correspondance au moyen d'informations de carte dérobées, lesquelles sont souvent obtenues à la suite d'une violation de données ou d'un hameçonnage.
Fonctionnalités de sécurité : le client peut être invité à fournir un code de vérification de carte (CVV), à décliner son adresse ou à s'authentifier via le procédé 3D Secure pour achever la transaction.
Niveau de risque : la fraude CNP est jugée plus dangereuse que la fraude CP dans la mesure où il existe moins de moyens de vérifier physiquement l'identité du titulaire de la carte.
Frais de traitement : ils sont généralement plus élevés pour les transactions CNP en raison du risque de fraude accru.
Fiabilité : dans la plupart des cas de fraude CNP, c'est l'entreprise qui est responsable.
En quoi la fraude avec présentation de carte bancaire représente-t-elle une nuisance pour les entreprises et les clients ?
Conséquences pour les entreprises
Pertes financières : en cas de transactions frauduleuses, les entreprises subissent des pertes financières directes. Elles sont tenues de répondre à des contestations de paiement lorsque les clients signalent la fraude et subissent des pertes, lesquelles portent notamment sur le montant de la transaction, les marchandises perdues et les frais de contestation de paiement.
Atteintes à la réputation: les transactions frauduleuses peuvent nuire à l'image de marque d'une entreprise. Certains clients peuvent considérer que celle-ci est peu sûre, d'où une baisse de leur niveau de confiance et de fidélité.
Augmentation des coûts : les entreprises régulièrement victimes de fraudes peuvent être amenées à prendre des mesures de sécurité plus strictes, telles que la mise à niveau de leurs systèmes PDV, la mise en place d'une surveillance, ou encore la formation de leur personnel à la prévention de la fraude ; autant de mesures qui peuvent engendrer des coûts supplémentaires.
Perturbations opérationnelles : les enquêtes, audits ou procédures judiciaires en lien avec des fraudes sont susceptibles de perturber les activités de l'entreprise et la productivité de son personnel.
Conformité et responsabilité : les entreprises victimes de fraude avec présentation de carte peuvent être soumises à des contrôles de conformité et, en cas de négligence, être tenues responsables des dommages subis.
Conséquences pour les clients
Difficultés financières : les clients peuvent être confrontés à des problèmes financiers en cas d'utilisation frauduleuse de leur carte. Bien qu'un grand nombre de banques et d'autres émetteurs de cartes aient mis en place des politiques de responsabilité zéro, la résolution de ce problème est susceptible de prendre encore du temps et de nécessiter des efforts.
Gêne : le traitement de la fraude avec présentation de carte peut causer des contraintes et des inconvénients aux clients. Ceux-ci peuvent être amenés à clôturer leurs comptes, à commander de nouvelles cartes, à mettre à jour leurs prélèvements automatiques ou à gérer des perturbations dans leurs habitudes financières.
Risques d'usurpation d'identité : dans certains cas, la fraude avec présentation de carte peut déboucher sur une usurpation d'identité de plus grande ampleur si des informations personnelles supplémentaires ont été compromises. Il peut en résulter des conséquences durables sur la sécurité financière des clients concernés.
Transactions retardées : les clients peuvent être confrontés à des retards ou à des complications lorsque leurs cartes sont signalées au titre d'une activité frauduleuse. Cela peut affecter leur capacité à effectuer des achats ou à retirer de l'argent en cas de besoin.
Comment détecter et prévenir la fraude avec présentation de carte bancaire ?
La détection et la prévention de la fraude avec présentation de carte exigent une combinaison de technologies sophistiquées, d'analyse de données, de sensibilisation des clients et de vigilance du personnel. Pour déceler et prévenir la fraude avec présentation de carte, les entreprises peuvent mettre en œuvre les différentes stratégies décrites ci-après.
Processus de transaction
Protocoles de sécurité : établissez des protocoles de sécurité clairs pour le traitement des transactions par carte, tels que des mesures de vérification d'identité du titulaire ou des procédures signalant les suspicions de fraude.
Vérification de clientèle : ayez recours à une vérification biométrique (empreintes digitales, reconnaissance faciale) ou à des méthodes d'authentification multifactorielle telles que les codes PIN, la biométrie ou les mots de passe à usage unique (OTP) pour authentifier les titulaires de cartes lors des transactions. Utilisez des questions de sécurité dynamiques ou des profils client afin de vérifier les titulaires de carte lors de transactions suspectes.
Sécurité des terminaux PDV : installez des terminaux de paiement inviolables dotés de fonctions de sécurité intégrées, telles que des claviers avec chiffrement ou des lecteurs de cartes sécurisés. Vérifiez régulièrement l'absence de signes d'altération, tels que des composants desserrés ou inhabituels.
Authentification des appareils : mettez en œuvre l'authentification des terminaux afin de vous assurer que seuls les dispositifs autorisés peuvent traiter les transactions. Vous empêcherez ainsi les criminels d'exploiter des « terminaux fantômes » ou des systèmes de PDV non autorisés.
Alertes immédiates: mettez en place des alertes en temps réel pour les transactions suspectes. Ces avertissements peuvent être envoyés au titulaire de la carte et aux équipes de prévention de la fraude.
Systèmes d'évaluation de la fraude : ces systèmes attribuent des scores de risque aux transactions en fonction de plusieurs facteurs, dont la localisation, le type de transaction, la fréquence et les antécédents du titulaire de carte. Les transactions qui obtiennent un score élevé déclenchent une vérification supplémentaire.
Surveillance des transactions
Profilage de clientèle : établissez des profils détaillés indiquant les habitudes de consommation de vos clients fréquents, leurs lieux de prédilection et les montants de leurs transactions courantes, afin d'identifier les activités qui sortent de l'ordinaire. Celles-ci peuvent par exemple prendre la forme d'achats importants et inattendus, de transactions multiples avec une succession rapide, ou encore d'achats effectués dans différents lieux dans un court laps de temps.
Apprentissage automatique : les algorithmes d'apprentissage automatique sont capables d'analyser des schémas de transaction en temps réel afin d'identifier rapidement les anomalies et de déclencher des mesures préventives contre les transactions frauduleuses.
Surveillance localisée : intégrez le suivi de géolocalisation à votre système PDV afin de détecter les utilisations de cartes suspectes sur la base de schémas géographiques. Les entreprises peuvent ainsi être alertées en cas de potentialité de fraude avec présentation de carte.
Modélisation prédictive : appuyez-vous sur des modèles prédictifs pour anticiper les fraudes potentielles à partir des incidents antérieurs, en identifiant des modèles et des corrélations qui peuvent servir de fondement à des mesures préventives.
Données issues de canaux multiples : intégrez votre système de PDV aux canaux e-commerce afin d'obtenir un panorama complet sur le comportement des clients. Cette méthode peut potentiellement révéler des schémas de fraude où interviennent plusieurs canaux.
Technologies
Technologie de puce EMV : déployez des lecteurs de cartes à puce EMV. La technologie des puces est plus sûre que celle des bandes magnétiques, d'où un moindre risque de contrefaçon des cartes.
Paiements sans contact : encouragez les moyens de paiement sans contact afin de réduire au maximum les risques de « skimming » des cartes.
Chiffrement de bout en bout : chiffrez les données des cartes depuis le point de saisie et jusqu'au point de traitement afin d'empêcher leur interception par des dispositifs de skimming ou de shimming.
Plateformes de paiement sécurisées : transitez par des plateformes de paiement sécurisées dotées de fonctions de chiffrement puissantes et conformes aux réglementations sectorielles, telles que la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS).
Réseaux sécurisés : mettez en œuvre des réseaux et des pare-feu sécurisés capables de protéger les systèmes de paiement contre les accès illicites.
Formation et sensibilisation
Formation à la détection des fraudes : apprenez à votre personnel à reconnaître les signes de fraude avec présentation de carte, tels qu'un comportement suspect, une falsification ou des achats irréguliers. Enseignez-lui les moyens de réagir de façon appropriée.
Interactions et retours d'information client : encouragez votre personnel à s'engager auprès des clients durant les transactions, afin d'instaurer une interaction plus personnelle qui peut contribuer à déceler les comportements inhabituels. Mettez en place des mécanismes de retour d'information avec lesquels les clients peuvent faire part de leurs préoccupations ou signaler des activités suspectes.
Information des titulaires de carte : sensibilisez vos clients aux risques de fraude avec présentation de carte et encouragez-les à surveiller régulièrement leurs transactions pour détecter toute activité illicite.
Conformité et collaboration
Collaboration en réseau : rejoignez les réseaux de prévention et de détection de la fraude ou les associations de votre secteur afin de partager vos informations et de collaborer à l'identification des nouvelles tendances en matière de fraude.
Partenariats avec les autorités : établissez des partenariats avec les organismes locaux en charge de l'application de la loi pour signaler les présomptions de fraude et enquêter rapidement à leur sujet.
Conformité sectorielle : veillez à respecter les réglementations et les normes de votre secteur d'activité pour maintenir un niveau élevé de sécurité et réduire les risques de responsabilités en lien avec la fraude.
Le contenu de cet article est fourni uniquement à des fins informatives et pédagogiques. Il ne saurait constituer un conseil juridique ou fiscal. Stripe ne garantit pas l'exactitude, l'exhaustivité, la pertinence, ni l'actualité des informations contenues dans cet article. Nous vous conseillons de consulter un avocat compétent ou un comptable agréé dans le ou les territoires concernés pour obtenir des conseils adaptés à votre situation particulière.