Les fraudes sur cartes bancaires sont un fléau moderne auquel des millions de Français ont déjà été confrontés. La législation protège en principe les consommateurs contre ces fraudes, en obligeant les banques à rembourser les montants débités frauduleusement dans les meilleurs délais, mais toutes les banques ne respectent pas ces lois. Pourtant, ces fraudes sont d’une banalité inquiétante, comme on peut le constater à la lecture du dernier rapport de l’Observatoire de la sécurité des moyens de paiement.

Selon les dernières données disponibles, concernant les transactions effectuées en 2018 (le rapport ayant été publié en juillet 2019 le prochain est attendu cet été), les fraudes sont en hausses.

Les statistiques calculées par l’Observatoire pour l’année 2018 portent ainsi sur 683,7 milliards d’euros de transactions réalisées en France et à l’étranger au moyen de 79 millions de cartes « interbancaires » émises en France (dont 58 millions de cartes sans contact).

439 millions d’euros fraudés sur les CB françaises

Après un recul en 2017, la fraude sur les paiements et retraits effectués en France et à l’étranger avec des cartes françaises est en augmentation en 2018 (+ 13,4 % par rapport à 2017) et s’élève à 439 millions d’euros pour un montant total de transactions de 704,4 milliards d’euros, en augmentation de 5,9 % par rapport à 2017.

En conséquence, le taux de fraude sur les cartes de paiement françaises se dégrade très légèrement et s’établit désormais à 0,062 %, contre 0,058 % en 2017. En clair, on ne déplore que 62 fraudes sur 100 000 transactions par CB. C’est plus que l’année d’avant, mais tout de même très rare. Parmi toutes ces fraudes, très peu concernent les paiements réalisées en France sur des terminaux de paiement électroniques (TPE), ou des retraits aux distributeurs français.

Si le nombre de fraudes rapporté au nombre de transaction est minime, la proportion de victimes de fraudes est plus inquiétante.

1,4 million de CB victimes de fraudes chaque année

Comme le note le rapport : « le nombre de cartes françaises pour lesquelles au moins une transaction frauduleuse a été enregistrée au cours de l’année 2018 s’élève à 1 358 819, ce qui représente une progression de 12 % par rapport à 2017 ». Ainsi, près de 1,4 million de CB sont victimes d’une fraude chaque année. A ce rythme, une large partie de la population a déjà été confrontée à ce fléau.

Le cœur du problème des fraudes CB ne porte pas tant sur les paiements par CB chez des commerçants en France, mais bien plus sur des paiements à distance à l’étranger, en particulier sur Internet, où les arnaques pullulent.

La fraude sur les paiements internationaux par CB a augmenté de 9,2% en 2018, pour atteindre 291,2 millions d’euros. Les fraudes sur les paiements internationaux représentent ainsi les deux tiers des fraudes (291,2 sur 439 millions de fraudes totales = 66,3%).

4,3 fois plus de fraudes sur les paiements CB internationaux

Certes, les autorités se félicitent que le taux de fraudes sur les paiements par CB internationaux diminue. Il est vrai que la hausse de ces fraudes (+9,2%) est inférieure à la progression des transactions internationales par CB (+13,4% en 2018). Résultat, le taux de fraude sur les paiements CB internationaux a diminué, passant de 0,281% à 0,27% en 2018. On déplore tout de même 270 fraudes pour 100 000 paiements CB internationaux, soit 4,3 fois plus que sur l’ensemble des transactions par CB.

En montant, l’Observatoire constate « que ce taux de fraude demeure toujours élevé au regard du montant des opérations concernées puisque les transactions internationales représentent 54 % du montant total de la fraude alors qu’elles ne comptent que pour 14 % de la valeur totale des transactions ».

Surtout, les CB françaises sont davantage victimes de fraudes sur des paiements à l’étranger, que des CB étrangères ne sont victimes de fraudes sur des paiements en France. En effet, la catégorie « fraudes sur transactions CB internationales » inclut les deux catégories. Mais en regardant dans le détail, les taux de fraudes sur les paiements à l’étranger sont encore plus élevés.

L’Observatoire constate « pour les cartes françaises, une légère augmentation du taux de fraude sur les opérations réalisées au sein de la zone SEPA 3 qui passe de 0,308 % en 2017 à 0,352 % en 2018, mais qui reste toutefois en-deçà de celui des transactions réalisées hors de l’espace européen SEPA, en diminution en 2018, à 0,438 % (contre 0,511 % en 2017) ».

Les Français qui payent par CB à l’étranger sont donc victimes de 352 fraudes sur 100 000 transactions en cas de paiement en zone euro (SEPA) et de 438 fraudes pour 100 000 hors zone euro. Ces fraudes incluent celles réalisées lors de paiements à distance, ou sur place (en voyage ou déplacement dans les pays concernés).

Internet et paiements à distance internationaux risqués

Zoomons encore un peu, pour observer cette fois les seuls paiements par Internet, p.28-29 du rapport :

« pour les cartes françaises, la hausse de la fraude sur les transactions effectuées au sein de l’espace européen SEPA est imputable aux transactions sur Internet dont le montant de la fraude qui s’élevait à 74,4 millions d’euros passe à 118 millions d’euros en 2018 avec un taux de fraude s’établissant à 0,594 % (contre 0,527 % en 2017) soit à un niveau trois fois et demie supérieur à celui pour ce type transaction au niveau national. À l’inverse, on observe une amélioration de la fraude sur les transactions réalisées en dehors de l’espace européen SEPA (50,3 millions d’euros, contre 60,3 millions d’euros en 2017) avec un taux de fraude à 0,438 % (contre 0,511 % en 2017) mais la fraude sur les paiements à distance, quant à elle, a progressé avec un niveau de fraude relativement élevé (1,168 %) ».

La fraude sur les paiements à distance hors zone euro atteint donc 1 168 fraudes pour 100 000 paiements, c’est presque vint fois plus que sur l’ensemble des transactions par carte (1168 sur 62 = 18,8).

Usurpation de CB

Concernant les types de fraudes, les escrocs procèdent principalement par usurpation des données de CB pour dépouiller leurs titulaires :

« L’usurpation de numéros de cartes pour réaliser des paiements frauduleux reste toujours la principale origine de la fraude (66 % en montant). Les techniques de fraude les plus utilisées en 2018 pour usurper les numéros de cartes demeurent celles de l’hameçonnage (phishing), et des logiciels malveillants (malwares). »

L’Observatoire livre quelques détails précieux sur le mode opératoire des pilleurs de CB :

« L’hameçonnage ou phishing repose généralement sur l’envoi de courriels usurpant des chartes visuelles et logos connus de leurs destinataires (par exemple un établissement de crédit) et invitant les victimes à se connecter à un site qui s’avère frauduleux. L’objectif est de collecter des données de la carte. »

« Les logiciels malveillants (malware) visent tant les serveurs des grandes entreprises que les ordinateurs personnels des particuliers, et, de manière croissante, les téléphones mobiles qui sont de plus en plus utilisés dans le cadre de transactions de paiement. L’un des « malwares » les plus répandus, connu sous le nom de « keylogger », permet ainsi d’enregistrer les touches frappées au clavier par la victime. Ces logiciels malveillants son généralement inoculés, à l’insu de l’utilisateur, au travers de sources apparemment de confiance. »

L’authentification 3D Secure avec code SMS n’empêche pas les fraudes

Une source constante de litiges entre les clients victimes de fraudes sur leur CB et leur banque concerne les débits frauduleux avec validation par un code d’authentification renforcé, adressé en principe au titulaire de la CB par SMS. En principe. Car en réalité, il arrive que des transactions frauduleuses soient effectuées avec utilisation d’un code d’authentification, sans que la victime du débit frauduleux n’ait jamais reçu le fameux code par SMS.

Ces fraudes sont doublement pénalisantes et traumatisantes pour les clients qui en sont victimes, car en plus du refus de remboursement, les banques mettent en doute la version des victimes. Or, malgré le progrès des authentifications renforcées, ces fraudes perdurent toujours, comme le confirme l’Observatoire de sécurité des moyens de paiement, même si elles restent heureusement assez rares :

« Le taux de fraude sur les transactions nationales authentifiées par le protocole 3D-Secure ressort à 0,07 % pour l’année 2018, quasi identique à celui de 2017 (à 0,06 %). Ce niveau est plus proche du taux de fraude observé sur la totalité des transactions nationales y compris de proximité (0,038 %), que du taux de fraude sur l’ensemble des paiements à distance (0,173 %). »

Les fraudes au distributeur existent

Certains litiges opposent parfois des clients à leur banque au sujet de fraudes CB portant sur des retraits aux distributeurs. Le client est certain de ne pas avoir effectué le retrait qui lui est débité, alors que la banque refuse de le croire et considère que le retrait litigieux n’a pu être effectué que par le client. Il ne pourrait y avoir en aucun cas, selon la banque, de retrait « frauduleux ».

Or, les fraudes CB aux distributeurs existent bel et bien, comme le pointe le rapport de l’Observatoire, p.29 :

« Le nombre de piratages de distributeurs automatiques de billets (DAB) a augmenté en 2018 avec 125 cas recensés, contre 76 l’an passé, mais celui-ci reste à un niveau relativement modéré eu égard à ceux constatés avant 2017. En 2018, il est observé une intensification des compromissions de DAB par la technique du « jackpotting » ainsi qu’une diversification des modes opératoires utilisés. Le jackpotting consiste à prendre le contrôle d’un distributeur en y connectant un ordinateur portable soit pour accéder aux données du calculateur du DAB soit pour lui injecter un malware. »

L’Observatoire des moyens de paiement donne ensuite de précieuses explications sur ce que les clients victimes de fraudes savent, mais que les banques contestent, à savoir que les données des CB piratées aux distributeurs sont exploitées pour dépouiller leurs titulaires :

« Quel que soit le type d’automates de paiement ou de retrait compromis, les données de carte de paiement ainsi obtenues par les réseaux criminels sont ensuite exploitées, soit pour contrefaire des cartes à piste magnétique qui seront utilisées pour des paiements et des retraits à l’étranger, principalement dans les pays où la technologie de carte à puce EMV est peu déployée, soit pour usurper des numéros de carte en paiement à distance, qui sont réutilisés principalement sur les sites de e-commerce qui n’ont pas mis en oeuvre l’authentification du porteur de la carte. »

Persistance des fraudes aux chèques

Alors que les paiements par chèques diminuent, ce moyen de paiement fait aussi l’objet de fraudes récurrentes.

« Depuis trois années consécutives, le chèque connaît une hausse des montants fraudés, lesquels atteignent 450 millions d’euros en 2018, ce qui représente une progression annuelle de 52 %. Par conséquent, dans un contexte de diminution des flux de paiement par chèque, le taux de fraude enregistre une hausse significative : il est à 0,0505 %, contre 0,0296 % en 2017. Ces données placent le chèque comme premier moyen de paiement le plus fraudé avant la carte de paiement (respectivement 43,1 % et 42,0 % en montant), pour une utilisation pourtant beaucoup moins intensive. En effet, le chèque n’est que le quatrième moyen de paiement scriptural en nombre de paiements annuel, et est ainsi utilisé 8,5 fois moins souvent que la carte. Le montant moyen d’un chèque fraudé remis à l’encaissement est également en légère progression, soit à 2 704 euros, contre 2 577 euros en 2017. »

« La fraude au chèque se caractérise par une progression des montants unitaires, soit 8 483 euros pour les chèques falsifiés, 4 540 euros pour les chèques contrefaits, 1 827 euros pour les chèques volés ou perdus, et enfin 5 277 euros pour les chèques détournés ou rejoués. »

« Faux vir » : les arnaques aux faux virements

Parfois connue sous le nom d’arnaque au président, les fraudes aux faux virements consistent alors généralement à manipuler des salariés dans des entreprises pour leur faire effectuer des virements, « sur ordre du président » ou par usurpation d’un autre responsable décisionnaire, sous couvert de prétextes bidon (faux projets de rachat d’entreprise ou d’investissement, etc.) au profits d’escrocs.

Les faux virements peuvent aussi relever d’intrusions dans les systèmes d’information et de piratages des comptes bancaires, pour prendre la main sur le compte de la victime et effectuer des virements frauduleux à son insu. Les particuliers peuvent en être victimes.

« En 2018, le montant total de la fraude sur les virements émis depuis un compte tenu en France s’élève à près de 97 millions d’euros, soit une en hausse de 24 % par rapport à 2017.  Les virements transfrontaliers subissent en proportion une fraude plus importante que les virements nationaux, et représentent près de 68 % des montants fraudés alors que les transactions transfrontalières ne comptent que pour 23 % des virements émis en montant. »

« Le faux virement, c’est-à-dire l’émission d’un ordre de virement par le fraudeur au moyen d’attaques informatiques, reste le type de fraude prédominant (52 % du montant total de la fraude aux virements, contre 54 % en 2017), suivi par le détournement (41 %, contre 42 % en 2017). »

« L’initiation de virement depuis l’espace de banque en ligne (sur internet ou via une application mobile) reste le canal le plus touché (42 % des montants fraudés en valeur en 2018, contre 38 % en 2017) »

En 2018, la fraude de type détournement au moyen de techniques d’ingénierie sociale a revêtu essentiellement les formes exposées ci-après.

La fraude au président : le fraudeur usurpe l’identité d’un haut responsable de l’entreprise pour obtenir d’un collaborateur la réalisation d’un virement urgent et confidentiel à destination de l’étranger. Pour ce faire, le fraudeur utilise des informations recueillies sur l’entreprise et ses dirigeants sur internet ou directement auprès des services de l’entreprise.

La fraude aux coordonnées bancaires : le fraudeur usurpe l’identité d’un fournisseur, bailleur ou autre créancier, et prétexte auprès du client, locataire ou débiteur, un changement de coordonnées bancaires aux fins de détourner le paiement des factures ou loyers. Le fraudeur envoie les nouvelles coordonnées bancaires par courrier électronique ou avec un courrier en bonne et due forme du créancier.

La fraude au faux technicien : le fraudeur usurpe l’identité d’un technicien informatique (de la banque, par exemple) pour effectuer des faux tests dans le but de récupérer des identifiants de connexion, provoquer des virements frauduleux ou encore procéder à l’installation de logiciels malveillants.

La fraude au faux conseiller bancaire : le fraudeur usurpe le numéro de téléphone du conseiller bancaire, généralement en période d’absence de ce dernier, et contacte le client pour obtenir des informations.

Prélèvements frauduleux

Cette dernière catégorie de fraude est moins fréquente, mais peut aussi arriver.

Deux méthodes de fraudes aux prélèvements sont particulièrement pernicieuses.

« Émission illégitime d’ordres de prélèvement (faux prélèvement) : le créancier fraudeur s’enregistre en tant qu’émetteur de prélèvement auprès d’un prestataire de services de paiement et émet massivement des prélèvements vers des IBAN qu’il a obtenus illégalement et sans aucune autorisation. »

« Usurpation d’IBAN pour la souscription de services (détournement) : le débiteur fraudeur communique à son créancier les coordonnées bancaires d’un tiers lors de la signature du mandat de prélèvement et bénéficie ainsi du service, sans avoir à en honorer les règlements prévus. »

Pour en savoir plus, consultez le site de l’Observatoire de la sécurité des moyens de paiement www.observatoire-paiements.fr

Print Friendly, PDF & Email

4 commentaires

  1. cabulano34, le

    Bonjour,
    Depuis 3 mois ,je tente d’aider ma voisne,une petite mamie de 73 ans qui s’est fait pirater sa carte bleue via internet!
    un achat de 871 euros a été effectué sur le site de Darty .com visible sur sur le relevé bancaire.
    le code est normalement envoyé sur le téléphone fixe via boite vocale mais elle n’a jamais reçu cet appel, la banque postale de son coté soutient que le code a été donné et tapé et qu’elle n’est donc pas dans l’obligation de remboursement!
    elle n’en apporte pas la preuve et affirme que le système informatique est infaillible et se retranche derrière un article du contrat pointant la négligence du client.Aprés appel chez Sosh,impossible d’obtenir un relevé détaillé des appels entrants ,sachant de plus a quelle heure et quel jour a été effectuée l’opération.
    Ma voisine réside dans le 34,et après recherche auprès de darty,nous savons que l’achat a été envoyé dans un point relais dans le 93.
    Toutes les démarches nécessaires ont été effectuées, opposition sur la carte bancaire, plainte sur perceval.fr, courriers avec tous les justificatifs demandés par la banque et après de nombreux appels auprès du service client ,nous avons obtenu après plus de 6 semaines d’attente, je les cite  » un avis défavorable » soit aucun remboursement!
    suite à cela nous avons de nouveau envoyé des courriers et un dossier complet au service recours de la banque postale, sans aucune réponse de leur part et de nouveau négative via le service client par téléphone!
    ma voisine est prête à baisser les bras, et de mon coté je ne sais plus ce que je pourrai faire de plus pour l’aider!
    merci de vos conseils avisés!
    Delphine

    • Gilles Pouzin, le

      Merci pour ce témoignage édifiant.
      Les banques ne respectent les lois que sous la contrainte, il faut le savoir et le rappeler sans cesse.
      Si vous avez reçu un refus de remboursement d’une fraude CB telle que vous la décrivez, vous devez saisir le médiateur en RAR: ses coordonnées doivent être indiquées sur les relevés de la cliente ou sur le site de la banque en question.
      Vous trouverez des articles de référence sur des cas comparable sur Deontofi.com
      https://deontofi.com/fraude-aux-cartes-de-credit-avec-code-sms-les-banques-doivent-rembourser/
      le tribunal rappelle que c’est à la banque de prouver que les débits contestés ont été authentifiés par les clients et qu’ils ne sont pas le fruit d’une fraude ou de négligence grave des clients.
      https://deontofi.com/les-fraudes-sur-carte-bancaire-ne-prennent-pas-de-vacances/
      Bon courage, et offrez à cette banque la publicité qu’elle mérite !

      • cabulano34, le

        merci de votre réponse! le médiateur a lui aussi été saisi,mais il a retourné le dossier complet,demandant de renvoyer une nouvelle demande de médiation dés que le service recours aura été saisi,ce qui a été fait,pour preuve le récepissé de l’accusé reception! cependant le service recours n’a envoyé aucune réponse à notre demande! le service clientr a dans tous les cas ironisé la situation en me disant que c’était leur parole contre la sienne!je leur ai aussi signifié que j’avais contacté l’acpr qui confirmait que la banque postale était hors la loi ,mais sans preuve écrite,ils n’en ont que faire! c’est le pot de terre contre le pot de fer! ils y vont à l’usure!

  2. LemanRose, le

    Bonjour
    Je tiens à partager ce témoignage et vous remercie de l’opportunité.
    Victime, mais coupable pour la Caisse d’Epargne sur base de codes SMS dont je n’ai rien fait, en raison de leur soit-disant système 3-D secure,
    de l’usage frauduleux sur internet de ma CB à dd (avec contact) par phishing informatique les 10-11 février 2021 (le 10, mon ordinateur récent Windows10 piraté, malgré mes précautions de sécurité informatique, pas de connexion à sites tricky, rares achats en ligne, mots de passe démultipliés etc),
    pour 2 achats internet frauduleux usurpant ma CB (restée en ma possession, mon code personnel jamais communiqué) et mon n° de tél. portable (communiqué qu’à mes FAI, Bouigues puis SFR ainsi qu’au site Ariase lors de mon changement de l’un à l’autre),

    fraude que j’ai constaté le 10 février 2021 après-midi, en parallèle au piratage de mon PC, en recevant sur mon natel 2 SMS pour code d’authentification d’achats, l’un chez Darty.com, immédiatement enregistré par la CE. et l’autre chez Orange.bank, qui ne l’a pas validé,
    tandis que dès lendemain 11 février j’ai contacté mon conseiller pour vérifier l’existence de ces débits frauduleux, les rejeter et faire opposition à ma CB (annulée sur le champ par la CE). Or,

    – mon conseiller CE me confirmait le 11 février, soit le jour où j’y faisais opposition, que le débit de 1’259Eu du SMS Darty.com « était passé » sur mon compte (enregistré sur mon compte CE le 10 et débité le 11 février), alors que, me confirmait-il en rigolant, le second débit de 500Eu du SMS d’Orange.bank avait lui été rejeté par Orange.bank, en fonction des mesures de sécurités renforcées d’achat en ligne.
    Le 13 février, j’ai renvoyé à la CE leurs formulaires relatifs à mon opposition et rejet de l’opération Darty.com débitée de mon compte le 11 février 2021
    J’ai déposé plainte contre X pour fraude à ma cb par phishing, dès rdv obtenu.
    J’ai renvoyé par RAR ma demande de remboursement à la CE, avec copie de ma plainte contre X.
    Le 23 mars 2021, j’ai reçu le refus de la CE Rhône Alpes de me rembourser l’achat frauduleux opéré par phishing de ma CB à dd que la CE a laissé passer, au motif que

    « cette opération a été réalisée sur un site équipé de la norme 3DS à authentification renforcée avec envoi d’un code personnalisé et unique par sms sur votre téléphone portable 07… pour confirmation et validation du paiement. Par conséquent nous ne sommes pas en mesure de donner une suite favorable à votre demande ».
    Ajoutant: « Vous disposez de la faculté d’adresser une réclamation circonstanciée par courrier à notre Département Relation Clientèle ».

    NB:
    – les chiffres du n° de mon tel portable indiqués la CE sont incorrects et inutilisables, car mon natel n’est pas un n° Français.
    – le débit frauduleux de 1’259Eu opéré sur le site de Darty.com par l’usage internet de ma CB à débit différé, que la Caisse d’Epargne a enregistré sur mon compte le jour de l’émission du code SMS que je n’ai jamais utilisé, et que la Caisse d’Epargne a validé le lendemain 11 février, soit le jour où j’ai contacté mon conseiller CE pour en vérifier l’existence, lui signifier mon rejet, et demander mon opposition à ma CB,
    – alors que le second SMS reçu en même temps avec code d’authentification pour une opération de 500Eu de débit de mon compte, chez Orange.bank, n’a pas été validé par Orange.bank (capture d’écran des 2 sms reçus en l’espace de qq secondes, que je n’ai jamais validé, envoyés en pj à ma plainte et à mon RAR pour remboursement à la CE),

    Sont preuves que la Caisse d’Epargne n’a en aucun cas en février 2021, appliqué les mesures de sécurité obligatoires en vigueur, vu qu’ Orange.bank l’a fait.
    Pour info:
    -ce n’est que dès fin février 2021, soit bien près mon opposition dès le 11 février et suivant, que le site en ligne de la Caisse d’Epargne Rhône Alpes informe ses clients particuliers de nouvelles mesures de sécurité complémentaires au 3-D sécure concernant leurs achats en ligne

    -ce n’est que depuis début mars 2021, que le site en ligne de la Caisse d’Epargne Rhône Alpes informe ses clients particuliers de nouvelles procédures contraignantes complémentaires concernant leur simple accès à leurs comptes, obligeant leurs clients à demander un code de sécurité provisoire complémentaire pour accéder à l’état de leurs comptes.
    Ce qui ne suffit pas à régler la question des fraudes, de ces distributeurs et banques validant ces achats en ligne basés sur code SMS non validés.

    Je n’accepte toujours pas que les banques disposant de nos fonds pour leurs propres rendements, qui nous font ‘esspayer de tels frais, qui nous délèguent leurs frais de gestion, continuent en parallèle de faire peser sur nous le poids de leurs dénis des lois (cf 3D secure obsolète, code monétaire en application depuis jan 2021).

    J’en suis pour 1’259Eu chez Darty.com, apparemment pour un achat en ligne d’un canapé. Le comble, retraitée de plus de 70 ans, ça fait des ans que je serre la ceinture et n’arrive pas à trouver un canapé chez nos vendeurs locaux, qui ne soit pas du faux cuir made in China.

    Merci.

Laisser un commentaire