Le paiement sans contact s’est démocratisé. Mais est-il vraiment sûr ? Comment contourner les risques d’escroquerie liés à ce mode de règlement ?
Un paiement sur deux en 2020
En quelques années, le paiement sans contact est entré dans les mœurs. Rapide, il suffit de placer sa carte bancaire au-dessus de la zone de paiement d’un terminal pour effectuer son paiement.
Plafonné tout d’abord à 20 €, puis à 50 € depuis le 11 mai 2020, ce moyen de paiement, critiqué au départ par les associations de consommateurs, est aujourd’hui de plus en plus accepté. Son usage a par ailleurs été amplifié en raison de la crise sanitaire. Ainsi, selon les chiffres de Carte Bancaire (CB) obtenus par le journal « Les Echos », un paiement par carte sur deux a été réalisé avec le sans-contact en 2020.
Des fraudes rares
Il faut dire que les banques ont beaucoup fait évoluer le système. Lors du lancement de la carte de paiement sans contact en 2010, de nombreuses failles avaient été détectées. Notamment la possibilité de lecture de la carte à distance avec un amplificateur et une antenne (jusqu’à 1,50m d’après une étude de la Cnil en 2012). Mais depuis, bon nombre de ces failles ont disparu.
Pour preuve, en 2020, près de 80 milliards d’euros ont été dépensés par carte bancaire « sans contact », selon le rapport annuel de l’Observatoire de la sécurité des moyens de paiement (OSMP). Avec un taux de fraude en diminution et estimé à 0,013 % du montant des transactions, les craintes liées à la fraude ont tendance à être de moins en moins vivaces.
Mode opératoire de l’escroquerie au paiement sans contact
Les témoignages sont toujours les mêmes. Le mode opératoire consiste à se déplacer avec un terminal TPE dans un sac. Les lieux de prédilection sont ceux où il y a beaucoup de monde comme les transports en commun.
La victime est approchée par un petit groupe. L’un d’eux détourne son attention pendant qu’un autre déclenche une opération de paiement via le TPE dissimulé. Les sommes « volées » ne dépassent jamais 50 euros.
Toutefois, selon Désintox, la rubrique de fact-checking (vérification des faits) d’Arte, si ce type de fraude est techniquement possible, on n’en trouve aucune trace. Ni le service communication de la police, ni la gendarmerie, ni l’Institut National de la Consommation n’ont enregistré de cas.
Selon les services interrogés, cela ne signifie pas que cela n’existe pas, mais simplement que les victimes ne portent pas plainte au regard des faibles sommes en jeu.
Outre le montant relativement peu élevé, en comparaison des fraudes sur Internet, l’escroquerie au paiement sans contact reste rare.
Selon beaucoup d’experts, le nombre de méfaits est restreint, notamment parce que les escrocs, pour mener à bien leur méfait, doivent posséder un compte bancaire au nom d’une société pour encaisser les sommes détournées par le terminal de paiement.
Ces mêmes experts craignent que les méthodes évoluent en utilisant, par exemple, l’attaque-relais. Celle-ci consiste à détourner la communication entre une carte et un terminal qui, en réalité, ne serait pas celui du commerçant mais d’un troisième « intervenant » utilisant les informations envoyées par la carte comme preuve de son identité sur le lecteur cible.
Que faire pour se protéger ?
La première règle de prudence contre l’escroquerie au paiement sans contact consiste à surveiller régulièrement ses comptes.
Si en lisant votre relevé de compte, vous constatez que des paiements ont été opérés avec votre carte bancaire, vous devez contester ces paiements auprès de votre banque.
Envoyez un courriel ou une lettre recommandée avec accusé de réception. Cela permet de formaliser la contestation. La banque a l’obligation de rembourser toutes sommes payées sans contact non autorisées par le client.
Important : si la banque oppose une supposée négligence, charge à elle d’en apporter la preuve.
La deuxième règle concerne l’utilisation d’étuis anti-ondes NFC dans lesquels la carte bancaire sans contact est insérée. Ils sont suffisamment efficaces pour empêcher un paiement.
Enfin, si vous ne souhaitez pas disposer de la technologie sans contact, vous êtes en droit de la refuser. Les cartes bancaires autorisant le paiement sans contact comporte un petit pictogramme en forme d’ondes radio.
Il faut contacter la banque pour désactiver cette fonction ou recevoir une nouvelle carte. Il est également possible de désactiver le paiement son contact en ligne, via son espace personnel sur le site de sa banque ou via l’application mobile. Attention, certaines banques facturent l’opération de désactivation.
Paiement sans contact mais pas sans limites
Les banques ont imposé certaines limites qui, de fait, ne permettent pas d’effectuer autant de paiements sans contact que l’on souhaite. Ainsi, chacune a instauré un plafond (situé généralement entre 50 et 150 €) de paiements sans contact consécutifs au-delà duquel le code de la carte bancaire est requis.
De même, le nombre de paiements sans contact consécutifs est limité (par jour, par semaine ou par mois, selon les banques). Certaines d’entre elles vont jusqu’à limiter le nombre de paiements sans contact dans la journée, qu’ils soient consécutifs ou non.
Modèle de lettre quand on est victime d’une escroquerie au paiement sans contact
Lettre à envoyer à votre établissement financier en lettre recommandée avec accusé de réception (LRAR) ou par courriel ou depuis votre espace personnel client sur son site Internet.
Vos prénom et nom
votre adresse
code postal – Ville
Votre banque
son adresse
code postal – Ville
À (ville), le (date)
Objet : Opérations non autorisées par carte bancaire
Madame, Monsieur,
Mon compte numéro … (précisez) laisse apparaître des opérations de paiement non autorisées pour un montant total de … €, selon le détail suivant :
Opération d’un montant de … €, en date du …, portant la référence …
Opération d’un montant de … €, en date du …, portant la référence …
(Indiquez chaque montant débité, en précisant la date de chaque opération et la référence de cette opération telle qu’elle apparaît sur votre relevé de compte.)
Conformément aux dispositions du code monétaire et financier, je vous remercie de bien vouloir recréditer immédiatement mon compte des sommes indûment débitées, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant la réception de cette lettre.
Je vous remercie également de me restituer les agios et/ou frais bancaires liés à ces opérations bancaires non autorisées. Ces agios et frais bancaires représentent la somme de … €.
(À insérer si vous remarquez que des agios ou des frais ont été prélevés par la banque en lien avec l’opération non autorisée. Si tel n’est pas le cas, enlevez ce paragraphe.)
Je vous prie de croire, Madame, Monsieur, en l’expression de mes sentiments les meilleurs.
Signature
