Les fraudes bancaires gagnent du terrain à cause du développement des paiements en ligne. En effet, moins de 10 % des paiements par carte bancaire sont réalisés à distance mais ils représentent plus de la moitié (57 % en 2009) du montant global de la fraude à la carte, soit 342,4 millions d'euros en 2009, selon le dernier rapport de l'Observatoire de la sécurité des cartes de paiement bancaire. La somme des fraudes reste certes encore modeste au regard du montant total des transactions par carte de 477,3 milliards d'euros en 2009, mais elle augmente chaque année.
« Le paiement par carte bancaire n'a pas été conçu pour le paiement à distance mais au contraire pour le paiement de proximité en face à face », explique Régis Bouyala, associé du cabinet Eurogroup et spécialiste des moyens de paiement. Les banques et les opérateurs de cartes ont travaillé pour adapter la sécurité des cartes dans le monde physique, assurée par la puce et le code secret, aux transactions en ligne. « Ce qui a changé avec le développement du paiement en ligne, c'est le développement de l'authentification du client », estime Jean-Marc Bornet, administrateur du Groupement Cartes Bancaires. Les banques françaises ont développé le système 3-D Secure.
Avec ce processus, la banque déclenche l'authentification du client en envoyant un code par SMS à l'acheteur ou même en fournissant un petit appareil dans lequel le consommateur entre sa carte et qui affiche ensuite un code secret ou une signature. Ce système d'authentification « dynamique » (par opposition à l'authentification statique selon lequel on donne le numéro inscrit sur la carte plastique au recto et les trois derniers chiffres au verso) contraint la personne à réécrire un code différent à chaque achat. « Le dispositif 3D Secure améliore la sécurité du paiement par carte bancaire sur Internet. Mais il complique et ralentit l'achat du client. Pour cette raison, certains sites marchands préfèrent prendre le risque de la fraude pour ne pas freiner les achats d'impulsion », indique Régis Bouyala.
Une réticence confirmée par les chiffres : « 48,2 % en sont équipés aujourd'hui mais ce sont pour beaucoup de petits e-commerçants. Ce qui représente seulement, en montant 14,38 % des flux en commerce électronique », estime Jean-Marc Bornet. Pour les fraudes de très grande ampleur, comme celle qui pourrait affecter les clients de Sony, des normes internationales (PCI DSS) ont été créées pour barrer l'accès aux hackers aux données bancaires. « Ces initiatives sont destinées à mettre à l'abri le système par rapport à ce genre de fraudes », dit Jean-Marc Bornet.
Par ailleurs, la profession bancaire reste à « la recherche de nouvelles techniques pour optimiser la sécurité de la carte à puce », indique-t-il. De son côté, Régis Bouyala précise que « le seul moyen de paiement vraiment sécurisé sur Internet serait le virement. Le Conseil européen des paiements étudie d'ailleurs la possibilité d'établir une norme standard de virement sur Internet en Europe ». Même si, pour l'heure, ce type de paiement apparaît comme moins rémunérateur pour les banques, bon nombre ont commencé à étudier cette éventualité pour l'avenir.