Malgré la mise en place de l’authentification forte depuis 2019, destinée à sécuriser les paiements en ligne par les consommateurs (DSP2), de nouvelles techniques de fraude se sont développées, s’appuyant notamment sur la manipulation des victimes : par téléphone, par messagerie instantanée, les fraudeurs essaient de conduire leurs victimes à valider par elles-mêmes des opérations frauduleuses, ou à leur transmettre des informations personnelles qui permettront aux fraudeurs d’utiliser à distance les moyens de paiement de leurs victimes.
Afin de lutter contre ces nouvelles techniques de fraude, et sollicité par les associations de consommateurs sur les difficultés rencontrées par leurs adhérents pour bénéficier du droit au remboursement en cas de fraude, l’Observatoire de la sécurité des moyens de paiement a émis le 16 mai une série de recommandations visant à améliorer les démarches de remboursement des consommateurs victimes de fraude, notamment lorsque l’opération de paiement contestée est effectuée avec l’authentification forte.
Règles de remboursement des opérations de paiement contestées pour fraude
Le critère déterminant pour le remboursement d’un client contestant une opération de paiement pour fraude est le caractère « autorisé » ou non de cette opération de paiement.
Le payeur dispose d’un droit à remboursement immédiat si l’opération de paiement est reconnue comme « non autorisée ». Mais le remboursement peut être refusé par la banque dans certains cas : si l’utilisateur a eu lui-même un comportement frauduleux, ou si, pour les opérations avec authentification forte, une négligence grave de l’utilisateur est démontrée par la banque ou autres prestataires de services de paiement (PSP).
L’appréciation sur le caractère « non autorisé » d’une opération contestée et effectuée avec authentification forte peut être cependant délicate pour la banque à qui il est demandé le remboursement.
Cette difficulté est notamment liée au fait que les textes ne précisent pas explicitement les éléments qui caractérisent une « négligence grave » de l’utilisateur, qui est le motif majeur invoqué par les PSP pour refuser un remboursement. D’autant plus qu’il n’y a pas encore eu de jurisprudence de la Cour de cassation sur la contestation d’opérations réalisées depuis l’entrée en vigueur de la DSP2, la jurisprudence actuelle reposant sur le concept d’utilisateur « normalement attentif ».
Or, la réussite de l’authentification forte sur une opération signifie-t-elle que nécessairement il y a eu consentement du porteur du moyen de paiement ? Selon les associations de consommateurs, la réponse est non. C’est pourquoi l’objectif des recommandations du 16 mai vise à réduire la « zone grise » sur l’appréciation du caractère « non autorisé » d’une opération contestée, principalement avec authentification forte.
Trois recommandations générales sur le traitement des contestations d’opérations de paiement
L‘Observatoire de la sécurité des moyens de paiement a émis 3 recommandations sur les modalités de traitement par les banques des demandes de remboursement de paiements frauduleux.
- Le délai maximum pour la conduite des investigations par le PSP est de 30 jours à partir de la réception de la contestation.
- Le PSP est tenu d’informer son client que le remboursement initial est susceptible de donner lieu à une reprise des fonds (par débit du compte bancaire du montant remboursé) dans un délai n’excédant pas 30 jours à compter de la date du remboursement.
- Le PSP est par ailleurs tenu d’informer son client d’une décision de refus de remboursement ou de reprise des fonds, et d’en communiquer le motif, avec les justificatifs nécessaires
Des recommandations pour le remboursement des opérations de paiement contestées sans ou avec authentification forte
- Le PSP est tenu de rembourser sans délai le montant d’une opération non authentifiée de manière forte que son client nie avoir autorisée.
- Le PSP rembourse également sans délai son client lorsque celui-ci nie avoir autorisé une opération qui a été réalisée au moyen d’une application mobile pour laquelle l’enrôlement de l’instrument de paiement n’a pas donné lieu à authentification forte.
Dans ces deux cas, sauf soupçon de fraude de la part du client, celui-ci doit être remboursé à la fin du 1er jour ouvrable suivant la date de dépôt de la contestation, en incluant les frais supplémentaires éventuels (frais de découvert, agios…).
- Pour la contestation d’opérations de paiement ayant fait l’objet d’authentification forte, mais que le client nie avoir autorisées, l’Observatoire recommande que le PSP procède dans un délai d’un jour ouvré à une première analyse de l’opération contestée, et décide ensuite de refuser ou d’accepter le remboursement.
Si l’opération n’a pas été autorisée, ou s’il existe un doute sur le consentement donné à l’opération, la transaction frauduleuse doit être remboursée.
Si le PSP dispose d’éléments de preuve pour considérer que l’opération a été autorisée par l’utilisateur, ou qu’il a été gravement négligent, le remboursement de la transaction frauduleuse peut être refusé.
Des bonnes pratiques recommandées pour prévenir la fraude et sécuriser les moyens de paiement
L‘Observatoire de la sécurité des moyens de paiement préconise aux consommateurs comme aux établissements de paiement plusieurs règles de bonne conduite à tenir pour limiter les risques de fraude.
- Les consommateurs respectent les bonnes pratiques visant à sécuriser les données associées à leurs moyens de paiement (mot de passe, code, cryptogramme) et privilégient la solution d’authentification la plus sûre proposée par le PSP ;
- Les PSP exigent une authentification forte à chaque consultation de compte de la banque en ligne, sauf si la consultation s’est faite à partir d’un terminal régulièrement utilisé ;
- Les PSP sont invités à améliorer les modalités d’enregistrement des IBAN bénéficiaires de virements, en indiquant à chaque ajout d’un bénéficiaire de virement, si un contrôle de concordance entre IBAN et nom du bénéficiaire a été mis en place ;
- Pour mieux prévenir la fraude par manipulation, les PSP doivent veiller à informer de manière claire et explicite le consommateur sur toutes les étapes du processus d’authentification ; une option doit permettre par ailleurs le refus de l’opération ;
- Les consommateurs doivent pouvoir, en cas de détection d’une activité anormale sur leurs comptes ou leurs moyens de paiement, avoir un accès simple et gratuit à des procédure de blocage utilisables tout le temps.
Les bonnes pratiques pour sécuriser ses moyens de paiement
Voici quelques règles de prudence à suivre pour limiter les risques de fraude :
– Ne répondez pas aux demandes de données de connexion, de mots de passe ou autres identifiants. Jamais votre banque ne vous demandera vos identifiants, quel que soit le motif invoqué.
– Ne cliquez pas sur un lien reçu par messagerie ou SMS dont vous ne connaissez pas l’origine.
– Ne conservez pas vos mots de passe, codes confidentiels… sur un carnet, votre téléphone portable, un message électronique, un disque dur…
– Ne confiez pas votre carte bancaire, votre téléphone portable à un tiers (un coursier…) ou à un proche.