Bonne nouvelle, la lutte contre la fraude semble porter ses fruits ! Depuis 2 ans, le nombre de fraudes diminue (source Observatoire de la Sécurité des cartes de Paiement). Parmi les outils phares de ce combat, le 3D Secure (3DS) est sur le devant de la scène. Le fameux protocole de sécurité développé par les réseaux Visa, Mastercard puis Amex (on parle alors de SafeKey), renforce l’authentification en ligne des clients par carte bancaire.
Les consommateurs sont de plus en plus éduqués à cette pratique qui existe depuis 2008. Pourtant, cette étape supplémentaire dans le tunnel d’achats impacte en moyenne encore de 10% à 15% la conversion (source : étude interne Dalenys).
A l’heure où l’Autorité Bancaire Européenne souhaite encadrer l’authentification des paiements à travers la réglementation DSP2 (Directive des Services de Paiement), petit tour d’horizon des idées reçues sur la lutte contre la fraude et le 3DS.
Idée reçue #1 : Appliquer le 3DS sur toutes les transactions, c’est ce qu’il y a de plus efficace
VRAI MAIS…
Certes, le 3DS va éliminer quasiment toutes les fraudes… mais il peut également bloquer des transactions qui ne sont pas frauduleuses.
A chaque paiement, l’internaute doit procéder à une étape de traitement supplémentaire dont la durée est variable. Le 3DS peut impliquer de remplir sa date de naissance, de taper un code inscrit sur une carte de bataille « navale », ou bien un code reçu sur son téléphone… Dans ce dernier cas, assez fréquent, il faut s’assurer de garder son téléphone à portée de main, de bien capter, d’avoir de la batterie… Chacun de ces points constitue un risque d’abandon ou d’échec de la transaction. C’est pour cette raison qu’un 3DS appliqué sur l’ensemble des transactions peut entraîner une dégradation du chiffre d’affaires de 10 à 15% chez les e-commerçants.
Idée reçue #2 : Sur certaines catégories de produits, c’est inutile de mettre en place du 3DS
VRAI
Selon les produits mis en vente, le risque de fraude n’est pas le même. Ainsi une entreprise spécialisée dans les chauffe-eau, qui non seulement vend le matériel mais vient aussi l’installer à domicile, ne subit pas de fraude de type vol de carte ou usurpation d’identité !
Idée reçue #3 : Le 3DS va supprimer tous les impayés et la fraude
FAUX
Malgré l’authentification forte, plusieurs cas posent régulièrement problème :
- Les cartes business ne sont pas toujours concernées par le transfert de responsabilité normalement induit par le 3DS : il peut donc y avoir des impayés, et le marchand ne sera pas protégé
- L’usurpation d’identité reste possible : les fraudeurs dérobent le numéro de carte bancaire ainsi que le numéro de téléphone. Ils font ensuite une demande de nouvelle carte SIM auprès de l’opérateur pour recevoir les SMS directement sur leur téléphone, et ainsi faire des achats en s’authentifiant avec le 3DS. Les personnes fraudées subissent donc non seulement un vol d’argent sur leur compte bancaire, mais se retrouvent aussi avec un téléphone qui ne fonctionne plus ! C’est d’ailleurs une fraude en pleine explosion…
A noter aussi que certaines cartes ne sont pas enrôlées dans le système 3DS. Dans ce cas, il existe des possibilités pour bloquer les transactions ou les tagger pour une revue manuelle par le marchand.
Idée reçue #4 : Appliquer le 3DS sur les paniers les plus élevés permet d’éviter les plus grosses fraudes
VRAI & FAUX
Les plus gros paniers sont bien sûr vitaux pour les commerçants. Cependant il existe des méthodes beaucoup plus fines et pertinentes d’utilisation du 3DS pour contrer la fraude, qui évitent de dégrader la conversion.
Avec une approche pragmatique qui repose sur la collecte et l’analyse des données, on peut neutraliser les « faux positifs » et révéler le caractère potentiellement frauduleux ou non d’une transaction. Parmi les critères importants, à croiser avec le montant des paniers : la vélocité (plusieurs transactions réalisées en peu de temps sur des zones éloignées), l’adresse de livraison, ou encore le type de produit, l’e-réputation, etc. Il s’agit de détecter tous les signaux qui évoquent une anomalie par rapport aux comportements d’achats habituels, et révèlent les profils à risque.
Idée reçue #5 : Un bon paramétrage de mon 3DS me met à l’abri pour les 6 prochains mois
FAUX
Au contraire, il peut s’avérer judicieux de faire évoluer les paramètres du 3DS en fonction de plusieurs éléments :
- Selon les périodes de l’année, et surtout pendant les soldes, où le nombre de ventes explose
- Selon l’analyse des impayés, qui permet de réagir en temps réel et d’adopter une démarche d’amélioration continue : analyse, implémentation, ajustement des critères
Enfin, il ne faut pas oublier que la fraude est évolutive : les fraudeurs testent et finissent par s’adapter si les règles sont simples. En appliquant une règle sur le montant des paniers, les fraudeurs vont vite la découvrir… et bien sûr multiplier les achats à un montant juste en dessous du seuil de déclenchement.
Focus sur une approche par les risques : le « smart » 3DS, ou 3DS débrayable
Pour réussir la mise en place d’un dispositif 3DS adapté à chaque e-commerçant, l’équipe d’experts fraude de Dalenys met en place un smart 3DS (ou 3DS débrayable). Cela revient à ne déclencher le 3DS que sur les transactions détectées risquées, et donc d’adopter une approche par les risques comme le recommande le MRC (Merchant Risk Council). Avec cette approche pragmatique et non dogmatique c’est 98.5% des fraudes qui sont stoppées en temps réel.
Concrètement, le smart 3DS est un moteur de règles sophistiqué qui allie l’expertise Dalenys – notamment en analyse de la data – à l’expérience du marchand, ce dernier étant le mieux placé pour identifier les spécificités liées à son activité.
Cette solution flexible et collaborative permet d’apporter des modifications à tout moment, voire de définir plusieurs scénarii de déclenchement, liés à la saisonnalité par exemple. Ainsi le 3DS est activé uniquement sur les transactions à risque. Le marchand peut lui aussi contrôler dans quels cas le 3DS est appliqué.
L’équipe Dalenys est garante de la pertinence des règles appliquées, et adapte continuellement le « rule engine » pour trouver le meilleur équilibre entre conversion et sécurité.
En savoir plus :
- Focus sur le système OPPOTOTA pour identifier les cartes mises en opposition