Les pertes mondiales dues à la fraude en ligne dans le secteur du commerce en ligne ont été estimées à environ 44 milliards de dollars en 2024. Mais qui paie lorsque qu’une transaction s’avère frauduleuse? Cela dépend de la façon dont est traité le paiement, des outils de sécurité utilisés et des règles qui s’appliquent en arrière-plan. Cet échange de responsabilité, appelé « transfert de responsabilité », constitue un élément important du système de paiement. Malheureusement, de nombreuses entreprises ne s’en soucient que quand il est trop tard.
Dans cet article, nous allons expliquer exactement le mode de fonctionnement du transfert de responsabilité, les circonstances dans lesquelles il se produit et comment l’utiliser à votre avantage.
Que contient cet article?
- Qu’est-ce qu’un transfert de responsabilité dans le contexte des paiements par carte?
- Quand un transfert de responsabilité se produit-il et qui devient responsable?
- Comment le transfert de responsabilité affecte-t-il votre stratégie de prévention de la fraude?
Qu’est-ce qu’un transfert de responsabilité dans le contexte des paiements par carte?
Un transfert de responsabilité définit qui est responsable lorsqu’un paiement est identifié comme frauduleux. Cette responsabilité peut être transférée en fonction de la partie de la chaîne de paiement qui a utilisé les bons outils de sécurité. Cela revient à déterminer quelle partie n’a pas garanti la sécurité de la transaction.
Si une entreprise utilise des protocoles de sécurité à jour, tels que des lecteurs de cartes à puce EMV (Europay, Mastercard et Visa) et 3D Secure (3DS), et que la fraude persiste, la responsabilité est généralement transférée à l’émetteur de la carte. Si l’entreprise néglige ces protections, l’émetteur n’est plus responsable. L’entreprise (ou son institution financière acquéreuse) devient financièrement responsable de la contestation de paiement.
Ce changement de responsabilité est intentionnel. Les réseaux de cartes l’utilisent pour favoriser l’adoption de meilleures mesures de sécurité. Le message est clair : mettez en œuvre une authentification plus forte et vous n’aurez pas à couvrir les pertes dues à la fraude.
Les règles des réseaux de cartes suivent une logique stricte pour évaluer la responsabilité :
L’entreprise a-t-elle mis en œuvre la méthode d’authentification disponible?
La transaction a-t-elle été traitée par le canal approprié?
Si la réponse à ces deux questions est « oui », l’entreprise est protégée. Sinon, elle est exposée.
Quand un transfert de responsabilité se produit-il et qui devient responsable?
Le transfert de responsabilité ne s’applique pas à chaque transaction. Il se produit uniquement lorsque certaines technologies ou protocoles sont (ou ne sont pas) utilisés pour détecter et prévenir la fraude. Si ces conditions sont remplies, le risque de fraude est transféré de l’entreprise à l’émetteur. Si ce n’est pas le cas, l’entreprise est responsable.
Voyons plus en détail quand et pourquoi le transfert de responsabilité se produit pour différents types de transactions.
Transactions par carte à puce EMV
Si un client présente une carte à puce EMV pour le paiement, mais que l’entreprise ne la traite pas avec un lecteur de cartes à puce, l’entreprise devient responsable de toute fraude liée à cette transaction. Autrement dit :
Si l’entreprise ne prend pas en charge la norme EMV, mais que la carte a une puce, l’entreprise (ou son acquéreur) assume la perte
Si l’entreprise utilise un lecteur EMV pour la carte à puce, l’émetteur est probablement responsable
Cela ne concerne pas les litiges non liés à la fraude par carte, tels que les réclamations pour « produit endommagé ». Dans ces cas, l’entreprise est toujours responsable.
Transactions en ligne
Le transfert de responsabilité pour les paiements en ligne ou les paiements mobiles dépend généralement de l’utilisation de 3DS et de la réussite de l’authentification :
Si une transaction est authentifiée par le biais de 3DS, la responsabilité est transférée à l’institution financière du titulaire de la carte.
Si 3DS n’est pas utilisé, échoue ou n’est pas disponible, l’entreprise est responsable.
Si le titulaire de la carte affirme par la suite qu’il n’a pas autorisé le paiement, l’émetteur n’est responsable que si l’authentification a été effectuée. Même si la transaction n’a pas été authentifiée, car l’émetteur ne participe pas à 3DS ou qu’une erreur se produit, la responsabilité ne sera généralement pas transférée à l’émetteur.
Transactions sans contact et par portefeuille numérique
De nombreux portefeuilles numériques (par exemple, Apple Pay, Google Pay) sont admissibles au transfert de responsabilité en raison de la façon dont ils sont jetonisés ou authentifiés. Ces transactions comprennent souvent une preuve cryptographique que le titulaire de la carte a été vérifié à l’aide de données biométriques ou d’identifiants basés sur l’appareil. Lorsque cette preuve est présente, la responsabilité est généralement transférée à l’émetteur.
Transactions sans options d’authentification
Tous les canaux ne permettent pas l’authentification, notamment pour les paiements de vente par correspondance/téléphone. Dans ces cas, l’entreprise reste responsable, car la transaction ne peut pas être vérifiée en temps réel.
Comment le transfert de responsabilité affecte-t-il votre stratégie de prévention de la fraude?
Le transfert de responsabilité est un outil de prise de décision. Il façonne la manière dont vous gérez le risque, les mesures de sécurité que vous prenez lors du paiement et comment vous conciliez la prévention de la fraude avec l’expérience client.
Il vous aide à décider quand ajouter l’authentification
Le système 3DS vous procure un avantage que la plupart des outils de lutte contre la fraude ne peuvent offrir : une protection contre la responsabilité financière. Cela en fait une solutions de secours puissante, en particulier pour les transactions qui déclenchent des signaux de risque, telles que les commandes de grande valeur, les cartes internationales et les nouveaux clients.
Certaines entreprises utilisent 3DS de manière sélective. Par exemple, elles l’utiliseront pour les transactions à risque pour se décharger de toute responsabilité, mais l’ignoreront pour les transactions à faible risque afin de réduire au minimum les frictions lors du paiement et de préserver les taux de conversion. Elles ne considèrent pas tous les clients comme une menace, mais ont recours au transfert de responsabilité dans les situations les plus critiques.
Cependant, dans certaines régions, la conformité réglementaire exige l’utilisation de 3DS pour toutes les transactions en ligne.
Il change la manière dont vous interprétez les indices de risque
Lorsque vous savez qu’une transaction a fait l’objet d’un transfert de responsabilité (parce que 3DS a réussi ou que la puce a été utilisée), vous pouvez décider de l’approuver même si des indicateurs de fraude sont présents. À l’inverse, si une transaction n’est pas admissible au transfert de responsabilité, vous devrez peut-être renforcer la surveillance. Cela pourrait impliquer des vérifications supplémentaires, un examen manuel ou un blocage de la transaction.
Il recadre le coût de la fraude
Un transfert de responsabilité réussi signifie que l’émetteur, et non votre entreprise, absorbe la perte. Cela réduit votre exposition financière directe, mais la fraude a toujours des coûts indirects, notamment les suivants :
Perte de stock
Gestion des litiges
Être signalé par les réseaux pour des taux de fraude élevés
Bien que le transfert de responsabilité réduise l’impact de la fraude, il n’élimine pas les dommages. Il vaut toujours mieux la prévenir lorsque cela est possible.
Votre stratégie globale dépend de votre modèle économique, de votre profil de risque et de votre territoire. L’UE, par exemple, exige une authentification forte du client (SCA) pour tous les paiements en ligne, et l’authentification 3DS à jour répond à cette exigence. Aux États-Unis et dans d’autres régions, 3DS est facultatif. Cela vous donne davantage de flexibilité, mais implique aussi davantage de décisions à prendre. Si vous exercez vos activités à l’international, vous finirez probablement par utiliser une stratégie hybride : 3DS partout où son utilisation est requise et une approche basée sur les risques dans les autres cas.
Le contenu de cet article est fourni uniquement à des fins informatives et pédagogiques. Il ne saurait constituer un conseil juridique ou fiscal. Stripe ne garantit pas l'exactitude, l'exhaustivité, la pertinence, ni l'actualité des informations contenues dans cet article. Nous vous conseillons de consulter un avocat compétent ou un comptable agréé dans le ou les territoires concernés pour obtenir des conseils adaptés à votre situation particulière.