Depuis quatre ans, Internet est accusé de favoriser les escroqueries à la carte bancaire. Une affirmation qui relève plus du mythe que de la réalité.

L'année dernière, tous canaux confondus, la fraude à la carte bancaire s'est aggravée en France. C'est le bilan tiré par l'Observatoire de la sécurité des cartes de paiement. Selon les statistiques de cet organisme, le volume global des fraudes a atteint l'an passé 273,7 millions d'euros, en hausse annuelle de 11 %. Aux yeux des commentateurs, le coupable idéal de cette progression est Internet, montré du doigt depuis cinq ans comme un canal favorisant, voire multipliant, les cas d'escroquerie. La dématérialisation de l'acte de paiement et l'anonymat de la relation vendeur-acheteur, deux caractéristiques propres au commerce en ligne, alimentent il est vrai ce fantasme.

Et pourtant, la fraude à la carte bancaire sur Internet n'est rien en comparaison de la fraude offline. Le paiement par carte bancaire sur Internet reste un phénomène mineur par rapport au total des opérations par cartes réalisées par les Français. "La vente à distance représente 4 % du secteur commercial, explique Jean-Pierre Buthion, responsable produits et services du Groupement des Cartes bancaires. Sur ces 4 %, le quart sont des achats réalisés sur Internet. Sachant que les cartes bancaires sont utilisées pour 80 % des transactions en ligne, vous constaterez que la part des opérations de paiement par carte réalisées sur Internet est mineure." Effectivement, elle représente moins de 1 % du total des opérations de paiement. Un simple petit pourcent qui serait responsable, à lui seul, de la progression de la fraude à la carte bancaire.


Chez Fia-Net, une société spécialisée dans la sécurisation des achats sur le Web, on relativise également l'influence d'Internet. Chaque année, l'assureur, qui est adossé au groupe Axa, publie un livre blanc sur la fraude en ligne. Selon la dernière édition de ce rapport, datée de 2003, le montant correspondant aux sinistres déclarés a atteint, sur 761 sites marchands partenaires, un peu plus de 700.000 euros. Un montant qui représente à peine 0,25 % des 273 millions d'euros reportés par l'Observatoire de la sécurité des cartes de paiement. Sachant que Fia-Net couvre environ 20 % des transactions enregistrées par les sites marchands français, la fraude sur Internet représenterait, au plus, 1,25 % du problème total. Pas de quoi crier au loup.

Autre constat, tout aussi favorable au Web : pour la première fois depuis l'avénement de l'e-commerce en 2000, la fraude à la carte bancaire sur Internet a sensiblement baissé l'an passé en France. Toujours selon les données Fia-Net, le nombre de sinistres déclarés est passé de 2.664 en 2002 à 1.611 l'an dernier, soit une baisse de 40 %. Cette baisse se répercute très fortement en valeur : le montant de la fraude en ligne a diminué l'an passé de 57 % à échantillon constant.

Ce recul de la fraude est avant tout dû à la vigilance croissante des e-commerçants. De fait, les tentatives de fraude représentent entre 2 % et 3 % des ventes pour un site marchand. Mais alors que les chiffres d'affaires progressent dans le commerce en ligne, ce manque à gagner devient suffisamment important pour obliger les sites à réagir. La grande majorité d'entre eux est aujourd'hui équipée d'outils de détection des fraudes. Principale technique utilisée : le scoring, un outil d'aide à la gestion des commandes qui permet de prendre en compte des critères pour évaluer les risques de fraude pour chaque commande passée. "Tous les sites marchands le font", confirme David Botvinick, directeur général de Fia-Net.

C'est le cas du site marchand spécialisé sur l'électronique grand public Pixmania, équipé du centre de validation de Fia-Net. Parmi les critères d'évaluation des risques de fraude, Pixmania a retenu l'utilisation d'adresses e-mails gratuites, la vérification des coordonnées (adresse et numéros de téléphone), l'origine de l'adresse IP, la multiplication des adresses de facturation ou encore la fréquence d'achats litigieux sur le Net. "Depuis que nous nous sommes équipés de ce système en février 2002, explique Ulrich Jérome, responsable France et Europe chez Pixmania, nous avons détecté plus de deux millions de tentatives de fraudes." C'est dire si la vigilance paye.

Si les sites marchands ont réagi face au phénomène de la fraude à la carte de paiement, les banques ont, de leur côté, traîné davantage les pieds. Et pourtant la première décision des réseaux bancaires dans ce domaine date de 2000, avec l'apparition progressive de trois nouveaux chiffres au dos des cartes bancaires : le cryptogramme visuel. Depuis le 1er janvier 2004, les sites marchands doivent, en théorie, systématiquement demander ce cryptogramme visuel à l'acheteur pour valider une transaction.

Mais dans la pratique, tous les sites ne demandent pas ce sésame. La Commission Nationale Informatique et Liberté (Cnil) leur interdit de conserver le crytogramme visuel dans leur base de données. Or, certains marchands proposent à l'internaute de payer en plusieurs fois, ce qui les amène à conserver temporairement les coordonnées bancaires de leurs clients. Sans compter que d'autres sites conservent d'office les coordonnées des clients afin de proposer par la suite des commandes rapides. C'est notamment le cas d'Amazon ou de Lastminute.com.

"Le cryptogramme visuel est un système de sécurisation des transactions insuffisant, estime Jacques Poindron, porte-parole de l'Association française des usagers des banques (Afub). Nous souhaitons surtout que les sites marchands vérifient les coordonnées personnelles et bancaires de l'internaute auprès de la banque concernée." En clair, l'Afub réclame la mise en place de 3D Secure. Développé par Visa et Mastercard, ce protocole redirige les transactions vers les banques. Le système permet de décharger les e-commerçants de la vérification complexe de l'identité de l'internaute pour transférer cette responsabilité aux banques. Une contrainte que ces dernières rechignent à accepter.

Or aucune législation n'oblige aujourd'hui les banques françaises à adopter l'architecture technique de 3D Secure. Plutôt que de plonger dans ce vaste protocole, certaines ont préféré mettre en place des systèmes équivalents. C'est le cas de la Caisse d'Epargne, qui a élaboré un système d'identification en ligne pour ses clients baptisé ID-Tronic. Mais la Caisse d'Epargne fait figure d'exception, la grande majorité des banques restant statique sur le sujet. "Pourtant, au vue de la croissance du volume des transactions sur Internet, lance Jean-Pierre Buthion, il devient urgent de mettre en place une méthode d'identification. Mais les coûts d'investissement sont très lourds." L'adoption généralisée de 3D Secure représente en effet un investissement important pour les sites d'e-commerce, tout comme pour les banques.

Mais le nerf de la guerre est ailleurs. Avec ce protocole, les établissements bancaires se voient attribuer la responsabilité des fraudes en ligne, la vérification de l'identité de l'acheteur leur incombant directement. Or dans le système actuel, la véritable victime de la fraude en ligne n'est ni le porteur de carte, ni la banque, mais le site marchand lui-même. En cas de litige, les banques se réservent le droit d'annuler les écritures d'opérations, c'est-à-dire de débiter le site afin de recréditer le client. Le manque d'enthousiasme des banques se comprend un peu mieux.

Fraude à la carte bancaire : la protection des consommateurs
Depuis l'entrée en vigueur de la loi sur la sécurité quotidienne en novembre 2001, il est possible au porteur d'une carte de contester des opérations frauduleuses effectuées à distance. Il lui suffit de faire opposition par lettre recommandée avec avis de réception auprès de sa banque. Celle-ci est dans l'obligation de recréditer le compte du client dans un délai d'un mois à compter de la réception de la lettre. La banque doit aussi lui rembourser les frais d'opposition et de renouvellement de la carte. Il est possible de déposer une réclamation jusqu'à 70 jours à compter de la date de l'opération contestée.

Source :
'[www.journaldunet.com]'










Message édité 1 fois. Dernière modification le 03/11/04 08:34