L’authentification des opérations bancaires
Récemment, de nombreuses informations sur les paiements à distance par carte bancaire ont été publiées. Il est mis en avant qu’un système d’authentification forte devait entrer en vigueur à partir du 15 mai 2021 pour valider les achats en ligne.
Toutefois, les consommateurs disposent en réalité de droits, en l’absence d’une telle authentification, depuis septembre 2019.
1./ Quelles sont les nouvelles mesures entrées en vigueur le 14 septembre 2019 ?
La réglementation européenne a imposé la mise en place d’une procédure d’authentification renforcée lors de la réalisation d’opérations bancaires à distance. Depuis cette date, la simple validation d’une opération par l’envoi d’un code SMS ou dit 3D secure n’est plus suffisante pour assurer la sécurité du paiement.
Ainsi, pour tous les paiements effectués à distance, la banque doit mettre en place une authentification forte, c’est-à-dire qui repose sur l’usage d’au moins deux des trois facteurs suivants :
– quelque chose que le consommateur connaît (un code secret, par exemple)
– quelque chose qu’il possède (une carte à puce, par exemple)
– quelque chose qui le définit (une empreinte digitale, par exemple)
Il existe toutefois quelques exceptions où cette procédure n’est pas obligatoire, comme les paiements de moins de 30 euros par exemple.
Face à la complexité de mettre en œuvre ce type de procédure de validation, l’entrée en vigueur de l’obligation de proposer un tel service pour les banques et les sites d’achat en ligne a été repoussée.
Ainsi, le délai du 15 mai a même encore été repoussé au 15 juin 2021.
Même si l’obligation de proposer cette procédure de validation a été repoussée, son absence crée déjà des droits pour utilisation du moyen de paiement depuis septembre 2019 en cas d’opération non autorisée.
2./ Quelles sont les différentes solutions d’authentification forte ?
Il existe, actuellement, trois solutions d’authentification forte :
• La solution par application mobile
Si vous possédez un téléphone récent, la solution par application mobile est simple et rapide.
Vous devez télécharger l’application mobile de votre banque.
Afin d’effectuer une opération, vous recevez une notification vous invitant à vous authentifier sur l’application, soit grâce à la saisie d’un code, soit grâce à une prise d’empreinte biométrique (empreinte digitale, reconnaissance faciale ou de l’iris).
Si vous ne possédez pas un téléphone compatible ou ne souhaitez pas l’utiliser, votre banque doit vous proposer d’autres solutions, il sera possible de choisir entre :
• La solution par SMS et code personnel
Vous devez valider l’opération en saisissant, dans deux champs différents, un code à usage unique (reçu par SMS ou serveur vocal) et un code « statique », qui vous a été communiqué par votre banque.
• La solution par appareil physique
Vous devez valider l’opération grâce à un code créé par un appareil (générateur de code avec clavier, clé USB, lecteur de QR-code) que votre banque aura mis à votre disposition en vous apportant toute l’aide technique nécessaire pour l’utiliser.
3./ Quels sont les droits des personnes victimes d’une opération non autorisée ?
Depuis quelques années, les fraudes à la carte bancaire sont de plus en plus fréquentes et la crise sanitaire n’a rien arrangé dans ce domaine. Environ 30 % des fraudes ne seraient pas remboursés, alors que, dans de nombreux cas, la législation impose à la banque le remboursement.
Ainsi, si la transaction n’a pas été validée avec une authentification forte, en cas de contestation la banque devra automatiquement rembourser son client.
L’ACPR et la Banque de France ont d’ailleurs rappelé dans un communiqué de presse du 26 avril 2021 que :
« La validation de l’opération par un code SMS, en l’absence d’un deuxième facteur d’authentification répondant aux nouveaux standards de sécurité renforcée (authentification forte), ne permet pas au prestataire de service de paiement de refuser la demande de remboursement sur ce seul fondement. »
Il ne faut donc pas hésiter à contester les refus qui se basent uniquement sur la confirmation de l’opération par la saisie d’un code SMS ou invoquant une négligence du client.Des modèles de lettres pour contester les opérations sont d’ailleurs disponibles sur le site quechoisir.org.
4./ Quelles sont les obligations de la banque en cas de paiement par carte non autorisé ?
En cas d’opération non autorisée, la banque doit rembourser immédiatement son client. Elle doit rembourser les sommes versées ainsi que les frais liés à ces opérations (frais de rejet, agios …). Il s’agit d’une obligation légale qui n’a pas de lien avec les éventuelles assurances proposées par la banque.
La responsabilité de la banque peut également être engagée, si elle ne vous avertit pas de mouvements anormaux sur votre compte.
5./ Dans quel délai faut-il agir ?
Le plus souvent, l’opération frauduleuse est constatée lors de la réception du relevé de compte ou lorsque la banque constate une anomalie sur les opérations.
Le consommateur a alors un délai pour contester de 13 mois pour un paiement dans l’Espace économique européen ou de 70 jours en dehors de cet espace.
Il faut également faire opposition au moyen de paiement utilisé pour prévenir toute récidive.
Attention : en cas de tardiveté de la réclamation, la faute du consommateur peut être retenue et le priver de tout ou partie de son droit à remboursement. Il faut donc agir dès que la fraude est constatée.
6./ Comment peut s’opérer la fraude ?
En dehors des cas de vol ou de perte d’un moyen de paiement conduisant à la réalisation d’opération non demandée, la méthode la plus connue est celle du « phishing » ou « hameçonnage ».
Le but de cette méthode consiste pour des personnes malveillantes à envoyer des courriels frauduleux, afin de récupérer des mots de passe de comptes bancaires ou numéros de carte bancaire pour détourner des fonds.
Une fois en possession des coordonnées bancaires, l’escroc peut alors les utiliser pour retirer de l’argent ou effectuer des commandes sur des sites internet.
Il ne faut donc jamais envoyer ses coordonnées bancaires par mail (les impôts, la CAF ou encore les opérateurs téléphoniques ne procèdent jamais de cette façon).
7./ La négligence du consommateur peut-elle lui être reprochée ?
Si une authentification forte a validé l’opération, la banque pourra refuser de rembourser la victime de la fraude si :
-
Elle démontre qu’elle a agi frauduleusement
- Elle apporte la preuve d’une négligence grave de son client
La charge de la preuve repose ici aussi uniquement sur la banque.
La preuve de la fraude du client ou de sa négligence grave ne peut pas se déduire du seul fait :
- que la carte bancaire où les données personnelles qui lui sont liées ont été effectivement utilisées) ;
- d’utilisations successives des données attachées à la carte bancaire d’un client ;
- que le système d’authentification a été utilisé.
Par exemple, est une négligence grave du consommateur, le fait de répondre à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu’il soit, ou non, avisé des risques d’hameçonnage (présence de caractères spéciaux, nombreuses fautes, nom de l’adresse mail utilisé, logo approximatif …).
.
Que Choisir du Doubs – Benjamin Capelli, juriste