L’étude réalisée par l’UFC-Que Choisir, en février 2012, se base sur les données chiffrées pour 2010 publiées par l’Observatoire de la sécurité des cartes de paiement en juillet 2011.
Le constat
La généralisation du standard EMV (Europay Mastercard Visa), avec une puce et un code confidentiel, a fait diminuer le taux moyen de fraude sur les paiements par carte bancaire. Mais depuis 2007, ce taux recommence à augmenter. La fraude est concentrée essentiellement sur les paiements sur Internet.45 % des paiements de proximité, en magasin, et 80 % des paiements à distance sont réglés par carte bancaire. Le taux de fraude sur les paiements de proximité (commerçants physiques) est très faible (0,012 % en 2010). En revanche, la fraude sur Internet sur les paiements nationaux est 23 fois plus élevée que la fraude sur les paiements de proximité (taux de 0,276 % en 2010). Et la fraude sur Internet sur des paiements internationaux est 113 fois plus élevée (1,36 % en 2010).Les transactions par carte bancaire sur Internet représentent 5 % des paiements nationaux mais 33 % de la fraude, soit 120,1 millions d’euros.
L’usurpation des données de cartes bancaires
Près des deux tiers de la fraude sur cartes bancaires provient de l’usurpation des numéros des cartes bancaires (numéro de la carte, date de validité et cryptogramme), pour 62,6 % de la fraude en 2010. Ces données sont facilement accessibles, et valables pendant toute la durée de détention de la carte. Il existe des méthodes permettant aux fraudeurs de récupérer ces données.Ainsi, les Spywares (ou logiciels espions) sont des programmes qui s’installent sur l’ordinateur, à l’insu de son utilisateur, et qui enregistrent les mots de passe tapés sur le clavier. Ces données sont envoyées au fraudeur par le programme.Le Phishing (hameçonnage) qui consiste à envoyer un mail frauduleux au consommateur (en tant qu’administration, banque ou autre) pour récupérer des données personnelles : numéro de carte, code confidentiel, numéro de compte bancaire… Le consommateur abusé fournit lui-même ces données au fraudeur.Il peut s’agir également du piratage des sites des commerçants où sont stockées les données des cartes bancaires de leurs clients. Les informations dérobées sont utilisées pour des paiements frauduleux.
La faiblesse du système de sécurisation des paiements par carte sur Internet
Un système de sécurisation des paiements en ligne a été mis en place en France en 2008, le système 3D Secure. Il doit permettre de s’assurer que c’est bien le porteur de la carte qui effectue le paiement. Différents procédés ont été mis en œuvre, reposant sur la saisie d’une information personnelle (date de naissance ou mot de passe ou réponse à une question personnelle…) ou sur la saisie d’un numéro à usage unique, envoyé par SMS ou par l’intermédiaire d’un serveur vocal…Plusieurs procédures coexistent, le consommateur devant utiliser les unes ou les autres selon sa banque, son équipement et la souscription ou non du commerçant au système de sécurisation. Seuls 11,3 % des paiements en ligne utilisent le processus du 3D Secure en France (contre 96 % au Royaume Uni où existe un système unique et généralisé).
Quelques conseils de prudence
Ces données chiffrées sur la fraude à la carte bancaire sur Internet est l’occasion pour lafinancepourtous.com de rappeler les quelques mesures de précaution à prendre lorsque l’on achète en ligne sur Internet.
-
Il est préférable de protéger son ordinateur avec un pare-feu, un anti-virus et un logiciel anti-espion. Ils sont gratuits ou payants selon les versions.
-
Il ne faut jamais communiquer ses numéros de compte et de carte bancaires par courriel ou téléphone, quel que soit le prétexte pour lequel on vous les demande (par exemple, la maintenance technique du site Internet de votre banque, de la Sécurité sociale ou autre).
-
Il faut éviter de cliquer sur un lien dans un courriel non sollicité (spam). Il est conseillé de toujours saisir soi-même l’adresse du site pour accéder à sa page d’accueil.
Se faire rembourser un paiement par carte bancaire sur Internet non autorisé
Si, à la lecture de votre relevé de compte, vous constatez le débit d’une opération par carte bancaire que vous n’avez jamais réalisée, vous devez contester la transaction litigieuse dans les plus brefs délais auprès de votre banque, en envoyant une lettre recommandée avec accusé de réception, et faire opposition pour fraude à la carte bancaire.Le délai pour contester est de 13 mois maximum à partir de la date de débit du compte. Mais si la transaction litigieuse a été réalisée hors de l’Espace économique européen (Union européenne plus l’Islande, le Liechtenstein et la Norvège), suite au vol ou à la perte de la carte, le délai de contestation est de 70 jours, ou 120 jours au plus, selon les banques.Lorsque le paiement frauduleux a été réalisé sans frappe du code confidentiel ni communication du numéro de la carte ou du cryptogramme, la banque doit vous rembourser toutes les sommes débitées à votre insu et les éventuels frais induits (frais d’opposition, agios…).