Piratage de la carte bancaire

Sommaire

Le piratage d’une carte bancaire consiste à utiliser ses coordonnées sans l’autorisation de son titulaire pour effectuer des achats ou des retraits d’espèces.

Dans la plupart des cas, la subtilisation des données bancaires se produit lors d’un achat sur Internet ou suite à un vol/perte de la carte.

En cas de paiement non autorisé effectué sur son compte, le porteur de la carte est couvert par les dispositions protectrices du Code monétaire et financier.

Piratage des cartes bancaires : en hausse

Un million et demi de Français ont été victimes d’une fraude à la carte bancaire en 2016. Ce chiffre a doublé en 4 ans, ce qui démontre l’ingéniosité des piratages informatiques.

Les sources du piratage sont de plusieurs natures :

  • interception de la carte lors de son envoi par une banque à son titulaire légitime ;
  • carte de paiement récupérée à la suite d’une perte ou d’un vol ;
  • numéro de carte usurpé, falsifié ou contrefait, puis utilisé pour les paiements frauduleux, principalement sur Internet.

Il existe plusieurs techniques de piratage. Les trois principales sont les suivantes :

  • La technique du clonage consiste en la copie de la carte. Les pistes magnétiques de la carte sont copiées à l’aide d’un lecteur à mémoire. Le code confidentiel peut aussi être capturé à l’aide d’une caméra ou par le biais d’un détournement du clavier numérique.
  • Pour le hameçonnage, les fraudeurs récupèrent les données de la carte par le biais de mail attirant l’utilisateur vers des sites frauduleux ayant l’apparence de sites de confiance.
  • Enfin, une technique est le « simple » piratage de serveurs ou de réseaux.

Prévention contre le piratage de sa carte bancaire   

Quelques mesures de prudence permettent d’éviter le piratage de sa carte. D'abord, il est recommandé de ne pas acheter en ligne depuis un Wi-Fi public. Selon la CNIL (Commission nationale informatique et liberté) un pirate peut saisir cette occasion pour installer un logiciel malveillant sur le terminal utilisé ou intercepter des données.

Ensuite, mieux vaut se méfier des sites inconnus. Le paiement n’est sécurisé que si le formulaire du site marchand comprend une sécurisation HTTPS. Elle est signalée par un petit cadenas visible dans la barre d'adresse du navigateur.

Enfin, rien de tel qu'utiliser la double sécurité : l’introduction du code 3D Secure offre une vraie sécurité de paiement. Il s'agit d'un code secret envoyé par SMS et qu’il faut insérer en ligne, pour valider le paiement.

Cependant, conformément à la deuxième directive européenne sur les services de paiement (DSP2), la sécurité des opérations de paiement en ligne supérieurs à 30 € doit être renforcée et faire l'objet d'une authentification forte ou renforcée.

Ainsi, depuis le 15 mai 2021, tous les achats en ligne de plus de 30 € doivent répondre aux exigences de sécurité via l’authentification forte du payeur. Ce dispositif consiste à vérifier que le porteur de la carte bancaire est bien à l’origine du paiement par internet grâce à la mise en place d’au moins 2 des 3 éléments suivants :

  • une information que seul le titulaire de la carte connait : mot de passe, code secret, question secrète ;
  • l’utilisation d’un appareil qui n’appartient qu’au titulaire de la carte : téléphone portable, carte à puce, montre connectée ;
  • une caractéristique personnelle : reconnaissance faciale, vocale, empreinte digitale.

Si l’un de ces éléments est faux, l’achat par carte bancaire sur le site internet ne sera pas autorisé.

Bon à savoir : la CNIL recommande également de ne pas enregistrer une carte de paiement sur une application smartphone ou dans le navigateur d’un ordinateur, car ils ne garantissent pas la sécurité optimale des données bancaires.

Important : l'utilisateur d'un service de paiement qui communique les données personnelles du dispositif de sécurité, en réponse à un courriel contenant des indices permettant à un utilisateur normalement attentif de douter de sa provenance, manque à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité. La Cour de cassation a ainsi déjà retenu la négligence grave d’un client victime de phishing pour écarter la responsabilité de la banque (Cass. com., 28 mars 2018, n° 16-20.018).

Procédure en cas de piratage de sa carte bancaire

En cas de piratage, le client doit faire opposition le plus rapidement possible afin que sa carte soit bloquée, puis demander le remboursement des opérations frauduleuses.

Bon à savoir : vous pouvez prendre rendez-vous en ligne avec la brigade de gendarmerie, mais il est aussi possible de signaler une fraude à la carte bancaire en se rendant sur le site masecurite.gouv.fr qui fait le lien avec la gendarmerie (il remplace le site moncommissariat.fr). Pour cela, il convient d'être toujours en possession de la carte bancaire et d'avoir fait opposition auprès de la banque. Ce service évite de se déplacer au commissariat ou à la gendarmerie et facilite le remboursement. Par ailleurs, un tchat est accessible pour communiquer en direct avec un gendarme ou un policier.

Dès que la banque a été informée du piratage de la carte ou des données qui lui sont liées, elle doit empêcher son utilisation. La responsabilité du payeur n'est pas engagée si l'opération de paiement frauduleuse a été effectuée en détournant, à son insu, la carte de paiement ou les données qui lui sont liées.

Bon à savoir : les opérations de paiement non autorisées doivent être signalées au plus tard dans 13 mois suivant la date de débit sur le compte. Après ce délai, la demande n’est plus recevable.

En cas d'opération de paiement non autorisée, la banque doit :

  • rembourser immédiatement l'opération non autorisée ;
  • rétablir le compte débité dans l’état dans lequel il se serait trouvé si l’opération non autorisée n’avait pas eu lieu.

En cas de paiement frauduleux, le titulaire de la carte piratée doit être remboursé dans le délai légal d’un jour ouvrable au plus tard suivant la réception de la contestation, sauf s’il y a une suspicion de fraude du client.

Si un doute subsiste, c’est à la banque qu’il appartient de prouver qu’une opération déclarée frauduleuse a été authentifiée, dûment enregistrée, comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre (article L.133-23 du Code monétaire et financier).

De même, pour engager la responsabilité du titulaire de la carte piratée, c’est à la banque de prouver qu’il a fait preuve d’un comportement fautif ou négligent à l’origine de la fraude.

Bon à savoir : le site masecurite.gouv.fr permet aussi de déposer plainte en ligne en cas d’e-escroquerie (escroquerie sur internet) : piratage de compte mail ou de réseau social avec demande d’argent, escroquerie à la petite annonce, fausse location, chantage en ligne, escroquerie aux sentiments ou lors d’un achat sur un site de vente en ligne frauduleux. À réception de la plainte, les éléments communiqués sont analysés par des experts de la police judiciaire.

Ces pros peuvent vous aider