Fraude sur terminaux de paiement : comment vous protéger ?

Le terminal de paiement électronique (TPE) est un équipement essentiel pour tout commerce physique, garantissant rapidité et fiabilité des encaissements. Pourtant, chaque année, des milliers d’entreprises subissent des pertes financières importantes à cause de fraude sur terminaux de paiement. Tous les commerçants sont concernés, particulièrement les secteurs à forte affluence comme la restauration.

Le terminal de paiement est aussi la cible privilégiée des fraudeurs, notamment sur les lieux à forte densité touristique. Il peut être la cible de différentes fraudes, qu’il est nécessaire de connaitre pour s’en prémunir.

L’échange de terminal de paiement

Qu’est-ce que l’échange de terminal de paiement ?

L’échange de terminal de paiement est une technique de fraude courante, ciblant les commerces physiques, notamment ceux disposant d’un flux client important. Le principe est simple mais redoutablement efficace : un fraudeur substitue le terminal de paiement du commerçant par un terminal pirate, en profitant d’un moment d’inattention. Ce terminal pré-paramétré redirige les paiements vers un autre compte bancaire que celui du commerçant, souvent à l’étranger.

Cette fraude peut également concerner les QR codes statiques apposés sur les comptoirs. Dans ce cas, le fraudeur remplace le QR code authentique par un faux, dirigeant les encaissements vers son propre compte, depuis une page de paiement en ligne.

Le caractère insidieux de ces manipulations repose sur leur exécution rapide et discrète, souvent en moins d’une minute.

Pourquoi cette fraude est-elle dangereuse pour les commerçants ?

Les conséquences de l’échange de terminal ou d’un QR code peuvent être dramatiques :

• Perte directe du chiffre d’affaires : les transactions sont encaissées par le fraudeur et non par le commerçant.
• Dégradation de la confiance des clients : un client règle l’achat sans que le commerçant reçoive le paiement. Cela peut engendrer des litiges commerciaux et une méfiance du client.
• Difficulté à détecter rapidement la fraude : tant que les anomalies ne sont pas constatées dans les flux bancaires, la fraude peut passer inaperçue.

De plus, les pertes peuvent s’accumuler sur plusieurs jours, voire semaines, si le commerçant ne procède pas à des vérifications régulières. Cela peut impacter gravement la trésorerie d’un commerce, en particulier les commerces saisonniers.

Comment reconnaître un terminal piraté ?

Plusieurs signes doivent alerter :

• Absence de visibilité des paiements du TPE sur l’interface de suivi des transactions en temps réel (Back office). En effet, les paiements réalisés sur un terminal piraté ne remontent pas dans cet outil de pilotage.
• Absence d’encaissement sur le compte bancaire alors que les paiements ont été confirmés sur le TPE.
• Messages inhabituels sur l’écran du terminal, comme des alertes techniques ou des codes d’erreur.
• Apparence modifiée du TPE : coque, autocollants d’assistance ou de marque, usure incohérente.
• Informations erronées sur les tickets : identifiant commerçant, nom de l’enseigne, numéros de banque incorrects.

Une vérification quotidienne des tickets émis, des télécollectes, et des flux bancaires est essentielle pour repérer rapidement ces anomalies.

Que faire en cas de suspicion ou d’échange avéré ?

Si le commerçant suspecte une fraude ou constate un échange de TPE, il doit :

• Isoler immédiatement le terminal suspect : le débrancher, ne plus l’utiliser, et le mettre à l’écart du comptoir.
• Contacter le prestataire de paiement pour obtenir une analyse rapide des flux de transaction et vérifier l’origine du terminal.
• Remplacer le TPE par un équipement sûr fourni par un fournisseur certifié.
• Rassembler les preuves : les tickets, les captures d’écran ou les vidéos de surveillance peuvent être utiles pour l’enquête.
• Déposer plainte auprès des autorités compétentes si les pertes sont confirmées.

Une prise en charge rapide permet non seulement de limiter les pertes mais aussi d’éviter une répétition du scénario dans le futur.

Les bons réflexes pour prévenir la fraude

Eviter cette fraude, repose avant tout sur la vigilance quotidienne, le respect des procédures et l’implication du personnel. En intégrant ces réflexes au quotidien, les commerces peuvent éviter les pertes financières liées à cette fraude, protéger leur clientèle et maintenir une activité sûre et fluide.

• Ne jamais laisser un TPE sans surveillance : lors des heures d’ouverture comme de fermeture, il faut s’assurer que le terminal soit toujours visible et accessible uniquement au personnel autorisé.
• Apposer un marquage distinctif : un autocollant unique, une étiquette ou une marque au feutre sur le terminal permet de le reconnaître instantanément. Ce signe sert aussi de dissuasion visible.
• Former les équipes : sensibiliser les employés aux risques d’usurpation, à l’importance de vérifier l’identité de tout intervenant technique, et aux signes avant-coureurs d’une fraude.
• Vérifier les tickets et les télécollectes : en fin de journée, le commerçant doit s’assurer que les montants, les identifiants commerçant et les codes banque sont corrects.
• Inspecter les QR codes : dans le cas d’encaissement par QR code statique, il faut le tester et vérifier que l’URL de la page est la bonne.

Les autres fraudes sur les terminaux de paiement

La duplication du terminal de paiement

Grâce aux informations sur un ticket acheteur, le fraudeur peut paramétrer un terminal lui appartenant pour effectuer des remboursements sur ces propres cartes.

Cette fraude s’identifie en suivant quotidiennement le nombre de remboursements effectués par le terminal.

En cas de suspicion, il est conseillé de :

• Contacter son prestataire de paiement pour bloquer les cartes utilisées dans ces remboursements,
• Changer le terminal pour avoir de nouveaux paramètres

L’appel du support technique

Un fraudeur peut contacter un commerçant en usurpant l’identité du support technique ou de la banque ayant fournie le terminal. En prétextant un problème sur ce dernier, il peut inciter le commerçant à procéder à des manipulations à distance ou proposer son remplacement.

Il existe aussi le cas où le fraudeur se fait passer pour un agent d’opérateur de téléphonie pour installer un nouveau téléphone IP ou répéteur wifi. Ce système permet de récupérer tout ou en partie les flux du terminal de paiement et de les renvoyer, via internet, vers une autre adresse IP.

Afin de ne pas attirer l’attention de la victime, le fraudeur peut choisir de détourner et prélever un faible pourcentage des paiements, rendant la découverte de la fraude tardive pour le commerçant.

Pour se prémunir de ce type de fraude, le commerçant doit refuser toute demande sans avoir vérifié l’identité du demandeur. Il est préférable de rappeler le support sur le numéro habituel pour vérifier l’origine de l’appel.

Le remboursement frauduleux

Cette fraude est très courante. Le fraudeur achète un produit avec une carte volée et revient quelques jours plus tard pour se faire rembourser. Le remboursement se fait sur une autre carte qui lui appartient cette fois-ci.

Lorsque le véritable propriétaire de la carte volée signale la fraude, sa banque annule la transaction initiale. Le commerçant se retrouve avec un impayé.

Le commerçant doit toujours effectuer le remboursement sur la même carte que celle utilisée pour l’achat. Ne jamais rembourser sur une carte différente.