- Bonjour tout le monde.
Et merci de vous être joints à nous aujourd’hui pour notre webinaire sur l’atténuation des risques de fraude. Je m’appelle Kym et je travaille à Worldline, et je vais animer cette séance. Dans le cadre du panel d’aujourd’hui, on va discuter de sujets clés avec des spécialistes de la fraude et des risques du Groupe Banque TD et du fournisseur de passerelle de paiement de la TD, Worldline. Tout d’abord, on a Hannan, de la TD, qui va se présenter. Hannan.
- Merci, Kym. Bonjour tout le monde. Je m’appelle Hannan Ning. En tant que conseiller en solutions au Groupe Banque TD depuis près de 12 ans, j’ai aidé plusieurs commerces à mettre en œuvre des solutions efficaces et efficientes de prévention et de détection de la fraude.
- Ensuite, on a Carlos de Worldline.
- Merci, Kym. Je m’appelle Carlos Guzman. Je suis analyste en fraude pour Worldline. Je travaille pour Worldline depuis neuf ans. Et je suis heureux de participer à ce panel.
- Super! Merci. Avant de commencer, on va regarder quelques points d’ordre général. On va répondre à vos questions tout au long de ce séminaire en ligne. Et utilisez l’outil de questions et réponses pour publier vos questions anonymes. Vous allez trouver l’icône pour ouvrir le volet latéral de la foire aux questions dans le haut de l’écran. À la fin du panel, on va répondre aux questions de notre auditoire. Si on ne répond pas à votre question, ne vous inquiétez pas. On va faire un suivi après le séminaire et on va répondre à ces questions-là. La présentation est enregistrée, et elle va être accessible sur le site Web de la TD pour utilisation ultérieure.
Très bien. On passe maintenant à l’ordre du jour. Vous nous avez tous rencontrés. On va parler des stratagèmes frauduleux courants et de comment vous, en tant que commerçant, pouvez prévenir la fraude, ainsi que des débits compensatoires, des actions mesurables que vous pouvez prendre en cas de fraude, des principaux points à retenir et, bien sûr, des questions que vous avez.
Saviez-vous que 65 % des entreprises ont été victimes de tentatives de fraude sur les paiements en 2022? Malheureusement, près de la moitié d’entre elles n’ont pas réussi à récupérer les fonds volés. De plus, en 2022, le Centre antifraude du Canada a annoncé une augmentation de 40 % des pertes subies par les victimes par rapport à 2021, pour atteindre 530 millions de dollars. Près de la moitié des petites entreprises ont été victimes d’une cyberattaque aléatoire en 2022, et 27 % ont été victimes d’une attaque ciblée. Selon la Fédération canadienne de l’entreprise indépendante, seulement 11 % des entreprises sondées ont offert une formation obligatoire sur la cybersécurité à leurs employés au cours de la dernière année. Seulement 8 % ont offert une formation facultative.
Étant donné le pourcentage important d’entreprises touchées par les fraudeurs, je demande aux panélistes s’ils peuvent nous parler des principaux stratagèmes frauduleux que les commerçants devraient connaître? Hannan, et si on commençait par toi?
- Merci, Kym. Certains des stratagèmes les plus populaires qu’on voit comprennent les stratagèmes de remboursement, la fraude amicale, la fraude interne et l’interception. Je vais commencer par les stratagèmes de remboursement.
Les fraudeurs obtiennent un remboursement et font de fausses déclarations pour ne pas retourner les biens. Ils peuvent aussi demander un remboursement selon un mode de paiement différent de celui qu’ils ont utilisé à l’origine, ou ils veulent de l’argent comptant. En bref, vous devriez toujours rembourser selon le mode de paiement initial.
Deuxièmement, il y a la fraude amicale. C’est quand un titulaire de carte fait une contestation fausse ou trompeuse. Soit qu’il oublie ce qu’il a acheté ou ce qu’il sait sur l’opération, mais il ne reconnaît pas l’opération, ou il ne veut tout simplement pas payer. Une telle contestation peut entraîner un débit compensatoire. La fraude amicale est en hausse, puisqu’elle représente 16 % de toutes les contestations frauduleuses. Fait intéressant, 23 % des consommateurs qui ont contesté un achat ont soumis une demande de débit compensatoire au cours de la dernière année en utilisant la fraude comme raison pour le faire, même s’ils ont reçu l’article et étaient satisfaits de l’achat.
Troisièmement, il y a la fraude interne. Essentiellement, un de vos employés traite des opérations non autorisées, soit en glanant ou en volant des renseignements de carte de crédit pour utilisation ultérieure.
La dernière fraude, mais non la moindre, c’est l’interception. L’interception se produit lorsque des fraudeurs effectuent des achats en ligne au moyen de cartes de crédit volées. Ils font expédier les articles à l’adresse de facturation valide liée à la carte de crédit volée, ce qui évite les vérifications visant à repérer les divergences entre les adresses de facturation et d’expédition, puis ils tentent d’intercepter le colis.
Excuse-moi, Kym. On ne t’entend pas.
- Bien sûr. Carlos, qu’en est-il de la fraude par carte bancaire, des prises de contrôle de comptes et des faux magasins?
- Les cas les plus fréquents de fraude par carte bancaire, c’est la fraude par carte bancaire en première ligne et en arrière-plan. La fraude par carte bancaire en première ligne est la plus courante, et cela se produit au moment de passer à la caisse. Les fraudeurs ont tendance à acheter quelque chose dans votre magasin et à parcourir une longue liste de cartes. Ils la font défiler jusqu’à ce que l’une d’elles fonctionne. Les renseignements personnels demeurent généralement les mêmes. Le montant de l’achat ne change pas, mais les renseignements sur la carte de crédit changent.
La deuxième, la fraude par carte bancaire en arrière-plan, est très rare. C’est lorsqu’une personne ayant plusieurs cartes de crédit volées tente de vérifier leur validité en effectuant une petite opération dans un compte de commerçant aléatoire. Elle le fait en devinant votre code de commerçant, puis en envoyant une demande de traitement des opérations à votre fournisseur de services de paiements au moyen du code de commerçant. Une fois qu’on détecte une fraude par carte bancaire en arrière-plan, on en avise les commerçants en même temps. Vos renseignements sont en sécurité, et votre compte n’a pas été compromis.
Un autre stratagème populaire, c’est la prise de contrôle d’un compte de commerçant. Les fraudeurs ont accès à vos codes d’accès pour voler les fonds ou les renseignements nécessaires pour effectuer des opérations frauduleuses. Ça peut se faire par téléphone, par Internet, sur les médias sociaux ou par la poste. Ils peuvent aussi accéder à votre compte en prenant le contrôle grâce à des stratagèmes comme l’hameçonnage ou les logiciels malveillants, comme l’arnaque de l’avocat ou du chef de la direction ou un message texte frauduleux qui semble provenir de l’ARC.
Un autre stratagème pourrait être une source fixe ou une triangulation. C’est important de le savoir. Un fraudeur a un faux magasin ou une autre plateforme, comme eBay ou Etsy, et utilise les renseignements de la carte de crédit volée pour acheter des biens dans un magasin légitime et les faire livrer à l’adresse du client fraudeur. Il est ensuite payé par la plateforme tiers, et le magasin légitime reçoit les débits compensatoires. De retour à toi, Kym.
- Super. Merci. Maintenant qu’on connaît tous les principales méthodes utilisées par les fraudeurs, pouvez-vous nous faire part de vos recommandations aux commerçants pour se protéger? Carlos, de retour à toi.
- On recommande toujours de mettre en place une vérification plus rigoureuse des opérations en recueillant plus de renseignements à leur sujet. Ça peut comprendre des renseignements supplémentaires sur le mode de paiement, comme le navigateur, l’appareil ou l’adresse IP.
La validation de l’adresse. Incluez la validation de l’adresse dans votre site Web comme une composante importante de votre opération. La validation du CVC... c’est habituel de demander le code CVC et de s’assurer qu’il s’agit d’un titulaire de carte.
Faites la promotion des portefeuilles numériques. Les portefeuilles numériques comme Apple Pay sont des méthodes de paiement plus sécuritaires en raison des données biométriques et de la segmentation en unités. Les renseignements sont fortement chiffrés.
Validez les commandes qui dépassent le seuil habituel de votre entreprise. Est-ce que l’opération est logique? Est-ce qu’elle se situe dans la fourchette de paiement habituelle?
Enfin, vérifiez s’il y a des indicateurs d’alerte. Quand vous regardez vos opérations, repérez tout ce qui ne respecte pas les habitudes de traitement habituelles. Des achats plus importants que d’habitude ou de petites opérations qui peuvent présenter un risque. Des opérations avec différentes adresses de facturation et d’expédition ou des achats internationaux. Si quelque chose semble se démarquer ou même sembler un peu hors norme, prenez le temps de l’examiner et de communiquer avec le client. Ne poursuivez pas l’opération avant de vous sentir à l’aise.
- Excellents conseils. Merci. Hannan, et toi?
- Bien sûr, Kym. Je suis tout à fait d’accord avec Carlos. C’est très important de vérifier régulièrement la sécurité de votre plateforme Web. Et vous pouvez le faire en tant que commerçant en vous conformant aux règles PCI DSS. Pour ceux qui ne le savent pas, PCI DSS, le Conseil des normes de sécurité des données de l’industrie des cartes de paiement a établi des normes de sécurité concernant la protection des données des titulaires de carte, qui s’appliquent à toute entité qui traite des cartes. Et elles doivent s’y conformer. Ça comprend les commerçants, les acquéreurs, etc.
Deuxièmement, tous les commerçants doivent se conformer aux règles de sécurité de l’industrie des cartes de paiement, peu importe leur taille. Les règles PCI DSS s’appliquent aussi à tout agent ou fournisseur tiers que vous pouvez utiliser pour stocker, traiter ou transmettre les données des titulaires de carte. Vous devez aussi faire attention pour vraiment essayer d’atténuer les activités de fraude par carte bancaire. Et on vous recommande d’utiliser l’outil CAPTCHA. Et c’est vraiment quelque chose que vous devriez examiner selon la façon dont vous voulez réduire les répercussions pour les clients légitimes. Et assurez-vous qu’il est offert par votre fournisseur de services de commerce électronique ou de panier d’achats. Vous devriez aussi rendre obligatoire la saisie manuelle de champs précis dans votre formulaire de paiement, comme les numéros de carte de crédit, pour éviter les scripts de fraude par carte bancaire.
Deuxièmement, il faut vraiment protéger les renseignements sur le titulaire de carte. Donc essayez de recueillir le minimum de renseignements sur le client et de limiter l’accès à ces renseignements à l’interne. Enfin, mettez en place des outils de détection de la fraude pour appuyer des processus uniformes et durables.
- Hannan, c’est une excellente transition vers notre prochain sujet, qui est : quels outils offerts par Magasins en ligne TD aident à prévenir la fraude et les débits compensatoires? À toi, Carlos.
- Vous avez accès à sept principaux outils. Je vais commencer par les trois premiers, et je vais céder la parole à Hannan pour la deuxième partie. Maintenant, le premier, c'est le passage à la caisse et le passage à la caisse personnalisé. Ce sont des solutions hébergées qui vont vous aider à réduire la portée de la norme PCI et à assurer la sécurité du passage à la caisse.
Deuxièmement, il y a les profils de paiement sécurisés. Ils réduisent la portée de la norme PCI et assurent la sécurité des données des clients en stockant les renseignements sur les paiements au moyen de la segmentation en unités et en les réutilisant une fois que vous effectuez une opération récurrente. Les profils de paiement sécurisés utilisent un service segmenté en unités qui chiffre les données et les stocke dans notre serveur PCI de niveau 1 pour aider à prévenir le remplissage automatisé des codes d’accès ou les prises de contrôle de comptes.
Ensuite, il y a les seuils de risque. Ceux-ci sont activés par Worldline, mais en tant que commerçant, vous décidez de ce qui convient le mieux à votre entreprise. Vous devez savoir qu’on doit entrer l’adresse IP du client commerçant pour pouvoir appliquer efficacement les seuils de risque. Si vous avez des préoccupations au sujet de frictions ou de fausses réclamations, vous pouvez commencer par un seuil plus bas, puis le relever plus tard. À toi, Hannan.
- Merci, Carlos. On compte différentes choses parmi les autres outils. On a un portefeuille numérique, comme Apple Pay ou Click to Pay. Et il offre vraiment de la commodité aux utilisateurs, une meilleure vérification de l’identité et un possible transfert de responsabilité. Maintenant, la fonction Click to Pay est disponible pour le passage à la caisse et le passage à la caisse personnalisé. Et c’est un portefeuille numérique d’EMV, qui accepte les cartes Visa, Mastercard et American Express. Apple Pay est aussi offert avec le passage à la caisse personnalisé. Vous devez savoir qu’il y a des étapes à suivre pour vous inscrire auprès d’Apple et créer un certificat. Et le certificat va être requis pour l’activation dans Magasins en ligne.
Deuxièmement, on a le service d’authentification Azure et le code de vérification de la carte, ou CVC. Ces deux fonctions permettent une meilleure vérification de l’identité et peuvent être activées à la page de configuration du compte. Vous pouvez définir si l’opération doit être refusée si les renseignements ne sont pas exacts. Il ne faut pas oublier qu’on vit au Canada avec le français et l’anglais. Les adresses peuvent être rédigées de diverses façons. La vérification de l’adresse comporte donc des composantes, y compris l’adresse complète et le code postal. Certains commerçants décident de mettre en œuvre la validation ou la vérification du code postal seulement, essentiellement pour tenter d’atténuer les multiples façons dont les adresses peuvent être entrées, ce qui aide à réduire les faux refus.
Troisièmement, on a EMV 3DS. EMV 3-D Secure est un niveau de sécurité supplémentaire pour les opérations en ligne. À l’aide des données sur les opérations, une vérification de l’identité fondée sur le risque est effectuée. Et le titulaire de carte pourrait recevoir une question d’identification de la part de son institution financière pour vérifier son identité si l’opération est considérée comme présentant un risque élevé. Cette fonction-là offre une expérience de paiement conviviale et peut transférer la responsabilité liée à la fraude à l’émetteur si l’opération est acceptée par celui-ci. Si vous utilisez le passage à la caisse, vous pouvez simplement l’activer.
Dernier service, et non le moindre, on a la fonction Gestion des utilisateurs. Magasins en ligne offre la fonction Gestion des utilisateurs, qui vous permet de définir les droits des utilisateurs sur les fonctions consultées et de protéger la visibilité des données. Par exemple, un utilisateur peut être autorisé à effectuer des achats seulement et n’avoir aucun accès aux renseignements de paiement après avoir saisi l’opération.
- Excellent aperçu. Il est également important de noter que toutes les caractéristiques que Carlos et Hannan ont soulignées sont incluses dans l’offre actuelle de la TD.
On a donc couvert beaucoup de contenu jusqu’à maintenant et on en a appris pas mal sur les causes et les méthodes d’atténuation. Mais dans l’écosystème actuel, c’est inévitable que les cas de fraude continuent de toucher les commerçants, malgré tous nos efforts. Je demande donc au panel quel est le processus à suivre par un commerçant pour signaler un cas de fraude?
- Oui. Je peux répondre à cette question, Kym. Pour ce qui est des recommandations générales et des points de vue qu’on exprime lors des réunions de mise au point de la TD... et ensuite Carlos va certainement pouvoir vous donner plus de détails sur le moment où vous devez communiquer directement avec Worldline ou sur les raisons pour lesquelles elle souhaiterait communiquer directement avec vous.
D’abord et avant tout, si vous soupçonnez une fraude, comme un stratagème de remboursement, une interception ou un faux magasin, n’envoyez pas l’article ou n’offrez aucun service tant que vous n’êtes pas certain que l’opération est légitime. Si vous avez des soupçons, communiquez avec le client en utilisant les renseignements fournis pendant le passage à la caisse, comme le numéro de téléphone ou l’adresse courriel, pour confirmer qu’il est au courant de l’achat. Si vous n’êtes toujours pas à l’aise avec l’opération, vous devez l’annuler ou la rembourser et envoyer un avis d’annulation au client. Ça va aider à réduire les débits compensatoires et les pertes financières ou liées aux produits en raison de la fraude.
En cas de prise de contrôle d’un compte, communiquez avec Worldline dès que possible en composant le numéro de soutien ou en écrivant à l’adresse courriel fourni dans les points à retenir. Ils vont vous aider à modifier les codes d’accès et à examiner vos permissions d’utilisateur pour éviter d’autres futurs cas.
Enfin, il y a aussi les débits compensatoires frauduleux amicaux. En général, le commerçant voit un débit compensatoire. Maintenant, vous devez recueillir tous les renseignements que vous avez au sujet de l’opération. Ça peut comprendre un certain nombre de choses différentes, comme la facture originale, les confirmations d’achat... les confirmations d’expédition... désolé, si l’adresse correspond au service de vérification de l’adresse, le courriel au client, la preuve de remboursement, le cas échéant, et ainsi de suite, et il faut soumettre une contestation à l’équipe indiquée dans l’avis de débit compensatoire.
Il y a aussi la fraude par carte bancaire liée aux adresses. Le réseau de cartes de paiement, la TD ou Worldline peut être en mesure de repérer des cas potentiels de fraude par carte bancaire. Il est donc important de noter que la TD et Worldline ne sont pas en mesure de garantir l’identification de tous les cas de fraude. Il pourrait donc y avoir un certain nombre de scénarios différents.
D’abord, vous avez le cas de fraude repéré par la TD. Donc par l’intermédiaire de la surveillance interne des opérations ou du réseau de cartes de paiement et des communications des réseaux de cartes de paiement. Si vous avez une équipe attitrée aux comptes, elle sera incluse dans toutes les communications. Par ailleurs, si c’est vous qui signalez le cas de fraude, communiquez avec Worldline par courriel à support@onlinemart.ca ou par téléphone. Incluez l’adresse courriel et le numéro de téléphone qui sont indiqués sur la diapositive et sur notre site Web. En tant que commerçant, vous devriez communiquer avec Worldline pour vous aider à apporter des changements de sécurité à votre compte. Par exemple, établir les seuils de risque initiaux. Pour ce qui est des détails sur Worldline, je vais laisser Carlos vous donner plus de détails sur la surveillance.
- Merci, Hannan. Comme tu l’as mentionné, notre équipe de gestion des risques et de la fraude à Worldline utilise une combinaison d’outils et de surveillance pratique. Et elle peut aussi communiquer directement avec vous si elle détecte des cas potentiels de fraude. C’est plus fréquent dans les cas de fraude par carte bancaire en première ligne ou en arrière-plan, ce qui est extrêmement rare. Nos diverses équipes surveillent en tout temps les activités de fraude par carte bancaire. Et on va communiquer avec vous pour vous faire part des mesures qu’on a prises à l’égard du compte afin d’atténuer les risques de fraude par carte bancaire et de vous offrir des solutions pour aider à prévenir les futures activités.
Quand on détecte une fraude par carte bancaire en première ligne, pour vous protéger, en tant que commerçant, de subir ces répercussions excessives, on pourrait désactiver temporairement le compte compromis. Dans les cas de fraude par carte bancaire repérés par vous ou par l’une de nos équipes, vous devez également communiquer avec votre fournisseur de panier d’achats ou votre développeur de site Web.
- Merci. Voilà qui met fin aux questions destinées au panel pour aujourd’hui. Et je tiens à vous remercier tous les deux de nous avoir fait part de vos observations sur le contexte actuel de la fraude et d’avoir fourni à notre auditoire des comportements et des outils réalisables pour les aider à protéger leur entreprise contre la fraude et à réduire les risques. Avant qu’on amorce la conversation pour répondre aux questions de l’auditoire qu’on a reçues tout au long de la présentation, on va vous laisser quelques points à retenir. On vous a montré comment l’atténuation de la fraude peut vous aider, comment vous pouvez communiquer avec nous pour toutes les questions liées à la fraude et, certainement, pour toutes les questions techniques, et les ressources à votre disposition à l’avenir.
Très bien. On va maintenant répondre aux questions qu’on a reçues. On a du temps, alors c’est parfait. Et merci à tous d’avoir pris le temps de poser ces questions.
OK. Carlos, on va commencer par toi. Pouvez-vous bloquer une personne par son nom et son adresse pour empêcher qu’elle fasse des achats sur notre plateforme?
- On ne peut pas, mais on peut bloquer par adresse IP, par numéro de téléphone et par numéro de carte. Pour approfondir le raisonnement, on ne recommande pas de bloquer le client par son nom ou son adresse courriel, car la plupart du temps, le fraudeur utilise de faux renseignements qui appartiennent à quelqu’un d’autre et qui pourraient causer des problèmes à l’avenir pour les clients qui effectuent des opérations légitimes.
- Intéressant. Merci. OK. Hannan, je vais te poser cette question-là. Est-il possible de passer une commande frauduleuse qui a réussi à déjouer 3D Secure?
- La réponse courte, c’est que oui, c’est possible. Je veux revenir en arrière et dire que 3D Secure est vraiment un protocole qui permet une meilleure authentification des opérations.
Donc, avec les renseignements supplémentaires sur l’opération fournis par 3D Secure, les émetteurs de carte peuvent décider d’accepter ou non la responsabilité de l’opération. Bien que ça contribue à réduire la fraude, les fraudeurs peuvent tout de même effectuer des opérations. Donc, si 3D Secure est utilisé et que la responsabilité est acceptée par l’émetteur, le commerçant n’est pas responsable.
- OK. Merci. Carlos, je reviens à toi. Pouvez-vous expliquer pourquoi le nom du titulaire de carte est parfois différent du nom utilisé pour la facturation?
- C’est rare, mais c’est possible. Ça peut se produire quand quelqu’un achète quelque chose au nom d’une autre personne. Toutefois, chacun de ces cas devrait déclencher un examen plus approfondi par vous-même, ou vous devriez peut-être communiquer avec le client pour examiner l’opération.
- Excellent conseil. Merci. Je reviens à toi, Hannan. Voilà. Serait-il possible de passer en revue ou de fournir la liste de ce que signifient les codes de réponse, ainsi que les résultats du CVD et du SVA?
- Bien sûr. Absolument, Kym. Ils sont tous disponibles dans les spécifications de Worldline. On les trouve dans la présentation. Oui.
- Excellent. Carlos, dans quelle mesure l’adresse IP est-elle exacte pour les opérations préautorisées?
- Elle est très exacte. C’est l’adresse IP réelle où l’opération est générée. Donc, si vous utilisez notre passage à la caisse ou notre passage à la caisse personnalisé, le champ est en fait rempli sur notre reçu de confirmation d’opération. C’est donc aussi exact qu’un achat, ou qu’elle pourrait l’être.
- Merci. Je vais répondre à la prochaine question. Cette présentation sera-t-elle envoyée aux participants? Absolument. On va l’envoyer sous peu. Et merci d’avoir posé la question.
OK, je reviens à toi, Carlos. Comment puis-je empêcher une personne d’acheter par l’intermédiaire de notre portail? En d’autres termes, y a-t-il un moyen de bloquer le client par son nom et son adresse?
- Je pense que c’est très semblable à la question précédente à laquelle on a répondu. Malheureusement, ce n’est pas possible de le faire. On a d’autres méthodes pour bloquer une personne. Comme je l’ai dit, par le numéro de carte ou l’adresse IP. Par contre, on ne recommande pas de bloquer une personne par son nom ou son adresse.
- D’accord. Une autre question sur 3DS. Je vais te la poser, Hannan. Est-ce que 3DS génère beaucoup de questions d’identification ou de demandes de code de vérification à usage unique pour vérifier l’identité du client?
- Oui, c’est une bonne question. Ça dépend vraiment de l’émetteur de la carte et de l’historique des opérations du titulaire de la carte. Donc, si l’émetteur de la carte croit que l’opération ne correspond pas aux habitudes d’achat du titulaire de la carte, il peut lui demander d’authentifier l’opération. Ce que j’essaie de dire, c’est que c’est le titulaire de carte qui décide. J’aimerais toutefois ajouter que pour certaines opérations, des questions d’identification peuvent être posées, aux fins d’authentification. Visa confirme que l’utilisation de 3D Secure entraîne des taux d’approbation des opérations plus élevés pour les commerçants.
OK. Merci. Une question de clarification pour toi, Carlos. Pouvez-vous définir ce qu’est la fraude par carte bancaire en première ligne?
- Je reviens un peu sur ce qu’on a dit dans la présentation. La fraude par carte bancaire en première ligne, c’est comme un script qui s’exécute sur votre page de passage à la caisse. Ça peut être comme un script JavaScript ou n’importe quel type de script qu’un fraudeur installe sur votre page et qui fait défiler une liste de cartes sur votre site Web. Il essaie de les tester pour voir si elles fonctionnent. C’est normalement un petit montant, par exemple 1 $, 0,50 $. Et ce que ça fait, c’est que lorsqu’il reçoit une approbation ou une réponse à une carte, il utilise cette carte ailleurs. C’est pourquoi l’outil CAPTCHA est très important dans ce cas-ci, parce qu’il l’empêche d’exécuter ce script, ou du moins le rend plus lent, alors il est un peu découragé de tester ces cartes.
La deuxième partie, c’est de définir que votre compte n’est compromis d’aucune façon lorsque cela se produit. C’est juste au-dessus de votre page de passage à la caisse. Il utilise donc votre page de paiement pour effectuer cette opération, mais aucune de vos données n’est compromise.
- CAPTCHA est un excellent outil, n’est-ce pas? OK. Hannan, je vais te poser cette question-là. Et je peux te dire que les mots « la plus » sont en majuscules, alors c’est important. Quelle est la fonction LA PLUS pratique que vous offrez pour lutter contre la fraude?
- En bref, on continue de parler de 3D Secure, et pour expliquer un peu plus en détail, c’est que 3D Secure, c’est vraiment la référence absolue en matière de protection générale contre les débits compensatoires liés à la fraude. Ce serait donc ma réponse courte.
- Eh bien, parlant de débits compensatoires, je vais te poser la prochaine question, alors. En tant que commerçant, comment peut-on empêcher les débits compensatoires?
- On ne peut vraiment pas empêcher les débits compensatoires, parce que c’est le titulaire de carte qui les génère. Mais ce que vous pouvez faire, c’est qu’en adoptant EMV 3D Secure, vous bénéficiez essentiellement d’une protection contre les débits compensatoires liés à la fraude en transférant les débits compensatoires à la banque émettrice. Donc en fin de compte, vous n’avez pas à payer.
- Eh bien, parlant de débits compensatoires, Hannan, la prochaine question est la suivante : pourquoi la banque traite-t-elle des débits compensatoires sans valider l’opération?
- C’est aussi une excellente question. La validation des débits compensatoires se fait vraiment au moyen de 3D Secure. Donc, si un commerçant n’a pas adopté EMV 3D Secure, ce qui signifie qu’il n’a pas eu la possibilité d’utiliser une valeur de l’indicateur de commerce électronique pour la solution de première ligne, la responsabilité générale va incomber au commerçant.
- OK. On va continuer de parler de 3DS Secure à la prochaine question, OK? Hannan, est-ce qu’on peut ajouter 3D Secure si on n’a pas de magasin en ligne et qu’on entre manuellement des cartes par l’intermédiaire de Worldline?
- Je vais donner une réponse nuancée. Vous n’avez pas besoin d’avoir un magasin en ligne, mais ça ne peut pas être une carte entrée manuellement. On offre un certain nombre de solutions que vous pouvez utiliser, comme Générateur de liens à la caisse, qui est une opération amorcée par le titulaire de carte, et qui vous donne accès à EMV 3D Secure. Le principal point à retenir pour vous, en tant que commerçant, c’est que si vous voulez adopter EMV 3D Secure, ça doit être une opération amorcée par le titulaire de carte et non une opération amorcée par le commerçant.
- OK. Je vais te poser quelques autres questions sur 3DS, Hannan. C’est un sujet populaire. Prochaine question : Est-ce que le commerçant n’est jamais responsable s’il utilise 3DS?
- Non. On ne peut pas dire « jamais ». En fin de compte, tout dépend de la valeur de l’indicateur de commerce électronique. Donc, si EMV 3D Secure est activé et installé, tant que vous obtenez une valeur de l’indicateur de commerce électronique acceptée par la banque émettrice, vous obtenez des débits compensatoires liés à la fraude pour ces opérations seulement pour l’authentification.
- OK. De plus, y a-t-il un service de la TD qui peut installer 3D Secure si on n’a pas de spécialistes des TI dans ce domaine?
- On a certainement des spécialistes, comme moi, qui peuvent vous parler de ce type de solution. Si vous n’avez pas de spécialiste des TI, on peut toujours l’activer simplement à l’étape du passage à la caisse. On pourra en parler plus tard hors ligne.
- Excellent. Merci beaucoup. Je vais te donner un peu de répit et je vais laisser Carlos répondre à la prochaine question. Les prochaines questions, je pense. Tu es prêt, Carlos? OK, ça ressemble à une étude de cas. Alors voilà. Comment se fait-il que, si un client change l’adresse de livraison et qu’elle ne correspond pas à l’adresse de facturation, il peut facilement gagner une réclamation de débit compensatoire parce qu’il n’a pas reçu le colis, même si, en tant que commerçant, on peut prouver qu’il a été expédié?
- C’est une question intéressante. Et ce que j’ai mentionné, c’est que c’est du cas par cas. Les débits compensatoires sont évalués en fonction de ça. Et quand vous les contestez, ils sont également évalués au cas par cas.
Ce que je peux dire, c’est que toute opération dont l’adresse de facturation et l’adresse de livraison ne correspondent pas devrait déclencher un examen de la part du commerçant. Avant d’envoyer les produits, vous devez confirmer où ils vont. C’est donc ce que je recommande. Une fois qu’un débit compensatoire est généré, ça dépend de la banque émettrice, qui s’occupe du débit compensatoire. Je n’ai donc pas de solution réaliste ni de remède miracle pour vous expliquer pourquoi.
- C’est tout à fait compréhensible. Merci. Je vais te poser une autre question qui porte sur un scénario. Tu es prêt? Je travaille pour une société de courtage d’assurance. On utilise Magasins en ligne TD pour traiter les polices pour lesquelles on émet des factures de la société. Seulement moi, le directeur du bureau, et un autre membre du personnel, avons accès au traitement des paiements. Tout ce qu’on obtient pour traiter ces paiements, ce sont les renseignements sur la carte de crédit, puis on traite le paiement. La question est la suivante : Devrait-on en faire plus de notre côté pour traiter ces opérations?
- Quand vous traitez des opérations manuellement ou par téléphone, comme on le mentionne dans la question, la vérification de l’adresse et la vérification du CVC sont à votre disposition. Vous pouvez donc toujours entrer plus de renseignements dans le terminal Web pour traiter ces opérations. Vous pouvez ajouter l’adresse. Vous pouvez ajouter le CVC. Et vous allez avoir une réponse de validation de ces deux éléments indiquant s’ils correspondent ou non sur la confirmation de l’opération. Vous pourriez donc utiliser ces outils pour prévenir d’autres fraudes.
On vous recommande également d’avoir un formulaire de préautorisation dans lequel le client vous permet de traiter cette opération et de vous dire qu’il vous a autorisé à traiter sa carte de crédit par téléphone. C’est un niveau de sécurité supplémentaire.
- Excellent. Un formulaire de préautorisation est important. Merci. OK. Je vais te poser une autre question. D’après ce que j’ai entendu, Worldline ou la TD ne donne jamais de garantie complète au commerçant, même si tout ce que vous avez dit est installé. C’est bien ça? Carlos?
- Oui, c’est bien ça. Il n’y a pas d’outil qui vous protège entièrement contre la fraude ou les débits compensatoires. Rien ne peut le garantir. Malheureusement, dans l’écosystème des paiements d’aujourd’hui... on fait l’objet de débits compensatoires ou de fraude. Il n’y a donc pas de garantie complète par rapport à ça, alors oui, c’est exact.
- Pas de solution miracle. OK. La prochaine question, une autre question sur 3DS. Alors, Hannan, prépare-toi. Je reviens à toi. Est-ce que l’installation de 3DS par les commerçants offre une protection complète contre les débits compensatoires, peu importe le stratagème frauduleux?
Je pense que je connais la réponse.
- Oui.
Je sens un thème ici, Kym. Je vais répéter ce que Carlos a dit dans sa réponse précédente. Non, ça n’offre pas de protection complète contre les débits compensatoires, peu importe le stratagème frauduleux. Pour être clair, c’est une référence absolue. Et c’est une approche à plusieurs niveaux qui vous aide à prévenir les débits compensatoires liés à la fraude, mais non, ça n’offre pas de protection contre les débits compensatoires, peu importe le stratagème frauduleux.
- D’accord. OK. Cette question concerne Worldline. Donc Carlos, je vais te poser cette question-là, s’il te plaît. Y a-t-il un groupe de développement au sein de Worldline ou, en fait, de la TD, avec qui notre fournisseur de services de site web peut communiquer pour aider à installer les fonctions de 3DS, la fonction de gestion du risque en lien avec l’adresse IP et d’autres fonctions d’atténuation de la fraude?
- Oui, tout à fait. On a un groupe de soutien et un groupe de soutien technologique qui vont se faire un plaisir de répondre à vos questions. Et s’ils veulent communiquer avec eux, je crois que les numéros de téléphone et les adresses courriel se trouvent dans la présentation. On va toujours se faire un plaisir de répondre à vos questions.
- Excellent. Il ne nous reste que quelques minutes, alors je vais vous poser quelques autres questions avant qu’on se dise au revoir aujourd’hui. Celle-ci concerne les portefeuilles numériques. Alors, Hannan, qu’est-ce que tu dirais de répondre à cette question-ci? En termes simples, quels portefeuilles numériques sont pris en charge?
- Bien sûr. On prend en charge Apple Pay et Click to Pay, tout simplement.
- Merci. Je vais continuer avec toi, Hannan. Est-ce que Worldline et la TD offrent actuellement 3DS pour toutes les marques de cartes?
- C’est offert par Visa, Mastercard et American Express.
- Excellent. Merci. OK. Je continue avec toi, Hannan, et le thème de 3DS. Où peut-on obtenir plus de renseignements sur 3D Secure?
- Bien sûr. Dans les documents de développement qui vont être envoyés. Tout est là. Oui.
- Absolument. Ça serait bon d’ajouter ce lien à vos favoris une fois que vous allez le recevoir. Et Hannan, cette personne aimerait savoir si on peut ajouter Apple Pay et Click to Pay, et comment on peut le faire?
- Bien sûr. Je ne veux pas trop entrer dans les détails, mais ça se trouve dans les documents. Pour faire une histoire courte, avec Apple Pay, vous devez générer un certificat qui sera téléversé dans Magasins en ligne. Pour ce qui est de Click to Pay, il n’y a qu’un processus à suivre. Donc tout va être là. Oui.
- Excellent! On passe à une autre question. C’est une question sur les commandes postales ou téléphoniques. Je veux te la poser, Carlos. En tant qu’entreprise, on prend des paiements par téléphone. Quelles mesures devrait-on prendre pour nous protéger par rapport à ces opérations-là?
- Je pense que je vais juste reprendre la réponse que j’ai déjà donnée. C’est important que vous obteniez l’adresse et le CVC. Vous pouvez vérifier la réponse et ces vérifications quand vous recevez le reçu d’opération. Et si vous avez quelque chose de récurrent, un client que vous facturez de façon récurrente, faites toujours remplir un formulaire de préautorisation.
- OK, super. Je vais donc poser une autre question, et je m’adresse à toi, Hannan. Je les choisis vraiment au hasard, alors allons-y. Dois-je avoir un compte TD pour utiliser le portail de Worldline? C’est une bonne question.
- Oui, c’est une excellente question. En un mot, non. Toutefois, on aimerait avoir l’occasion de faire affaire avec vous.
- Excellent. Et c’est aussi une excellente réponse. Eh bien, merci, messieurs, et merci à l’auditoire. Voilà qui met fin à la discussion du panel d’aujourd’hui. Comme je l’ai mentionné, les réponses aux questions, ainsi que la présentation elle-même, vont vous être envoyées sous peu. Merci encore d’avoir été des nôtres. Et je vous souhaite une excellente fin de journée. Prenez soin de vous. Merci.