{"id":804,"date":"2022-07-04T12:29:23","date_gmt":"2022-07-04T12:29:23","guid":{"rendered":"https:\/\/fincley.com\/old2023\/?p=804"},"modified":"2022-07-04T12:39:04","modified_gmt":"2022-07-04T12:39:04","slug":"lutte-contre-la-fraude-aux-paiements-comment-faire-mieux-pour-moins-cher","status":"publish","type":"post","link":"https:\/\/fincley.com\/old2023\/lutte-contre-la-fraude-aux-paiements-comment-faire-mieux-pour-moins-cher\/","title":{"rendered":"

Lutte contre la fraude aux paiements : comment faire mieux… pour moins cher ? <\/strong> <\/center>"},"content":{"rendered":"

\n\t\t\t\t\t
\n\t\t\t\t\t\t
\"\"<\/span><\/div><\/div><\/div>
<\/div>\n\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>
\n\t\t\t\t\t
\n\t\t\t\t\t\t

Le consensus semble \u00eatre g\u00e9n\u00e9ral dans la fili\u00e8re paiement : la fraude au paiement augmente, se complexifie, et il est indispensable de la combattre pour redonner confiance aux clients et diminuer la charge globale de cette fraude.<\/p>\n

Mais des voix discordantes s’\u00e9l\u00e8vent \u00e9galement, de plus en plus audibles, pour protester contre des mesures de \u00ab\u00a0s\u00e9curisation\u00a0\u00bb qui nuisent \u00e0 l’exp\u00e9rience client en vente \u00e0 distance tout particuli\u00e8rement (et in fine au taux de finalisation des paniers et donc au chiffre d’affaires), la mise en place de ces mesures de s\u00e9curisation pour un commer\u00e7ant donn\u00e9 induisant des co\u00fbts de projet et d’infrastructure d\u00e9passant de loin le co\u00fbt finalement tr\u00e8s faible de la fraude…<\/p>\n

L’\u00e9volution de la fraude aux moyens de paiement vue par les commer\u00e7ants, et les mesures prises en rapport avec le co\u00fbt de la fraude<\/strong><\/h3>\n

Le rapport de l’Observatoire de la S\u00e9curit\u00e9 des Moyens de Paiement 2021 [1] pr\u00e9sentait un constat finalement assez nuanc\u00e9, et dans la droite ligne de l’\u00e9volution amorc\u00e9e depuis 2015 : si l’usage des ch\u00e8ques est en diminution constante, ce moyen de paiement est celui qui est le plus soumis \u00e0 la fraude relativement, avec des taux de fraude tr\u00e8s \u00e9lev\u00e9s. La carte bancaire reste le moyen de paiement le plus s\u00fbr, en particulier en paiement \u00ab\u00a0physique\u00a0\u00bb :<\/p>\n

\"\"<\/p>\n

L’usage des moyens de paiement au premier semestre 2021<\/span><\/p>\n

L’essor constant de la vente \u00e0 distance, encore acc\u00e9l\u00e9r\u00e9 par la crise sanitaire li\u00e9e au COVID19, emporte avec lui une augmentation du taux de fraude sur ce type de paiement, mais principalement concentr\u00e9 sur les paiements sur des sites hors Europe, ce qui va dans le sens d’une bonne efficacit\u00e9 des mesures de s\u00e9curisation successives prises et appliqu\u00e9es au niveau europ\u00e9en :<\/p>\n

\"\"<\/p>\n

La fraude aux moyens de paiement au premier semestre 2021<\/span><\/p>\n

La question est n\u00e9anmoins : \u00e0 quel prix ? Car si le co\u00fbt de la fraude est une donn\u00e9e largement analys\u00e9e, d\u00e9crypt\u00e9e, et connue de tous, elle ne dit rien du co\u00fbt des mesures qui ont contribu\u00e9es \u00e0 la maintenir \u00e0 ce niveau pour contrer la cr\u00e9ativit\u00e9, les moyens technologiques et le terrain de jeu toujours plus grands des fraudeurs. Et ces mesures se traduisent en projets de grande ampleur pour maintenir les cha\u00eenes de paiement \u00e0 jour des \u00e9volutions r\u00e8glementaires et autres normes de march\u00e9, \u00e0 la fois pour les constructeurs de mat\u00e9riel, les \u00e9diteurs de solution mon\u00e9tique, les prestataires de services de paiement, les banques \u00e9mettrices et les commer\u00e7ants eux-m\u00eames… Voire l’ensemble de ces acteurs \u00e0 la fois (PCI-DSS [2]) !<\/p>\n

Prenons l’exemple d’un distributeur B2C qui vend \u00e0 la fois en magasin dans son r\u00e9seau en propre, mais \u00e9galement en vente \u00e0 distance sur internet, et assure l’apr\u00e8s-vente par t\u00e9l\u00e9phone (avec la capacit\u00e9 de rembourser le client par ce biais). La mise en place de l’authentification forte sur les paiements par internet va n\u00e9cessiter une \u00e9volution du protocole d’\u00e9change de donn\u00e9es sur son canal de vente \u00e0 distance, ce qui va \u00e9galement avoir des r\u00e9percussions sur son canal t\u00e9l\u00e9phonique. Par ailleurs, l’\u00e9volution des normes de s\u00e9curisation PCI-PTS [3]\ndes terminaux de paiement physiques, va l’amener, sinon \u00e0 renouveler son parc de TPE [4], du moins \u00e0 faire \u00e9voluer les versions logicielles et l’\u00e9mission des messages de remise (un nouveau projet \u00e0 la cl\u00e9). Enfin, la mise en conformit\u00e9 de sa chaine de paiement \u00e0 PCI-DSS va entrainer un audit approfondi de la s\u00e9curit\u00e9 de l’ensemble des serveurs, liens, et protocoles de connexion ou d’\u00e9change de donn\u00e9es. L’enjeu de ces projets ? Aucune am\u00e9lioration notable pour le client (voire un parcours de paiement complexifi\u00e9 par l’empilement des mesures de contr\u00f4le et\/ou un plus grand risque de refus de transaction), mais simplement une exigence de conformit\u00e9 r\u00e8glementaire et finalement peu de gain sur la fraude.<\/p>\n

Un co\u00fbt de la fraude aujourd’hui assum\u00e9 et r\u00e9parti entre les \u00e9metteurs [5], les acqu\u00e9reurs [6] (donc les banques) et les commer\u00e7ants<\/strong><\/h3>\n

Jusqu’en 2019, lorsqu’une fraude \u00e9tait d\u00e9tect\u00e9e sur un paiement mon\u00e9tique, le plus souvent par l’acqu\u00e9reur ou par r\u00e9clamation de l’\u00e9metteur \u00e0 l’acqu\u00e9reur, la transaction \u00e9tait rejet\u00e9e, et la responsabilit\u00e9 en incombait en premier lieu \u00e0 la banque du commer\u00e7ant.<\/p>\n

Depuis la DSP2 (Directive des Services de Paiement), la responsabilit\u00e9 sera directement transf\u00e9r\u00e9e au commer\u00e7ant si les donn\u00e9es de la transaction font apparaitre une exemption d’authentification forte (pour une transaction de faible montant, ou sur demande du commer\u00e7ant…).<\/p>\n

Ce \u00ab\u00a0r\u00e9\u00e9quilibrage\u00a0\u00bb de la charge de la fraude met ainsi les commer\u00e7ants devant des exigences contradictoires : favoriser le parcours de paiement \u00ab\u00a0sans couture\u00a0\u00bb des clients ou bien diminuer leur charge de la fraude potentielle.<\/p>\n

Des mesures de s\u00e9curisation toujours plus co\u00fbteuses… qui conduisent les fraudeurs \u00e0 d\u00e9velopper de nouveaux modes de fraude, plut\u00f4t par vol de donn\u00e9es ou usurpation d’identit\u00e9<\/strong><\/h3>\n

Pass\u00e9e la (longue) phase de rodage des nouvelles mesures d’authentification forte (SCA, Strong Customer Authentication [7]) caract\u00e9ris\u00e9e par une hausse sensible des paiements refus\u00e9s (de l’ordre de 15%), personne ne peut n\u00e9anmoins nier l’int\u00e9r\u00eat de telles mesures en termes, sinon de s\u00e9curisation effective des paiements, du moins d’augmentation de la confiance en les syst\u00e8mes de paiement, l’histoire montre n\u00e9anmoins que la capacit\u00e9 d’adaptation des fraudeurs est au moins au niveau de la rapidit\u00e9 d’\u00e9volution des normes techniques… Avec en r\u00e9sultante un taux de fraude global constant de l\u2019ordre d\u2019un euro de fraude pour 600 euros d\u00e9pens\u00e9s, mais variable dans la forme prise : d’une fraude unitaire, artisanale, peu outill\u00e9e, on est peu \u00e0 peu pass\u00e9 \u00e0 une fraude industrielle, technologique, internationale et structur\u00e9e, puis \u00e0 une fraude intelligente, polymorphe et adaptative. Ce qui signifie que l’avenir n’est peut-\u00eatre pas tant \u00e0 un verrouillage des formes de fraude identifi\u00e9es mais plut\u00f4t \u00e0 une adaptation intelligente des syst\u00e8mes \u00e0 des fraudes non encore survenues.<\/p>\n

La mise en conformit\u00e9 des architectures de paiement avec la r\u00e8glementation n’est pas une option, et c’est tant mieux. Elle contribue \u00e0 faire progresser la confiance dans les moyens de paiement digitaux, et \u00e0 faciliter la vie de tous les acteurs de cette chaine. Mais il est peut \u00eatre temps de faire entrer dans la balance le co\u00fbt de ces projets, avant de les consid\u00e9rer comme une absolue n\u00e9cessit\u00e9 r\u00e8glementaire et le rapport entre leur cout (y compris en terme d\u2019exp\u00e9rience client) et leur efficacit\u00e9. Par exemple, adopter une approche par les risques dans la lutte contre la fraude pour faire entrer en ligne de compte le potentiel de gain li\u00e9 \u00e0 la mesure de s\u00e9curisation d\u2019un canal de vente, ou s\u2019appuyer sur les nouveaux outils apprenants de lutte contre la fraude propos\u00e9s par les PSP et \u00e9diteurs de solutions innovantes.<\/p>\n

<\/h3>\n

<\/h3>\n

\"\"<\/p>\n

Fran\u00e7ois Didiot
\nSenior Manager Fincley Consulting
\nfrancois.didiot@fincley.com\/old2023<\/p>\n<\/div>

<\/h3>\n

[1] https:\/\/www.banque-france.fr\/stabilite-financiere\/observatoire-de-la-securite-des-moyens-de-paiement<\/a><\/p>\n

[2] PCI-DSS : Payment Card Industry – Data Security Standard : Norme de s\u00e9curit\u00e9 sur le stockage, le traitement et la transmission des donn\u00e9es carte sensibles. Les donn\u00e9es carte sensibles au sens PCI-DSS sont celles relatives au titulaire de la carte : \u2022Les nom et pr\u00e9nom(s), \u2022Le PAN (Primary Account Number), \u2022Le code de service, \u2022La date d’expiration, \u2022La signature; ainsi que les donn\u00e9es d’authentification : \u2022La puce EMV (Europay, Mastercard, Visa), \u2022L’hologramme, \u2022Les donn\u00e9es de la bande magn\u00e9tique, \u2022Le cryptogramme visuel (CVV2).<\/p>\n

[3] PCI-PTS : Payment Card Industry PIN Transaction Security Standard norme de s\u00e9curit\u00e9 des transactions PIN du conseil de PCI. La norme PTS est un ensemble de crit\u00e8res d\u2019\u00e9valuation modulaire pour l\u2019acceptation du code PIN par les terminaux de point d’interaction (POI).<\/p>\n

[4] TPE – Terminal de Paiement El\u00e9ctronique : Appareil permettant l’encaissement par carte bancaire ou privative.<\/p>\n

[5] Acqu\u00e9reur : Organisme financier qui met \u00e0 disposition de son client (un commer\u00e7ant, artisan ou profession lib\u00e9rale) des services d\u2019acquisition de transactions de paiement \u00e9lectronique, notamment gr\u00e2ce \u00e0 un terminal de paiement \u00e9lectronique (TPE). Plus g\u00e9n\u00e9ralement, il s\u2019agit de la banque du commer\u00e7ant (pour les paiements) ou la banque du GAB\/DAB o\u00f9 s\u2019effectue le retrait.<\/p>\n

[6] Emetteur : Organisme financier (g\u00e9n\u00e9ralement une banque) qui met \u00e0 la disposition de son client (le porteur) un support ou moyen de paiement (la carte bancaire).<\/p>\n

[7] SCA – Strong Customer Authentication : La nouvelle Directive Europ\u00e9enne sur les Services de Paiement (DSP2) demande une Authentification Forte du Client (en anglais \u00ab\u00a0Strong Customer Authentication\u00a0\u00bb ou SCA) pour renforcer la s\u00e9curit\u00e9 des transactions et la protection des donn\u00e9es sensibles. La DSP2 a mandat\u00e9 l’Autorit\u00e9 Bancaire Europ\u00e9enne (EBA) pour \u00e9laborer un projet de norme technique r\u00e9glementaire (Regulatory Technical Standard RTS) sp\u00e9cifiant les exigences de l’Authentification Forte du Client et les \u00e9ventuelles exemptions.<\/p>\n<\/div>

<\/div>\n\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div><\/div><\/div>\n","protected":false},"excerpt":{"rendered":"","protected":false},"author":8,"featured_media":801,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[6],"tags":[],"_links":{"self":[{"href":"https:\/\/fincley.com\/old2023\/wp-json\/wp\/v2\/posts\/804"}],"collection":[{"href":"https:\/\/fincley.com\/old2023\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fincley.com\/old2023\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fincley.com\/old2023\/wp-json\/wp\/v2\/users\/8"}],"replies":[{"embeddable":true,"href":"https:\/\/fincley.com\/old2023\/wp-json\/wp\/v2\/comments?post=804"}],"version-history":[{"count":0,"href":"https:\/\/fincley.com\/old2023\/wp-json\/wp\/v2\/posts\/804\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fincley.com\/old2023\/wp-json\/wp\/v2\/media\/801"}],"wp:attachment":[{"href":"https:\/\/fincley.com\/old2023\/wp-json\/wp\/v2\/media?parent=804"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fincley.com\/old2023\/wp-json\/wp\/v2\/categories?post=804"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fincley.com\/old2023\/wp-json\/wp\/v2\/tags?post=804"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}