La lutte contre la fraude est une course sans fin. D’abord, bonne nouvelle, la généralisation de l’authentification forte des paiements en ligne, en vertu de la deuxième directive sur les services de paiement (DSP2), a permis une baisse de 30% de la fraude. Et ce alors que le e-commerce continue de se développer. C’est Julien Lasalle, le secrétaire de l’Observatoire de la sécurité des moyens de paiement (OSMP) qui le dit : «Il est très difficile de tromper l’infrastructure technique, c’est pourquoi les fraudeurs recourent à la manipulation pour amener leurs victimes à s’authentifier de bonne foi et ainsi réaliser leurs opérations malhonnêtes.» Le maillon faible est donc l’humain sur lequel se concentrent les fraudeurs.

Ils utilisent en particulier le spoofing, ou usurpation d’un numéro de téléphone, pour se faire passer pour la banque du client, le phishing par e-mail ou par SMS pour amener les particuliers à donner leurs codes de connexion bancaire (ou autre), et l’accès aux comptes des particuliers pour élaborer un scénario à partir de données réelles et manipuler la personne. Ils peuvent alors lui faire valider des transactions sous prétexte de la protéger contre une tentative de fraude, par exemple.

Fraude malgré l’authentification

D’où ce résultat plutôt ennuyeux : les paiements frauduleux alors que le client s’est pourtant authentifié représentent 9% du nombre total de paiements frauduleux par carte sur internet, et 30% du montant, soit 103 millions d’euros en 2021. Dans ces cas-là, les banques peuvent arguer du fait que le paiement a fait l’objet d’une authentification forte pour refuser le remboursement. Les associations de consommateurs ont alerté la Banque de France et l’OSMP, qui ont mis en place un groupe de travail à partir d’octobre 2022 à février 2023. De ces travaux résultent treize recommandations ayant valeur d’accord de place, et qui s’imposent donc aux établissements financiers dans le traitement des réclamations liées à la fraude.

En parallèle, la Cour d’appel de Versailles a rendu le 28 mars dernier un jugement favorable au client d’une banque qui lui refusait le remboursement d’une fraude pour négligence, alors qu’il avait été abusé par une personne qui s’était fait passer pour sa conseillère bancaire. Il était temps de clarifier les choses.

Parmi les recommandations de l’OSMP, la plus importante est la sixième: elle stipule que l’authentification forte d’un paiement n’équivaut pas à un consentement de payer. Si une opération authentifiée est contestée par le client, l’établissement doit procéder dans les 24 heures à une analyse des paramètres techniques de l’opération (origine de l’opération, terminal utilisé, localisation), des modalités de l’authentification (type de solution, intégrité des facteurs d’authentification et du canal de communication) et des éléments de contexte. Si la transaction n’a pas été autorisée, la banque doit rembourser immédiatement le client. Si l’utilisateur a commis une fraude ou a été négligent, l’établissement peut refuser le remboursement.

«Quoi qu’il en soit, ce n’est qu’une première étape, a expliqué Julien Lasalle. La banque dispose ensuite de 29 jours supplémentaires pour mener des investigations plus poussées. Si elle décide de reprendre les fonds, elle doit justifier pourquoi et apporter la preuve que l’utilisateur a bien autorisé le paiement. Mais la seule authentification forte de la transaction ne suffit pas à justifier le refus.»

Un bouton pour refuser la transaction

Les cas de manipulation restent compliqués à traiter, mais selon l’OSMP, les banques doivent les prendre en compte et mettre en œuvre des moyens pour prévenir ces fraudes. En particulier, donner clairement au client toutes les informations sur la transaction en cours (montant, bénéficiaire) et, nouveauté, proposer non seulement un bouton de validation de la transaction, mais aussi un bouton pour la rejeter explicitement. Ce qui n’existe pas encore aujourd’hui et devra être développé par chaque établissement.

L’OSMP recommande également d’élargir le périmètre de l’authentification à d’autres actions, comme l’enregistrement d’un nouvel appareil. Il demande aussi de mettre en place au plus vite la vérification de la concordance entre le nom et l’IBAN d’un bénéficiaire, anticipant ainsi sur la DSP3, la révision de la DSP2 dont la présentation est prévue pour fin juin. De plus, l’Observatoire préconise la mise en place d’un service de blocage des paiements à l’instar des numéros de téléphone utilisés pour bloquer les cartes bancaires perdues ou volées. Enfin, les opérateurs télécoms vont prochainement verrouiller l’usage des numéros de téléphone avec l’entrée en vigueur en juillet 2023 de la loi Naegelen, ce qui devrait éradiquer le spoofing.