Si votre carte bancaire est piratée par un cybercriminel, la réglementation impose à votre banque de vous rembourser rapidement le préjudice. Cette exigence est-elle respectée ? Pas vraiment, si l’on en croit la mise au point de deux gendarmes du secteur, l’ACPR et la Banque de France.

Moyen de paiement sûr et fiable dans le monde physique, la carte bancaire l’est beaucoup moins sur internet. Les paiements par carte sur les sites marchands génèrent ainsi 17 fois plus de fraude, en proportion, que dans les boutiques traditionnelles. Paradoxalement, c’est, de loin, le moyen de paiement le plus utilisé sur le web : 80% des montants réglés le sont par carte bancaire (1).

La tension sur la fraude est d’autant importante que les paiements en ligne ont explosé à la faveur de la crise sanitaire : +30% environ en un an sur les achats de biens, selon Mercatel. Heureusement, le cadre réglementaire est très protecteur pour les consommateurs. En résumé, le client victime d’opérations non autorisées sur sa carte doit être intégralement remboursé, sauf négligence grave ou fraude de sa part.

Lire sur le sujet : Fraude sur compte bancaire : dans quels cas êtes-vous responsable ?

Le rappel à l'ordre des gendarmes du secteur

Encore faut-il que sa banque joue le jeu... Cela ne semble pas être toujours le cas, si l’on en croit la Banque de France et l’Autorité de contrôle prudentiel et de résolution (ACPR), le régulateur du secteur financier.

Les deux institutions ont interrogé 25 prestataires de services de paiement (PSP) sur leurs pratiques en la matière. Le résultat laisse à désirer : « (…) Les modalités de traitement des demandes de remboursement des opérations non autorisées par carte bancaire doivent être améliorées », écrivent-elles dans un communiqué commun.

A consulter : Comment obtenir une carte bancaire gratuite ?

Interrogées par MoneyVox, l’ACPR n’a pas souhaité détailler le nom des 25 PSP interrogées, ni la nature de leurs manquements. On comprend toutefois en creux que certaines banques rechignent trop souvent à rembourser leurs clients victimes d’usurpation de carte bancaire. En octobre 2020, UFC-Que Choisir estimait ainsi à près d’un tiers (30% précisément) la part des victimes n’obtenant pas de remboursement, avec comme première justification des accusations de négligence. Or, « dans la grande majorité des cas, cet alibi ne tient pourtant pas la route », écrivait à l’époque l’association de consommateurs.

De fait, l’ACPR et la Banque de France rappellent, entre autres, deux « exigences posées par la réglementation », dont on peut supposer qu’elles sont insuffisamment mises en œuvre. La première : ce n’est pas au client de prouver sa bonne foi, mais à la banque d’apporter la preuve de sa négligence ou de sa fraude lorsqu’elle refuse de rembourser. La seconde : le simple fait qu’un paiement en ligne ait été authentifié par un code à usage unique envoyé par SMS ne suffit à justifier un non-remboursement.

Ce 2e point, notamment, est au cœur de nombreux litiges entre les victimes de fraude et leurs banques. Plusieurs estiment en effet que l’interception par le cybercriminel de ce code SMS suffit à caractériser la négligence du client, et donc à justifier le refus de rembourser. Pourtant, ce dispositif de sécurité, connu sous le nom de 3D Secure (3DS), n’est pas infaillible. Certains criminels parviennent ainsi à usurper la ligne mobile de leurs victimes pour intercepter les codes SMS. Une technique de fraude baptisé SIM-Swaping.

Le code SMS banni à l’avenir

Le code SMS est au final si peu fiable que son usage a été invalidé par les institutions européennes, dans le cadre d'un texte, la directive sur les services de paiement (DSP2), renforçant les obligations en matière de sécurité des paiements en ligne.

La mise en œuvre de ces nouvelles règles doit s’achever dans les semaines à venir. D’ici au 15 juin, les banques françaises devront ainsi avoir banni ce SMS, au profit de méthodes plus robustes. La Banque de France appelle ainsi les banques à accélérer « la mise en œuvre complète des exigences de sécurité relatives à l’authentification forte du payeur », et les clients « à adopter rapidement ces nouveaux dispositifs (…), afin de bénéficier de la sécurité renforcée qu’ils procurent ».

Lire aussi : Carte bancaire : ce qui change pour la sécurité de vos paiements

(1) Source : Fédération du e-commerce et de la vente à distance, janvier 2019