Le verdict en trois phrases
Au Sénégal en 2026, la fraude au paiement en ligne tourne autour de 1 à 3 % des transactions, et le scénario le plus courant n'est pas le piratage de carte mais la fausse capture d'écran de paiement Wave ou Orange Money. La seule défense fiable est de ne jamais croire un justificatif visuel et de confirmer chaque paiement par appel serveur à l'API du prestataire. Couplez cela à du 3-D Secure sur les cartes, une liste noire et un plafond par client, et vous éliminez l'essentiel du risque.
Les signaux de risque à surveiller
La fraude laisse des traces statistiques. Voici les signaux les plus prédictifs observés sur les boutiques sénégalaises, avec un poids de risque indicatif (ordre de grandeur 2026).
| Signal de risque | Fréquence sur fraudes | Poids de risque | Action recommandée |
|---|---|---|---|
| Capture d'écran « paiement effectué » envoyée par WhatsApp | Très élevée | Critique | Ignorer, vérifier l'API status |
| Numéro de transaction introuvable côté API | Élevée | Critique | Bloquer la commande |
| 3+ tentatives de paiement en moins de 5 min | Moyenne | Élevé | Limiter par vélocité |
| Adresse de livraison ≠ ville du numéro mobile | Moyenne | Moyen | Vérification manuelle |
| Carte internationale + montant élevé + 1re commande | Moyenne | Élevé | Forcer 3DS |
| Email jetable / créé le jour même | Faible | Moyen | Score additionnel |
| Commande > 2x le panier moyen, livraison express | Faible | Moyen | Appel de confirmation |
La règle d'or : une capture d'écran n'est pas une preuve de paiement. Un fraudeur retouche une image en deux minutes. Seul le webhook signé ou l'appel getStatus du prestataire fait foi.
La checklist anti-fraude technique
Voici les contrôles à implémenter, du plus rentable au plus avancé, avec un effort de mise en place indicatif.
| Contrôle | Effet sur la fraude | Effort dev | Coût |
|---|---|---|---|
| Vérification serveur (webhook + API status) | -70 à -90 % | Moyen | 0 (inclus prestataire) |
| Liste noire numéros / cartes | -10 à -20 % | Faible | 0 |
| Plafond par client / par jour | -10 à -15 % | Faible | 0 |
| Blocage vélocité (X tentatives / fenêtre) | -10 à -20 % | Faible | 0 |
| 3-D Secure 2 sur cartes | -60 à -80 % fraude carte | Moyen | Inclus Stripe |
| Score de risque pondéré | -15 à -25 % | Élevé | Faible |
| Confirmation manuelle > seuil | variable | Faible | Temps humain |
Un point essentiel pour le mobile money : ne validez jamais une commande sur la base d'un message client. Configurez le webhook de confirmation Wave/Orange Money pour que ce soit le serveur du prestataire qui dise « payé », jamais l'acheteur.
Mini cas pratique
Awa gère une boutique de cosmétiques à Dakar et vend 200 commandes/mois, panier moyen 25 000 FCFA, soit 5 000 000 FCFA de chiffre d'affaires. Avant, elle validait sur capture d'écran : 6 fraudes/mois (3 % du volume) lui coûtaient 6 × 25 000 = 150 000 FCFA de marchandise perdue chaque mois.
En branchant la vérification API status et un plafond par client, elle tombe à 0,3 % de fraude, soit moins d'1 fraude/mois : ~125 000 FCFA économisés par mois, soit 1 500 000 FCFA/an. Le développement du contrôle serveur a coûté une intégration unique, amortie en moins de deux semaines.
Besoin d'un site web professionnel ?
Kolonell crée des sites web qui attirent des clients, optimisés pour le marché sénégalais. Devis gratuit en 2 minutes.
FAQ
Une capture d'écran Wave peut-elle prouver un paiement ?
Non, jamais. Une image se falsifie en quelques minutes et c'est la fraude n°1 au Sénégal. Seuls le webhook signé ou l'appel API status du prestataire confirment réellement qu'un transfert de, par exemple, 25 000 FCFA est arrivé.
Quel est le taux de fraude réaliste en e-commerce au Sénégal ?
L'ordre de grandeur 2026 se situe entre 1 et 3 % des transactions selon le secteur et le panier. Avec une vérification serveur stricte, on ramène ce taux sous 0,5 %.
Le 3DS suffit-il à tout sécuriser ?
Le 3-D Secure réduit la fraude carte de 60 à 80 % et transfère la responsabilité à la banque émettrice, mais il ne protège pas contre les fausses captures mobile money. Il faut combiner 3DS pour les cartes et vérification API pour Wave/OM.
Comment bloquer un fraudeur récurrent ?
Maintenez une liste noire de numéros, cartes et emails, et un plafond par client (par exemple 3 commandes ou 100 000 FCFA par jour). Ajoutez un blocage par vélocité au-delà de 3 tentatives de paiement en 5 minutes.
Combien coûte la mise en place de ces protections ?
Les contrôles les plus rentables (vérification serveur, liste noire, plafonds, vélocité) ont un coût d'infrastructure nul : ils sont inclus dans les API Wave, Orange Money et Stripe. L'investissement est surtout du temps de développement, amorti en quelques semaines.
Discutons de votre projet. Nous sécurisons votre boutique avec vérification serveur, 3DS et anti-fraude dès la mise en ligne. WhatsApp +221 77 596 93 33.
Mohamed Bah
Fondateur, Kolonell
Passionné par le digital et l'entrepreneuriat en Afrique, Mohamed accompagne les entreprises sénégalaises dans leur transformation digitale depuis 2020. Fondateur de Kolonell, il croit que chaque PME mérite une présence en ligne professionnelle et accessible.
