Malgré une forte diminution des fraudes suite à la mise en place de ces systèmes de sécurisation, les fraudeurs ont développé de nouvelles techniques et ont investi le champ de l’ingénierie sociale. Celle-ci vise à manipuler une personne afin de lui soutirer des informations confidentielles permettant de commettre une autre infraction.
Face à ces nouvelles formes d’escroquerie, l’Observatoire de la sécurité des moyens de paiement (OSMP) a émis une liste de 13 recommandations en Mai-2023. Cette instance, relevant de la Banque de France, a ainsi élaboré un ensemble de recommandations destinées aux acteurs du marché des paiements. Par ailleurs, les prestataires de services de paiement opérant en France sont désormais dans l’obligation d’intégrer ces recommandations qui ont un impact sur le parcours de l’expérience client et nécessitent l’envoi d’informations et d’alertes aux consommateurs.
Parmi celles-ci, 10 sont directement adressées aux prestataires de services de paiement.
Treezor a regroupé ces recommandations en plusieurs sections et les met à votre disposition au travers d’une synthèse détaillée.
Section 1 : Traitement des demandes de remboursement d’opérations frauduleuses
Les investigations liées au traitement des demandes de remboursement d’opérations frauduleuses doivent débuter dès leur réception et être finalisées dans un délai maximal de 30 jours. Un remboursement en faveur du consommateur peut déclencher une récupération ultérieure des fonds, sous réserve qu’elle soit effectuée dans une limite de 30 jours. Il est impératif d’informer préalablement le client-consommateur de cette éventualité.
En cas de refus de remboursement ou de reprise des fonds, une communication motivée envers le client est obligatoire. Toute opération non soumise à une authentification forte doit entraîner un remboursement immédiat, sauf en cas de fraude avérée de la part du client, à noter qu’ une récupération ultérieure demeure possible après analyses complémentaires.
En cas de contestation du client, le prestataire dispose d’un jour ouvré pour effectuer une première analyse et décider du remboursement en se basant sur trois catégories de paramètres : les paramètres techniques (origine de la transaction, terminal utilisé, localisation géographique), les modalités d’authentification forte (existence d’une opération antérieure authentifiée et non contestée, récence de l’enrôlement) et les éléments de contexte tels que les alertes et les informations transmises à l’utilisateur (détaillées ultérieurement dans cet article).
Section 2 : Sécurisation des opérations
Pour sécuriser davantage les opérations de paiement, l’inscription d’un portefeuille électronique sur un appareil mobile doit systématiquement impliquer une authentification forte. Chaque connexion du client à partir d’un nouvel ordinateur ou téléphone doit nécessairement déclencher une procédure d’authentification forte.
Section 3 : Engagement obligatoire des prestataires à informer ses clients des risques de fraude
Une partie des recommandations prônées par l’Observatoire de la Sécurité des Moyens de Paiement exige que les prestataires s’engagent à communiquer, former et sensibiliser leurs clients aux risques de fraude. Lors du processus d’authentification forte, les utilisateurs finaux doivent être informés à chaque étape des détails concernant la nature, le montant et le bénéficiaire de l’opération.
À tout moment, les utilisateurs ont la possibilité de refuser le processus de validation d’une opération sensible. L’accès au blocage des moyens de paiement doit être facile, gratuit et disponible à tout moment. De plus, les prestataires ont la responsabilité d’informer leurs clients s’ils effectuent ou pas des vérifications de concordance entre le nom d’un bénéficiaire et son IBAN.
Au-delà des recommandations, les prestataires de services de paiement sont tenus à chaque contestation d’ordre pour motif de fraude de démontrer la « négligence grave » de leurs clients. La jurisprudence n’ayant pas encore précisément défini ce terme, il est indispensable d’informer les acheteurs à chaque étape, dès que cette opération présente un risque de fraude. Il est crucial de les sensibiliser et de les alerter sur le risque de fraude associé à l’opération en cours. Aussi, il est nécessaire de recueillir leur consentement, ce qui constitue un élément d’analyse essentiel en cas de demande de remboursement.
Imaginons une situation concrète : vous êtes client d’une Fintech et, vous recevez un appel d’une personne se présentant comme un conseiller clientèle ou du service de lutte contre la fraude. Cette personne vous informe que votre carte bancaire a été piratée et que plusieurs achats ont été effectués en votre nom. Insistant sur l’urgence de la situation, cette personne évoque une fraude imminente pour vous déstabiliser. Sans que vous en ayez conscience, vous êtes en réalité victime d’une escroquerie. Dans les minutes qui suivent, le fraudeur vous incitera à valider des opérations, lui permettant ainsi de vider votre compte. En amont, un autre fraudeur a peut-être utilisé l’ingénierie sociale à travers des e-mails, des SMS ou des appels téléphoniques pour obtenir des informations confidentielles de votre part. De même, un faux conseiller pourrait exploiter l’urgence et la peur pour vous inciter à cliquer sur un lien frauduleux. Ces scénarios soulignent l’importance de rester vigilant face aux tentatives d’escroquerie et de renforcer la sensibilisation des clients aux risques associés.
Anticiper plutôt que guérir : l’importance de la sensibilisation
Les acteurs malveillants ont intégré l’Authentification Forte du Client (SCA) dans leurs stratégies. L’enjeu de sensibiliser les utilisateurs aux moments où ils sont particulièrement vulnérables à la fraude est crucial. Les fraudeurs sont désormais familiers avec la plupart des messages d’alerte émis par les banques et sont équipés d’arguments persuasifs pour contrecarrer les objections. Il appartient aux établissements d’être innovants et de générer des alertes pertinentes, telles que : « Seul un fraudeur vous demanderait de valider une opération que vous n’avez pas initiée… Et vous assurerait que ce message d’alerte ne signifie rien ». Cette approche vise à “éduquer” les utilisateurs sur les tactiques des fraudeurs et à renforcer leur vigilance face à de telles tentatives d’escroquerie.
Face à ces tentatives, les établissements disposent de deux moyens : l’alerte et le blocage.
L’alerte aux utilisateurs peut se faire à travers des pop-up, des messages sur l’application, des courriels, ou à défaut, des SMS. Les utilisateurs doivent être informés de manière claire et précise sur l’opération qu’ils s’apprêtent à valider. Cette approche vise à leur faire prendre conscience du caractère incohérent voire dangereux de la demande. Après l’exécution d’une opération, celle-ci doit être confirmée par un autre canal, tel qu’un courriel ou un SMS, afin que l’utilisateur ne manque aucune opération qu’il n’aurait pas initiée.
Le deuxième moyen est de proposer le blocage du compte à l’utilisateur ou l’annulation de l’opération en cours. L’utilisateur devrait avoir la possibilité de bloquer son compte lui-même. Les fraudeurs ciblent souvent des attaques en dehors des horaires d’ouverture des supports clients, comptant sur le délai entre la réalisation d’une opération frauduleuse et les actions de l’établissement pour récupérer les fonds. En offrant la possibilité à l’utilisateur de bloquer son compte, cela peut permettre de bloquer la première opération et de se prémunir contre d’éventuelles tentatives suivantes si le fraudeur a réussi à s’approprier les droits pour lancer des opérations.
La prévention demeure l’élément central dans la protection contre la fraude. En intégrant ces recommandations et en continuant à sensibiliser les utilisateurs, l’industrie des services de paiement peut réussir le pari de la sécurité des transactions et garantir une expérience utilisateur fiable dans le secteur des paiements en constante évolution.
