La lutte contre la fraude, la priorité pour réussir la digitalisation

Hervé SITRUK, Président, FRANCE PAYMENTS FORUM

A l’heure du virement instantané, de l’euro numérique et dans la perspective de la révision de la DSP 2, mais aussi face au développement de l’IA et à l’arrivée massive du quantique, avec chacun leurs potentialités et leurs propres défis, la question de la lutte contre la fraude devient première. Rien ne sert de digitaliser sans sécuriser sauf à ouvrir grandes les vannes de la fraude.

La réduction des frictions dans les paiements et l’enrichissement fonctionnel vont de pair avec plusieurs grands chantiers : (1) la lutte contre l’exclusion numérique et la bataille contre les pratiques « d’engineering social », c’est-à-dire des manipulations psychosociales[1] qui permettent d’obtenir des émetteurs d’ordre de paiement, les moyens de contourner le verrou de l’authentification forte ; (2) la préparation d’un saut qualitatif dans la sécurité des paiements,  notamment avec le recours à la signature électronique et/ou à l’identité numérique pour certaines opérations à distance ; (3) et l’exploration des potentialités de l’IA et du Quantique pour lutter contre la fraude.

Pour lutter efficacement contre la fraude, c’est donc une vraie machine de guerre qu’il faut mettre en place au plan européen, et il faudra s’en donner les moyens, en recourant, si nécessaire à des moyens de dissuasion plus efficaces que ceux qui existent aujourd’hui.

L’ère de la digitalisation et la lutte contre la fraude

L’ère de la digitalisation s’ouvre avec trois innovations dans les paiements : (1) la création de nouveaux instruments de paiement, virement instantané et demain, l’euro numérique, et avec le développement des cryptopaiements, qui ouvrent la porte à l’instantanéité, l’irrévocabilité et l’international, mais aussi à de nouvelles pratiques de fraudes, (2) l’intégration des chaînes de paiements de bout en bout, qui laisse de moins en moins de place à des ruptures propices aux analyses comportementales ou techniques, qui doivent dès lors être intégrées aux nouveaux processus, (3) l’innovation technologique, qui avance mais parfois sans les parachutes préalables (a) de la loi pour encadrer les pratiques et sanctionner les abus, (b) des mesures anti-fraude, qui doivent être intrinsèques des nouveaux processus de paiements dès leur conception, et (c) sans les campagnes d’information et de sensibilisation, voire d’éducation, en laissant se creuser l’exclusion numérique mais aussi l’insuffisante culture de prévention et de protection contre la fraude.

Les nouveaux instruments génèrent de nouveaux risques.

Ainsi, le virement instantané introduit une irrévocabilité immédiate ce qui suppose une sécurisation de bout en bout et une identification indéniable des acteurs de la chaîne des paiements. Or, outre les contournements de l’authentification forte, apparaissent des fraudes sur la correspondance entre bénéficiaire et compte de destination, qui nécessitent ce qu’on appelle une « confirmation of payee » ….

De même, l’euro numérique de détail génère par nature des risques de création de fausse monnaie, comme toute monnaie électronique, ce qui, sans mécanisme majeur de lutte contre ces pratiques, ruinerait la solidité de la monnaie européenne, et la confiance que l’on a en elle. C’est la raison pour laquelle la Banque Centrale Européenne, qui ne veut prendre aucun risque en lançant un euro numérique de détail, se dote de solutions lourdes, comme un identifiant numérique spécifique pour chaque porteur d’un wallet chargé de l’euro numérique, et d’une traçabilité de toutes les transactions, en les faisant systématiquement transiter par les ordinateurs de la BCE, et toute une série d’autres règles qui seront détaillées dans le futur Rulebook du Scheme euro numérique en cours d’élaboration.

Mais, le choix de la solution technique reste pour le moment non clarifié. Et autant le choix de recourir aux blockchains semble acté pour l’euro numérique de gros, comme la Banque de France en a fait la démonstration de validité par ses expérimentations l’an passé, autant pour l’euro numérique de détail ce choix n’est pas fait, mais semble bien écarté.   Ainsi, dans son rapport d’avancement de septembre 2022, la BCE  indiquait :

• «  It still has to make the choice between a central or a distributed ledger»
• Et en même temps, « ECB would like to retain “full control” over the settlement of payments»

Pourtant, sans chiffrement des transactions de bout en bout, le risque de fraude ne pourra être écarté. Et sans une innovation technique majeure, l’euro numérique de détail aura peu de chances de percer face à la concurrence sur le marché des paiements. En effet, comme l’a rappelé Ignazio Angeloni, auteur d’un rapport commandé par le Parlement européen intitulé “Digital euro : when in doubt, abstain (but be prepared)”, publié le 19 avril 2023[2], « The digital payment sector is quite saturated »[3] et dès lors, « the new entrant would have to be very innovative », et nous ajouterons « très sécurisé ». Là, comme ailleurs, les identifiants numériques et les signatures électroniques s’imposeront, avec le temps.

Enfin, les techniques de QR Code largement répandues au plan mondial, notamment en Chine pour les paiements par mobile, comportent en elles-mêmes les moyens de fraude : étant indéchiffrable par tout un chacun, le QR Code peut être aisément remplacé par un autre sans que quiconque puisse préalablement identifier le subterfuge.

La fragmentation du marché européen

Le marché intégré européen ajoute son lot à ces pratiques, du fait (1) de l’hétérogénéité des réglementations domestiques et de l’organisation des systèmes de paiement encore trop fragmentés, et notamment l’absence de quelques grands mécanismes ou schemes communs à l’échelle européenne, après la création de l’ABE-Clearing, il y 30 ans, et EPI, qui sera un nouveau premier pas, (2) de l’hétérogénéité des outils anti-fraude et l’absence de mécanismes pan-européens, malgré l’authentification forte prévue à la DSP 2, notamment l’absence d’un « Schengen de la fraude dans les paiements », et de dispositifs communs de lutte contre la criminalité dans les paiements, qui nécessiteraient en soi une organisation spécifique au plan européen, (3) et de l’hétérogénéité de la culture anti-fraude mais aussi de la lutte contre l’exclusion numérique. Un marché unique intégré des paiements impose une stratégie commune de la lutte contre la fraude.

Le point sur la fraude dans les paiements

Dans ses excellents rapports, notamment ses recommandations sur le remboursement des victimes de fraude publiées  le  16 mai 2023[4] et ses données-clé sur la fraude en 2022 publiées fin mars 2023[5], l’Observatoire de la sécurité des moyens de paiement (OSMP) fait un point complet des fraudes et des moyens de les prévenir ou de les combattre. Il en ressort que la fraude par carte recule en France en face à face comme à distance. La fraude ne se situe pas, pour l’essentiel, dans le paiement de proximité notamment par carte à puce, ni dans le paiement sans contact qui, malgré sa part considérable (57% des paiements par carte), représente des taux de fraude très proches de ceux d’une transaction authentifiée par le code et la puce, mais dans le paiement à distance, par carte et de plus en plus par virement, et dans le chèque, totalement suranné mais qui perdure, et reste, en France, l’instrument le plus fraudé.

Sur le premier point, le paiement à distance, comme l’a déclaré le Ministre de l’Économie, des Finances et de la Souveraineté industrielle et numérique, Bruno Le Maire : « En trois ans, notre action a permis de réduire de 30% le taux de fraude au paiement par internet ».

Et c’est aussi vrai au plan européen : dans son rapport sur la fraude par carte au plan européen[6][7], la BCE indique que la fraude à la carte bancaire est tombée en 2021 à un taux de 0,028%, le plus bas depuis 2008, début des statistiques BCE, avec une chute de 8% en 2020 et de 11% en 2021, et même de 12% pour les paiements à distance, du fait notamment de l’application de l’authentification forte.

Pour le paiement par chèque, même si sa part a fortement reculé et se situe à 3,9 % de toutes les transactions scripturales, il représente encore en France plus d’un milliard de transactions de paiement[8], c’est-à-dire plus de 85% des chèques émis dans l’Union Européenne, et le troisième moyen de paiement scriptural en France en montant, derrière le virement et le prélèvement, toujours devant les paiements par carte. Et selon les dernières statistiques du Fichier central des Chèques (FCC)^[09], il y a eu en 2022, plus de 3 millions d’incidents déclarés sur chèques, donc de l’ordre de 3% des chèques émis, et plus de 800.000 personnes font l’objet d’une interdiction bancaire d’émettre des chèques. Ce qui reste considérable et coûteux pour la collectivité. Le chèque ne correspond plus à aucun cas d’usage courant non couvert par d’autres instruments de paiement. Il perdure par sa facilité de mise en œuvre et son énorme capital de confiance, surtout pour les personnes âgées, malgré les nombreux lieux où les chèques ne sont plus acceptés du fait de la fraude. Et il perdure aussi par le refus de certaines professions d’accepter les paiements par carte, sous prétexte que le chèque leur apporte la couverture des Centres de gestion agréés. En fait, le chèque sert malgré tout assez souvent à faire encaisser des paiements au porteur par des tiers, ce qui reste d’après l’OSMP le mode opératoire majoritaire des fraudeurs. Comme déjà indiqué dans des éditoriaux précédents, le chèque est très peu digital et très difficile à sécuriser, et dès lors, il serait bon que la France définisse et engage un plan d’action contre l’usage du chèque dans certaines professions, à défaut d’un plan de résorption, qui se fera avec le temps, pour se rapprocher des pratiques du reste de l’Union Européenne, et comme l’Australie vient de le faire avec un objectif 2030.

Il reste enfin la question du virement appelé à se développer pour devenir central en Europe, à côté de la carte, avec les wallets et avec le virement instantané. Et comme indiqué plus haut, la fraude se développe notamment du côté émetteur via le contournement de l’authentification forte par des pratiques « d’engineering social », mais aussi côté bénéficiaire, par une non-conformité entre l’IBAN fourni et le bénéficiaire souhaité. Et du fait de l’irrévocabilité du virement, et du rétrécissement, au maximum techniquement, du délai de l’opération, ces fraudes constituent un lourd handicap pour le virement instantané, Et l’empêche, à ce stade de pouvoir devenir un futur « New normal ».

Il y a donc encore beaucoup à faire dans la lutte contre la fraude, même si des progrès notables ont été réalisés dernièrement, en France et en Europe.

Les moyens de lutte contre la fraude

La carte à puce a été et reste le moyen de sécurisation des paiements de proximité par excellence, ce qui a assuré le développement du paiement par carte depuis plus de trente ans, mais elle a exigé lors de son lancement un saut qualitatif majeur et un investissement financier important. Les résultats sont à la hauteur de l’effort consenti. Cet exemple devrait aujourd’hui servir de leçon.

La carte à puce se révèle par nature inefficace pour les paiements à distance, car sans dispositif intégré de lecture d’une puce et de chiffrement sur le média de paiement à distance, ou de traitement dans l’élément sécurisé[10] d’un smartphone, pour les paiements virtuels à distance. Et c’est là que le bât blesse. Il manque un moyen dissuasif de sécurisation des paiements à distance.

Pour lutter contre la fraude sur les paiements à distance, ce sont succédés depuis vingt ans, en Europe, des solutions plus ou moins efficaces allant de la carte virtuelle dynamique, au 3DSecure, à l’OTP, puis à l’authentification forte et la tokenisation de certaines données sensibles, avec comme objectif complémentaire, mais majeur pour les fédérations du commerce à distance, d’éviter d’augmenter les frictions dans les paiements.

Ces deux dernières, l’authentification forte et la tokenisation, malgré leurs apports indéniables, n’ont pas répondu aux attentes ou restent trop partielles.

Pour la première, la DSP 2 avait mis la lutte contre la fraude au premier rang dans l’organisation des paiements en Europe, en instituant l’authentification forte généralisée, via un contrôle multifacteurs. Mais d’une part, elle a prévu des exemptions, au nom de la réduction des frictions, et d’autre part, les pouvoirs publics reconnaissent ses limites, dans ses formes actuelles, face au « social engineering ». Et malgré les grandes campagnes de sensibilisation du public, ces pratiques se révèlent finalement courantes et aisées.

C’est ce qui a conduit l’OSMP à émettre un ensemble de recommandations sur le remboursement des victimes de fraude, « même lorsqu’une authentification forte a été réalisée » comme l’a déclaré le ministre.

D’où la nécessité d’agir. Comme l’a déclaré le ministre « Nous renforçons la lutte contre la fraude et nous facilitons les démarches de remboursement ».

Comme l’a déclaré de son côté François Villeroy de Galhau, Gouverneur de la Banque de France et Président de l’Observatoire, il faut désormais « faire face à deux grandes nécessités : d’une part, intensifier collectivement nos actions de prévention et de lutte contre la fraude, d’autre part, apporter des réponses clarifiées et harmonisées aux victimes de fraude ».

Ainsi, l’authentification forte, dans ses formes actuelles, même si elle continue à rendre d’importants services dans la lutte contre la fraude, rencontre des limites et ne suffit pas à réduire de façon drastique les risques des paiements à distance. Le risque est dans la perception du grand public : cette situation pourrait conduire à son rejet par les usagers, en cas de développement. D’où les mesures de prévention et de remboursement, qui cherchent à éviter ce rejet par le grand public.

La tokenisation est également porteuse d’une approche à bas coût et sans friction, efficace pour la protection des données sensibles, notamment des identifiants, et constituera encore pendant la prochaine période une autre voie de lutte contre la fraude. Mais elle ne permettra pas de résoudre globalement la question de la lutte contre la fraude, sauf dans le cas d’une tokenisation par des cryptopaiements qui permettent un chiffrement complet de la transaction.

Ainsi, avec la numérisation des activités de paiement, les monnaies numériques et les cryptopaiements vont progressivement s’imposer comme l’ossature de nouveaux rails dans les paiements, sécurisés, parallèlement aux paiements scripturaux[11].

Il faut ajouter les promesses des technologies biométriques, qui renforceront les moyens d’authentification, et les progrès contre les menaces du quantique en matière de corruption des algorithmes cryptographiques. Sur ce dernier point, le projet LEAP, conduit par le Pôle d’Innovation de la BRI, la Banque de France et la Deutsche Bundesbank, a permis de mettre en place un canal de communication sécurisé pour protéger les transactions et données financières contre les menaces que constitueraient les futurs ordinateurs quantiques pour les algorithmes cryptographiques[12].

Il existe donc des moyens de lutter contre la fraude à court terme, qui pourrait être renforcés notamment contre les pratiques frauduleuses de manipulation psychosociale, sans générer d’« aléa moral »[13] : généraliser l’exigence de lien dynamique[14] en limitant les cas d’exonération de responsabilité des ASPSP aux seuls paiements avec (1) authentification forte et (2) lien dynamique serait déjà un progrès majeur. 

Mais, il faut se placer à plus long terme, pour avoir toujours une longueur d’avance sur les fraudeurs et pour se doter de solutions plus dissuasives.  Et l’on sait depuis plus de vingt ans que la seule solution efficace pour casser la dynamique de la fraude à long terme consisterait en une stratégie de bout en bout, avec chiffrement et signature électronique de la transaction, et des systèmes identifiants infalsifiables du payeur et du bénéficiaire.  Cette approche doit constituer la solution cible à long terme.

La stratégie à mettre en œuvre

Certes avec le déploiement de la carte à puce, il avait été décidé il y a 30 ans, une approche généralisée, avec une règle simple : « Tout paiement par carte bancaire sans contrôle du code sur la puce donne droit à rejet ». Mais d’une part, le paiement par carte ne s’appliquait pas initialement au premier « franc », et d’autre part, depuis la généralisation du paiement sans contact jusqu’à 50 € on ne constate pas un accroissement majeur de la fraude sur les petites transactions, comme indiqué plus haut. Enfin, le déploiement de la carte à puce s’est effectué avec beaucoup de dérogations en contrepartie d’un engagement d’équipement en dispositifs d’acceptation comportant un lecteur de cartes à puce, pour assurer l’amortissement des équipements déjà en place dans le commerce. Il s’agit donc d’une recette gagnante.

D’autant que cette stratégie de bout en bout, ambitieuse, nécessiterait des investissements importants, qui ne se justifient pas nécessairement, en tout cas pas à court et moyen terme, pour toutes les transactions de paiement, sauf à vouloir en faire à long terme un « new normal » comme on l’a fait pour la carte à puce. La priorité est à court terme pour les paiements à distance.

Ici aussi, il faudra adopter une démarche progressive et se laisser le temps d’amortir les investissements déjà réalisés, notamment pour l’authentification forte. Et il faudra réunir les facteurs de succès, pour éviter de nouveaux rejets par le monde du commerce à distance et des services en lignes.

De plus, les rares tentatives en ce sens, si elles ont réussi côté sécurisation des virements des trésoriers d’entreprises[15], ont pratiquement toutes échoué pour le grand public. À la fois (1) pour des raisons économiques (coût historique des équipements) et d’absence de moyens électroniques individuels d’identification, (2) mais aussi du fait de leur rejet par les acteurs du paiement à distance pour les risques de friction, et par les schemes cartes internationaux, car difficiles à déployer au plan mondial (comme ils avaient tenté de le faire, sans succès, pour la carte à puce, avant de la récupérer avec le standard EMV). (3) Et du fait de l’absence, en Europe d’une règlementation pour la signature électronique ou l’identité numérique, assurant une base juridique solide, un haut niveau de protection et une interopérabilité dans la zone SEPA.

Des évolutions notables

Ceci jusqu’à l’apparition des blockchains qui ont érigé le chiffrement comme solution internationale de sécurisation systématique des transactions, mais dans une logique décentralisée.

La question du chiffrement n’est donc plus tabou, y compris pour le commerce, d’autant que plusieurs évolutions majeures ont eu lieu et notamment :

– la numérisation systématique des transactions de paiement qui exigent des processus numériques intégrés de bout en bout et facilement intégrables aux processus d’achat, à la fois pour les identifiants et pour les divers contrôles, et européennes, pour la suppression des ruptures techniques, juridiques ou géographiques, notamment nationales ;

– l’apparition subséquente de nouveaux instruments qui génèrent des risques spécifiques ;

– le développement de technologies comme l’IA ou le quantique qui apporteront des moyens nouveaux de lutte contre la fraude, mais génèrent également de nouveaux risques du fait de leurs potentialités techniques, et ne pourront plus se satisfaire de la multiplication des facteurs pour lutter contre la fraude. Ces technologies nécessitent certes un encadrement juridique.

Ces solutions imposent des dispositifs techniques de lutte contre la fraude simples, ergonomiques, rapides, intégrés aux processus de paiements et peu coûteux, et j’ajouterais, européens.

Plusieurs autres évolutions majeures depuis vingt ans sont à noter, et elles vont contribuer au développement des signatures électroniques et des chiffrements de bout en bout :

• La baisse des coûts des solutions de chiffrement permettant l’équipement de structures légères y compris à domicile ou sur son smartphone ;
• La diffusion des smartphones qui constituent des moyens majeurs d’identification personnelle et de traitement, avec en subséquent le développement de wallets numériques ;
• L’existence, hélas non généralisée ou ouvert à toutes les applications, d’un élément sécurisé dans les smartphones ;
• L’évolution du cadre réglementaire et judiciaire pour la signature électronique et l’identité numérique, notamment via le règlement européen eIDAS2 ;
• Le développement des solutions d’identités numériques publiques et privées ;
• Et la recherche d’interopérabilité notamment via le développement des APIs….

Un saut qualitatif majeur pour la sécurité des paiements

Il faut donc préparer un saut qualitatif majeur dans la lutte contre la fraude, et il faut instituer des solutions paneuropéennes comme on l’a fait pour l’authentification forte, à la fois pour assurer l’unicité du marché et pour éviter les débats incontournables sur le level playing field en Europe. Et sachant que le déploiement de ces solutions nécessite entre 7 et 10 ans, comme ce fut le cas pour la carte à puce, il faut une stratégie de moyen et long terme.

Aujourd’hui, le seul blocage majeur opposable réside dans la fracture numérique. Ce « mal du siècle » nécessite en soi une stratégie propre à l’Europe qui va bien au-delà des paiements, même s’ils peuvent y contribuer de façon majeure.

Il réside aussi dans les investissements déjà consentis dernièrement dans la lutte contre la fraude, et qu’il faudra amortir, préalablement ou en parallèle d’un déploiement de solutions nouvelles, qui devront donc s’étaler sur moyenne période.

Le débat sur l’application de l’identité numérique

Cependant, un débat existe sur l’application de la future Directive eIDAS2 aux banques et notamment aux paiements.

Les banques ont à la fois salué cette initiative: « The European Credit Sector Associations (ECSAs) welcome the ambitions presented in the European Commission’s proposal for a European Digital Identity (eIDAS 2.0). », et  « It will also contribute to the further adoption of digital banking services.”. Mais, elles ajoutent : “The current wording seems to imply that the full payment sphere is included in eIDAS 2.0 on a mandatory basis« . Elles en critiquent le recours principalement pour les paiements par carte: “huge investments would be required not only in the financial sector, but also for the overall acceptance network”  et sur la question de la responsabilité bancaire : “The proposal in its current form does not sufficiently address the question of liability”.  Et en final, elles indiquent souhaiter deux choses: (1) En être exemptées pour les paiements (“deleting payments from the scope”) et  (2) “limiting such mandatory acceptance to the verification of the user’s identity only« .

De leur côté, les Fintechs, via leurs organisations européennes sont favorables à la mise en œuvre d’eIDAS2 pour les paiements : « digital identity should be able to substitute physical identity documents in any situation where such verification and authentication of a citizen or business is required. ». Elles critiquent les solutions du commerce et des banques, notamment sur l’authentification forte : « Businesses (including banks) have largely focused on other technologies to, for example, perform strong customer authentication (SCA). These businesses have generally adopted lower quality solutions which leave the consumer exposed to fraud and with weak legal certainty. Many of these standards have originated from big US technology companies which are outside the EU sphere of control”.

Pour FRANCE PAYMENTS FORUM, le recours au chiffrement et à l’identification numérique constitue une cible majeure et incontournable pour les paiements, mais ne se justifie pas nécessairement, en tout cas à court et moyen terme, pour toutes les transactions de paiement, sauf à vouloir en faire à long terme un « new normal ». La priorité est à court terme pour les paiements à distance.

Plusieurs points doivent être clairement mis en avant :

1. L’identité numérique va s’imposer, pas uniquement par la loi, mais par les exigences du numérique, et l’OSMP y a consacré un chapitre entier de son rapport 2021^[16]. Et notamment au sein des entreprises. Denis BEAU, Premier Sous-Gouverneur de la Banque de France l’a confirmé dernièrement : « Les systèmes d’authentification reposant sur l’identité numérique devraient se diffuser très largement, notamment au sein des entreprises[17] ».
2. Pour les paiements, et de façon générale pour le commerce, il serait contre-productif d’utiliser des identifiants publics ou génériques : la solution passera par des identifiants spécifiques aux paiements, certes en relation avec l’identité numérique européenne, notamment par ce que nous nommons une ou plusieurs European Payment Identity (EPI) ;
3. Le développement de l’Instant Payment passera à terme par des solutions d’identification et de chiffrement de bout en bout qui assureront l’efficience de l’irrévocabilité et l’internationalisation des transactions, au moins en Europe ; ces solutions apporteront l’identification et l’authentification de tous les acteurs, la traçabilité et l’horodatage, l’archivage et la non-répudiation des transactions. Mais déjà à court terme, la distribution de certificats électroniques attachés aux comptes permettrait aisément de combattre le risque de non-correspondance entre bénéficiaire et compte de destination ; ainsi, en application du futur règlement eIDAS2, les banques pourraient fournir des « attributs attestés électroniquement », non qualifiés, voire qualifiés si elles souhaitaient bénéficier du statut de « Fournisseur qualifié de services de confiance » (Qualified Trust Service Provider, QTSP[18]) ;

4. Le développement de l’euro numérique de détail imposera également un identifiant numérique, différent de celui prévu par le futur règlement eIDAS2, au moins au démarrage, pour ne pas combiner deux projets complexes, mais aussi le chiffrement des transactions pour en assurer la sécurité, la confidentialité et la traçabilité.

5. L’utilisation systématique de l’élément sécurisé des smartphones et l’accès ouvert pour des offreurs réglementés de solutions de paiement par mobile assurerait un environnement propice à l’usage des smartphones pour le stockage des identifiants personnels et pour le chiffrement des transactions. L’existence d’un élément sécurisé dans tous les PC et stations de travail assurerait la validité juridique des transactions chiffrées. La certification des smartphones comme « dispositifs de création de signature électronique»[20] doit devenir obligatoire dans l’espace de paiement européen et être généralisé dans les dix prochaines .

Ainsi, c’est un saut qualitatif de long terme qui va s’imposer en matière de sécurité des paiements, et il faut adopter une stratégie sécuritaire européenne tous azimuts et définir un scénario de déploiement progressif mais de long terme pour atteindre une généralisation vers 2030. En même temps que l’euro numérique. C’est un saut coûteux mais rentable car couvert par le gain sur la fraude. Même si le résultat sera juste équilibré à court terme, ce sera plus moral… Comme pour ce fut le cas pour la carte à puce, qui a apporté une arme de dissuasion massive contre la fraude et imposé la carte comme instrument universel de paiement.

*     * *     *

Rabelais écrivait il y a quelques siècles : « Science sans conscience n’est que ruine de l’âme ». Pour le paraphraser, on pourrait dire « Digitalisation sans sécurité n’est que ruine des paiements » car ce serait une porte ouverte à la fraude.  La sécurité est la clé de la confiance, indispensable dans les paiements. La confiance ne se décrète pas, elle naît de la sécurité quotidienne, mais l’innovation apporte son capital de confiance car personne ne comprendrait que les mesures de sécurité n’aient pas été prévues dès l’origine, avant commercialisation. Et les fraudeurs abusent de la confiance des consommateurs, ou de leur naïveté, voire de la fracture numérique et du manque de sensibilisation aux risques de fraude. C’est donc une démarche de long terme qu’il s’agit de mettre en œuvre.

FRANCE PAYMENTS FORUM va publier trois documents de position : sur la signature électronique dans les paiements, sur l’identité numérique dans les paiements, et sur la lutte contre la fraude dans les paiements. Et un glossaire du vocabulaire de la signature électronique et de l’identité numérique.

Et ce sujet sera l’un des grands thèmes de la future Rencontre du 29 juin qu’organise FRANCE PAYMENTS FORUM, sur l’Europe des paiements numériques, le lendemain de la publication des textes règlementaires européens notamment sur l’euro numérique et sur la révision de la DSP.

[1] Cf. Rapport de l’OSMP : L’Observatoire de la sécurité des moyens de paiement émet des recommandations sur le remboursement des victimes de fraude | Banque de France (banque-france.fr)

[2] Cf. Digital Euro: When in doubt, abstain (but be prepared) (europa.eu)

[3] Cf. The digital euro: what we know and what we don’t – OMFIF

[4] Microsoft Word – CP-OSMP.docx (banque-france.fr)

[5] Microsoft Word – OSMP – Recos remboursement – vfinale (corr).docx (banque-france.fr)

[6] Cf. Card fraud in Europe declines significantly (europa.eu)

[7] Cf. Report on card fraud in 2020 and 2021 (europa.eu)

[8] Cf. Cartographie des moyens de paiement scripturaux – 2022 (banque-france.fr)

[9] Cf. FCC Chiffres cles 2022 (banque-france.fr)

[10] Hardware Security Module

[11] Cf. Cryptopaiements, une réponse à la sécurisation des transactions (revue-banque.fr)

[12] Cf. Project Leap: Quantum-proofing the financial system (bis.org)

[13] Alea moral (« moral hasard ») : situation d’asymétrie d’information où un parti n’observe pas parfaitement les actions entreprises par l’autre partie.

[14] Cf EUR-Lex – 32018R0389 – FR – EUR-Lex (europa.eu) préambule et art. 5 CIR 2018/389

[15] Standard ETEBAC 5 et maintenant EBICS TS avec 3SKey

[16] Cf. Observatoire de la Sécurité des Moyens de Paiement – Rapport annuel 2021 (banque-france.fr)

[17] Cf. Les Echos : « La lutte contre la fraude est un bien commun » | Banque de France (banque-france.fr)

[18] QTSP: Qualified Trust Service Provider. C’est un acteur est accrédité pour délivrer des services de confiance qui répondent aux exigences du règlement eIDAS. Tous les QTSP sont répertoriés sur le navigateur de la liste de confiance de la Commission européenne et sur la liste de confiance du Royaume-Uni

[19] Qualified signature creation device (QSCD)