mercredi 15 décembre 2010

Fraude à la carte bancaire, petit panorama judiciaire

Il est rare, excessivement rare même, que des cybermarchands évoquent en 2010 (enfin presque 2011) les problématiques de fraude à la carte bancaire. Pourquoi ? Non pas que c'est une honte que la famille marchande tente de dissimuler sous un tapis, mais tout simplement parce que le secteur demeure marqué voire traumatisé par le traitement médiatique des problématiques de fraude à la carte bancaire.

Rappelons quelques principes. La carte bancaire est un outil de paiement "face à face". En effet, le système de protection et d'authentification du porteur de la carte passe par la saisie du fameux code confidentiel à 4 chiffres demandé lors d'un tel paiement en face à face.

Sur internet, cette méthode d'authentification n'a jamais pu être réellement reproduite. La première étape a donc été de demander aux consommateurs de saisir le cryptogramme visuel (appelé également CVV ou CVV2), les fameux 3 derniers chiffres qui figurent au dos de la carte (ou les 4 qui figurent sur le recto des American Express). L'objectif était simple : s'assurer que la personne qui paye a bien en sa possession la carte "physique" et pas seulement les 16 chiffres et la date de validité de la carte bancaire.

Malgré cette protection, des fraudes à la carte bancaire continuent de toucher le secteur du commerce électronique. Selon le dernier rapport de l'Observatoire de la sécurité des cartes de paiement, en 2009, la fraude à la carte bancaire dans le domaine du commerce électronique s'établissait à 0,263% soit environ 52 millions d'euros.

Mais derrière ces 52 millions d'euros de fraude à la carte bancaire, la victime n'est pas le consommateur ou plus exactement le porteur de la carte, mais bien le cybermarchand. En effet, en cas de constat d'un débit frauduleux sur le compte bancaire effectué au moyen des données de sa carte bancaire, le porteur de la carte a la possibilité de répudier le paiement frauduleux. Sa banque le remboursera. Néanmoins, la banque se retournera vers le marchand et débitera son compte du montant correspondant. Il reviendra au cybermarchand le soin de se retourner contre le fraudeur pour tenter d'obtenir une indemnisation pour la perte subie.

Après certains cybermarchands agissent. C'est le cas de PriceMinister. Depuis maintenant 5 années, le principe en matière de fraude à la carte bancaire est plutôt simple : tolérance zéro. Ainsi, en l'absence de recouvrement amiable des sommes, une action pénale sera lancée à l'encontre du ou des fraudeurs avec deux objectifs : obtenir une condamnation du prévenu sur le terrain de l'escroquerie et une condamnation au remboursement de l'ensemble du préjudice subi.

Petit panorama de quelques décisions pénales que nous avons reçu récemment :

  • Tribunal correctionnel de Bourg-en-Bresse, 17 mars 2010 : 2 et 4 mois de prison avec sursis pour les deux prévenus et remboursement du préjudice subi par PriceMinister (80€)
  • Tribunal correctionnel de Toulouse, 6 juillet 2010 : de 1 à 4 ans d'emprisonnement ferme et obligation de procéder au remboursement du préjudice subi par PriceMinister (660,40€)
  • Tribunal correctionnel de Chaumont, 20 juillet 2010 : 6 mois de prison ferme et obligation de procéder au remboursement du préjudice subi par PriceMinister (126,55€)
  • Tribunal correctionnel de Sens, 26 août 2010 : 4 mois de prison ferme et obligation de procéder au remboursement du préjudice subi par PriceMinister (882,87 €)
  • Tribunal correctionnel de Versailles, 14 septembre 2010 : 12 mois de prison ferme et obligation de procéder au remboursement du préjudice subi par PriceMinister (555,90 €)
  • Tribunal correctionnel de Lyon (CRPC), 15 octobre 2010 : 8 mois de prison avec sursis et obligation de procéder au remboursement du préjudice subi par PriceMinister (109,40 €)
  • Tribunal correctionnel de Lons-le-Saulnier (CRPC), 29 octobre 2010 : 2 mois de prison avec sursis et obligation de procéder au remboursement du préjudice subi par PriceMinister (376,84 €)


Enfin, on peut citer cette affaire jugée par le Tribunal correctionnel de Paris le 24 juin 2010. Intéressante, car elle a montré comment on a pu sur un dossier nouer une coopération entre un cybermarchand et les équipes de lutte contre les cyber-escroqueries de l'OCLCTIC.

Tout commence un matin quand les équipes de lutte contre la fraude de PriceMinister découvrent que plusieurs acheteurs (une trentaine) ont acheté des produits auprès d'un même vendeur. L'analyse du compte laisse apparaître qu'acheteurs et vendeurs sont la même personne et qu'un fraudeur tente de "blanchir" des numéros de cartes bancaires en essayant de récupérer de l'argent liquide en faisant de fausses transactions. Dès la découverte, et au regard des sommes en jeu (environ 10.000 €), ces éléments sont remontés aux équipes de lutte contre les cyber-escroqueries de l'OCLCTIC. Le lendemain matin, moins de 48h après les faits, l'un des auteurs des faits est interpellé à son domicile. 

L'enquête démontrera l'utilisation de l'identité de 32 personnes différentes et de leurs numéros de carte bancaire. Compte tenu du blocage de ces transactions par PriceMinister, les magistrats ont condamné les deux auteurs des faits sur le terrain de la tentative d'escroquerie à 500 et 800 euros d'amende et au paiement de dommages et intérêts à PriceMinister. 

A ce jour, nous avons encore une trentaine de jugements qui doivent nous être délivrés.

1 commentaire:

Anonyme a dit…

Mais... Et le 3D Secure ?
Ce n'est pas le Saint Graal, IMPOSE par les banques aux cybermarchants pour lutter contre la fraude ?

...

Ah non, on me fait signe que non seulement ca ne résoud rien, mais qu'en plus ca fait chuter considérablement le taux de transformation, tellement c'est mal fait !

Les grands cybermarchand comme PriceMinister peuvent se payer le luxe d'avoir leur propre équipe anti-fraude, mais ce n'est pas le cas de tous les cybermarchand, loin de là :(

Cela étant, ce type d'initiative est très bien et montre que si les banques faisaient leur boulot (mettre à la disposition un moyen de paiement SECURISE à ses clients et aux cybermarchants), ce devrait être à elles de faire ces démarches et non au cybermarchand... (C'est en substance le 3D Secure, mais ce dernier très très mal réalisé et sans reflexion inter-banque...)