La Banque de France a présenté, le 9 juillet 2019 au matin, le troisième rapport annuel de l’Observatoire de la Sécurité des Moyens de Paiement (OSMP), portant sur l’activité 2018. Bilan : une fraude généralement maîtrisée sur l’ensemble des moyens de paiement, à l’exception du chèque qui connaît une hausse du taux de fraude de 53% sur l’année, parallèlement à une diminution de son utilisation (-11% en montant).
Le taux de fraude sur les cartes de paiement françaises s’établit désormais à 0,062%, contre 0,058% en 2017. La tendance à la stabilisation est également observée dans le détail par type de paiement : 0,010% pour les paiements de proximité et sur automates, contre 0,009% en 2017 ; 0,020% sur le paiement sans contact, dont le montant de transaction a quasiment doublé à 24,4 milliards d’euros en 2018 ; 0,173% pour les paiements à distance, contre 0,190% en 2017 alors même que ces paiements connaissent une forte croissance (+22%) par rapport à 2017. « Après deux années de forte baisse, les taux de fraude globaux se sont stabilisés au plus bas niveau de la décennie, après le plus haut observé en 2015. Dans le même temps, les flux de transaction ont poursuivi leur progression de croissance continue : +55% depuis 2009 pour les cartes françaises et +59% pour les cartes françaises et étrangères », indique le rapport, nuançant « qu’après trois années de repli, le taux de fraude sur les transactions transfrontalières atteint un niveau historiquement bas mais qui reste toutefois largement supérieur au taux de fraude sur les transactions nationales ». Concrètement, avec respectivement 0,04% pour la France, 0,23% pour la zone SEPA et 0,39% pour la zone hors SEPA, le taux de fraude est « sept fois plus élevé dans l’espace SEPA et treize fois plus élevé dans le reste du monde ». Concernant le prélèvement et le virement, la fraude s’établit respectivement à 0,0035% et 0,0004%.
Un taux de fraude « maîtrisé » sauf sur le chèque
Seul moyen de paiement connaissant une hausse significative du taux de fraude sur la période (+53%), le chèque est désormais le moyen de paiement le plus fraudé en France, alors même que son utilisation tend à décliner (-11% en montant). Parmi les techniques privilégiées par les fraudeurs, le vol de chéquiers (56% des montants fraudés) et la falsification (33% des montants fraudés). Situation qui justifie « un besoin de vigilance de l’ensemble des acteurs » utilisant cet outil et la promotion de « solutions modernes et sécurisées comme alternatives au chèque et aux modes de paiement non connectés », indique la Banque de France, rappelant que le sujet est notamment traité dans le cadre du Comité National des Paiements Scripturaux (CNPS). « C’est le devoir de la Banque de France d’assurer l’égale sécurité et accessibilité des moyens de paiement, y compris le cash », affirme ainsi François Villeroy de Galhau, gouverneur de la Banque de France.
Enjeux de conformité sur l’authentification forte
La veille technologique réalisée sur la période 2018-2019 a notamment porté sur l’analyse de la sécurité du paiement mobile, dans le contexte de l’évolution technologique. Parmi les recommandations de l’OSMP sur cette innovation figurent « la protection des données sensibles de paiement par l’ensemble des acteurs », « l’authentification forte de l’utilisateur à l’enrôlement de la carte dans l’application de paiement », « l’analyse de risques – ou scoring – conduisant au déclenchement d’une authentification forte de l’utilisateur pour les opérations considérées comme risquées » et une recommandation plus large, à savoir « un cadre contractuel protecteur pour les utilisateurs de solutions de paiement mobile », selon les précisions d’Alexandre Stervinou, chef de la surveillance des moyens de paiement scripturaux de la Banque de France.
Et de fait, les enjeux de conformité sur l’authentification forte portent ainsi, dans le cadre de la DSP2, sur une combinaison de facteurs : connaissance, inhérence, possession. Le SMS-OTP et les données de carte saisies en ligne ne sont pas reconnus comme une solution d’authentification forte au sens des RTS. « Seul le SMS-OTP représente un facteur (possession du mobile) et les données de carte, copiables, ne sont pas assimilées à un facteur (de connaissance en l’occurrence) », précise la Banque de France. Dans ce contexte, un plan de migration est piloté en France sous l’égide de l’OSMP. Il prévoit le remplacement progressif du SMS-OTP – dont la résilience à la fraude a permis la diminution continue du taux de fraude au cours des sept dernières années – par des solutions plus avancées. Ce plan de migration, qui s’étend de 2019 – avec l’échéance du 14 septembre sur l’entrée en application des RTS – à 2022, inclut un point d’étape en 2021 prévoyant 70% des porteurs enrôlés et 60% des paiements cibles couverts. « Le plan de migration porte sur trois volets : évolution des méthodes d’authentification, volet communicationnel et éléments de langage, et engagement chronologique », précise la Banque de France ajoutant que « l’OSMP constituera également un point de rendez-vous pour vérifier la situation de la migration ». L’entité rappelle également, en guise de conclusion, que la sécurité est l’affaire de tous et qu’à ce titre, établissements financiers, entreprises, commerçants et consommateurs ont un rôle actif à jouer en étant « responsables », « attentifs » et « réactifs » et ce, même si des dispositions de protection sont inscrites dans la loi en cas de paiement non autorisé.