EntrepriseSecteurs porteurs

Vente en ligne et fraude à la carte bancaire : qui est responsable ?

Rédigé par Roxane Hidoux

En cas de paiement frauduleux sur internet, la victime n'est pas seulement le titulaire de la carte mais également le vendeur en ligne.

Sommaire :

Les pratiques frauduleuses les plus répandues

L'utilisation d'une carte volée

Sauf s'il a mis en place un mode d'authentification des paiements sur son site, par exemple 3D Secure, ou a souscrit une assurance spécifique, c'est le vendeur en ligne qui supporte le risque de la fraude.

En présence d'un paiement frauduleux contesté par le titulaire de la carte, le montant en cause est tout simplement débité par son établissement bancaire.

Ses seules possibilités de recours sont devant les tribunaux.

La contestation d'un paiement non frauduleux

Une autre pratique consiste à contester le paiement alors qu'il a bien été effectué par le détenteur de la carte. Si le vendeur ne peut prouver que la livraison a bien eu lieu, il se verra débité. Mieux vaut avoir livré en recommandé pour justifier de la livraison afin de pouvoir porter plaine.

Cette pratique est facilitée par certain sites de paiement en ligne, notamment PayPal. L'acheteur prétend ne pas avoir commandé ou ne pas avoir reçu le colis et ouvre un litige. Si le vendeur ne peut pas prouver sa bonne foi, l'acheteur est automatiquement remboursé. Pis, le prestataire peut même clôturer le compte du vendeur s'il estime que trop de litiges ont été ouverts à son encontre.

Comment le vendeur en ligne peut-il limiter la fraude ?

Les précautions à prendre

Pour limiter les risques de fraude :

  • recherchez si le numéro de téléphone indiqué correspond à l'adresse de livraison. N'hésitez pas à téléphoner si vous avez des doutes. S'il s'agit bien d'une fraude, la personne au bout du fil vous expliquera qu'elle ne fait que recevoir et réexpédier des colis ;
  • surveillez particulièrement les commandes multiples, réalisées avec le même compte client, mais avec plusieurs cartes différentes. Les fraudeurs commandent généralement les mêmes produits en plusieurs exemplaires ;
  • une commande réalisée avec une IP étrangère, notamment en provenance de Côte d'Ivoire est généralement frauduleuse. Pensez également à vérifier si l'acheteur ne passe pas par un proxy ;
  • prenez garde aux achats réalisés avec des cartes bancaires étrangères, notamment anglaises ;
  • vérifiez si l'adresse comporte des fautes d'orthographe, des erreurs de formulation et si elle existe réellement.

Les dispositifs spécifiques

Le dispositif 3D Secure permet de s'assurer, lors du paiement sur internet, que c'est bien le possesseur de la carte qui effectue le paiement. Une fois les informations de carte bancaire communiquées, l'acheteur est redirigé vers une page d'authentification lui demandant de saisir un code à usage unique.

En échange de la mise en place de ce mécanisme par les commerçants, les banques acceptent de supporter le coût de la fraude résiduelle.

Ce système présente toutefois quelques inconvénients parce qu'il fait perdre un certain nombre de clients qui, arrivés au bout du processus, refusent (par peur du pop-up bancaire qui s'affiche) ou n'arrivent pas (ne recevant pas de leur banque le code SMS par exemple) à finaliser leur commande.

Pour éviter une baisse des ventes, des solutions de paiement comme Payline et Paybox proposent une activation sélective de 3D Secure, pour sécuriser par exemple uniquement les commandes au-delà d'un certain montant.

Les recours du titulaire de la carte bancaire

La possibilité d'obtenir un remboursement

Faire opposition

Si le titulaire d'une carte bancaire découvre que son numéro de carte a été utilisé pour effectuer une commande en ligne, son établissement bancaire doit le rembourser immédiatement et se retourner contre la banque du vendeur en ligne. Ce droit est garanti par les articles L.133-18 et 133-24 du Code monétaire et financier.

Attention, il faut contester le débit frauduleux dans les 13 mois suivant son débit pour un paiement effectué dans l'Espace économique européen (EEE). Ce délai est ramené à 70 jours si le paiement a eu lieu en dehors de l'EEE (votre banque peut décider de prolonger contractuellement ce délai à 120 jours).

S'il s'avère que le titulaire été débité à tort parce que quelqu'un s'est servi frauduleusement des données de sa carte, son compte sera immédiatement recrédité (art. L.133-18 du Code monétaire et financier).

Le titulaire du compte ne doit supporter aucun frais lié à cet incident. Ainsi, si la banque lui a facturé des agios pour un découvert causé par ce débit frauduleux, elle doit lui les rembourser.

Signaler la fraude à la police

Après avoir fait opposition, le titulaire de la carte peut signaler directement cette fraude à la police par l'intermédiaire du téléservice Percev@l.

Pour effectuer ce signalement en ligne, il faut créer un compte sur service-public.fr via FranceConnect, et avoir sous la main sa carte bancaire et les relevés d'opérations bancaires litigieuses.

Une fois effectué, un récépissé est adressé à la victime, à présenter à sa banque afin de faciliter la demande de remboursement des opérations bancaires litigieuses.

Toutefois, ce récépissé ne dispense pas de déposer plainte auprès des services compétents.

Les exclusions au remboursement

Selon l'article L 133-19 du Code monétaire et financier, la banque n'est pas tenue de recréditer le compte du titulaire :

  • en cas d'agissement frauduleux de sa part,
  • en cas de négligences graves, c'est-à-dire si le titulaire n'a pas pris les mesures raisonnables pour préserver la sécurité de ses moyens de paiement ou s'il n'a pas prévenu sa banque dans les meilleurs délais, compte tenu de ses habitudes d'utilisation de la carte, de l'existence d'une fraude.

Hameçonnage

Les juges reconnaissent assez facilement une « négligence grave » dès lors que l'email (support de l'hameçonnage) présente de sérieuses anomalies (forme du message, contenu, fautes d'orthographes). D'ailleurs, la bonne foi de l'utilisateur importe peu (Cass. com. 1-7-2020 n° 18-21.487).

Cependant, la Cour de cassation estime qu'outre la démonstration de la « négligence grave », la banque doit aussi prouver que l'opération en cause a été authentifiée, dûment enregistrée, comptabilisée et qu'elle n'a pas été « affectée par une déficience technique ou autre » (Cass. com. 12-11-2020).

Les freins au remboursement

La banque est en droit d'exiger que le titulaire fasse opposition à sa carte, notamment si plusieurs paiements frauduleux se répètent. Mais elle doit, dans ce cas, prendre en charge les frais en découlant, notamment ceux du renouvellement de la carte.

Certains établissements bancaires exigent également, comme préalable à tout remboursement des sommes volées, le dépôt d'une plainte auprès du commissariat ou de la gendarmerie la plus proche du domicile du client. Or dans le texte de la loi, ce dépôt de plainte n'est absolument pas nécessaire, ce qui rend ces demandes illégitimes.

Comme l'indique la loi, le remboursement doit être immédiat. Or, dans la réalité, la plupart des banques mettent entre 15 jours et plus de 3 mois à rembourser leurs clients. Cette pratique est bien entendue illégale.

D'autres établissements profitent de la survenance d'une fraude pour vendre une assurance des moyens de paiement en leur prétendant qu'il s'agit du seul moyen d'être assuré du remboursement des sommes dérobées. Ce qui constitue non seulement une non-application de la loi, mais également un agissement illicite.

Enfin, alors que la loi parle bien de rétablir le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu, la plupart des banques se contentent souvent de ne rembourser que les sommes directement volées par le paiement frauduleux. Sont ainsi généralement facturés au client les frais (de recherche, de remplacement de cartes, d'opposition) directement liés à cette fraude, les frais dus à la confection et l'envoi d'une nouvelle carte ainsi que les frais de découverts.

Les recours du vendeur en ligne victime d'une fraude à la carte bancaire

C'est le vendeur en ligne qui supporte en principe les risques des paiements frauduleux. Le titulaire d'un compte victime d'un paiement frauduleux dispose de 13 mois pour le contester auprès de son établissement bancaire.

Si la fraude est avérée, les contrats VAD prévoient généralement que les sommes en cause seront débitées du compte du vendeur. Les tribunaux se sont penchés sur cette question et ont considéré que les clauses par lesquelles une banque met à la charge du cybermarchand les risques de fraude n'étaient ni potestatives ni abusives (Cour d'appel de Pau 8 janvier 2007, 2eme Chambre, 1ère section).

S'il veut récupérer son argent, le vendeur en ligne devra porter plainte et fournir les informations en sa possession (nom et adresse de l'acheteur présumé mais aussi adresse IP et date et heure de la commande). Il devra ensuite que attendre la plainte soit instruite et, si la procédure abouti et que le fraudeur est insolvable, il retrouvera après plusieurs mois/années les montants débités.

Pour se couvrir contre le risque d'impayé, le vendeur en ligne peut souscrire une assurance spécifique. Mais il peut surtout imposer à son client d'utiliser le procédé 3D Secure, qui prévoit l'envoi d'un code secret à usage unique par SMS sur le portable de l'internaute (ou par e-mail). Dès lors, c'est la banque de l'émetteur qui supporte le coût de la fraude et non plus le commerçant qui a respecté une procédure supposée sécurisée.