Le 16 mai 2023, l’Observatoire de la Sécurité des Moyens de Paiement a émis des recommandations sur les contestations d’opérations de paiement pour les victimes de fraudes.
L’Observatoire de la Sécurité des Moyens de Paiement
L’Observatoire de la sécurité des moyens de paiements succède à l’Observatoire de la sécurité des cartes de paiement. Ce dernier a été créé en 2001 par Loi Sapin 2.
L’article L.141-4 du Code Monétaire et financier définit ses missions. Ainsi, le nouvel Observatoire :
« assure, en particulier, le suivi des mesures de sécurisation entreprises par les émetteurs, les commerçants et les entreprises, l’établissement de statistiques de la fraude et une veille technologique en matière de moyens de paiement, avec pour objet de proposer des moyens de lutter contre les atteintes à la sécurité des moyens de paiement».
Cadre du traitement des contestations d’opérations de paiement
Les recommandations formulées par l’Observatoire fournissent :
- d’une part, un rappel des rôles et responsabilités des prestataires de services de paiement et de leurs clients;
- d’autre part, une clarification sur le traitement des contestations de paiement.
En préambule, l’Observatoire précise avoir identifié une baisse significative du taux de fraude aux paiements par carte sur internet. Il aurait chuté de 30% entre 2019 et 2022. Cette baisse serait due, en particulier, à la mise en place de moyens d’authentification forte.
Aucun moyen de sécurisation n’est vraiment absolu. L’Observatoire note que les fraudeurs diversifient leurs méthodes afin de contourner celle qui est générée par l’authentification forte.
Il précise, préalablement à l’édiction de ses recommandations, que, sauf cas particuliers (art. L.133‐25 et L.133‐25‐1 du CMF) :
« le remboursement d’une opération contestée est conditionné par le fait qu’elle ait été autorisée ou non par le payeur, c’est‐à‐dire si celui‐ci a explicitement donné son consentement à son exécution dans les conditions prévues par sa convention de compte, notamment par l’utilisation du moyen d’authentification forte mis à sa disposition ».
Par ailleurs, l’Observatoire fournit un schéma (en page 4 des recommandations) illustrant les différentes hypothèses de contestation :
Il rappelle, enfin que :
- la « négligence grave » du client fait l’objet d’une appréciation jurisprudentielle,
- il n’existe pas, à date, de décision de cassation sur une contestation postérieure à l’entrée en vigueur de la DSP2.
Contenu des recommandations
Ces recommandations sont les suivantes :
N° | TITRE | RECOMMANDATION |
1 | Délai maximum pour conduire les investigations | Les prestataires de services de paiement sont invités à mettre en œuvre les investigations dans un délai de 30 jours, sauf situation exceptionnelle. |
2 | Information en cas de reprise de fonds | « En cas de remboursement susceptible de donner lieu à une reprise de fonds ultérieure en fonction du résultat d‘investigations engagées, le prestataire de services de paiement informe son client de cette éventualité au moment du remboursement, et veille à ne pas procéder à la reprise des fonds dans un délai excédant 30 jours à compter de la date à laquelle le remboursement a été effectué, sauf situation exceptionnelle » |
3 | Justification en cas de refus de remboursement | « Lorsque le prestataire de services de paiement refuse le remboursement ou procède à la reprise des fonds, il veille à informer le client de cette décision et lui en communique le motif, en prenant soin le cas échéant de joindre les éléments qui la justifient (par exemple, mandat de prélèvement, éléments transmis par le commerçant, preuve de négligence grave…). En outre, il détaille dans cette même communication les modalités suivant lesquelles une réclamation peut être déposée. » |
4 | Principes applicables aux opérations sans authentification forte |
Les prestataires de services de paiement sont invités à procéder sans délai au remboursement des opérations qui n’ont pas été authentifiées de manière forte, sauf en cas de soupçon de fraude. L’Observatoire précise qu’une reprise ultérieure des fonds remboursés peut avoir lieu. L’Observatoire précise par ailleurs, les modalités applicables aux cas particuliers des paiements initiés par le bénéficiaire. |
5 | Principes applicables aux opérations réalisées avec une application mobile se substituant aux moyens de paiement traditionnels | « Lorsque l’utilisateur du service de paiement conteste une opération de paiement qu’il nie avoir autorisée et qui a été réalisée au moyen d’une solution mobile pour laquelle l’enrôlement de l’instrument de paiement n’a pas donné lieu à authentification forte, le prestataire de services de paiement du payeur procède sans délai au remboursement du montant de cette opération. » |
6 | Principes applicables aux opérations authentifiées de manière forte |
Dans cette hypothèse, le prestataire de services de paiement devrait « procéder dans le délai d’un jour ouvré à une première analyse » de l’opération, en prenant en compte :
Si le prestataire de services de paiement dispose d’éléments déterminant un possible manquement intentionnel ou une négligence grave du client, il peut refuser le remboursement dans les modalités prévues par la recommandation n°3. |
7 | Adopter de bonnes pratiques pour la sécurité des moyens de paiement. | L’Observatoire rappelle les pratiques à la disposition des clients pour la préservation de la sécurisation de leurs moyens de paiement. |
8 | Respecter un devoir de transparence de la part des victimes de fraude | Les clients doivent veiller à « fournir l’ensemble des éléments dont ils disposent concernant la fraude dont ils ont été victimes » aux forces de l’ordre et aux prestataires de services de paiement. Ces informations portent sur la nature et le contexte de l’opération et les actions entreprises une fois la fraude découverte |
9 | Application d’une authentification forte lors de l’accès à la banque en ligne | « Les prestataires de service de paiement sont invités à exiger une authentification forte en cas de consultation des comptes depuis la banque en ligne ou l’application mobile depuis un terminal et/ou un point d’accès à internet qui n’a pas été précédemment utilisé par le client » |
10 | Précisions sur les modalités d’enregistrement des IBAN bénéficiaires de virements | « Les prestataires de services de paiement sont invités à indiquer clairement, à chaque ajout d’un bénéficiaire de virement, si un contrôle de concordance entre IBAN et nom du bénéficiaire a été mis en œuvre. À défaut, il doit être précisé à l’utilisateur que le champ « Nom du bénéficiaire » est exclusivement destiné à faciliter le suivi des opérations par le client qui émet des virements, et que son contenu ne fait l’objet d’aucun contrôle de concordance avec l’identité du titulaire de l’IBAN du bénéficiaire. Par ailleurs, les prestataires de services de paiement établis en France sont encouragés à explorer par anticipation la possibilité d’implémenter au plus tôt un service de confirmation du bénéficiaire tel qu’envisagé par la Commission européenne dans sa proposition de révision du règlement SEPA » |
11 | Information et options présentées explicitement à l’utilisateur au moment de l’authentification forte | « Les prestataires de services de paiement veillent à présenter à l’utilisateur, à chaque étape du processus d’authentification, une information explicite quant à la nature de l’opération, et mentionnant notamment le montant, le bénéficiaire, le caractère unique ou récurrent de l’opération, la périodicité dans le cas d’une opération récurrente ainsi que le caractère irrévocable de la validation de l’ordre de paiement. Dans le cas d’un premier virement vers un compte donné, lorsque la concordance entre l’identité du bénéficiaire et l’IBAN fournis n’a pas fait l’objet d’un contrôle, le parcours d’authentification le rappelle explicitement. Par ailleurs, les prestataires de services de paiement veillent à ce que le parcours d’authentification propose de manière explicite une option permettant de refuser l’opération. » |
12 | Garantir une simplicité d’accès aux procédures de blocage des instruments de paiement | « Les prestataires de services de paiement mettent à disposition de leurs utilisateurs des mécanismes de blocage pour chacun des instruments de paiement et veillent à ce qu’ils soient facilement accessibles, gratuits, et utilisables à tout moment. » |
13 | Rôle des fournisseurs de services et technologies de l’information | « Les acteurs du secteur des technologies de l’information (opérateurs de téléphonie, hébergeurs de contenu, éditeurs de sites de référencement, moteurs de recherche, fournisseurs de services de messagerie…) veillent à protéger les utilisateurs contre les risques d’usurpation d’identité et d’atteinte à l’intégrité et la confidentialité de leurs données. Ils œuvrent à empêcher l’utilisation de techniques frauduleuses telles que l’hameçonnage, le spoofing ou le SIM‐swapping. » |
Virginie Bensoussan-Brulé,
Raphaël Liotier
Lexing pôle contentieux numérique
Léa Elbaz Bialostocki, Stagiaire