Achats sur Internet : moins de fraude, plus de sécurité

Contrairement à ce que pouvait laisser supposer la récente affaire de cartes bancaires piratées, la fraude liée aux paiements à distance en France n'enregistre pas de hausse, bien au contraire. L'Observatoire de la sécurité des cartes de paiement constate une baisse de 22 % en valeur et de 25 % en volume par rapport à 2003. La sécurité des systèmes de paiement sur Internet doit néanmoins être renforcée, estime le GIE Cartes bancaires. Cet organisme est chargé notamment de la mise en place en France du standard de sécurité, baptisé PCI (Payment Card Industry), récemment développé par les groupes American Express, Diners Club, Discover, JCB, Mastercard et Visa.

' 80 % des achats du commerce électronique sont payés par carte bancaire ', précise Jean-Pierre Buthier, responsable produits et services au GIE. ' Les risques sont donc importants. ' Et pas question que le risque soit assumé par les seules banques. Dans le commerce classique, rappelle-t-on au GIE, consommateur, commerçant et banque partagent la responsabilité d'une transaction.

L'objectif du PCI vise bel et bien à la répartir plus équitablement entre les banques, les prestataires techniques et les commerçants, mais pas encore le cyberacheteur. ' Aujourd'hui, on maîtrise bien la fraude, ajoute Jean-Pierre Buthier. Mais si demain il y a un clash, on pourra alors activer le processus d'authentification 3D Secure. ' Ce système, créé en 2001 par Visa, rend obligatoire l'authentification de l'utilisateur, de la même manière qu'au supermarché le client doit indiquer son code secret pour ses achats par carte bancaire.

Mais, par crainte que cette procédure, longue et contraignante, freine les achats sur le Net, les banques et les cybermarchands ont préféré, pour l'instant, ne pas l'imposer. En revanche, les boutiques en ligne doivent dorénavant vérifier le bon fonctionnement de leur système d'information en s'appuyant sur un questionnaire de self-audit.

Les entreprises qui traitent plus de 6 millions de transactions par an tous canaux confondus (Internet, correspondance...) doivent, quant à elles, confier la réalisation de cet audit de sécurité à une entreprise agréée par le GIE Cartes bancaires ainsi que l'étude trimestrielle de leur réseau. En cas de manquement à ces consignes et si des numéros de cartes bancaires sont dérobés, le site de commerce électronique sera sanctionné d'une amende de 2 000 dollars pour non-conformité au standard PCI et des pénalités de l'ordre de 5 dollars par numéro de carte volé.

Enfin, il devra rembourser les éventuels montants des fraudes. Jusqu'alors, seules les banques étaient contraintes de rembourser les victimes dune arnaque sur Internet.