Fraude : bilan et perspective d'un environnement en perpétuel mouvement

Il ne vous a pas échappé que depuis l’épidémie du Covid, la fraude bancaire est plus que jamais au cœur de l’actualité : dernières reco’ OSMP (Observatoire de la Sécurité des Moyens de Paiement) et son rapport annuel, récits de clients fraudés relayés par la presse, condamnations des banques à rembourser leurs clients, actions collectives menées par des associations de consommateurs, etc.

Mais fort heureusement, les actions se multiplient afin de contrer l’imagination débordante des fraudeurs : nouvelles réglementations (comme la Directive sur les Services de Paiement), des recommandations OSMP notamment à l’égard des établissements financiers, des campagnes de sensibilisation adressées via différents canaux de communication (courrier, email, sms, pop-up, même Instagram s’y met)…

Dans ce contexte mouvant, nous décryptons pour vous les dernières tendances, chiffres à l’appui, et les solutions pour y remédier. On vous dit tout !

Retour sur l’année 2022 :  un bilan mitigé !¹

Une baisse générale de la fraude aux moyens de paiement scripturaux²  en 2022 a été constatée, s’établissant à 1,19 milliard d'euros, et affichant ainsi une baisse de 4 % en volume comme en valeur. Cependant, cette diminution est inégale en fonction des moyens de paiement.

Une nouvelle forme de fraude voit le jour …

Afin de contourner les systèmes de sécurité renforcés (authentification forte), de nouvelles techniques de fraude ont émergé et touchent tous les profils de client. Par exemple, le spoofing consiste à usurper une identité (souvent celle d’un établissement bancaire) et à manipuler un utilisateur afin qu’il baisse sa garde. Le fraudeur prétexte un exercice de sécurité ou un contrôle relatif à une transaction suspecte sur son compte. L’objectif est que le client, mis sous pression et incité à agir dans l’urgence, valide lui-même l’opération frauduleuse ou communique ses informations personnelles.

La presse en parle

En 2023, un client d’une banque française a été victime de spoofing. La victime a reçu un appel et l’identité de l‘interlocuteur a été déguisé pour afficher un numéro qu’elle pensait être sa banque. Elle a validé sur son application bancaire des ajouts de bénéficiaires permettant de réaliser des opérations frauduleuses. Le préjudice s’élève à plus de 50 000 euros.  La banque a initialement refusé de dédommager son client en raison d’une négligence grave (authentifications des opérations réalisées par le client lui-même) mais la Cour d’appel en a décidé autrement et a condamné la banque à rembourser la victime, avec des dommages et intérêts supplémentaires. Une décision de la Cour de cassation est attendue.

Les paiements frauduleux sur internet avec authentification forte représentent 39 % des paiements frauduleux sur internet en valeur (et 11 % en volume). Alerté par cette hausse significative et interpellé par les associations de consommateurs en 2022, l’OSMP a réagi.

… impliquant le renforcement de la protection des consommateurs …

Le Code Monétaire et Financier³ est pourtant clair : les banques doivent rembourser et même « immédiatement » leur client « si l’opération est reconnue comme non autorisée ». Sauf que tout le problème réside dans la définition du caractère « non autorisé », surtout lorsqu’une double authentification a été réalisée. A l’heure actuelle, la majorité des banques considèrent que lorsqu’il y a eu une authentification forte, la négligence du client est caractérisée et de ce fait le remboursement n’est pas automatique… mais ce n’est pas si simple !

C’est pourquoi l’OSMP a publié 13 recommandations en mai dernier visant à réduire les interprétations de traitement en obligeant désormais les banques à davantage apporter des preuves quant à la négligence ou la malhonnêteté du client au-delà du simple fait que la transaction ait bénéficié d’une authentification forte. L’enjeu majeur de ces recommandations est de faire bouger les lignes en harmonisant les pratiques entre les banques et en accélérant les processus de traitement (30 jours maximum afin d’éviter de jouer l’usure auprès des clients).  Leur mise en œuvre sera suivie par l’ACPR dès 2024.

1. Le délai maximum des investigations est de 30 jours.
2. Le client est informé en cas d’une éventuelle reprise des fonds.
3. Le client est informé des raisons du refus de sa demande de remboursement ou de la reprise des fonds.

4. Les opérations sans authentification forte engendrent un remboursement immédiat.

5. Les opérations avec une application mobile sans authentification forte engendrent un remboursement immédiat.

6. Si l’opération est réalisée avec une authentification forte, une analyse est établie à J+1 par le Prestataire de services de paiement (PSP) et le client est informé (Cf. Reco n°3).

7. Les utilisateurs doivent rester vigilants quant à la préservation de leurs données confidentielles (mot de passe, code, cryptogramme).

8. Les utilisateurs doivent faire preuve de transparence lorsqu’ils sont victimes de fraudes au regard de la nature et contexte de l’opération et des actions entreprises une fois la fraude découverte.

9. Les PSP sont encouragés à demander une authentification forte lorsqu’un utilisateur souhaite consulter ses comptes depuis un appareil inhabituel.

10. Les PSP sont encouragés à réaliser un contrôle de concordance entre IBAN et nom du bénéficiaire à chaque ajout d’un bénéficiaire de virement.

11. Les PSP sont encouragés à rappeler de manière explicite aux clients la nature de l’opération à chaque étape du processus d’authentification.

12. Les PSP sont encouragés à mettre à disposition des mécanismes de blocage pour chaque instrument de paiement.

13. Les fournisseurs de services et technologies de l’information sont les. garants de la protection des utilisateurs contre les risques d’usurpation d’identité et d’atteinte à l’intégrité et la confidentialité de leurs données.

… et la sensibilisation des acteurs impliqués.

Contacté par l’OSMP, les acteurs de la téléphonie mobile en France entrent dans la lutte contre la fraude et comptent bien coopérer. Dans le cadre de la loi « Naegelen », dont les nouveaux volets sont applicables depuis mars 2023 et visant à limiter le démarchage téléphonique, les opérateurs lancent un nouveau dispositif permettant de garantir un niveau de confiance accru dans les numéros de téléphone. L’Association Française du Multimédia Mobile (AF2M) propose également un plan d’action en coopération avec les opérateurs.

Par ailleurs, les acteurs bancaires se mobilisent également pour sensibiliser leurs clients. Compte tenu des dernières condamnations, davantage de pédagogie et de communications relatives aux nouveaux scenarios de fraude semblent être un élément de réponse pour protéger les clients et in fine les établissements financiers eux-mêmes. Avez-vous vu les campagnes d’information sur les réseaux sociaux à destination des jeunes, ou des populations les plus vulnérables face aux nouvelles techniques d’ingénierie sociale ?

La Fédération Bancaire Française (FBF) a également lancé une campagne de sensibilisation pour rappeler aux utilisateurs de ne jamais « donner leurs données ».

De nouveaux moyens à la hauteur des risques ?

Le renforcement de la sécurité des paiements en ligne ces dernières années constitue une réelle avancée en matière de lutte contre la fraude. Cependant, cela montre également l’imagination sans fin des fraudeurs. Ces derniers arrivent à renouveler les mécanismes visant à piéger les utilisateurs et à s’adapter rapidement.

La réactivité reste un enjeu clé dans la Lutte contre la Fraude.  L’OSMP rappelle à ce titre, l’importance de la sécurité apportée aux paiements en temps réel qui constituera une part grandissante de sa feuille de route 2023.

Enfin, pour répondre à ces enjeux sans cesse renouvelés, la commission européenne a présenté un projet de refonte de la réglementation autour des paiements avec l’introduction de la DSP3 et un Règlement sur les Services de Paiement (RSP1)⁴ en juin dernier. Parmi les objectifs présentés, l’un d’entre eux sera à suivre particulièrement :

• Renforcer la lutte contre la fraude et la protection des consommateurs (exemple de proposition : obligation de vérifier la correspondance entre le numéro IBAN du bénéficiaire et le nom du compte, pour tous les virements). 

De quoi contribuer à renforcer la résilience et la compétitivité du secteur des paiements au sein de l'UE, si les textes sont adoptés. Affaire à suivre !

¹ Rapport annuel OSMP 2022 
² Par opposition à la monnaie fiduciaire (constituée des billets et des pièces), les moyens de paiement scripturaux sont des dispositifs qui permettent le transfert de fonds tenus dans des comptes par des établissements de crédit, des institutions assimilées (Caisse des dépôts et consignations, Trésor public, Banque de France…) ou des établissements de paiement suite à la remise d'un ordre de paiement.
³ Article L133-18
⁴ Pour en savoir plus : https://www2.deloitte.com/fr/fr/pages/services-financier/articles/revision-cadre-reglementaire-ue-paiements-nouvel-ensemble-dsp3-rsp1.html