OliverBlog

> Fraude 3D Not Enrolled… CQFD

Posted on: 31 août 2009

pink-pig

Cas d’école que j’attendais (sans impatience excessive) depuis le 1er octobre dernier : un cas de fraude avec une carte « 3D not enrolled ». C’est à dire un paiement frauduleux avec une carte dont le porteur n’a pas été enrollé (inscrit) dans le programme 3D par sa banque. Il restait en juin dernier environ 30% des cartes françaises dans ce cas (selon les chiffres donnés lors de la conférence du GIE CB)

Lors du paiement, le process d’authentification n’est donc pas lancé et le client n’est donc pas mis en rapport avec sa banque, et… il ne lui est pas demandé de s’authentifier…
Dès lors on en revient à la situation d’avant 3DS : une fraude peut « passer »  et/ou  le porteur peut répudier la transaction.

Hors à l’inverse de SIPS, qui fournit le détail des cas des satuts 3D lors de chaque transaction:

3D success (authentification réussie)
3D not enrolled, (authentification non demandée)
3D attempt, (authentification non obligatoire cette fois…)
3D failure,
3D error…

SPPLUS résume ces statuts juste en : paiement garanti : OUI (3D success)
ou Paiement garanti : NON (tous les autres cas)

On pourrait donc imaginer avec ce vocabulaire, plus qu’approximatif, qu’en cas d’impayé le paiement étant simplement indiqué « non garanti » sera renvoyé vers le commerçant…

Hypothèse confirmée par une conversation avec une opératrice de la hotline SPPLUS il y a quelque mois à ce sujet. Comme je m’évertuais à la convaincre que, dès lors que 3D était implémenté sur le serveur du commerçant, le défaut d’authentification renvoyait la responsabilité, selon les statuts, vers la banque du porteur ou vers la banque du commerçant (selon les cas) mais en aucun cas vers le commerçant, la (fort aimable) demoiselle m’expliqu’a qu’en cas de retour impayé, rien n’était prévu pour savoir si la transaction avait eu lieu sur un serveur 3D ou pas et que dans le doute… il était renvoyé… vers le commerçant😉
– Ben voyons ! me dis-je in petto
Je pensais donc bien voir ce cas se présenter un jour ou l’autre… et je fus servi…

En avril ou mai (je ne sais plus) la gendarmerie m’adresse une réquisition concernant une transaction frauduleuse passée sur notre site en date du 12 novembre 2008 ! La carte utilisée est une carte du Credit Agricole et la transaction s’élève à 316,30 euros…
Je transmets les infos demandées (adresse IP du « client », adresse de livraison etc…) et attends (un peu sournoisement je dois dire) un éventuel avis d’impayé…

Le 14 aout dernier je reçois du centre régional de notre banque l’avis d’impayé daté du 7 août (oauh la Poste !) avec la mention :

Motif du rejet : TRANSACTION VAD NON SECURISEE (SIC !)
Je m’étouffe avec mon croissant et aussitôt mon souffle repris, je décroche mon téléphone pour prendre contact avec le « Responsable du Département Echanges & Monétique » signataire de ma lettre d’impayé… Pas de chance, il est en vacances mais l’un de ses collaborateurs écoute avec bienveillance ma réclamation. En clair : cet impayé ayant eut lieu avec une carte 3D Not enrolled du Credit Agricole, cet impayé doit retourner illico… Vers le Credit Agicole. Il convient de la logique de la chose en regard de la présence sur notre site de la solution 3D secure et du transfert de responsabilité du 1er octobre 2008… et m’annonce qu’il va faire remonter ma demande.

Le 28 aout un mail m’annonce que
« Suite à l’impayé du 7 Août 2009 en objet et après requêtes au niveau national, nous vous informons que cette somme vous est créditée ce jour. »

Ce que la comptabilité me confirme ce matin..

CQFD !

14 Réponses to "> Fraude 3D Not Enrolled… CQFD"

C’est plutôt rassurant de voir que cela fonctionne. Perso, je n’attends pas ce moment avec impatience.
En revanche, l’histoire ne donne pas d’information sur la nature du client/commande en question, était-ce prévisible ou suspect ?

Alex.

@Alex
Personne n’attend une fraude avec impatience. Quand je dis que je l’attendais « sans impatience excessive » il faut lire « je n’étais pas impatient du tout ». Mon 14eme degré me perdra😉
Pour le profil de la commande, il était OK… Soit le fraudeur s’est fait livrer chez lui (si si il y en a) soit… je ne vais pas donner la « recette »…

Merci Olivier. J’avais bien saisi le degré élevé de l’attente. Ma remarque sur le screening n’attendait pas une recette, ce serait trop simple, mais il arrive après coup que l’on se dise « effectivement, c’était un peu louche ». Nous avons quitté un opérateur de screening dont le ROI pour nous n’était pas bon vs risque et le faisons avec des heuristiques pas encore au point (pas de positif à ce jour).

Pour nous, le 3Dsecure fonctionne également de mieux en mieux en terme de taux de réussite et surtout d’éducation des usagers, l’usage aura fait petit à petit son travail à défaut d’informations riches des organismes bancaires.

Bonne journée, Alex.

L’histoire ne dis pas non plus de combien va augmenter ta commission bancaire en fin d’année😉

@Daniel
Pas davantage que si le paiement n’était pas garanti😉. Ce qui est sûr c’est que statistiquement, même si nous avons toujours été peu exposé à la fraude, le % est devenu très très faible (2 fraudes connues à ce jour en tout et pour tout sur le 1er semestre avec des cartes FR) et un taux d’authentifications 3D réussies de plus en plus important.

Pour information, sur le mois d’Août, nous avons eu 25% des cartes (en nombre et 24% en montant) non enrollée 3Dsecure, à mettre en regard avec les 30% de juin du GIE CB.

Salut ou Bonjour,

Je suis allé sur ton site car je cherchai un ensemble carpe LoL
et étant commerçant je cherchais aussi des info sur cette 3D secure car je suis chez SPPLUS

Je suis tombé sur un des tes anciens articles avant d’arriver sur celui ci.

Dans l’ancien article tu parle que si le paiement est refusé
il n’y a pas de risque d’impayé…
Pardonne moi mais je ne comprend plus trop…
en effet, juste avec la mention paiement garantie en « NON » comment peut-tu savoir que cette CB est du type D secure not enrolled ? (en gros que la carte du client n’est pas soumis a 3D secure).

Est-ce que une CB dont l’origine est France est automatiquement 3Dsecure ?

Merci pour ta réponse.

Enfin les seules carte non garanti 3Dsecure sont les etrangères ? (je veux dire par la que impayé = sous perdu si cela arrive ?)
En effet, j’ai deja eu une carte dont l’origine est angleterre et avec le motif 3dsecure est présent dans la colonne paiement garantie.

Au jour d’aujourd’hui j’envisageais FIA NET qui n’est pas donnée
environ 1200 euro par tranche de 100 000 € de CA

mes marges sont faibles.

a bientot

@Huynh
>Est-ce que une CB dont l’origine est France est automatiquement 3Dsecure ?
Est ce que tu demandes par là si le paiement fait avec une carte FR est automatiquement garanti pour le commerçant, ma réponse est oui…
je m’explique :
– soit la transaction est authentifiée (3D secure OUI). En ce cas la responsabilité est sur le porteur de la carte
– Soit il n’y a pas eu d’authentification (carte non enrollée, erreur technique, authentification facultative pour la banque du porteur etc…) la responsabilité se trouve en fonction de ces cas soit chez la banque du porteur soit chez la banque du commerçant. Pas du cote du commerçant…
– Le seul cas ou un commerçant garde la responsabilité d’un impayé pour une CB française c’est quand il n’a pas implémenté 3D sur sa solution de paiement.

– Pour les cartes etrangères c’est plus compliqué. Pour les pays ou le liability shift (transfert de responsabilité) a été mis en place (la belgique par exemple) on se trouve en théorie dans le même cadre que pour les CB françaises. Pour les cartes US par exemple c’est plus aléatoire… La transaction sera garantie si la banque du porteur adhère au système 3D… mais de toutes façon ça reste beaucoup plus compliqué de faire une réclamation en cas d’arrivée d’un impayé. Si ta transaction anglaise est indiquée 3D secure oui = tu ne peux pas avoir d’impayé.

Avec SPPLUS le problème est que pour l’instant ils se bornent à dire « paiement garanti OUI ou NON » Ce qui est faux. Ils devraient indiquer : authentification réussi OUI ou NON et donner le motif de la non athentification 3D sachant que si c’est une CB française cet échec reste de la responsabilité de la banque du porteur de la carte ou de la banque du commerçant (cas rare) et plus du commerçant. C’est donc juste un problème de présentation côté SPPLUS. C’est ce qu’explique tente d’expliquer mon billet ci dessus

Reste que cette garantie ne doit pas faire perdre de vue qu’il est souhaitable de rester attentif aux fraudes même si elles n’entrainent plus de préjudice direct pour le commerçant. En fin d’année un trop grand nombre de fraudes sur un même site fera augmenter le prix de la transaction ou même on peut imaginer une suspension du contrat… ce qui reviendra à un préjudice indirect mais notable. Donc 3D n’est pas une raison pour fermer les yeux…

Bonjour,
Pour ma part, je viens d’être victime d’une fraude importante alors
que ma Banque (CIC) m’a installé 3DS depuis plus d’un an; sans
m’en avertir.
Il s’agit de ventes datant du 05/02/10
Elle m’a débité le 01/04/10; eh, oui ça ne s’invente pas ..
à titre de justificatif, elle m’a transmis le N° de la carte (utilisée plusieurs fois) et le motif : 4837: transaction contestée par le porteur.
Existe-t-il un texte juridique permettant de contester ?
La fraude porte sur 6500e
Merci

L’attention est portée sur le fait que les transactions de paiement sont garanties exclusivement contre les impayés du type « Transaction non-reconnue par le porteur » (cf. liste ci-dessous).

Cartes Visa
Reason Code 83 : Fraudulent Mail, Phone Order or Electronic Commerce
Reason Code 75 :Cardholder does not recognize transaction

Cartes Mastercard
Reason Code 4837 No Cardholder Authorization
Reason Code 4863 Cardholder Not Recognized

Cette garantie ne s’applique notamment pas aux impayés liés à un « LITIGE COMMERCIAL ». Ce litige étant indépendant de l’opération de paiement, il doit être réglé entre le Commerçant et le Porteur de la carte (acheteur).

Pour parler en bon français :
Si l’acheteur conteste un débit pour « motif fraude » le commerçant est couvert.
Si l’acheteur conteste un débit pour « motif litige commercial », le commerçant n’est pas couvert.

Il faut donc que vous analysiez le motif de l’impayé que vous avez reçu.

J’ai enfin l’impression d’avoir lu des choses censées sur 3D-Secure, cela me fait un bien fou. Tout simplement : MERCI ! Il est vraiment difficile de trouver des choses censées sur 3D-Secure.
J’ai une question : je vais vendre à des étrangers sur mon site web en utilisant Ogone. Est-il possible de dire que l’on ne souhaite que les paiements avec les CB enrollées 3D-Secure et d’office refuser les autres ?
Merci d’avance pour votre réponse.

Actuellement en questionnement sur des achats faits sur notre site à 5 reprises depuis l’italie avec des mastercards CAN et USA avec la mention 3DNOTENROLLED nous attendons toujours la réponses de la HSBC sur la garantie de ces paiements !!!
Vos commentaires nous ont apporté des réponses pour des achats en France qu’en est-il pour l’etranger ? Si vous avez une réponse. Merci . Moguem.

eu le cas l’année dernière sur un paiement en provenance de UK avec une carte US (premier paiement échoué et second not enrolled). Du remboursé le montant, mais notre système d’analyse nous avait conseillé de ne pas expédier, donc pas de domage.

En tout cas, inflexibilité de notre banque sur le sujet, donc pas évident pour vous.

Alex.

Merci pour ce témoignage qui ne laisse rien augurer de bon pour nous d’autant que 3 colis ont été expédiés sur les 5 !!! Moguem

Les commentaires sont fermés.

OliverBlog

E-commerce
architectureS
pêche à la mouche
& autres lubies...

Retrouvez-moi sur Twitter

RSS e-commerce JDN

  • Une erreur est survenue ; le flux est probablement indisponible. Veuillez réessayer plus tard.
%d blogueurs aiment cette page :