Fraudes aux moyens de paiement : la Banque de France émet une série de recommandations
Communiqué de presse du 16 mai 2023 : https://webservices.wkf.fr/editorial/medias/pdfs/actu-127612-operations-de-paiement.pdf?_ga=2.113505031.1679559829.1685439891-608531710.1668769605
1.
Face aux techniques de fraudes de plus en plus recherchées, des mécanismes de protection ont été étudiés pour tenter de les contrer. C’est ainsi que depuis 2019, l’utilisation de mécanismes d’authentification forte du payeur s’est généralisée en application de la deuxième directive européenne sur les services de paiement (dite DSP2), permettant ainsi de réduire significativement la fraude aux paiements sur internet.
La veille assurée par l’Observatoire a d’ailleurs pu montrer que le taux de fraude sur les paiements par carte sur internet a baissé de 30 % entre 2019 et 2022 avec l’utilisation de l'authentification forte (dispositif de vérification d'identité).
Toutefois, malgré la mise en œuvre de ce système sécurisé, de nouvelles techniques de fraudes, par usurpation d’identité et « manipulation » du titulaire du compte bancaire par le fraudeur, se développent.
Les nouvelles techniques de fraudes s’appuient essentiellement sur la manipulation des victimes, à savoir : par téléphone, par messagerie instantanée. Par ces procédés, les fraudeurs essaient de conduire leurs victimes à valider par elles-mêmes des opérations frauduleuses, ou à leur transmettre des informations personnelles qui permettront aux fraudeurs d’utiliser à distance les moyens de paiement de leurs victimes.
Les établissements de crédit ainsi que la Banque de France cherchent régulièrement à alerter tant les particuliers que les professionnels des risques de manœuvres frauduleuses, tous types de profil de clients étant visés par les fraudeurs.
Afin de lutter contre ces nouvelles techniques de fraude, l’Observatoire de la sécurité des moyens de paiement a émis le 16 mai une série de recommandations visant à améliorer les démarches de remboursement des consommateurs victimes de fraude, notamment lorsque l’opération de paiement contestée est effectuée avec l’authentification forte tout en rappelant la responsabilité des utilisateurs dans la sécurité de leurs moyens de paiement.
Les nouveaux procédés frauduleux qui se sont développés, sont donc basés notamment sur la manipulation des victimes.
2.
Avant de s’intéresser aux recommandations, il convient de rappeler les règles de remboursement des opérations de paiement contestées pour fraude.
Le critère déterminant pour le remboursement d’un client contestant une opération de paiement pour fraude est le caractère « autorisé » ou non de cette opération de paiement. En effet en cas de fraude, la banque va vérifier les circonstances dans lesquelles le virement a été réalisé.
En principe, la victime dispose d’un droit à remboursement immédiat si l’opération de paiement est reconnue comme « non autorisée ». Mais le remboursement n’est pas automatique. Il peut être refusé par la banque dans certains cas : si l’utilisateur a eu lui-même un comportement frauduleux, ou si, pour les opérations avec authentification forte, une négligence grave de l’utilisateur est démontrée par la banque ou autres prestataires de services de paiement (PSP).
Il appartient donc à la banque en cas de litige de démontrer que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre. L’appréciation sur le caractère « non autorisé » d’une opération contestée et effectuée avec authentification forte peut être cependant délicate pour la banque à qui il est demandé le remboursement. En effet, la banque ne peut invoquer la fiabilité de son système pour en déduire une présomption de faute de la victime.
Il existe en tout état de cause une difficulté aujourd’hui en matière de preuve, en ce que les textes ne précisent pas explicitement les éléments qui caractérisent une « négligence grave » de l’utilisateur, qui est le motif majeur invoqué par les « services de réclamations » des Banques pour refuser un remboursement.
Or, d’aucuns se sont interroger sur le fait de savoir si la réussite de l’authentification forte sur une opération signifie nécessairement qu’il y a eu consentement du porteur du moyen de paiement. Face à un certain climat d’insécurité juridique, l’objectif des recommandations du 16 mai 2023 vise à réduire la « zone grise » sur l’appréciation du caractère « non autorisé » d’une opération contestée, principalement avec authentification forte.
3.
Parmi les treize recommandations émises par l’Observatoire par rapport au remboursement des victimes de fraude, il y en a notamment une relative aux principes applicables aux opérations sans authentification forte (v. recommandation n° 4) et une relative aux principes applicables aux opérations authentifiées de manière forte (v. recommandation n° 6).
Plus précisément, dans le cas où une transaction contestée par le titulaire du compte n’a pas fait l’objet d’une authentification forte, l’établissement teneur de compte est tenu de la lui rembourser sans délai (au plus tard à la fin du premier jour ouvré après réception de cette contestation).
En revanche, dans le cas où une transaction contestée par l’utilisateur a fait l’objet d’une authentification forte, alors il revient à l’établissement teneur de compte de déterminer si cette transaction peut être considérée comme autorisée par l’utilisateur et à défaut d’éléments suffisants pour justifier le caractère autorisé de la transaction ou démontrer une négligence grave de l’utilisateur, l’établissement est tenu de rembourser sans délai l’opération en cause.
Si la Banque dispose d’éléments de preuve pour considérer que l’opération a été autorisée par l’utilisateur, ou qu’il a été gravement négligent, le remboursement de la transaction frauduleuse peut être refusé.
Des recommandations sont à destination des consommateurs et entreprises. Il leur est rappelé les bonnes pratiques pour la sécurité de leurs moyens de paiement (v. recommandation n° 7) et il leur est demandé par exemple de faire preuve de réactivité et de transparence dans la déclaration des cas de fraude (recommandation n° 8).
D’autres recommandations visent encore les prestataires de services de paiement (v. notamment la recommandation n° 12 : il leur est demandé de déployer des procédures de blocage facilement accessibles, gratuites, et utilisables à tout moment).
Enfin, une recommandation concerne les fournisseurs de services et technologies de l’information (v. recommandation n° 13).
4.
Au demeurant, il est intéressant de relever que l‘Observatoire de la sécurité des moyens de paiement préconise aux consommateurs comme aux établissements de paiement plusieurs règles de bonne conduite à tenir pour limiter les risques de fraude.
Dans cette optique, les consommateurs doivent respecter les bonnes pratiques visant à sécuriser les données associées à leurs moyens de paiement (mot de passe, code, cryptogramme) et privilégier la solution d’authentification la plus sûre proposée par la Banque.
Les établissements de crédit doivent exiger une authentification forte à chaque consultation de compte de la banque en ligne, sauf si la consultation s’est faite à partir d’un terminal régulièrement utilisé.
Les établissements de crédit sont invités à améliorer les modalités d’enregistrement des IBAN bénéficiaires de virements, en indiquant à chaque ajout d’un bénéficiaire de virement, si un contrôle de concordance entre IBAN et nom du bénéficiaire a été mis en place.
Pour mieux prévenir la fraude par manipulation, les établissements de crédit doivent veiller à informer de manière claire et explicite le consommateur sur toutes les étapes du processus d’authentification ; une option doit permettre par ailleurs le refus de l’opération.
Les consommateurs doivent pouvoir, en cas de détection d’une activité anormale sur leurs comptes ou leurs moyens de paiement, avoir un accès simple et gratuit à des procédures de blocage utilisables tout le temps.
Un premier bilan de la mise en œuvre de ces recommandations sera dressé à la fin de l’année 2024.
Sandra NICOLET