La fraude au paiement peut revêtir plusieurs formes en raison de 2 facteurs majeurs. Tout d’abord, parce qu’elle diffère selon le moyen de paiement à l’origine de la transaction frauduleuse (chèque, carte bancaire, virement, prélèvement). Ensuite parce qu’elle varie aussi selon le canal utilisé (par exemple paiement sur internet, via téléphone mobile ou sans contact, ou encore fraude au distributeur[1] pour la carte bancaire).

On catégorise plus communément les fraudes au paiement en quatre formes selon les méthodes utilisées par les fraudeurs : le faux, la falsification, le détournement et la contestation abusive. « Il y a de nombreux types de fraudes qui sont le résultat d’une usurpation d’identité visant à accéder aux données de paiement de la victime ou à la pousser à procéder elle-même à la transaction frauduleuse[2], explique Florent Faguer, Responsable Marketing – Solutions Paiements chez Tessi France. Dans leur préparation, les fraudeurs font généralement appel à des techniques d’ingénierie sociale pour se procurer un maximum d’informations sur la victime. Ils couplent ensuite celles-ci à des procédés techniques ou technologiques : code, virus, malware[3], sniffeur[4]… »

Les nouvelles tendances

Selon le dernier rapport de l’Observatoire de la sécurité des moyens de paiement de la Banque de France, en 2022 la fraude au paiement a représenté un préjudice total de 1,19 milliard d’euros et 7,2 millions d’opérations frauduleuses ont été recensées. Des chiffres qui représentent une légère amélioration par rapport à l’année précédente : le nombre d’opérations frauduleuses a reculé de 3,6%. Le montant global de la fraude a donc baissé de 4%. Pour autant, si l’on regarde d’un peu plus près moyen de paiement par moyen de paiement, cette baisse doit être nuancée.

Dans le détail, certaines tendances sont à noter :

– La fraude au chèque continue de diminuer (ce moyen de paiement étant de moins en moins utilisé), mais son taux de fraude[5] reste l’un des plus importants parmi les moyens de paiements.

– De nouveaux usages entraînent l’apparition ou la consolidation de certaines fraudes, telles que les fraudes liées aux portefeuilles électroniques ou au paiement via téléphone mobile : un moyen de paiement qui, bien que ne pesant que 5 % des volumes de paiement réalisés en sans contact, représente la moitié des montants fraudés.

– Malgré une baisse globale de la fraude aux moyens de paiement, la fraude au virement est devenue le principal point d’inquiétude, car si son taux de fraude reste faible, son évolution est alarmante : les montants extorqués ont plus que triplé en 5 ans. Après avoir touché principalement les administrations et les grandes entreprises en 2021 (avec un montant moyen de 6 000 €), ce sont les particuliers et les petites entreprises qui ont été les principales victimes de ce type de fraude en 2022 (avec un montant moyen de 4 000 €). On notera en particulier l’essor de “la fraude au président”, qui consiste à usurper l’identité d’un dirigeant ou d’un partenaire pour inciter le comptable d’une entreprise à effectuer dans l’urgence un virement vers un compte frauduleux.

– Le taux de fraude à la carte bancaire (pour les transactions effectuées en EU et donc soumises à 3DS v2) atteint son niveau le plus bas jamais enregistré avec une chute de 37% du taux de fraude en 5 ans grâce à l’amélioration de la sécurité des paiements sur internet.

Un cadre en mouvement

Le recul de la fraude au paiement sur internet traduit le succès de la dernière Directive Européenne sur les Services de Paiement (DSP2) qui a notamment imposé le système d’« authentification forte » à toutes les transactions via carte bancaire à distance (pour les montants de plus de 30 euros).

Autrement dit, pour valider une transaction, l’utilisateur doit mobiliser deux facteurs au choix entre :

– un mot de passe ou code numérique ;

– son portable ou sa ligne téléphonique ;

– une donnée biométrique (telle que l’empreinte digitale, la voix ou l’iris).

« Globalement, il y a eu des efforts importants du côté de la prévention et de la détection des fraudes, mais une fois que la fraude a été commise, là, c’est encore loin d’être parfait ! » note Jean-Christian Valette, Directeur Marketing Marché Banque chez Tessi France.

« En effet, même si – hors négligence grave – la banque est tenue de rembourser, les clients peuvent rencontrer plusieurs difficultés. Par exemple, une notification tardive peut compliquer le processus de remboursement. Parfois, la procédure de signalement peut aussi être assez complexe et exiger une documentation détaillée. Mais surtout, la responsabilité du client est souvent mise en avant par la banque : le client doit prouver qu’il n’a pas été négligent dans la protection de ses informations de paiement. Si la banque estime que le client a contribué à la fraude par négligence, elle pourrait réduire ou refuser le remboursement. D’autant que les politiques de remboursement sont très variables d’une banque à l’autre ; elles peuvent aussi varier dans le temps au sein d’une même banque. Enfin, attention aux assurances moyen de paiement qui promettent de couvrir les pertes liées à une fraude bancaire : si elles peuvent être utiles, elles appliquent le plus souvent un plafond de remboursement (150 € par exemple) en cas de négligence grave de la part du client. »

Face à ces mauvaises pratiques, des avancées ont toutefois été enregistrées au printemps 2023. En vertu d’un accord entre les pouvoirs publics, les banques et les associations de consommateurs, les arnaques devraient être mieux prises en charge par les banques. Une fraude effectuée malgré une authentification forte ne pourra plus être associée à un comportement négligent de la victime et être un motif de non-remboursement.

Par ailleurs, la DSP3 en cours d’élaboration à Bruxelles devrait aussi permettre d’estomper certaines difficultés. « Ce qui se trame, c’est que les banques devront plus facilement rembourser les victimes de fraude au paiement, notamment les victimes de spoofing[6] ou quand l’IBAN et le nom ne concordent pas, détaille Jean-Christian Valette. L’authentification forte devrait aussi être étendue à de nouveaux usages, comme l’enrôlement d’une carte de crédit dans un portefeuille électronique. »

Une équation fragile

Si les mesures de sécurité sont nécessaires pour lutter contre la fraude, elles peuvent aussi engendrer des irritants dans le parcours client, en particulier pour les achats. « Le client s’attend à de la simplicité et de l’instantanéité, abonde Florent Faguer. Entre le parcours d’enrôlement et l’acte d’achat final, tout est fait par les commerçants pour réduire le taux d’abandon ! Ainsi, la difficulté est d’arriver à mettre en place des outils de lutte contre la fraude sans pour autant dégrader l’expérience utilisateur. »

Tessi a donc développé des solutions de lutte contre la fraude qui se veulent sans impact pour l’utilisateur, car elles s’opèrent en back-office. Elles se substituent à des dispositifs existants en proposant un niveau de sécurité supérieur, n’ajoutant ainsi aucune lourdeur supplémentaire.

Dans l’usage, l’authentification et l’acte de paiement sont de plus en plus liés. La vision de Tessi est la suivante : renforcer la vérification de l’identité à l’enrôlement et à la transaction, ainsi que le nombre de contrôles automatisés, alliant ainsi sécurité, simplicité et rapidité optimisés.

Fraude bancaire : Comment s’en prémunir ?

[1] Le skimming consiste à pirater des cartes bancaires en les dupliquant à l’aide d’un équipement spécial disposé dans un distributeur de billets.

[2] La technique du phishing consiste à obtenir des informations sensibles (comme un identifiant ou un mot de passe) en se faisant passer pour une personne de confiance.

3 Les malwares sont des logiciels malveillants visant à nuire à un système informatique. Ceux-ci sont placés à l’insu de la victime sur une machine qualifiée alors d’infectée (virus, vers, cheval de Troie, ransomware, spyware, adware, scareware…).

[4] Un sniffeur est un programme qui permet de capturer des données qui circulent sur un réseau.

[5] Le taux de fraude est le rapport entre le montant des opérations frauduleuses et le montant total des opérations effectuées avec un moyen de paiement donné. Ici, le chèque.

[6] Le spoofing est une technique utilisée par les fraudeurs pour masquer leur identité et l’origine réelle du message. Par exemple, les fraudeurs peuvent manipuler une adresse mail, une adresse IP, un numéro de téléphone…