Cet article est écrit par Christophe Davy, dirigeant de Brand Online Commerce, qui est « l’invité permanent » de François sur ce blog.
En relisant ce témoignage de Laurent Pavoine, l’excellent patron de Mageekstore, je me repose la question de l’impact de la fraude familiale sur le e-commerce.
Mais qu’appelle-t-on « fraude familiale » ? Tout simplement un achat réalisé avec un moyen de paiement à l’insu du titulaire de ce moyen de paiement (comme dans une fraude classique), mais avec un fraudeur qui est une personne de l’entourage du fraudé. En clair, le plus souvent, le fils ou la fille de la famille.
Les gros sites de e-commerce connaissent bien la fraude familiale, qui est de leur propre aveu (je l’ai entendu dans une conférence EBG en 2009) beaucoup plus dommageable que la fraude professionnelle. Et pour une raison très simple : elle est plus difficile à détecter.
L’ « avantage » avec les fraudeurs professionnels, c’est que comme tous professionnels ils ont mis au point des méthodes, et qu’ils les font systématiquement appliquer par des « collaborateurs » payés à acheter toute la journée des produits sur des sites marchands. Une fois la méthodologie cernée (montant du panier moyen, contenu du panier, structuration de l’adresse email,…), il est assez aisé de bloquer les commandes douteuses avant le shipping, et ainsi de ne pas être perdant dans l’affaire.
Avec la fraude familiale, il n’y a par définition pas de règle. Du petit jeune qui dépense 800 euros d’un coup (le cas Mageekstore) au plus futé qui essaime ses achats sur des petits montants dans l’espoir que cela passe inaperçu auprès de ses parents, la variété des méthodes est à l’image de l’amateurisme du fraudeur. Du coup, pour le marchand, le réveil est souvent douloureux lorsque tombe l’annonce du remboursement au client pour cause de « fraude à la carte bancaire ».
Et ce qui est le plus embêtant pour le marchand, c’est que lorsque le fraudé se réveille auprès de sa banque, il est de totale bonne foi ! Même un détecteur de mensonge ne broncherait pas ! Le marchand doit alors passer beaucoup de temps à expliquer au fraudé que cela pourrait venir de chez lui, preuves à l’appui (notamment l’adresse de livraison, souvent connue du fraudé, et l’e-mail du client – tiens, mais c’est l’e-mail de mon fils !). Parfois cela permet de récupérer les sommes, parfois pas. Dans tous les cas, cela coûte du temps, et donc de l’argent.
Et maintenant, le débit suspect que vous avez relevé il y a 6 mois sur votre compte, hurlant auprès de votre banquier que la sécurité des cartes bancaires était vraiment faible de nos jours, vous pourriez imaginer que cela soit votre petite tête blonde chérie qui vous a joué un tour ? La fraude familiale, ce n’est pas que chez les autres…
Avec 3DSecure normalement la fraude familiale devrait s’éradiquer.
En effet le principe de l’authentification dynamique via la réception d’un code unique par SMS va se généralise progressivement…….si les parents ne laissent pas trainer le téléphone.
Si le Commerçant passe par 3DSecure la « transaction frauleuse avec ce cas familial » ne sera pas attribuée au Commerçant, mais à la banque émettrice de la carte (celle des parents).
Si la banque n’utilise pas encore un process d’authentification forte (code sms) et passe encore via le principe de la « date de naissance » (que l’enfant doit connaitre…), là encore l’éventuel impayé n’est pas à la charge du Commerçant.
La banque des parents devrait cependant pas assumer seule l’impayé, et se rapprochera du titulaire de la carte et comprendre avec lui pour quelle raison il y a eu authentifaction réussie ?
Dans la logique des choses, le parents tenteront de comprendre pourquoi l’enfant à dans sa chambre un plasma tout neuf !
@Frederic> Oui, sauf que 3DS, aujourd’hui, ça va ça vient !
Exemple, j’ai acheté des billets sur Air France, Sans 3DS, alors que, normalement, cette fonction est activée sur ce site.
@François > J’ai acheter aussi des billets sur AF dimanche j’ai bien eu une page de confirmation 3Dsecure de La Banque Postale !
Mais bon souvent c’est la date de naissance qui est demandé … donc facile pour un membre de la famille de savoir.
Si en france, c’est la date de naissance qui sert de code d’identification, facebook est indirectement le plus grand fournisseur de codes 3dsecure ! …