La fraude émetteur et acquéreur

La fraude fait partie du quotidien des porteurs, qui constatent sur leur compte des opérations qui ne sont pas de leur fait ; des commerçants, qui endossent parfois le coût de l’impayé ; et enfin des banques qui mettent en place des stratagèmes afin de la contenir. C’est sur ce dernier volet que s’attardera cet article, à savoir comment les banques s’y prennent pour détecter autant que faire se peut, les opérations frauduleuses.

La détection de la fraude est un problème que l’on retrouve d’une part côté porteur et donc géré par l’émetteur ; et d’autre part côté commerçant et donc géré par l’acquéreur.

La fraude émetteur

La banque émetteur possède un pôle fraude porteur qui permet de traquer l’abus des clients mais aussi, et surtout, de les protéger des arnaques sévissant sur la toile ou des contrefaçons. Voyons les services mises en place dans la chaîne monétique afin d’analyser cette fraude.

Cette gestion de la fraude intervient en deux temps :

  • en temps réel, qui agit sur le comportement du serveur d’autorisation émetteur (SAE) ;
  • a posteriori, qui fait l’objet d’analyse par les gestionnaires de back-office.

Traitement temps réel

Les réseaux interbancaires participent également à la gestion de la fraude. En effet, en croisant plusieurs données et en se basant sur des modèles statistiques, les réseaux fournissent un résultat – appelé score – qui sera transmis dans un champ de la demande d’autorisation. Sur délégation de l’émetteur, ces derniers peuvent même répondre directement à la demande d’autorisation.

Lorsque le serveur d’autorisation émetteur (SAE) reçoit la demande d’autorisation, il effectue à son tour une analyse afin de produire un score, tenant souvent compte de celui du réseau. Par ailleurs, des règles de type comportemental, peuvent être implémentées dans le SAE pour déceler les comportements anormaux du porteur.

Selon que le score dépasse des seuils ou non, le SAE refusera la transaction, demandera un appel phonie (referral) ou acceptera la transaction.

Ces résultats, appelés alertes, sont souvent transmis au back-office pour une analyse a posteriori.

Traitement a posteriori

En plus des alertes temps réel susmentionnées, d’autres alertes sont reçues et analysées par les gestionnaires. Ces alertes proviennent de plusieurs acteurs (réseaux interbancaires, prestataires spécialisés, …) et arrivent par différents canaux (fichier formaté, fax, mail, …). À titre d’exemples et non exhaustif :

  • VISOR (Visa Intelligent Scoring Of Risk)
  • IRIS
  • DEFI

Note : une transaction peut tout à fait être déclarée suspecte par plusieurs acteurs. Cela augmentera le risque que la fraude soit avérée.

Les alertes levées les plus pertinentes, c’est-à-dire ayant les scores les plus élevés, sont ensuite analysées par le gestionnaire. Ce dernier est susceptible d’appeler le titulaire de la carte bancaire afin que ce dernier confirme ou infirme s’il est l’auteur des transactions. S’il n’en est pas l’auteur, la carte sera mise en opposition.

Note : si le titulaire est injoignable, par exemple en vacances, certaines fonctions de la carte peuvent être temporairement désactivées (comme le retrait à l’étranger, etc.) afin de limiter l’impact de la fraude , en attendant une réponse de sa part.

La fraude acquéreur

Côté acquéreur, la gestion de la fraude a également un sens. Il convient de protéger les commerçants mais aussi de repérer les commerçants fraudeurs. On retrouve ainsi la même logique avec des traitements temps réel et a posteriori.

Traitement temps réel

Tout comme pour le SAE, les réseaux interbancaires valorisent à la volée plusieurs champs de la demande d’autorisation afin que le serveur d’autorisation acquéreur (SAA) prenne sa décision. Le SAA embarque également des règles fonctionnelles permettant de gérer le risque acquéreur.

Note : la gestion du risque acquéreur se fait lors de la réponse à l’accepteur. Le SAA peut tout à fait convertir le code réponse valorisé par le SAE.

Traitement a posteriori

Toutes sortes d’opérations comme les autorisations, la compensation, les impayés font l’objet de traitements informatisés afin d’en sortir différentes alertes avec un score associé. Les alertes avec un score élevé seront traitées en priorité par les gestionnaires. Deux types d’alertes existent :

  • alerte comparative ;
  • alerte comportementale.

Alerte comparative

Il s’agit de comparer l’activité du commerçant par rapport à ses habitudes. En effet, un commerçant doublant son chiffre d’affaires en un mois peut être considéré comme suspect. Blanchit-il de l’argent ou pas ? Ou bien la forte croissance est-elle due à son nouveau produit phare ? Seule une analyse manuelle, en visitant par exemple le site du commerçant, éventuellement en l’appelant, permettra de lever le doute.

Alerte comportementale

Il s’agit ici d’étudier le comportement des porteurs chez le commerçant. Si par exemple, plusieurs autorisations de même montant effectuées avec des cartes différentes sont refusées dans un délai rapproché pour raison de cryptogramme erroné et que l’autorisation suivante est acceptée alors il y a de fortes chances que la transaction soit frauduleuse et qu’un groupe de pirate teste un ensemble de cartes sur le site. La banque préviendra donc le commerçant de l’opération potentiellement frauduleuse. Ce dernier demandera alors certainement une photocopie de la carte d’identité du porteur. Au passage, la banque conseillera probablement le cybermarchand d’utiliser un système de protection comme 3D-Secure.

La plupart des banques opère ainsi, mais rien n’est normé ! Chaque banque, qu’elle soit acquéreur ou émetteur, développe ses propres pôles de lutte contre la fraude comme elle l’entend. Elle est libre d’utiliser les outils de son choix, qu’il s’agisse de pro-logiciels qui ont pignon sur rue, ou d’applications internes. Au final, cet outillage peut vite se révéler onéreux, et contribue in fine à l’émergence de joint ventures partagée entre banques, afin de mutualiser les besoins et de partager les coûts.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*