Pour Gabriel Lucas, associate director au sein de l’équipe conseil en trésorerie de Redbridge, la fraude sur les transactions à distance réglées au moyen d’une carte de paiement génère d’important coûts cachés, nécessitant la définition d’une stratégie claire pour maximiser ses ventes et réduire ses impayés. Analyse.
Mode de paiement privilégié des consommateurs européens, la carte bancaire concentre à ce titre les enjeux les plus importants en termes de sécurité et de lutte contre la fraude, notamment sur le commerce en ligne. Dans un rapport de 2018, la Banque Centrale Européenne soulignait que 70 % du montant total de la fraude sur les paiements par carte bancaire émanait des paiements à distance (transactions CNP – Card Non Present). Depuis plusieurs années, les efforts de sécurisation des émetteurs de moyens de paiement, des commerçants et des entreprises pour déployer des dispositifs d’authentification du porteur (tel 3D-Secure), ainsi que des outils d’analyse du risque et de scoring des transactions, portent leurs fruits. Cependant, le taux de fraude sur les transactions en ligne reste 17 fois plus élevé que celui observé sur les paiements de proximité*. Sa baisse tendancielle est largement effacée par la croissance en volume du commerce en ligne, encore renforcé par la crise du COVID. En juillet, le cabinet Signifyd*** faisait le point sur la transformation des habitudes d’achat des européens, pointant une hausse des ventes en ligne depuis mars qui ne s’est pas démentie après la fin du confinement, ressortant à + 32% en glissement annuel.
Pour lutter contre la fraude sur les transactions en ligne réglées par le moyen d’une carte, la seconde directive sur les paiements (DSP 2) impose l’authentification forte sur tous les paiements CNP. Afin de fluidifier le parcours client, le texte prévoit des exemptions lorsque certains critères sont satisfaits. La banque émettrice a le dernier mot sur l’application des exemptions alors que, jusqu’à présent, le déclenchement de l’authentification 3D-Secure dépendait uniquement du marchand et de sa banque acquéreur. Dans ce nouveau contexte, il devient essentiel d’analyser efficacement le risque de chaque transaction et d’envoyer suffisamment de données à la banque émettrice, afin que celle-ci accepte les exemptions. Egalement, le paiement sur mobile nécessite une attention particulière en ce qui concerne la stratégie antifraude. Il est important que le paiement se déroule sur des applications natives (SDK mobile), afin de pouvoir limiter les failles de sécurité et d’exploiter au maximum les capacités de ces dispositifs en matière de collecte de données permettant d’optimiser la gestion de la fraude.
Les principaux types de fraude dans le paiement
Il existe trois grands types de fraude sur les paiements par carte : la fraude d’origine criminelle, la fraude par ingénierie sociale et la fraude issue d’un comportement malhonnête du consommateur (communément appelée « friendly fraud »).
La fraude criminelle consiste à utiliser des moyens informatiques afin de récupérer des données cartes en vue d’une utilisation ultérieure, ou bien de pouvoir accéder au compte client de façon à donner au commerçant l’illusion d’un achat légitime. La fraude par ingénierie sociale consiste à amener les victimes à dévoiler des informations confidentielles et à verser de l’argent. La friendly fraud est plus difficile à analyser, car cette catégorie regroupe plusieurs cas de figure bien différents : erreur du client, abus du client, erreur du marchand, délai de remboursement excessif, partage d’une même carte (au sein du cercle familial ou de l’entreprise). Selon la BCE, la friendly fraud concernerait des montant deux fois plus importants que la fraude par ingénierie sociale et quatre fois plus importants que la fraude criminelle. Ses impacts pour les commerçant sont nombreux : perte directe liée aux impayés et aux frais appliqués par les acquéreurs, remboursements faits en double, perte des bien livrés, augmentation du taux d’impayés avec des pénalités potentielles et des frais supplémentaires, etc.
La fraude comme générateur important de coûts cachés
Parmi les coûts directs liés à la fraude figurent la perte de la marchandise, les frais d’impayé, les coûts de livraison de la marchandise, les pénalités des réseaux de carte, les coûts de processing et d’acquisition plus élevés, les coûts opérationnels et, enfin, le risque d’un potentiel arrêt du service en cas de taux d’impayés excessifs, selon les seuils définis par les réseaux de carte.
La fraude comporte aussi de nombreux coûts indirects souvent moins évidents à évaluer, mais qui ont un impact non négligeable sur les résultats de l’entreprise. Parmi ces coûts, nous retrouvons principalement le temps passé pour l’analyse de la fraude ou pour la contestation des impayés, la perte liée aux faux positifs, résultant du paramétrage antifraude trop strict et, enfin, la perte de clients existants et le coût d’acquisition de nouveaux clients lorsque le parcours de paiement est trop compliqué.
La définition d’une stratégie antifraude
L’acquisition de nouveaux clients et la fidélisation des clients existants se trouvent parmi les sujets clés de toute entreprise, ce qui justifie l’allocation d’un budget important sur ce sujet. En revanche, la conversion des paiements et à l’analyse des raisons de refus suscitent généralement une moindre attention.
De nombreuses études menées par des prestataires de services de paiement (PSP) montrent que plus d’un client sur cinq qui rencontre un refus de paiement est un client légitime disposant de suffisamment d’argent sur son compte pour régler la transaction. Et parmi ces clients ayant subi un refus (phénomène communément connu comme « faux positifs »), plus d’un client sur deux part à la concurrence.
En conséquence, la définition d’une stratégie antifraude visant à proposer une expérience sans friction est prioritaire pour tous les marchands. Déterminer cette stratégie nécessite de mener une analyse approfondie des différentes étapes du tunnel de paiement. Parmi les éléments les plus importants à intégrer, figurent la réduction du temps nécessaire pour effectuer le paiement, la réduction du nombre de clics, la vérification automatique des données renseignées afin de réduire les erreurs et la proposition des moyens de paiement en fonction de la localisation du client.
Une fonctionnalité qui s’avère clé dans l’optimisation du parcours client est la tokenisation, c’est-à-dire l’enregistrement des informations de la carte après avoir effectué un paiement avec le système d’authentification 3D-Secure. L’objectif est que le client n’ait plus à ressaisir ses informations de paiement lors des achats suivants. La tokenisation classique, connue comme « PCI tokenisation », est gérée au niveau du PSP. Elle comporte deux limites : la saisie du cryptogramme visuel (CVV) à chaque paiement afin d’obtenir la décharge de responsabilité du marchand (liability shift) et la mise à jour des données cartes en cas d’expiration ou perte.
Pour pallier à ces limites, les schemes Visa et Mastercard ont développé la « network tokenization », consistant à enregistrer le token directement à leur niveau, ce qui permet de renforcer la sécurité et de proposer un parcours de paiement sans friction, affranchis des barrières des processus traditionnels de tokenisation. Selon Visa, la « network tokenisation » permettrait d’améliorer le taux d’acceptation de 300 points de base en moyenne. Ce n’est pas négligeable.
Il est aussi important de proposer au consommateur des alternatives en cas d’échec de paiement, afin maximiser ses chances de finaliser son paiement (e.g. mise à disposition d’autres moyens de paiement, paiement en plusieurs fois, paiement de proximité, etc.). La mise en place de solutions de paiement basées sur le SCT Inst peut contribuer fortement à cette objectif, grâce au caractère instantané et non répudiable de ce moyen de paiement.
Cette stratégie de maximisation des revenus ne peut toutefois être mise en oeuvre que si la fraude est limitée. Et pour cela, il y a notamment trois axes d’optimisation possibles : bloquer uniquement les transactions frauduleuses avant qu’elle soient approuvées, identifier les transactions à risque avant que la banque émettrice la considère comme impayé, contester et gagner un maximum d’impayés avec des procédures et des outils efficaces.
Gabriel Lucas