En 2022, la fraude aux paiements a reculé de 4% en volume et en montant. Elle représente 1,19 milliard d’euros pour 7,2 millions de transactions frauduleuses. L’Observatoire de la sécurité des moyens de paiement (OSMP), qui dépend de la Banque de France, publie des chiffres plutôt rassurants alors que les paiements scripturaux ont augmenté de 8% en volume, à 31 milliards d’opérations. Les transactions frauduleuses se répartissent entre la carte bancaire pour 35%, le chèque pour 33% et le virement pour 26%.

Le chèque, dont l’usage recule de 9%, reste donc le moyen de paiement sur lequel il y a le plus de fraudes, avec un taux de fraude de 0,073% pour 395 millions d’euros, en recul de 15% sur un an. «C’est le résultat du plan d’action lancé en 2021, reposant sur dix recommandations», s’est satisfait François Villeroy de Galhau, gouverneur de la Banque de France, tout en appelant les acteurs de la filière à sécuriser davantage l’envoi des chéquiers par La Poste et à simplifier les procédures de mise en opposition sur les chèques perdus ou volés.

La DSP2, efficace

Principal sujet de fraude, la carte bancaire est scrutée attentivement, avec un regain d’intérêt depuis la mise en œuvre de l’authentification forte entre en 2019 et 2021. L’année 2022 est la première année pleine d’application de ce dispositif en lien avec la directive sur les services de paiement DSP2. Certes, la fraude aux cartes bancaires reste préoccupante : la carte pèse pour 80% des montants «fraudés», alors qu’elle ne représente que 24% des montants échangés. Mais le taux de fraude est en baisse de 10%, à 0,053% en 2022, c’est le plus bas niveau jamais constaté. Les canaux les plus problématiques sont le paiement à distance hors internet, dont le taux de fraude baisse tout de même de 0,278% à 0,247% (-16%), et le paiement sur internet, avec une réduction de 0,196% à 0,165% (-16% également).

Parmi les paiements par internet au niveau national, un tiers font l’objet d’une authentification forte, un tiers bénéficient d’une exemption en raison du faible risque évalué par le commerçant et validé par la banque du porteur, et 26% des paiements sont initiés par le marchand (paiement fragmenté, abonnements…) utilisant la carte comme support d’authentification. Le reste, soit 9%, est considéré comme non conforme, souvent en raison d’une transaction hors de l’Union européenne ou alors sans raison valable, ce qui devrait disparaître.

Les commerçants maîtrisent l’analyse de risque

La fraude est plus importante sur les paiements hors 3DSecure : ceux passant par le protocole 3DSecure font deux fois moins l’objet de fraudes que ceux qui s’en exonèrent. Fait intéressant, les paiements 3DSecure avec authentification forte affichent un taux de fraude de 0,08%, un tout petit peu au-dessus du taux de fraude des paiements 3DSecure sans authentification forte (0,07%) mais bénéficiant d’une évaluation du risque. Pour Julien Lasalle, directeur des moyens de paiement de la Banque de France, «cela montre que banques et commerçants sont devenus plus pointus dans l’identification de la fraude et renvoient vers 3DSecure en cas de doute, ce qui produit un système de plus en plus performant».

Les paiements mobiles subissent un niveau de fraude plus élevé que les paiements de proximité mais, selon l’OSMP, cela est dû à l’absence d’une authentification forte systématique lors de l’enrôlement dans les portefeuilles électroniques (ApplePay, GooglePay, SamsungPay…), contrairement à l’exigence de l’Autorité bancaire européenne.

Fraude par manipulation

Enfin, les virements font l’objet d’une attention nouvelle : c’est le moyen de paiement traditionnellement le plus sûr, sauf sur le virement instantané, dont le taux de fraude atteint les 0,0444%. C’est peu au regard des volumes très élevés qui passent par les virements, mais l’Observatoire est attentif, ayant constaté que la fraude par manipulation, qui touchait beaucoup les entreprises (fraude au président, fraude au fournisseur), puis les administrations, cible désormais les particuliers et les petits professionnels. Et que 70% des montants ainsi détournés le sont via l’interface de banque en ligne.

Plusieurs contre-mesures arrivent, comme l’obligation (écrite dans la DSP3) de vérifier la correspondance entre un IBAN et le nom du titulaire du compte, et l’obligation pour les opérateurs télécoms d’empêcher l’usurpation de numéro de téléphone (spoofing) à compter du 25 juillet en vertu de la loi Naegelen. En outre, le partage des IBAN frauduleux entre banques est également à l’étude, ce qui devrait être efficace pour stopper les fraudeurs.

Enfin, le rapport de l’OSMP consacre un chapitre spécifique aux nouveaux terminaux de paiement électronique, appelés Soft POS, qui permettent à un smartphone ou à une tablette d’accepter des paiements grâce à un logiciel et à l’évolution des normes de sécurité. Il sont encore en phase de tests en France et l’OSMP recommande de les considérer avec prudence, en vérifiant qu’ils ont bien obtenu les certifications techniques nécessaires et en les gardant dans un environnement sécurisé.

