Le paiement sans contact s’est démocratisé. Mais est-il vraiment sûr ? Comment contourner les risques d’escroquerie liés à ce mode de règlement?
Un paiement sur deux en 2020
En quelques années, le paiement sans contact est entré dans les mœurs. Rapide et facile à utiliser, il suffit de placer sa carte bancaire au-dessus de la zone de paiement d’un terminal pour régler ses achats.
Plafonné tout d’abord à 20 €, puis à 50 € depuis le 11 mai 2020, ce moyen de paiement, critiqué au départ par les associations de consommateurs, est aujourd’hui largement accepté. Son usage a par ailleurs été amplifié en raison de la crise sanitaire. Ainsi, selon les chiffres de Carte Bancaire (CB) obtenus par le journal « Les Échos », un paiement par carte sur deux a été réalisé sans contact en 2020.
Des fraudes rares
Il faut dire que les banques ont fait évoluer le système dans le bon sens. Lors du lancement de la carte de paiement sans contact en 2010, de nombreuses failles avaient été détectées, notamment la possibilité de lecture de la carte à distance avec un amplificateur et une antenne (jusqu’à 1,50 m d’après une étude de la Cnil en 2012). Mais depuis, bon nombre de ces failles ont disparu.
Pour preuve, en 2020, près de 80 milliards d’euros ont été dépensés par carte bancaire « sans contact », selon le rapport annuel de l’Observatoire de la sécurité des moyens de paiement (OSMP). Avec un taux de fraude en diminution et estimé à 0,013 % du montant des transactions, les craintes liées à la fraude ont tendance à être de moins en moins vivaces.
>>> A lire aussi : « Comment éviter le piratage de son smartphone ? »
Mode opératoire de l’escroquerie au paiement sans contact
Les témoignages sont toujours les mêmes. Le mode opératoire consiste à se déplacer avec un TPE (terminal de paiement électronique) dans un sac, principalement dans les lieux où il y a beaucoup de monde, comme les transports en commun. La victime est approchée par un petit groupe. L’un d’eux détourne son attention pendant qu’un autre déclenche une opération de paiement via le TPE dissimulé, à quelques centimètres. Les sommes « volées » ne dépassent jamais le plafond de 50 euros.
Toutefois, selon Désintox, la rubrique de fact-checking (vérification des faits) d’Arte, si ce type de fraude est techniquement possible, on n’en trouve aucune trace. Ni le service communication de la police, ni la gendarmerie, ni l’Institut National de la Consommation n’ont enregistré de cas.
Selon les services interrogés, cela ne signifie pas que l’escroquerie n’existe pas, mais simplement que les gens ne portent pas plainte au regard des faibles sommes en jeu.
Outre le montant relativement peu élevé, en comparaison des fraudes sur Internet, l’escroquerie au paiement sans contact reste donc rare.
Selon beaucoup d’experts, le nombre de méfaits est restreint, notamment parce que les escrocs, pour mener à bien l’opération, doivent posséder un compte bancaire au nom d’une société pour encaisser les sommes détournées par le terminal de paiement.
Ces mêmes experts craignent que les méthodes évoluent en utilisant, par exemple, l’attaque-relais. Celle-ci consiste à détourner la communication entre une carte et un terminal qui, en réalité, ne serait pas celui du commerçant mais d’un troisième « intervenant » récupérant les informations envoyées par la carte comme preuve de son identité sur le lecteur cible.
>>> A lire aussi : « Hausse des fraudes liées aux moyens de paiement »
Que faire pour se protéger ?
La première règle de prudence contre l’escroquerie au paiement sans contact consiste à surveiller régulièrement ses comptes. Si en lisant votre relevé, vous constatez que des paiements ont été opérés avec votre carte bancaire, vous devez les contester auprès de votre banque.
Envoyez un courriel ou une lettre recommandée avec accusé de réception. Cela permet de formaliser la contestation. La banque a l’obligation de rembourser toutes sommes payées sans contact non autorisées par le client.
Par ailleurs, il est important de savoir que si la banque oppose une supposée négligence, charge à elle d’en apporter la preuve. C’est ce que la Banque de France rappelle : « la charge de la preuve incombe au prestataire de services de paiement ».
La deuxième règle concerne l’utilisation d’étuis anti-ondes NFC dans lesquels la carte bancaire sans contact est insérée. Ils sont suffisamment efficaces pour empêcher un paiement.
Enfin, si vous ne souhaitez pas disposer de la technologie sans contact, vous êtes en droit de la refuser. Les cartes bancaires autorisant le paiement sans contact comporte un petit pictogramme en forme d’ondes radio. Il faut contacter la banque pour désactiver cette fonction ou recevoir une nouvelle carte.
Il est également possible de désactiver le paiement sans contact en ligne, via son espace personnel sur le site de sa banque ou via l’application mobile. Attention, certaines banques facturent l’opération de désactivation.
>>> A lire aussi : « L’essor des géants du Web sur le marché du paiement inquiète »
Paiement sans contact mais pas sans limites
Les banques ont imposé certaines limites qui, de fait, ne permettent pas d’effectuer autant de paiements sans contact que l’on souhaite. Ainsi, chacune a instauré un plafond (situé généralement entre 50 et 150 €) de paiements sans contact consécutifs au-delà duquel le code de la carte bancaire est requis.
De même, le nombre de paiements sans contact consécutifs est limité (par jour, par semaine ou par mois, selon les banques).
Certaines d’entre elles vont jusqu’à limiter le nombre de paiements sans contact dans la journée, qu’ils soient consécutifs ou non.