La Banque de France a récemment publié une liste de recommandations pour lutter contre les fraudes aux moyens de paiement. Face aux développements de nouveaux procédés frauduleux, elle sensibilise par le biais de sa publication les Banques à la sécurisation des données bancaires et tous les acteurs à la vigilance en les incitant à s’approprier les recommandations et à adopter les meilleurs pratiques et comportements. Focus sur ces pratiques frauduleux et sur vos droits.
Bien que les organismes bancaires cherchent sans cesse à améliorer la sécurisation des données de leurs clients, les fraudeurs font toujours preuve d’ingéniosité si bien que cette sécurisation ne peut jamais être considérée pour acquis. Il existe plusieurs sources de fraude comme l’interception de la carte de paiement par autrui lors de son envoie par la Banque émettrice à son client. Il peut également s’agir de l’utilisation de carte de paiement récupérée à la suite d’une perte ou d’un vol. Par ailleurs, le numéro de carte bancaire peut faire l’objet d’une usurpation pour ensuite être utiliser pour les paiements frauduleux.
Quant aux techniques de fraude, le clonage (ou le skimming) ainsi que l’hameçonnage (ou le phishing) sont les plus courantes.
Si le clonage consiste à copier les pistes magnétiques de la carte de paiement dans les distributeurs automatiques via un lecteur à mémoire, l’hameçonnage consiste à récupérer les données personnelles du titulaire de la carte de paiement par différentes méthodes comme par le biais de courriels non sollicités renvoyant l’utilisateurs vers des sites frauduleux.
L’article L. 133-6 du Code monétaire et financier dispose « qu’une opération de paiement est autorisée si le payeur a donné son consentement à son exécution ». Le prestataire qui délivre la carte de paiement doit ainsi s’assurer que les informations confidentielles et personnelles indispensables à la sécurisation de la carte de paiement ne soient accessibles que par l’utilisateur lui-même. En conséquence, le prestataire est donc responsable de l’envoie de la carte de paiement ainsi que des données de sécurité personnalisées de celle-ci à son utilisateur au titre de l’article L. 133-15 du Code monétaire et financier.
Conformément à l’article L.133-23 du Code monétaire et financier, lorsque vous êtes victime d’une fraude et que vous contestez avoir donné votre autorisation pour que le paiement soit effectué, la charge de la preuve incombe au prestataire de services de paiement. Il doit en effet, apporter la preuve que « l’opération a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autres ».
Lorsque vous avez pris connaissance du vol, de la perte ou de toute utilisation non autorisée de votre carte de paiement, vous avez l’obligation de signaler sans tarder votre prestataire ou l’entité désignée pour qu’ils bloquent la carte. Votre prestataire a ainsi l’obligation de mentionner toutes les informations sur ces moyens dans le contrat de services de paiement pour que vous puissiez respecter vos obligations. Il en ressort que votre responsabilité ne pourra être engagée si votre prestataire n’a pas mis à votre disposition les informations relatives à cette opération (article L.133-24 du Code monétaire et financier).
À noter qu’en tant que titulaire de la carte de paiement, vous avez un devoir de transparence lors des démarches de déclaration de l’opération frauduleuse. Il s’agit d’une des recommandations de la Banque de France.
Conformément à l’article L.133-4 du Code monétaire et Financier, vous devez au plus tard dans les 13 mois suivants la date de débit signaler l’opération de paiement non autorisé auprès votre prestataire de services de paiement visant à inciter les victimes de fraude à fournir l’ensemble des éléments dont ils disposent tels que la nature et le contexte de l’opération.
L’article L 133-15 du Code monétaire et financier dispose que « le prestataire de services de paiement empêche toute utilisation de l’instrument de paiement après avoir été informé de sa perte, de son vol, de son détournement ou de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées ».
Le principe est que selon le Code monétaire et financier, le remboursement d’une opération contestée est conditionné par le fait qu’elle ait été autorisée ou non par le payeur (celui qui a donné son consentement à l’exécution de l’opération).
Dans le cas où les pertes occasionnées par les opérations de paiement non autorisées résultent d’un agissement frauduleux de votre part ou si vous n’avez pas satisfait (exemple : négligence grave) à vos obligations contractuelles de sécurité, vous supportez seul toutes ces pertes.
La Banque de France réaffirme que la banque ou les prestataires de service de paiement doivent rembourser au moindre doute sur le consentement des clients. Elle souligne dans son communiqué si dans un premier temps les prestataires de services de paiement doivent rembourser, dans un second temps, elles ont 30 jours pour mener des investigations et reprendre éventuellement les fonds en expliquant les raisons. En ce sens, le Banque de France recommande d’informer le client en cas de remboursement susceptible de donner lieu à une reprise de fonds ultérieure en fonction des résultats des investigations engagées.
Lorsque le client conteste une ou plusieurs opérations qu’il nie avoir autorisé et que ces opérations n’ont pas été authentifiées de manière forte, la banque doit rembourser sans délai le montant de ces opérations sauf si elle a de bonnes raisons de soupçonner une fraude de l’utilisateur.
Lorsque le client conteste une opération de paiement qui a été authentifiée de manière forte, le prestataire de services de paiement doit procéder dans un délai d’un jour ouvré à une première analyse de l’opération à l’issue de laquelle :
-Soit le prestataire de service de paiement constate que l’opération n’a pas été autorisée ou a un doute sur le consentement donné à l’opération, auquel il doit procéder sans délais au remboursement de la transaction.
-Soit le prestataire de service de paiement dispose de bonnes raisons de soupçonner une fraude de l’utilisateur (titulaire du moyen de paiement) et qu’il communique ses raisons à la Banque de France. Dans ce cas, il peut refuser de rembourser immédiatement la transaction en justifiant sa décision au client.
-Soit le prestataire de services de paiement dispose de suffisamment de preuves pour juger que l’opération a été autorisée par l’utilisateur ou que ce dernier a été gravement négligent ou qu’il n’a pas satisfait intentionnellement à ses obligations, auquel cas la banque peut refuser de rembourser la transaction.
La Banque de France rappelle qu’il est essentiel que les consommateurs fournissent des efforts pour maintenir leur vigilance en ce qui concerne la sécurité des données liées à un instrument de paiement tels que les mots de passe ou cryptogrammes. La Banque de France incite les consommateurs à respecter les bonnes pratiques visant à sécuriser les données sensibles liées aux moyens de paiement. Concrètement, il s’agirait de ne jamais communiquer ces données à un tiers ou encore à ne pas conserver ces données sur quelque support que ce soit, physique ou informatique. Par ailleurs, il est recommandé de ne jamais répondre aux sollicitations de personnes se présentant comme des collaborateurs des prestataires de services de paiement ni cliquer sur des liens reçus par messagerie.
La Banque de France recommande vivement entre autres, aux prestataires de services de paiement d’exiger une authentification forte en cas de consultation de comptes de la banque en ligne ou l’application mobile depuis un terminal qui n’a pas encore été utilisé par le client. En outre, elle exhorte les prestataires de services de paiement à simplifier l’accès aux procédures de blocage des instruments de paiement (article L.133-15 du Code monétaire et financier).
