BFM Business

Les banques françaises en retard pour renforcer la sécurité des paiements en ligne?

Quand des clients sont victimes de fraudes, un sur cinq n'est jamais remboursé

Quand des clients sont victimes de fraudes, un sur cinq n'est jamais remboursé - Denis Charlet - AFP

A partir du 14 septembre, les consommateurs doivent pouvoir utiliser un nouveau système d’authentification pour leurs achats en ligne. Mais ce nouveau dispositif sera en fait déployé très progressivement.

860 euros. C’est le montant moyen de la fraude bancaire par foyer français en 2018, selon l’Observatoire de la sécurité des moyens de paiement. 1,2 million de foyers ont été escroqués l’an passé, soit un bond de 144% depuis 2010, essentiellement sur internet lors de paiements à distance. Le e-commerce représente seulement 15% des opérations par carte bancaire, mais concentre à lui seul 70% des fraudes.

Il semble bien que les moyens de protection, déjà anciens, notamment le très utilisé système 3D-Secure (qui consiste en l’envoi d’un code SMS d’authentification), soient aujourd’hui obsolètes. C’est une des raisons qui ont poussé l’Union européenne à imposer aux e-commerçants et aux banques un système plus protecteur, basé notamment sur la validation des opérations par empreinte digitale ou via l’iris (authentification forte) sur smartphone au travers de l’application mobile de sa banque.

Ces nouvelles dispositions font parties de la deuxième directive européenne sur les services de paiement (dite DSP2). Cette nouvelle directive entre en vigueur ce samedi 14 septembre en lieu et place de 3D-Secure qui sera jugé "non conforme". Il doit également consacrer le remboursement immédiat d’un consommateur qui aurait subi un achat frauduleux à travers sa carte bancaire. 

Les banques joueraient la montre

Malheureusement, les banques comme les commerçants ne sont pas prêts à se conformer à ces règles dès ce samedi. L’association de défense des consommateurs UFC-Que Choisir dénonce dans une étude "la consternante impréparation des banques et du e-commerce".

Conséquence, elles bénéficient d'un délai supplémentaire. La Banque de France pilote donc un plan de migration à étapes pour être en conformité avec la loi. En ce qui concerne le remplacement des SMS à usage unique par de nouveaux moyens d'authentification, "d’ici décembre 2020, la grande majorité des consommateurs bénéficiera de ces nouvelles solutions d’authentification renforcée", précise un communiqué de l'Observatoire de la sécurité des moyens de paiement. Ensuite, l'infrastructure technique 3D-Secure, dont se servent les professionnels, sera mise à niveau d'ici mars 2021.

Pour l’UFC, ce délai supplémentaire est synonyme de "report du droit des victimes de fraude à être remboursé immédiatement". Un report "inacceptable". En effet, les clients des banques qui ne sont pas prêtes continueront à devoir valider leurs achats en ligne avec 3D-Secure et s’exposent donc à des fraudes. L’association accuse clairement les banques françaises de jouer la montre afin de conserver un système qui leur permettrait de retarder les remboursements des clients lésés, voire de ne pas les rembourser. D'ailleurs, 20% des escroqueries ne sont jamais indemnisées, selon le rapport d’enquête Cadre de vie et sécurité 2017 du ministère de l’Intérieur.

Pas de changement dans les règles d'indemnisation

"Notre enquête démontre que l’envoi du SMS pour authentifier les paiements constitue un véritable alibi pour limiter les remboursements. Bien qu’il revienne aux banques d’établir la faute de leurs clients, 42% des sondés ont dû fournir des justificatifs pour démontrer leur bonne foi. Une gageure alors qu’ils ignorent souvent l’origine de la fraude. Les mauvaises habitudes ont également la vie dure: en dépit de toute obligation légale, deux sondés sur cinq ont dû déposer plainte pour espérer être remboursés. Au total, être indemnisé relève donc du parcours du combattant: en moyenne 21 jours pour notre échantillon", commente l’association.

Et de saisir l’Autorité de contrôle prudentiel et de résolution (ACPR) "pour que, face à l’explosion des cas de non-remboursement de fraude, elle contrôle la bonne application de la loi".

Contactée par nos soins, la Banque de France ne souhaite pas commenter ces accusations. De son côté, la Fédération bancaire française les conteste vigoureusement. Dans un communiqué, elle indique: "Il n'y a aucun rapport entre la migration progressive vers une authentification renforcée dans le cadre de la directive européenne DSP2 et le remboursement des fraudes à la carte bancaire. Les règles de remboursement en cas de fraude du moyen de paiement restent exactement les mêmes (au plus tard un jour ouvrable après en avoir pris connaissance ou en avoir été informée, sauf si elle soupçonne un cas de fraude engageant la responsabilité du client)".

Et d'estimer que 3D-Secure a permis de renforcer la sécurisation des émetteurs des moyens de paiement, des commerçants et des entreprises tout en admettant que "la mise en place progressive de règles d'authentification renforcée viendra encore améliorer la lutte contre la fraude".

La France ne fait pas exception

Par ailleurs, la France ne fait pas figure d'exception. Le délai dénoncé par l'UFC a en fait été décidé en juin dernier par l’Autorité bancaire européenne (ABE), chargée d’élaborer les normes techniques de la directive DSP2.

En cause, "les inquiétudes" d’acteurs du marché "quant à l’état de préparation du commerce électronique aux nouvelles exigences" d’authentification forte, risquant de créer des perturbations dans les transactions en ligne. Ce délai supplémentaire est accordé aux États membres se trouvant dans ce cas de figure.

Concrètement, peu de banques de la zone euro sont prêtes, mais plus encore, peu d'acteurs du e-commerce sont prêts (la mise à niveau s'avère complexe et coûteuse) et cerise sur le gâteau, peu d'Européens sont encore équipés de smartphones biométriques. De quoi justifier ce délai supplémentaire.

Olivier CHICHEPORTICHE