Pourra-t-on jamais éradiquer les fraudes au paiement ?
Charles Cuvelliez et François Franssen

Photo d'illustration
STEPHANE MAHE
Charles Cuvelliez et François Franssen

Photo d'illustration
STEPHANE MAHE
... çois Franssen, Directeur Adjoint Transaction Services, Belfius
Sur le premier semestre 2023, c'est la fraude au virement qui est en tête : 1.131 milliards d'euros suivi des fraudes aux paiements par carte : 633 millions. En volume de transactions frauduleuses, les cartes ont toutefois largement le dessus. Le volume compte autant que le montant car c'est autant d'échecs à l'authentification forte. Où sont les trous dans la raquette ? Le zéro-fraude est-il donc impossible à atteindre ? C'est vrai, en valeur relative, les fraudes restent à première vue limitées : les fraudes à la carte ne représentent que 0.031 % du montant payé par ce moyen. En volume relatif, les domiciliations et les cartes sont à égalité en pourcentage (0.014 % et 0.015 %).
La France arrive en troisième position en % cumulatif de volumes de transactions à fraude mais loin derrière les deux premiers (Figure 1).

Figure 1: cumul des proportions de fraude en volume par moyen de paiement d'après 2024 REPORT ON PAYMENT FRAUD, European Banking Authority et European Central Bank, Aug 1, 2024
Ramené en euro, la France est toujours en troisième position avec tout de même 0.05 % de fraude par carte sur le montant total payé par ce moyen et 0.03 % de fraude pour le retrait en cash (Figure 2).

Figure 2: cumul des proportions de fraude en montant par moyen de paiement d'après 2024 REPORT ON PAYMENT FRAUD, European Banking Authority et European Central Bank, Aug 1, 2024
La fraude par virement fait le plus mal : elle se monte à 1835 euros en moyenne (3497 euros pour la France). Suit le retrait de cash frauduleux moyen : 358 euros (368 euros pour la France, mais le volume est faible). La fraude moyenne par domiciliation et par carte sont beaucoup plus faibles : 87 euros (116 euros pour la France) et 65 euros (69 euros pour la France). Ces différences correspondent aux cas d'usage de ces moyens de paiement : le virement est le moyen utilisé pour les fortes sommes d'argent et les petits achats au détail se font par carte tout comme les domiciliations des factures récurrentes, jamais de grosses sommes, que nous recevons chaque mois.
Quand on paie par carte, la puce de la carte, le terminal de paiement tout comme le face-à-face avec le commerçant sont d'autres bonnes protections. Si fraude par carte il y a, ce sera surtout pour les paiements à distance. La distance, c'est le problème.
L’actualité qui compte pour vous, chaque jour dans votre boîte mail.

Ce n'est que quand la carte a été volée ou perdue qu'elle est utilisée pour des paiements frauduleux en dur (pour 39% du montant des fraudes et 53 % en volume sur les 6 premiers mois de 2023). Quand seules les données de la carte ont été volées, elle sera utilisée pour une fraude à distance. Ces vols-là ont leur origine dans des brèches de données, du phishing ou du social engineering.
Une fraude par carte sera initiée par le fraudeur lui-même, soit sur base des données dérobées (quand il n'y a pas d'exigence d'authentification forte car, oui, elle n'est pas tout le temps obligatoire), soit en jouant sur la crédulité des victimes trop souvent volontaires pour valider des transactions sans s'en rendre compte, pour contourner l'authentification forte.
Dans 57 % des cas de fraudes au virement, le paiement est initié par la victime elle-même après manipulation (psychologique).
Ne nous méprenons pas : sans authentification forte, le niveau de fraude serait plus élevé. Mais l'Europe a prévu des exceptions où une telle mesure nuirait à la facilité de payer : paiement sans contact, petites sommes à payer, paiements récurrents à des terminaux automatiques où la rapidité compte (par exemple, les péages d'autoroutes). Hors Europe, l'authentification forte est rare de sorte qu'au final la majorité des cas de fraude vient bel et bien de paiements initiés à l'étranger où vous n'êtes pas (71% pour les cartes et 43 % pour les virements).
Mais tous les autres cas, c'est bien la crédulité des victimes qui permet de franchir la barrière de l'authentification forte. Imaginer ne jamais être victime d'une telle fraude, c'est cocher le premier critère pour le devenir (via le biais d'optimisme).
Mais alors, qui doit payer la fraude : la victime ou la banque ? D'après les estimations de l'ABE et la BCE, la fraude reste à charge de la victime dans 45 % des cas pour les cartes. En cas de retrait de cash, elle ne sera pas remboursée dans 51 % des cas. Il peut y avoir de la négligence, c'est vrai. Avec les virements, la fraude reste à charge de la victime, dans 80 % des cas. C'est un défi pour une banque de faire la différence entre une manipulation si bien faite que tout le monde y succomberait et une négligence avérée, en donnant ses codes par téléphone ou Internet. Car avec l'authentification forte, si le paiement a eu lieu, c'est qu'il a été autorisé sauf qu'on doit faire attention de ne pas confondre « autorisé » et « consenti », en cas de manipulation psychologique. Entre pays, ce taux de reste à charge de la fraude peut varier. Il peut par exemple y avoir intervention d'une assurance qui servira d'avertissement aussi (« une fois mais pas deux »).
Si on veut diminuer les fraudes, il y a une première action toute simple : bloquer sa carte pour tout paiement hors Europe en dehors d'y être soi-même. Mais après, c'est la question du zéro-défaut et du prix à payer qui se pose. Imposer l'authentification forte toujours et tout le temps, c'est au détriment de la rapidité de paiement et de longues files. Et il subsistera toujours les manipulations des victimes qui autoriseront le paiement même en authentification forte.
______
Pour en savoir plus
Charles Cuvelliez et François Franssen