Fraude paiement : qui paiera les pots cassés ?

L’association de consommateurs UFC Que Choisir vient d’assigner 12 banques pour les contraindre à rembourser leurs clients qui contestent avoir réalisé certaines opérations de paiement. Elle s’appuie sur les obligations réglementaires de la DSP2 – seconde directive européenne sur les services de paiement – qui contraint les banques à rembourser les opérations de paiement contestées à J+1, sauf en cas de présomption de fraude ou de négligence grave.

En réalité, les clients, qui contestent ces opérations, les ont très probablement autorisées en communiquant au fraudeur des codes sécurisés qu’ils étaient seuls à connaitre… Dès lors, la banque considère qu’ils ont commis une négligence grave. Cette situation révèle une lacune sur les dispositions de la DPS2 qui visaient à renforcer la sécurité des paiements à distance et des opérations sensibles. Les banques ont investi d’importants moyens pour assurer une authentification forte des opérations sensibles, à travers leur application bancaire associée à un appareil de confiance et l’envoi de codes à usage unique (ou OTP) pour valider certaines opérations (code otp associé à un code confidentiel connu du client, utilisé pour son login ou pour valider un paiement sur internet).

Le fraudeur exploite un maillon faible : l’humain.

Le fraudeur collecte d’abord des informations sensibles sur la victime ciblée via des techniques de phishing : demandes d’information anodines par téléphone ou SMS, ou piratage de la messagerie du client dont le mot de passe serait compromis, ou encore en espionnant la boite aux lettres physique de la personne ciblée. Ensuite, le fraudeur utilise la technique du spoofing pour contacter sa victime en usurpant l’identité de son banquier au motif de déjouer une fraude évidemment imaginaire. Il crédibilise sa démarche en distillant certaines informations collectées (agence du client, numéro de compte ou de carte bancaire, etc.). Le client se laisse parfois abuser et, croyant déjouer une fraude, communique benoitement son code à usage unique reçu de sa banque, ce qui permet au fraudeur d’enrôler un nouvel appareil de confiance qu’il maitrise. Ensuite, le fraudeur prend la main sur le compte du client pour réaliser les opérations qu’il désire.

Bien que les banques ne soient pas à l’abri d’une faille informatique, la robustesse de leur système d’information et de leurs applications digitales est rarement en cause. En outre, les banques déploient des solutions d’intelligence artificielle très performantes pour repérer les situations anormales (par exemple : localisation inhabituelle de l’adresse IP) associées à des mécanismes de blocage de virements suspects selon une note de risque. On constate également de nombreuses campagnes de communication des acteurs bancaires visant à sensibiliser les clients sur les risques de cybersécurité et l’impératif de ne pas divulguer à quiconque les codes confidentiels attribués au client car « votre banque ne vous les demandera jamais ».

 Qui paiera les pots cassés de la fraude à l’ingénierie sociale ?

• D’un côté, des clients victimes qui ont autorisé des opérations de paiement sans le vouloir et qui les contestent… Ont-ils été négligents ?
• De l’autre, des banques qui ont appliqué précisément les directives européennes pour sécuriser les paiements via une authentification forte, et qui considèrent que les clients ont été négligeant de divulguer le code ayant autorisé les transactions. Ont-elles commis une faute ?

L’autre maillon faible…

C’est la banque bénéficiaire peu regardante qui a ouvert un compte bancaire au fraudeur, souvent via un enrôlement dématérialisé mal calibré pour repérer les pièces d’identité falsifiées et les fausses adresses via leur procédure de KYC (Know Your Customer). C’est parce qu’il reste plutôt simple d’ouvrir un compte dans certains établissements que les fraudeurs parviennent toujours à encaisser les fonds détournés puis à les transférer immédiatement ailleurs. A cet égard, les procédures de rappel des fonds (ou recalls) de la banque émettrice sont rarement réussies, surtout quand l’établissement du bénéficiaire fraudeur se situe hors de France, et la banque bénéficiaire ne subit aucun préjudice.

En attendant que les tribunaux se prononcent sur la plainte d’UFC Que Choisir, le véritable enjeu est la responsabilisation de toute la chaine de paiement. Chacun doit faire sa part d’effort : vigilance extrême pour les clients, détection et pédagogie pour les banques émettrices et rigueur dans l’ouverture de compte pour les banques bénéficiaires.

Quintess accompagne les grands acteurs de la Banque, de l’Assurance et du Commerce sur le marketing et le déploiement de solutions de paiement innovantes, et l’assistance à maitrise d’ouvrage de grands projets relatif à la lutte contre la fraude et l’application des réglementations en matière de paiements. Plusieurs post seront consacrés à la fraude bancaire, à découvrir au cours des prochaines semaines…

Suivez-nous