Contestations pour achat non autorisé sur Shopify : ce qu'il faut vérifier avant de soumettre votre réponse

Vous pouvez perdre avant même que l'émetteur lise vos preuves

Les contestations pour achat non autorisé masquent souvent des défaillances opérationnelles plutôt que des lacunes dans les preuves. Le marchand qui a expédié une commande de 500 € avec AVS Y, correspondance CVV et confirmation de livraison — et qui a quand même perdu — n'a pas perdu parce que les preuves manquaient. Il a perdu parce que les preuves ne comblaient pas les lacunes que l'émetteur examinait réellement.

Avant de toucher au formulaire de réponse dans Shopify Admin, ouvrez la commande et vérifiez quatre éléments : les signaux d'analyse de fraude, les résultats AVS/CVV enregistrés sous Détails du paiement, le dossier d'exécution incluant l'adresse de livraison utilisée, et toute communication client consignée dans les notes de commande. Si l'un de ces éléments est incomplet ou absent, le dossier de preuves que vous vous apprêtez à soumettre présente un problème structurel qu'aucune lettre d'accompagnement ne résoudra. Le statut Shopify Protect — PROTÉGÉ, ACTIF ou absent — doit également être confirmé avant de décider de contester ou d'accepter. Si la commande est PROTÉGÉE, Shopify absorbe la perte et aucune réponse de votre part n'est requise.

Visa 10.4 et Mastercard 4837 : ce qu'exige réellement chaque réseau

Ces deux codes de motif signifient que le titulaire de carte affirme ne pas avoir autorisé la transaction. Les règles des réseaux divergent sur ce dont vous avez besoin pour les réfuter.

Le code de motif Visa 10.4 — Fraude sans présentation de carte — vous oblige à démontrer que la transaction a été autorisée et que vous avez respecté les procédures d'acceptation sans présentation de carte de Visa. En pratique, les règles de Visa accordent un poids considérable à l'authentification 3D Secure. Si vous disposez d'un résultat 3DS entièrement authentifié (ECI 05 pour Visa), la responsabilité est transférée à l'émetteur et la contestation ne devrait pas survivre — les règles de Visa interdisent à l'émetteur de déposer un 10.4 sur une transaction entièrement authentifiée. Si vous disposez d'une tentative d'authentification (ECI 06), vous bénéficiez d'une protection partielle, mais l'émetteur peut toujours déposer une contestation. Sans 3DS du tout, vous argumentez uniquement sur la base des preuves. Visa s'attend également à ce que vous démontriez que l'AVS a été vérifié et que vous avez agi en conséquence — expédier vers une adresse qui ne correspondait pas à l'AVS sans documenter la raison pour laquelle vous avez procédé constitue une responsabilité, et non un fait neutre.

Le code de motif Mastercard 4837 — Aucune autorisation du titulaire de carte — fonctionne de manière similaire, mais avec des exigences documentaires différentes. Mastercard accorde un poids plus explicite au fait que la transaction a été traitée avec un code d'autorisation valide et à votre capacité à démontrer que les données de la carte ont été saisies par quelqu'un ayant accès au compte. Un résultat 3DS entièrement authentifié (ECI 02 pour Mastercard) transfère également la responsabilité. Sans 3DS, Mastercard s'attend à ce que vous démontriez que les données de la transaction correspondaient au profil du titulaire de carte — adresse de facturation, appareil, historique comportemental — et que vous aviez des motifs raisonnables de croire que le titulaire avait autorisé la transaction. Les règles de Mastercard permettent également aux émetteurs de déposer un 4837 même lorsque l'AVS correspond, donc ne traitez pas AVS Y comme une défense autonome au niveau du réseau.

La différence pratique : pour Visa 10.4, votre défense unique la plus solide est un résultat 3DS entièrement authentifié. Pour Mastercard 4837, la barre est légèrement plus globale — Mastercard souhaite voir un ensemble de signaux d'autorisation, et non une seule preuve décisive. Dans les deux cas, si vous n'avez pas de 3DS, vous construisez un dossier à partir de preuves circonstancielles superposées, et chaque lacune dans cette pile est un point que l'émetteur peut utiliser contre vous.

La pile de preuves d'autorisation : ce que prouve chaque signal et où il échoue

Six signaux apparaissent le plus souvent dans les réponses aux contestations pour achat non autorisé. Aucun d'eux ne prouve l'autorisation à lui seul. Voici ce que chacun établit réellement — et ce qu'il n'établit pas.

AVS (Service de vérification d'adresse). AVS Y confirme que l'adresse de facturation fournie par le titulaire de carte lors du paiement correspondait à l'adresse enregistrée auprès de l'émetteur. Cela ne prouve pas que le titulaire a saisi cette adresse — un fraudeur ayant accès aux informations de facturation passe AVS Y sans difficulté. Utilisez AVS Y comme signal corroborant, et non comme défense autonome. Une non-correspondance AVS est pire que neutre : si l'AVS a retourné une correspondance partielle ou nulle et que vous avez quand même expédié sans documentation, l'émetteur traitera cela comme la preuve que vous avez ignoré un signal de fraude.

Correspondance CVV/CVC. Le CVV confirme que la personne lors du paiement avait un accès physique ou numérique au code de sécurité à trois ou quatre chiffres. C'est un signal significatif car le CVV n'est pas stocké sur la piste magnétique et ne devrait pas figurer dans les violations de données — mais la fraude sans présentation de carte implique de plus en plus le hameçonnage et la compromission de compte, où le fraudeur dispose du numéro de carte complet, de la date d'expiration et du CVV. La correspondance CVV est utile dans le cadre d'une pile de preuves ; seule, elle prouve très peu de choses à un émetteur qui sait comment les données de carte sont volées.

Authentification 3D Secure. C'est le signal unique le plus solide de la pile. Un résultat 3DS entièrement authentifié (ECI 05 Visa / ECI 02 Mastercard) transfère la responsabilité à l'émetteur et bloque la contestation au niveau du réseau. Une tentative d'authentification (ECI 06 Visa / ECI 01 Mastercard) offre une protection partielle. Sans 3DS, vous argumentez sur tout le reste. Si vous n'utilisez pas le 3DS sur les transactions à valeur de commande élevée, vous absorbez une responsabilité que le réseau transférerait autrement à l'émetteur.

Adresse IP. La correspondance d'adresse IP suggère que la transaction provenait d'un emplacement associé au titulaire de carte. Les émetteurs écartent cet argument lorsque des proxys ou des VPN sont plausibles — et ils le sont toujours dans le cas de fraude sans présentation de carte. L'IP est utile comme contexte de soutien lorsqu'elle est cohérente avec le comportement d'achat antérieur du même compte. Une seule correspondance IP sur une première commande ne prouve presque rien.

Empreinte d'appareil. L'empreinte d'appareil capture le navigateur, le système d'exploitation, la résolution d'écran et d'autres attributs pour créer un identifiant cohérent entre les sessions. Si la transaction contestée provient de la même empreinte d'appareil que cinq commandes précédentes sur le même compte, il s'agit d'une preuve comportementale significative. Si elle provient d'une empreinte d'appareil qui n'avait jamais été associée au compte auparavant, c'est un signal d'alarme que vous auriez dû détecter avant l'exécution. Les données d'empreinte d'appareil doivent être capturées et stockées au moment de la transaction — elles ne sont pas disponibles rétroactivement depuis Shopify Admin.

Signaux comportementaux. Les signaux comportementaux incluent : le délai entre la création du compte et l'achat, le nombre d'articles ajoutés et retirés du panier, la cadence de frappe dans les champs de paiement, et si la session a suivi un parcours de navigation normal. Ceux-ci sont généralement capturés par des plateformes de fraude superposées à Shopify (Signifyd, NoFraud, Kount) plutôt que par Shopify nativement. Si vous disposez d'une plateforme de fraude générant un score de transaction et une recommandation, incluez ces données dans votre dossier de preuves — cela montre à l'émetteur que vous avez effectué une évaluation des risques documentée avant l'exécution.

Le schéma : chaque signal prouve quelque chose d'adjacent à l'autorisation. Combinez-les pour brosser le tableau d'un titulaire de carte présent, cohérent et engagé — et non d'une simple transaction ayant passé les vérifications de base.

La commande de vêtements à 500 € qui avait tout — et a quand même perdu

Un marchand de vêtements avec une valeur de commande moyenne de 250 € a reçu une commande de 500 € le 5 janvier. L'AVS a retourné Y. Le CVV correspondait. La commande a été expédiée le 6 janvier. La confirmation de livraison est arrivée le 8 janvier. Le client avait reçu un e-mail de confirmation de commande. Sur le papier, tout semblait parfaitement en ordre.

La contestation est arrivée le 15 janvier — achat non autorisé. Le marchand a rassemblé les preuves : résultat AVS, correspondance CVV, confirmation de livraison, e-mail de confirmation de commande. Réponse soumise le 20 janvier. La décision de litige est arrivée le 10 février. Le titulaire de carte a gagné.

La perte n'était pas due à des documents manquants. Le marchand avait des documents. Le problème était qu'aucun élément du dossier de preuves ne prouvait que le titulaire de carte avait autorisé la transaction ou reçu physiquement les marchandises. L'e-mail de confirmation de commande prouvait que l'adresse e-mail avait reçu une notification — pas que le titulaire du compte avait passé la commande. La confirmation de livraison prouvait que le colis était arrivé à l'adresse — pas que le titulaire de carte s'y trouvait. AVS Y prouvait que l'adresse de facturation correspondait — pas que le titulaire de carte avait utilisé la carte.

L'analyse de fraude dans Shopify Admin avait signalé la commande comme présentant un risque moyen. Le marchand avait quand même expédié sans consigner une décision de révision manuelle ni documenter pourquoi les signaux de risque étaient acceptables. Cette lacune — aucune révision manuelle documentée, aucune explication sur la raison pour laquelle une commande à risque moyen avait été exécutée sans vérification supplémentaire — n'a laissé à l'émetteur aucune raison d'infirmer la réclamation du titulaire de carte.

Une réponse plus solide aurait inclus : le résultat de l'analyse de fraude avec une explication écrite des raisons pour lesquelles les signaux de risque ont été examinés et acceptés ; une communication client documentée au-delà de l'e-mail de confirmation auto-généré (une réponse, une interaction avec le support, tout ce qui montre que le titulaire du compte s'est engagé avec la commande) ; et la preuve d'un comportement d'achat cohérent de ce client — commandes antérieures, même adresse de livraison, même appareil. Rien de tout cela ne figurait dans le dossier.

Leçon décisionnelle : Un dossier avec AVS Y, correspondance CVV et confirmation de livraison est défendable si vous pouvez démontrer que le titulaire de carte s'est engagé avec la commande au-delà de la transaction elle-même. Sans cela — un e-mail de réponse, une commande antérieure, un ticket de support — les preuves démontrent l'exécution, pas l'autorisation. Les émetteurs connaissent la différence.

La commande d'accessoires électroniques à 180 € qui a gagné sur la seule base des preuves comportementales

Un marchand d'accessoires électroniques grand public — valeur de commande moyenne de 90 € — a reçu une commande de 180 € pour deux articles. L'AVS a retourné une correspondance partielle (le code postal correspondait, mais pas l'adresse de rue). Le CVV correspondait. Pas de 3DS. L'analyse de fraude de Shopify a signalé la commande comme présentant un risque élevé. La plateforme de fraude du marchand (Signifyd) a émis une garantie sur la commande, ce qui signifie que Signifyd avait évalué les signaux comportementaux et accepté la responsabilité. Le marchand a expédié.

La contestation est arrivée 22 jours plus tard — Mastercard 4837. La réponse du marchand comprenait : la lettre de garantie Signifyd avec le score de transaction et les signaux comportementaux ayant motivé la décision de garantie (empreinte d'appareil cohérente avec trois commandes antérieures sur le même compte, comportement de session cohérent avec un client récurrent, adresse de livraison utilisée lors d'une commande précédente six semaines plus tôt) ; l'historique des commandes antérieures montrant la même adresse de livraison ; un échange d'e-mails avec le service client lors de la commande précédente, où le titulaire de carte avait répondu depuis la même adresse e-mail ; et le résultat AVS partiel accompagné d'une note écrite expliquant que la correspondance du code postal combinée à l'historique des commandes antérieures constituait la base de l'exécution malgré la non-correspondance de l'adresse de rue.

Décision de litige : le marchand a gagné. L'émetteur disposait d'une évaluation des risques documentée, de preuves comportementales d'un client récurrent, et d'une communication antérieure démontrant que le titulaire du compte était réel et engagé. Le résultat AVS partiel — qui semblait être une responsabilité — a été neutralisé par l'historique des commandes antérieures montrant que la même adresse avait déjà été utilisée avec succès.

Leçon décisionnelle : Une garantie de plateforme de fraude ne gagne pas les litiges à elle seule, mais les données comportementales qui sous-tendent la décision de garantie, oui. Si vous utilisez Signifyd, NoFraud ou une plateforme similaire, le score de transaction et les signaux qui le motivent constituent des preuves — incluez-les. Et l'historique des commandes antérieures du même compte est l'un des signaux les plus solides que vous puissiez présenter à un émetteur dans le cadre d'une réclamation non autorisée.

Fraude amicale vs fraude réelle : lire le schéma de signaux

Toutes les réclamations pour achat non autorisé ne concernent pas un inconnu utilisant une carte volée. Une part significative — les estimations varient, mais les données du secteur la situent systématiquement au-dessus de 40 % des réclamations non autorisées — est de la fraude amicale : le titulaire de carte a autorisé la transaction et la nie maintenant. Le schéma de preuves est différent, tout comme la bonne stratégie de réponse.

Signaux de fraude réelle : premier achat d'un client sans historique de compte antérieur ; adresse de livraison différente de l'adresse de facturation sans utilisation antérieure de cette adresse de livraison ; empreinte d'appareil non précédemment associée au compte ; transaction passée à une heure inhabituelle sans historique de navigation précédant le paiement ; plusieurs articles de grande valeur dans une seule commande ; livraison express sélectionnée. Lorsque vous observez ce regroupement, la réclamation du titulaire de carte est probablement légitime. La question est de savoir si vos contrôles pré-exécution auraient dû la détecter.

Signaux de fraude amicale : client établi avec plusieurs commandes antérieures ; adresse de livraison correspondant à l'adresse de facturation ou à une adresse précédemment utilisée ; empreinte d'appareil cohérente avec les sessions antérieures ; le client a contacté le support après la commande (demande de suivi, question de livraison) ; commande passée pendant les heures normales avec une session de navigation précédant le paiement ; article unique à ou près du niveau de dépense habituel du client. Lorsque vous observez ce regroupement, contestez le litige. Le schéma de comportement du titulaire de carte contredit la réclamation d'absence d'autorisation.

Le cas mixte — un client récurrent dont le compte a été compromis — est le plus difficile à interpréter. Une attaque par prise de contrôle de compte (ATO) montrera l'historique d'un client récurrent, mais avec une nouvelle empreinte d'appareil, une nouvelle adresse de livraison, et souvent une valeur de commande supérieure à la normale. Si vous observez un client récurrent avec un changement soudain d'appareil, d'adresse et de niveau de dépense, traitez-le comme une probable ATO et demandez-vous si la commande aurait dû être mise en attente pour vérification. Si vous avez déjà expédié, le litige est probablement légitime — cédez et concentrez-vous sur le renforcement de votre détection des ATO.

Quand céder plutôt que se battre

Toutes les contestations pour achat non autorisé ne valent pas le temps de réponse. Trois situations où céder est la bonne décision :

Réclamations non autorisées à faible valeur de commande avec peu de preuves. Si le montant contesté est inférieur à 50 € et que vous ne disposez pas d'authentification 3DS ou d'historique client antérieur, le coût d'assemblage et de soumission d'une réponse dépasse souvent la valeur de récupération — surtout lorsque la probabilité de gain est faible. Fixez un seuil : si la commande est en dessous de votre seuil de coût de réponse et que la pile de preuves est faible, acceptez la contestation et passez à autre chose.

Réclamations non autorisées de clients récurrents avec un nouvel appareil et une nouvelle adresse. C'est le schéma ATO. Le compte du titulaire de carte a été compromis, un fraudeur a passé la commande, et le vrai titulaire conteste maintenant. Votre historique de commandes antérieures avec ce client ne vous aide pas ici — il aide le titulaire de carte à prouver que son compte a été ciblé. Cédez, signalez le compte pour révision, et vérifiez si d'autres commandes récentes du même compte doivent être remboursées de manière proactive avant que d'autres contestations n'arrivent.

Commandes pour lesquelles l'analyse de fraude de Shopify a signalé un risque élevé et que vous avez expédiées sans documentation. Si l'analyse de fraude a retourné un risque élevé, que vous avez quand même exécuté la commande, et que vous n'avez aucune décision de révision manuelle documentée expliquant pourquoi — vous n'avez aucune justification crédible à présenter à l'émetteur. Soumettre une réponse sans cette documentation aggrave souvent le dossier plutôt que de l'améliorer, car cela attire l'attention sur la lacune. Cédez, documentez la lacune dans la décision d'exécution en interne, et corrigez le processus de révision pré-exécution.

Le piège de la fenêtre de récupération : des données qui disparaissent avant que vous en ayez besoin

Les réponses aux contestations sont assemblées des semaines ou des mois après la transaction. Plusieurs catégories de preuves ont des fenêtres d'expiration que la plupart des marchands ne prennent pas en compte jusqu'à ce que les données aient déjà disparu.

Les scans de signature du transporteur sont la victime la plus courante. De nombreux transporteurs conservent les images de signature de preuve de livraison pendant 30 à 90 jours avant de les archiver ou de les supprimer. Si la contestation arrive au jour 45 et que vous demandez le scan de signature au jour 60, il peut ne plus exister. Récupérez et sauvegardez les scans de signature du transporteur pour toute commande à valeur élevée au moment de la confirmation de livraison — pas lorsque le litige arrive.

Les fils de messages du service client sont archivés ou supprimés lorsque les plateformes de support font tourner leur stockage. Si un client a répondu à une confirmation de commande, posé une question de suivi, ou contacté le support au sujet de la commande, cette communication est une preuve d'engagement du titulaire du compte. Exportez-la et attachez-la au dossier de commande dans Shopify Admin ou votre CRM au moment de l'interaction, et non rétroactivement.

Les scores de transaction et les données comportementales des plateformes de fraude ne sont parfois accessibles que pendant une fenêtre limitée via le tableau de bord de la plateforme. Si vous utilisez Signifyd, NoFraud ou Kount, vérifiez la politique de conservation des données et exportez les détails de transaction pour les commandes à valeur élevée au moment de l'exécution.

Les données de session d'empreinte d'appareil provenant de votre plateforme d'analyse ou de fraude peuvent expirer après 60 à 90 jours selon vos paramètres de conservation des données. Si une contestation arrive au jour 75, les données de session qui auraient démontré un comportement d'appareil cohérent entre les commandes peuvent déjà avoir disparu.

La solution est procédurale : pour toute commande dépassant votre seuil de réponse aux contestations, capturez et stockez le dossier de preuves complet à l'exécution — confirmation du transporteur, communications client, résultats de la plateforme de fraude, données d'appareil et de session. N'attendez pas qu'un litige déclenche le processus de collecte.

Les contrôles pré-exécution qui empêchent le litige d'arriver

La meilleure réponse à une contestation pour achat non autorisé est celle que vous n'avez jamais à écrire. La plupart des lacunes dans les preuves qui tuent les réponses aux litiges sont créées à l'exécution, pas au stade de la réponse.

Activez le 3DS sur les transactions à valeur de commande élevée. Si votre processeur de paiement prend en charge 3DS2, configurez-le pour qu'il se déclenche sur les commandes dépassant votre seuil moyen de contestation. Un résultat 3DS entièrement authentifié élimine la responsabilité Visa 10.4 et Mastercard 4837 au niveau du réseau. Le coût en friction pour les clients légitimes est réel mais gérable ; le transfert de responsabilité est absolu.

Mettez en place une étape de révision manuelle documentée pour les commandes à risque moyen et élevé. Les signaux d'analyse de fraude de Shopify sont un point de départ, pas une décision. Si une commande est signalée comme présentant un risque moyen ou élevé, la décision d'exécution doit être consignée — qui l'a examinée, quels signaux ont été évalués, pourquoi la commande a été approuvée ou mise en attente. Ce journal constitue une preuve dans une réponse à un litige. Sans lui, vous n'avez aucune justification.

Vérifiez la correspondance entre les adresses de livraison et de facturation avant l'exécution pour les nouveaux clients. Une non-correspondance sur une première commande sans historique de compte antérieur est un signal de fraude significatif. Mettez soit la commande en attente pour vérification, soit documentez pourquoi vous avez procédé. Expédier vers une adresse non correspondante sans documentation est une responsabilité que vous créez vous-même.

Exigez une vérification par téléphone ou e-mail pour les premières commandes de grande valeur. Une étape de vérification — même une simple réponse de confirmation — crée un dossier de communication montrant que le titulaire du compte s'est engagé avec la commande. Ce dossier vaut plus dans une réponse à un litige qu'AVS Y et CVV combinés.

Signalez et mettez en attente les commandes présentant des schémas ATO : compte client récurrent, nouvelle empreinte d'appareil, nouvelle adresse de livraison, valeur de commande supérieure à la normale. Les attaques ATO sur des comptes établis sont plus difficiles à détecter que la fraude sur les nouveaux comptes, mais le regroupement de signaux est reconnaissable. Une mise en attente de 24 heures avec un e-mail de confirmation envoyé à l'adresse enregistrée du compte détecte une part significative des tentatives ATO avant l'exécution.

L'automatisation de DisputeDesk gère l'assemblage des preuves, le suivi des délais et la mise en forme des réponses — mais les contrôles ci-dessus déterminent si vous avez quelque chose qui vaut la peine d'être assemblé. Construisez d'abord le processus pré-exécution ; la réponse au litige est ce que vous faites lorsque ce processus laisse passer quelque chose.

Ce qu'il faut vérifier avant de soumettre votre réponse

Parcourez cette liste avant d'ouvrir le formulaire de réponse. Shopify Admin > Commandes > [la commande contestée] est votre point de départ pour tout cela.

Premièrement, confirmez le délai de réponse au litige. Shopify l'affiche dans la section Litiges — le manquer signifie une perte automatique quelle que soit la qualité des preuves. Deuxièmement, vérifiez le statut Shopify Protect. Si la commande affiche PROTÉGÉE, arrêtez — Shopify couvre le litige et aucune réponse n'est requise de votre part. Troisièmement, récupérez le résultat de l'analyse de fraude. Notez les signaux de risque et décidez maintenant si vous disposez d'une explication documentée pour la raison pour laquelle la commande a été exécutée. Si ce n'est pas le cas, c'est une lacune dans votre réponse. Quatrièmement, vérifiez les résultats AVS et CVV sous Détails du paiement. Si l'une ou l'autre vérification était incomplète ou a retourné une non-correspondance, votre dossier de preuves doit l'aborder directement — ne l'enfouissez pas. Cinquièmement, vérifiez l'adresse de livraison par rapport à l'adresse de facturation. Une divergence non résolue avant l'exécution est une responsabilité dans la réponse ; les émetteurs la citent comme preuve d'une fraude potentielle. Sixièmement, examinez toutes les communications client consignées dans les notes de commande. Si la seule communication est l'e-mail de confirmation auto-généré, évaluez si cela suffit à démontrer que le titulaire du compte s'est engagé avec la commande — généralement, ce n'est pas le cas. Septièmement, vérifiez si vous disposez de données d'authentification 3DS. Si vous avez un résultat ECI 05 (Visa) ou ECI 02 (Mastercard), commencez par là — c'est votre preuve unique la plus solide. Huitièmement, faites correspondre votre dossier de preuves au code de motif d'achat non autorisé spécifiquement. Les dossiers de preuves génériques — numéro de suivi, récapitulatif de commande, conditions d'utilisation — font rarement bouger les émetteurs sur les réclamations non autorisées. Le dossier doit traiter l'autorisation et la possession, pas seulement l'exécution.

Une fois que vous avez confirmé que les preuves répondent à ce que l'émetteur évalue réellement — et non pas seulement à ce que vous avez à disposition — soumettez la réponse.