Se connecter S’abonner

Fraudes : les banques peuvent mieux faire selon l’ACPR

Les prestataires de services doivent faire un effort concernant le remboursement des paiements frauduleux par carte bancaire, indiquent les gendarmes des banques et des assurances le 26 avril.

Phishing cartes bancaires sécurité fraude
Crédit: iStock.

Peut mieux faire. C’est le sens du rappel à l’ordre de l’Autorité de contrôle prudentiel et de résolution (ACPR) et de la Banque de France (BdF) le 26 avril 2021 à l’encontre des prestataires de services de paiement (PSP), concernant le remboursement des paiements frauduleux aux clients. Ainsi, les modalités de traitement des demandes de remboursement des opérations non autorisées par carte bancaire ont été étudiées par les gendarmes des banques et des assurances, à partir d’un questionnaire adressé à ces professionnels (25 d’entre eux). Les deux entités appellent les acteurs à respecter les « exigences posées par la réglementation ».

En premier lieu, « les demandes de remboursement doivent être instruites et le porteur de la carte remboursé dans le délai légal d’un jour ouvrable au plus tard suivant la réception de la contestation, sauf suspicion de fraude du client », précise le communiqué. De plus, ce remboursement doit comporter le montant de l’opération frauduleuse et les frais appliqués. Si le PSP suspecte le client d’un comportement frauduleux, il doit le déclarer à la BdF et « mener une enquête dans un délai raisonnable », avant d’accepter ou de rejeter la demande.

Nouveaux standards de sécurité renforcée

Par ailleurs, le PSP ne peut refuser la demande de remboursement parce que le client a validé l’opération par un code SMS-OTP, c’est-à-dire par l’authentification en deux étapes, à savoir l’envoi d’un SMS avec un code à usage unique et l’intégration du code reçu sur l’interface web ou l’application pour valider l’opération. Si le deuxième facteur d’authentification répondant aux nouveaux standards de sécurité renforcée n’est pas mis en place, le prestataire ne peut faire valoir cet argument pour ne pas rembourser le client. Ainsi, les autorités confirment ce que dénonçait l’association UFC-Que Choisir en octobre dernier : « les banques qui continuent de n’utiliser que cette seule technique obsolète (du code SMS-OTP) ne peuvent plus invoquer la négligence de leurs clients pour refuser de les rembourser », avait-elle précisé.

Enfin, le communiqué précise que « la charge de la preuve de la négligence grave ou de la fraude du client repose uniquement sur le PSP », c’est-à-dire que ce n’est pas au client de la fournir. Les gendarmes des banques et des assurances invitent les prestataires à motiver leurs refus et à renforcer l’information des clients.