Face à l’augmentation du nombre de fraudes à la carte bancaire sur internet, l’association de consommateurs UFC-Que Choisir appelle les pouvoirs publics, les banques et les e-commerçants à se mobiliser pour améliorer la sécurisation des transactions.
L’intervention d’UFC-Que Choisir part d’un constat : alors que la fraude liée aux cartes bancaires a été divisée par deux entre 2006 et 2010 pour les paiements de proximité dans les commerces physiques, elle a été multipliée par 23 pour les paiements sur internet. Citant les chiffres de l’Observatoire de la sécurité des cartes de paiement, organe lié à la Banque de France, l’association chiffre à 0,276% des transactions la fraude liée au paiement par carte sur internet en 2011, soit plus d’un fraude par minute. Et le problème est d’autant plus sensible que la carte bancaire reste en France le moyen privilégié des paiements à distance, avec 80% des transactions.
Le coût de ce problème est non-négligeable : plus de 120 millions d’euros en 2010, soit un tiers du montant total des fraudes en France, alors même que le e-commerce n’y représente que 5% des transactions. Qui paye pour cette fraude ? Selon l’Observatoire de la sécurité des cartes de paiement, seuls 2,3% des montants concernés sont à la charge directe de l’usager, contre 56,5% pour les commerçants et 41,1% pour les banques. Mais pour l’UFC-Que Choisir, c’est bien le consommateur qui, au final, paye indirectement l’addition, le coût de la fraude étant répercuté, d’un côté, sur le prix de vente des biens par les commerçants, de l’autre sur les frais facturés par les banques, notamment pour leurs assurances moyens de paiement.
Les banques mises en cause
Selon l’association, cette hausse constante de la fraude est avant tout l’échec des banques, insuffisamment concernées par le problème. « Dès lors qu’ils n’en subissent pas les coûts, les banquiers n’ont donc aucune incitation à améliorer la sécurité de la carte bancaire. » explique-t-elle dans son communiqué. En effet, les systèmes actuellement utilisés pour éviter l’usurpation par les fraudeurs des données bancaires et authentifier les transactions seraient notoirement insuffisants. Le mode d’authentification renforcé le plus répandu est le cryptogramme visuel figurant au dos des cartes. Une donnée jugée trop « statique » par l’UFC-Que Choisir, puisqu’elle ne change qu’avec le renouvellement de la carte.
L’association préconise donc des systèmes d’authentification plus « dynamiques », à l’image du système 3D Secure, qui permet de valider chaque paiement par un code à usage unique, le plus souvent transmis par SMS. Problème : ce système est, selon UFC-Que Choisir, un échec en France. « Chaque banque a joué sa partition et développé son propre système » estime-t-elle. Résultat : une certaine « cacophonie », et des processus trop complexes, qui découragent l’achat et donc l’adoption du système. Ainsi, seul un paiement par carte sur dix chez les e-commerçants français utiliserait 3D Secure. Les grandes enseignes, qui concentrent l’essentiel des transactions, ne le font pas. Et pourtant, le système, adopté massivement, donne des résultats probants : 96% des e-commerçants britanniques l’utilisent, et le taux de fraude y est 53% moins élevé qu’en France.
Concertation pour un système unique
Que propose l’UFC-Que Choisir pour remédier au problème ? L’association appelle les banquiers, les commerçants et les représentants des consommateurs à se concerter pour mettre en place « un système d’authentification unique et non rejouable. » Elle encourage également la mise en œuvre d’une réflexion sur le sujet au niveau européen.
A plus court-terme, elle demande une amélioration des mesures de prévention : envoi systématique par les banques d'une confirmation de paiement, via les espaces clients, par mail ou par SMS ; obligation de déclaration des vols de données bancaires par les professionnels stockant ce type de données ; obligation pour les banques de centraliser les fraudes subies par leurs clients et de les transmettre à la justice. Elle réclame enfin que l’ensemble des frais liés à la fraude (découverts, recherche documentaire, etc) soient également remboursés, au même titre que le montant de la fraude en elle-même.
