La fraude en pleine crise d'identité

La fraude a toujours fait partie du commerce. Ce qui a changé, c’est là où elle se dissimule.

Pendant la majeure partie de la dernière décennie, le modèle de travail des équipes risques était relativement simple : signaler ce qui sort de l’ordinaire. Nouveaux appareils, localisations inhabituelles, identifiants suspects. Cette logique reste valable pour ce qu’elle a été conçue à détecter. Mais la fraude qui progresse le plus vite aujourd’hui ne déclenche souvent aucun de ces signaux. Elle vient de comptes vérifiés, d’appareils reconnus, de comportements qui franchissent chaque point de contrôle.

Chez Adyen, nous traitons des paiements dans les plus grands environnements commerciaux au monde. Ce que nos données révèlent, c’est un changement dans la façon dont le risque se comporte. La fraude est devenue automatisée et de plus en plus difficile à détecter. Dans de nombreux cas, elle ressemble à une activité client parfaitement légitime lorsqu’on regarde uniquement la transaction, sans prendre en compte son contexte.

Cela crée un défi d’un genre nouveau pour les équipes risques : une mauvaise décision a un impact commercial immédiat. Un problème qu’on ne peut pas résoudre en durcissant les contrôles, d’autant que ce sont souvent ces mêmes contrôles qui sont exploités.

Il nous faut une approche différente, une approche qui reflète la façon dont l’identité et le risque se comportent réellement. Plutôt que de traiter l’identité comme une donnée vérifiée une fois pour toutes et censée rester stable, nous devons la voir comme un signal continu qui évolue dans le temps et nécessite une interprétation constante. Tout aussi important : nous devons reconnaître que les faux refus ne sont pas simplement une nuisance opérationnelle, mais un coût réel pour l’entreprise, avec des conséquences qui méritent d’être évaluées aussi sérieusement que les pertes liées à la fraude.

Ce rapport examine comment cette évolution se manifeste : là où la fraude devient plus difficile à détecter, pourquoi les défenses conventionnelles peinent à suivre, et ce que font différemment les organisations qui s’en sortent bien. La deuxième partie ira plus loin dans la façon dont cette approche se traduit en infrastructure et en stratégie.

La fraude n’est pas nouvelle. Mais elle n’est plus détectable d’emblée. Aujourd’hui, les comportements à l’origine de la fraude semblent souvent légitimes au moment de la transaction : un client habituel sur un appareil reconnu. Le schéma ne devient clair qu’avec le temps, à travers les comptes et les interactions.

La fraude s’adapte désormais et fonctionne en cycle continu : les tactiques sont déployées et affinées en temps réel. Ce qui marche est répété, ce qui ne marche pas est rapidement abandonné.

Plutôt que de tester une seule approche, les attaquants peuvent lancer des milliers de variations simultanément (en ajustant les informations d’identité, les moyens de paiement, la vitesse au checkout ou les montants de transaction) pour observer les résultats obtenus.

L’automatisation permet à ces attaques de se répéter en continu, en reproduisant ce qui fonctionne et en l’optimisant en temps réel. Chaque résultat alimente le suivant : autorisations, refus et activités en aval servent à ajuster les tentatives suivantes, jusqu’à contourner les contrôles anti-fraude.

L’automatisation et l’IA ne créent pas ces schémas. Elles les rendent plus rapides, plus constants et plus faciles à déployer à grande échelle.

En parallèle, l’automatisation et l’IA transforment la nature de la fraude. Elles permettent aux fraudeurs de renforcer des identités synthétiques à l’aide de deepfakes, de faux documents et d’autres techniques conçues pour contourner les contrôles de vérification classiques.

Parce que ces attaques sont désormais si faciles à automatiser et à déployer en nombre, les fraudeurs ne ciblent plus seulement les plus grandes plateformes. Les entreprises de toutes tailles, de tous secteurs, de toutes régions peuvent se retrouver exposées aux mêmes menaces, exécutées avec la même vitesse et la même précision. Les fraudeurs ne respectent ni les frontières entre marques ni les segmentations sectorielles ; une fois qu’ils ont découvert une faille chez un marchand, cette vulnérabilité est rapidement testée et exploitée chez tous les autres.

En pratique, cela signifie qu’un même schéma de fraude peut apparaître simultanément dans plusieurs environnements. Un script utilisé pour tester des numéros de carte sur une plateforme peut être répliqué sur une autre. Une même méthode d’abus promotionnel peut être appliquée à plusieurs marques. Et des données d’identité validées une première fois sont réutilisées jusqu’à ce qu’elles ne fonctionnent plus.

Le phénomène n’est pas nouveau, mais ce qui change aujourd’hui, c’est la vitesse et la capacité d’adaptation de ces tactiques, qui peuvent être réutilisées et ajustées en permanence.

Parce que ces schémas couvrent marchands, canaux et secteurs, les entreprises ayant accès à de plus grands ensembles de données de qualité sont mieux positionnées pour détecter et prévenir la fraude de manière proactive.

Au lieu d’être concentrée sur un petit nombre de transactions à forte valeur, la fraude s’est élargie aux activités à faible valeur, l’automatisation ayant facilité la mise à l’échelle.

Cela modifie les exigences envers les systèmes anti-fraude. Les contrôles conçus pour des événements isolés à haut risque font face à un flux continu d’activité, augmentant à la fois le volume de décisions et l’ambiguïté entre comportements légitimes et abusifs.

L’impact va au-delà des pertes liées à la fraude. Il se traduit par une hausse des coûts de revue manuelle, une augmentation des faux refus et des opportunités de revenus manquées.

La fraude ne concerne plus seulement les identités inconnues.

Elle opère désormais à travers des identités et des interactions qui semblent légitimes.

Pendant des années, la détection de fraude s’est concentrée sur un ensemble restreint de questions : est-ce une vraie personne, et est-elle bien qui elle prétend être ? Ces questions restent pertinentes. Mais elles ne suffisent plus. Le défi n’est plus seulement la vérification d’identité statique à un instant précis, mais la compréhension du comportement à mesure qu’il évolue tout au long du cycle de vie.

Le même compte ou appareil peut représenter un client authentique à un moment donné, puis un comportement abusif dans un autre. Par exemple, un nouveau compte lié à un vrai client, mais créé uniquement pour accéder à une nouvelle promotion, ou un achat légitime retourné plus tard sous un faux prétexte.

Ce changement se reflète dans les types de fraudes auxquels les entreprises font maintenant face.

La fraude de première partie, où les clients effectuent des achats légitimes puis contestent faussement les frais auprès de leur banque (en invoquant la non-réception, des défauts ou une utilisation non autorisée) est aujourd’hui l’une des formes d’abus les plus courantes, signalée par 44,3 % des entreprises dans notre étude.

Faux comptes et abus d’identité suivent de près, affectant 42,2 %, utilisés pour faire tourner des promotions, distribuer l’activité ou accéder à des offres spécifiques à certains segments.

Abus de politique et de promotion (où les clients exploitent directement les politiques des marchands via des retours en série, le wardrobing, la multiplication des essais gratuits, la collecte abusive de points de fidélité ou le cumul de remises au-delà de leur usage prévu) ne sont pas loin derrière avec 39,8 %.

La fraude commise par des clients légitimes s’est largement répandue, et ces abus sont réalisés sans usurper d’identité ni compromettre de compte. Du point de vue du système, ces comportements paraissent souvent parfaitement valides. Ils passent les contrôles conçus pour détecter les accès non autorisés ou les moyens de paiement frauduleux. Le défi n’est pas seulement d’identifier ces utilisateurs. C’est d’empêcher que l’abus se répète.

Historiquement, la fraude se déplace là où les défenses sont les plus faibles. De l’exploitation des cartes physiques à l’ère de la piste magnétique, elle a migré vers le e-commerce. Aujourd’hui, elle revient progressivement au commerce physique. À mesure que les protections en ligne se sont renforcées, les attaquants s’adaptent en exploitant les failles du retail physique, où moins de signaux et des contrôles moins matures rendent les abus plus difficiles à détecter.

Ce schéma explique pourquoi des problèmes tels que l’abus de remboursement au point de vente (POS) émergent dans le cadre d’une redistribution plus large du risque.

Tous les abus ne naissent pas d’une intention malveillante. Dans de nombreux cas, ils sont simplement stimulés par des effets d'aubaine.

Une offre de bienvenue incite naturellement aux inscriptions multiples. Une politique de retour trop généreuse minimise le coût de l'abus. Quant aux essais gratuits, ils finissent par être cumulés en boucle plutôt que d'être perçus comme un avantage ponctuel. Avec le temps, ces comportements autrefois marginaux finissent par se normaliser.

Sur Internet, des communautés partagent ouvertement des astuces pour « contourner » les règles, qu'il s'agisse de maximiser les codes promotionnels ou d'automatiser les demandes de remboursement. Ce qui s'apparente à de la fraude est alors requalifié en « astuce », en « hack » ou en simple optimisation. Ainsi, des clients qui ne se considèrent pas du tout comme des fraudeurs adoptent des comportements qui génèrent de lourdes pertes pour les marchands.

Pour les entreprises, cette réalité rend le problème complexe à identifier, et plus encore à résoudre. C’est tout l’enjeu de cette zone grise.

Le défi ne vient pas d'un manque de données. Prise isolément, aucune transaction ne semble suspecte ; le schéma frauduleux n’apparaît qu'en analysant la répétition des actions :

• Le cumul des promotions via la création de comptes multiples.

• L'utilisation cyclique d'essais gratuits sous différentes identités.

• Des retours groupés calibrés juste en dessous des seuils de vigilance.

• Une activité délibérément fragmentée pour passer sous les radars de détection.

L'exploitation abusive des cartes-cadeaux.

Alors qu'il devient de plus en plus difficile de distinguer la fraude de l’activité légitime, le coût d’une mauvaise décision peut rapidement dépasser la perte liée à la fraude elle-même.

Aujourd'hui, une infime minorité d’utilisateurs représente une part disproportionnée du risque. Pourtant, les contrôles pour les stopper restent appliqués de manière bien trop large. En voulant bloquer les abus de quelques-uns, les entreprises imposent une friction qui pénalise l'ensemble de leurs clients.

Le véritable coût de la fraude ne se mesure pas seulement aux transactions frauduleuses acceptées, mais surtout aux ventes légitimes bloquées. Selon les données de la plateforme Adyen, les contrôles statiques rejettent par erreur jusqu’à 10 % des bons clients.

Les faux positifs, la friction inutile et l'explosion des coûts liés aux vérifications manuelles ne sont plus de simples effets secondaires : ils impactent directement le chiffre d’affaires.

Historiquement, la plupart des stratégies anti-fraude visaient uniquement à minimiser les pertes. Ce modèle est désormais obsolète.

Gérer la fraude est de moins en moins perçu comme une contrainte technique, et de plus en plus comme un ensemble de décisions stratégiques qui déterminent, en fin de compte, la part de revenus légitimes qu'une entreprise est capable de capter. Désormais, la question n’est plus de savoir quel volume de fraude une entreprise est prête à tolérer, mais plutôt quelle part de revenus légitimes elle accepte de sacrifier pour tenter de la stopper.

Face à la recrudescence de la fraude, durcir les contrôles semble être la réponse la plus évidente. Pourtant, multiplier les règles, ajouter des étapes de vérification, intensifier les revues manuelles ou durcir les politiques ne fait qu'alourdir les coûts et générer de la friction.

L’impact se fait déjà ressentir sur le marché. Selon les données du MRC, la réduction des coûts opérationnels est devenue la priorité absolue pour 29 % des marchands en 2025, contre seulement 10 % en 2024.

Notre étude confirme cette tendance : 58 % des entreprises font face à une hausse des coûts liés aux vérifications manuelles, tandis que 50 % signalent une augmentation de leurs taux de faux positifs (ou faux refus). Ces contrôles supplémentaires reposant souvent sur des critères statiques, jusqu’à 10 % des clients légitimes se retrouvent ainsi bloqués.

Un véritable décalage s'est créé entre le risque perçu et la réalité. En voulant se prémunir contre une minorité de fraudeurs ciblés, les entreprises s'imposent des coûts et de la friction inutiles. Chaque faux positif ne se contente pas de bloquer une vente à l'instant T : il fragilise la confiance, nuit à la rétention et compromet les achats futurs. Au final, cela revient à pénaliser vos clients les plus précieux.

Pour la plupart des entreprises, la gestion de la fraude est un exercice d'équilibriste. Selon notre étude, 96,8 % d'entre elles ont dû faire au moins un compromis majeur dans ce domaine au cours de l'année passée.

La prévention de la fraude n'est plus un simple outil de contrôle.

Lorsqu'ils sont trop globaux, les contrôles augmentent les coûts, nuisent à la conversion et entachent la confiance des utilisateurs. En revanche, s'ils sont ciblés avec précision, ils deviennent un véritable levier de croissance : ils améliorent les taux d’approbation, éliminent la friction inutile et protègent la valeur client à long terme. L'objectif n'est plus de réagir à des transactions isolées, mais de comprendre les schémas comportementaux. Il ne s'agit pas d'appliquer des blocages uniformes, mais de cibler précisément là où le risque est réel. Reste à savoir, concrètement, ce que cela implique.

Les chapitres précédents ont décrit un environnement de fraude dans lequel l'une des plus grandes menaces vient d'utilisateurs pourtant reconnus : comptes vérifiés, appareils familiers et activité qui passent chaque point de contrôle.

Si les contrôles d'identité classiques n'arrivent plus à faire la différence entre un vrai client et un fraudeur, quelle est la solution ?

La solution n'est pas de durcir les contrôles. L’identité n’est plus un identifiant à confirmer une fois. Elle est dynamique : c'est un historique qui se construit en continu, tout au long du parcours client, plutôt que validée à un instant précis.

La vérification répond à une question binaire à un instant donné : cette personne est-elle bien celle qu’elle prétend être ? La reconnaissance, elle, s'inscrit dans la durée : cette activité correspond-elle au schéma d’un client de confiance ?

Cette nuance est cruciale. Aujourd'hui, les fraudeurs savent contourner la vérification. Ce qu’elle ne peut pas facilement reproduire, c’est un historique comportemental cohérent. Un client régulier qui achète dans sa fourchette habituelle sur un appareil reconnu passe sans friction. Mais quand ce même schéma change (retours anormalement fréquents, abus de codes promo ou activité distribuée sur plusieurs comptes), le changement d’intention devient visible, même quand l’identité elle-même n’a pas changé.

La confiance se gagne et s'entretient au quotidien. Elle n’est pas accordée une fois pour toutes.

La valeur de l’identité connectée se démultiplie sur un réseau plus large. Un seul marchand peut se construire un historique client dans son propre écosystème. Mais la reconnaissance au niveau du réseau (en s’appuyant sur des signaux à travers un large éventail de marchands et d’appareils) crée une image plus riche et plus rapide dès la première interaction.

Sur le réseau mondial d’Adyen, il y a 84 % de chances qu’une identité soit déjà apparue dans des transactions, des entreprises, des paiements ou l’émission de cartes. Cela signifie que même de nouvelles relations clients commencent avec un historique, permettant des décisions plus sûres dès le départ et moins de friction pour les clients qui ont déjà démontré leur fiabilité ailleurs.

C’est un système où la reconnaissance devient réputation.

Historiquement, la prévention de la fraude s’est articulée autour de deux défis fondamentaux : identifier les bons acteurs par rapport aux mauvais (généralement via des signaux comportementaux) et authentifier l’autorité pour s’assurer que la personne qui initie une transaction est autorisée à le faire.

L’Agentic Commerce introduit un troisième participant, l’agent, qui complique ces problèmes et en crée de nouveaux. Les marchands doivent désormais aussi :

• Identifier les agents légitimes par rapport aux agents malveillants ou exploiteurs

• Vérifier qu’un agent est autorisé à agir au nom d’un client

• S’assurer que l’agent opère dans les limites de ce que le client a réellement voulu

Cette dernière dimension, l’intention, est nouvelle. Même un agent légitime et authentifié peut se comporter d’une manière qui s’écarte des attentes de l’utilisateur en raison de stratégies d’optimisation, de manipulations malveillantes ou d’incitations mal alignées.

Ce changement fait de l’Agentic Commerce un défi de fraude distinct, et non simplement une version plus rapide de ce qui précédait. Le risque n’est pas seulement que les mauvais acteurs déploient des agents. C’est que les agents de confiance et les agents malveillants sont de plus en plus indiscernables au moment de la transaction, et que les systèmes existants n’ont pas été conçus pour les différencier.

L’Agentic Commerce devrait influencer une part significative du volume de paiements au cours des cinq prochaines années. Mais son impact est inégal selon les secteurs, tout comme le risque.

À l’ère de l’Agentic Commerce, il ne suffit plus d’appliquer des contrôles anti-fraude au checkout. Au moment où un agent arrive à ce stade, de nombreuses décisions ont déjà été prises, souvent dans des systèmes que le marchand ne peut pas observer ni contrôler. Le résultat est une plus grande exposition aux chargebacks, aux abus de remboursement, à l’exploitation des promotions et aux transactions techniquement valides, mais déconnectées de l’intention de l’utilisateur.

En bref, la confiance doit être établie plus tôt entre systèmes, protocoles et participants, et pas seulement au moment du paiement.

Ces défis continuent d’évoluer, mais quelques approches claires se dessinent :

Intelligence comportementale

Les systèmes anti-fraude doivent s’adapter pour reconnaître les schémas comportementaux spécifiques aux agents, pas seulement ceux des humains. Cela inclut l’entraînement des modèles sur les schémas d’interaction pilotés par les agents, la capture de signaux plus tôt dans le cycle de vie des transactions, et le partage de plus de données entre les participants de l’écosystème: marchands, réseaux, émetteurs et plateformes d’IA.

Identification des agents

Une capacité critique sera de distinguer les agents de confiance des agents non fiables. Cela dépendra probablement de la collaboration avec les réseaux de paiement et les institutions financières, de cadres d’identité partagés ou de registres pour les agents, et de signaux standardisés indiquant la provenance et la réputation des agents.

Authentification et délégation

Les systèmes d’authentification existants n’ont pas été conçus pour le commerce délégué. Des travaux sont en cours pour étendre les protocoles actuels afin de prendre en charge les autorisations basées sur les agents, définir comment le consentement et la délégation sont capturés et vérifiés, et aligner les nouveaux schémas de transaction avec les normes de l’industrie et les cadres réglementaires.

Les mécanismes de la fraude ont fondamentalement changé. En 2026, les risques les plus significatifs ne se trouvent plus à la périphérie ; ils opèrent à l’intérieur des systèmes et comportements conçus pour les clients légitimes. Ce changement rend les contrôles traditionnels moins efficaces et la friction large plus coûteuse.

Il ne s’agit pas de plus de contrôles, mais de plus de précision : utiliser l’identité dynamique, le comportement et le contexte pour distinguer confiance et risque plus tôt dans le parcours client.

Ce faisant, la gestion de la fraude devient plus qu’une fonction défensive. Elle devient un moyen de protéger les revenus et de stimuler la croissance tout en prenant de meilleures décisions sur où et comment la confiance est appliquée.