> Fraude 3D Not Enrolled… CQFD
Publié par : Olivier le : 31 août 2009
Cas d’école que j’attendais (sans impatience excessive) depuis le 1er octobre dernier : un cas de fraude avec une carte “3D not enrolled”. C’est à dire un paiement frauduleux avec une carte dont le porteur n’a pas été enrollé (inscrit) dans le programme 3D par sa banque. Il restait en juin dernier environ 30% des cartes françaises dans ce cas (selon les chiffres donnés lors de la conférence du GIE CB)
Lors du paiement, le process d’authentification n’est donc pas lancé et le client n’est donc pas mis en rapport avec sa banque, et… il ne lui est pas demandé de s’authentifier…
Dès lors on en revient à la situation d’avant 3DS : une fraude peut “passer” et/ou le porteur peut répudier la transaction.
Hors à l’inverse de SIPS, qui fournit le détail des cas des satuts 3D lors de chaque transaction:
3D success (authentification réussie)
3D not enrolled, (authentification non demandée)
3D attempt, (authentification non obligatoire cette fois…)
3D failure,
3D error…
SPPLUS résume ces statuts juste en : paiement garanti : OUI (3D success)
ou Paiement garanti : NON (tous les autres cas)
On pourrait donc imaginer avec ce vocabulaire, plus qu’approximatif, qu’en cas d’impayé le paiement étant simplement indiqué “non garanti” sera renvoyé vers le commerçant…
Hypothèse confirmée par une conversation avec une opératrice de la hotline SPPLUS il y a quelque mois à ce sujet. Comme je m’évertuais à la convaincre que, dès lors que 3D était implémenté sur le serveur du commerçant, le défaut d’authentification renvoyait la responsabilité, selon les statuts, vers la banque du porteur ou vers la banque du commerçant (selon les cas) mais en aucun cas vers le commerçant, la (fort aimable) demoiselle m’expliqu’a qu’en cas de retour impayé, rien n’était prévu pour savoir si la transaction avait eu lieu sur un serveur 3D ou pas et que dans le doute… il était renvoyé… vers le commerçant 
- Ben voyons ! me dis-je in petto
Je pensais donc bien voir ce cas se présenter un jour ou l’autre… et je fus servi…
En avril ou mai (je ne sais plus) la gendarmerie m’adresse une réquisition concernant une transaction frauduleuse passée sur notre site en date du 12 novembre 2008 ! La carte utilisée est une carte du Credit Agricole et la transaction s’élève à 316,30 euros…
Je transmets les infos demandées (adresse IP du “client”, adresse de livraison etc…) et attends (un peu sournoisement je dois dire) un éventuel avis d’impayé…
Le 14 aout dernier je reçois du centre régional de notre banque l’avis d’impayé daté du 7 août (oauh la Poste !) avec la mention :
Motif du rejet : TRANSACTION VAD NON SECURISEE (SIC !)
Je m’étouffe avec mon croissant et aussitôt mon souffle repris, je décroche mon téléphone pour prendre contact avec le “Responsable du Département Echanges & Monétique” signataire de ma lettre d’impayé… Pas de chance, il est en vacances mais l’un de ses collaborateurs écoute avec bienveillance ma réclamation. En clair : cet impayé ayant eut lieu avec une carte 3D Not enrolled du Credit Agricole, cet impayé doit retourner illico… Vers le Credit Agicole. Il convient de la logique de la chose en regard de la présence sur notre site de la solution 3D secure et du transfert de responsabilité du 1er octobre 2008… et m’annonce qu’il va faire remonter ma demande.
Le 28 aout un mail m’annonce que
“Suite à l’impayé du 7 Août 2009 en objet et après requêtes au niveau national, nous vous informons que cette somme vous est créditée ce jour.”
Ce que la comptabilité me confirme ce matin..
CQFD !
8 réponses vers "> Fraude 3D Not Enrolled… CQFD"
1 septembre 2009 à 8:33
L’histoire ne dis pas non plus de combien va augmenter ta commission bancaire en fin d’année
1 septembre 2009 à 10:31
@Daniel
Pas davantage que si le paiement n’était pas garanti . Ce qui est sûr c’est que statistiquement, même si nous avons toujours été peu exposé à la fraude, le % est devenu très très faible (2 fraudes connues à ce jour en tout et pour tout sur le 1er semestre avec des cartes FR) et un taux d’authentifications 3D réussies de plus en plus important.
1 septembre 2009 à 10:56
Pour information, sur le mois d’Août, nous avons eu 25% des cartes (en nombre et 24% en montant) non enrollée 3Dsecure, à mettre en regard avec les 30% de juin du GIE CB.
3 septembre 2009 à 21:08
Salut ou Bonjour,
Je suis allé sur ton site car je cherchai un ensemble carpe LoL
et étant commerçant je cherchais aussi des info sur cette 3D secure car je suis chez SPPLUS
Je suis tombé sur un des tes anciens articles avant d’arriver sur celui ci.
Dans l’ancien article tu parle que si le paiement est refusé
il n’y a pas de risque d’impayé…
Pardonne moi mais je ne comprend plus trop…
en effet, juste avec la mention paiement garantie en “NON” comment peut-tu savoir que cette CB est du type D secure not enrolled ? (en gros que la carte du client n’est pas soumis a 3D secure).
Est-ce que une CB dont l’origine est France est automatiquement 3Dsecure ?
Merci pour ta réponse.
Enfin les seules carte non garanti 3Dsecure sont les etrangères ? (je veux dire par la que impayé = sous perdu si cela arrive ?)
En effet, j’ai deja eu une carte dont l’origine est angleterre et avec le motif 3dsecure est présent dans la colonne paiement garantie.
Au jour d’aujourd’hui j’envisageais FIA NET qui n’est pas donnée
environ 1200 euro par tranche de 100 000 € de CA
mes marges sont faibles.
a bientot
4 septembre 2009 à 13:59
@Huynh
>Est-ce que une CB dont l’origine est France est automatiquement 3Dsecure ?
Est ce que tu demandes par là si le paiement fait avec une carte FR est automatiquement garanti pour le commerçant, ma réponse est oui…
je m’explique :
- soit la transaction est authentifiée (3D secure OUI). En ce cas la responsabilité est sur le porteur de la carte
- Soit il n’y a pas eu d’authentification (carte non enrollée, erreur technique, authentification facultative pour la banque du porteur etc…) la responsabilité se trouve en fonction de ces cas soit chez la banque du porteur soit chez la banque du commerçant. Pas du cote du commerçant…
- Le seul cas ou un commerçant garde la responsabilité d’un impayé pour une CB française c’est quand il n’a pas implémenté 3D sur sa solution de paiement.
- Pour les cartes etrangères c’est plus compliqué. Pour les pays ou le liability shift (transfert de responsabilité) a été mis en place (la belgique par exemple) on se trouve en théorie dans le même cadre que pour les CB françaises. Pour les cartes US par exemple c’est plus aléatoire… La transaction sera garantie si la banque du porteur adhère au système 3D… mais de toutes façon ça reste beaucoup plus compliqué de faire une réclamation en cas d’arrivée d’un impayé. Si ta transaction anglaise est indiquée 3D secure oui = tu ne peux pas avoir d’impayé.
Avec SPPLUS le problème est que pour l’instant ils se bornent à dire “paiement garanti OUI ou NON” Ce qui est faux. Ils devraient indiquer : authentification réussi OUI ou NON et donner le motif de la non athentification 3D sachant que si c’est une CB française cet échec reste de la responsabilité de la banque du porteur de la carte ou de la banque du commerçant (cas rare) et plus du commerçant. C’est donc juste un problème de présentation côté SPPLUS. C’est ce qu’explique tente d’expliquer mon billet ci dessus
Reste que cette garantie ne doit pas faire perdre de vue qu’il est souhaitable de rester attentif aux fraudes même si elles n’entrainent plus de préjudice direct pour le commerçant. En fin d’année un trop grand nombre de fraudes sur un même site fera augmenter le prix de la transaction ou même on peut imaginer une suspension du contrat… ce qui reviendra à un préjudice indirect mais notable. Donc 3D n’est pas une raison pour fermer les yeux…
Laisser un commentaire
OliverBlog
architectureS
pêche à la mouche
& autres lubies...
e-commerce JDN
- e-commerce > Les fondateurs de Priceminister montent au capital du groupe 25 novembre 2009
- e-commerce > Mistergooddeal.com lance sa carte de paiement avec Cofidis 25 novembre 2009
- e-commerce > Fnac.fr et Conforama.fr vont bientôt changer de propriétaire 24 novembre 2009
- e-commerce > Exclu de Flickr, PhotoBox lance une pétition 24 novembre 2009
- e-commerce > 1,2 million de visiteurs pour le premier jour du Cybermonday 23 novembre 2009
- e-commerce > L'e-opticien Happyview.fr lève près d'un million d'euros 23 novembre 2009
- e-commerce > Deux loueurs de livres en ligne lèvent des fonds aux USA 23 novembre 2009
- e-commerce > Les préparatifs des fêtes font planter eBay aux Etats-Unis 23 novembre 2009
- e-commerce > Leetchi veut aider les internautes pour leurs cadeaux groupés 20 novembre 2009
- e-commerce > 450 e-marchands américains accusés de vente forcée 20 novembre 2009
Fevad
- Le guide d'achat sur internet 20 novembre 2009
- Guide de l'achat en ligne 20 novembre 2009
- Prévisions noël et bilan e-commerce au 3ème trimestre 2009 18 novembre 2009
- 11/09 - Le marché des biens techniques et culturels sur internet 17 novembre 2009
- 11/09 - Enquête sur les intentions dachat des internautes pour Noël 2009 17 novembre 2009
- 11/09 - Classement des sites de e-commerce 2009 au 3ème trimestre 2009 17 novembre 2009
- 11/09 - 5 milliards deuros seront dépenséssur internet à loccasion des fêtes de Noël 17 novembre 2009
- Journée Mondiale de lUtilisabilité 2009 : spécial e-commerce 22 octobre 2009
- 2nde édition de l'étude Médiamétrie Webloyalty : "achat en ligne et fidélité" 20 octobre 2009
- La Fevad et les e-commerçants reçus par Patrick Devedjian 8 octobre 2009
31 août 2009 à 21:51
C’est plutôt rassurant de voir que cela fonctionne. Perso, je n’attends pas ce moment avec impatience.
En revanche, l’histoire ne donne pas d’information sur la nature du client/commande en question, était-ce prévisible ou suspect ?
Alex.
1 septembre 2009 à 9:02
@Alex
Personne n’attend une fraude avec impatience. Quand je dis que je l’attendais “sans impatience excessive” il faut lire “je n’étais pas impatient du tout”. Mon 14eme degré me perdra
Pour le profil de la commande, il était OK… Soit le fraudeur s’est fait livrer chez lui (si si il y en a) soit… je ne vais pas donner la “recette”…
1 septembre 2009 à 9:12
Merci Olivier. J’avais bien saisi le degré élevé de l’attente. Ma remarque sur le screening n’attendait pas une recette, ce serait trop simple, mais il arrive après coup que l’on se dise “effectivement, c’était un peu louche”. Nous avons quitté un opérateur de screening dont le ROI pour nous n’était pas bon vs risque et le faisons avec des heuristiques pas encore au point (pas de positif à ce jour).
Pour nous, le 3Dsecure fonctionne également de mieux en mieux en terme de taux de réussite et surtout d’éducation des usagers, l’usage aura fait petit à petit son travail à défaut d’informations riches des organismes bancaires.
Bonne journée, Alex.