Les pertes financières mondiales dues à la fraude par carte sont vraiment stupéfiantes. Un récent rapport Nilson prévoit que plus de 408 milliards de dollars seront perdus au cours de la prochaine décennie. La fraude par carte de crédit au Royaume-Uni est actuellement à son plus haut depuis cinq ans, selon Forbes.
Les restaurants (comme partout où les paiements par carte sont acceptés) ont toujours été une cible. Cependant, beaucoup de choses ont changé pour les entreprises de restauration tout au long du pic de la pandémie. Dans son sillage, beaucoup de ces changements demeurent.
Pendant les périodes de confinement, les entreprises de restauration ont été contraintes de s’adapter ou de mourir. Beaucoup ont adopté les services de livraison à emporter et ont dû mettre en place de nouvelles façons de traiter les paiements des clients à distance. Cela a exposé les restaurants à un nombre beaucoup plus élevé de transactions « carte non présente », qui représentent 80 % des pertes dues à la fraude par carte.
Ce qui est particulièrement intéressant, c’est que les habitudes de consommation acquises pendant le confinement sont restées inchangées.
Selon une étude de la British Takeaway Campaign, 32 % des personnes ont déclaré qu’elles continueraient à commander davantage de plats à emporter après la pandémie. 31% ont déclaré qu’ils « mangeraient moins au restaurant à l’avenir ». La pandémie n’est pas terminée, et bien qu’une promenade du vendredi soir dans une rue commerçante puisse en convaincre certains que les choses sont « revenues à la normale », de nombreuses personnes ont changé leurs habitudes – peut-être de façon permanente.
Parallèlement à la popularité continue de services tels que Deliveroo et JustEat, ce changement de comportement des consommateurs signifie que les restaurants opèrent dans un environnement de plus en plus sans numéraire. C’est un environnement où les risques de fraude à la carte sont omniprésents.
Les entreprises de restauration doivent donc faire tout ce qui est en leur pouvoir pour minimiser leur exposition aux pertes financières, tout en offrant aux clients un moyen simple de payer leur nourriture, qu’ils choisissent de manger à l’extérieur ou de dîner à la maison.
Construire une prise de conscience de la responsabilité de la fraude à la carte est une première étape clé. La manière dont les paiements sont prélevés peut déterminer si cette responsabilité incombe à l’émetteur de la carte ou au commerçant (le restaurant ou les plats à emporter). Encourager les clients à payer en utilisant des méthodes où la responsabilité incombe à l’émetteur est essentiel.
Ci-dessous, nous explorons les aspects pratiques et examinons comment les entreprises de restauration peuvent minimiser leurs risques.
Au restaurant : Transactions avec présentation de carte
Pour les transactions « carte présente », la règle d’or est que les transactions à puce et à code PIN et sans contact présentent moins de risques que celles utilisant le paiement par piste magnétique (swipe). En effet, la responsabilité en cas de fraude sur puce et code PIN et sans contact incombe à l’émetteur de la carte.
Le 1er octobre 2015, la responsabilité en cas de fraude sur les transactions Magstripe a été transférée au commerçant, un événement connu sous le nom de « transfert de responsabilité ». Cela signifie que les transactions par balayage présentent désormais plus de risques de perte financière pour une entreprise.
Alors que certains pays (comme le Royaume-Uni) se sont presque entièrement éloignés des transactions par balayage, elles sont toujours présentes dans d’autres pays comme les États-Unis. Alors que la grande majorité des nouvelles cartes sont équipées d’une puce, certaines entreprises ne disposent pas encore des lecteurs de cartes EMV nécessaires pour les lire.
Mastercard déclare qu’à partir de 2024, les émetteurs ne seront plus tenus d’inclure une bande magnétique sur les nouvelles cartes. Cependant, ils ne seront pas entièrement supprimés avant 2033. En tant que tels, les restaurants peuvent continuer à s’attendre à voir des paiements par balayage occasionnels.
Les deux principales mesures d’atténuation pour les restaurants sont simples :
- Investissez dans la technologie POS pour accepter les paiements par puce et code PIN et sans contact.
- Exercez un contrôle minutieux lors de l’acceptation des paiements Magstripe, en sachant que la responsabilité en cas de fraude incombe à l’entreprise.
Ordres de livraison : transactions sans carte
Les transactions sans carte présentent différents défis.
Les restaurants et les plats à emporter qui ne sont pas en vue d’une carte de paiement s’exposent à un risque de fraude plus élevé. Essentiellement, la seule façon de prendre une commande à emporter où la responsabilité de la fraude incombe à l’émetteur de la carte est de le faire via un site de commerce électronique qui utilise la technologie 3D Secure.
Les entreprises ont ici deux options : elles peuvent s’assurer qu’elles utilisent des applications et des cadres de site Web prenant en charge 3D Secure, ou exécuter toutes leurs commandes à emporter via un service tiers tel que JustEat ou UberEats. Comme le dit le fournisseur de point de vente Sunday, cela « enlève le poids du paiement CNP des épaules de la plupart des propriétaires de restaurant ».
Mais qu’en est-il des commandes téléphoniques ?
Évidemment, les restaurateurs ne veulent pas les refuser et certains préfèrent opérer avec la touche personnelle du service téléphonique. Le problème est que cela augmente le risque de fraude par carte de débit ou de crédit. Et pour les commandes par téléphone (ainsi que pour le commerce électronique non 3D Secure), la responsabilité en cas de fraude incombe au restaurant.
Il existe différentes façons d’atténuer le risque. L’une consiste à collecter autant de données que possible sur chaque client, qui peuvent ensuite être rapidement analysées au cours du processus de prise de commande.
Par exemple:
- L’utilisation d’un système téléphonique avec identification de l’appelant peut donner immédiatement accès au numéro de téléphone du client – celui-ci peut ensuite être utilisé à des fins d’enrichissement des données (comme ci-dessous).
- Demander le numéro de téléphone du client pour faire référence à l’identification de l’appelant.
- La collecte d’une adresse e-mail fournit un point de données supplémentaire.
- Collecte des informations complètes de la carte, y compris le code CVV et l’adresse et le code postal associés.
Les restaurants avec un débit élevé de commandes téléphoniques peuvent envisager une solution de prévention de la fraude qui permet l’utilisation de techniques d’enrichissement des données. Le numéro de téléphone et/ou l’adresse e-mail du client pourraient être recoupés avec une foule de données librement accessibles – en temps réel, pendant que la commande est en cours.
Cela peut signaler des anomalies, telles que des numéros de téléphone portables «jetables» ou virtuels, plutôt que ceux liés à un fournisseur reconnu. De même, une adresse e-mail qui n’est pas liée à un nombre prévu de réseaux sociaux et de comptes en ligne peut éveiller les soupçons.
En intégrant ces vérifications dans le système de commande, les commandes suspectes peuvent être signalées pour des vérifications manuelles supplémentaires ou pour être rejetées.
Il y a trois règles clés que les restaurateurs doivent retenir pour réduire leur responsabilité en cas de fraude à la carte :
- Évitez les paiements Magstripe dans la mesure du possible.
- Faites passer les commandes à emporter via des systèmes conformes à 3D Secure, dans la mesure du possible.
- Mettre en place des contrôles supplémentaires sur les transactions « carte absente » organisées par téléphone.
Non seulement ces vérifications minimisent le risque d’être victime de fraude en premier lieu, mais elles facilitent également la preuve de la diligence raisonnable en cas de réclamation ou de litige de rétrofacturation.
