Les chiffres de la fraude monétique sont rapportés de manières différentes en fonction de l’organisme qui les fournit. Pour les organismes bancaires (Banque Centrale Européenne (BCE), OSCP, FFA UK, etc.), les chiffres de la fraude s’entendent essentiellement en volume de pertes et nombre de points de compromission. Pour la justice et les forces de l’ordre, ils sont rapportés en nombre de faits constatés (crimes ou délits).
5.1.1 La fraude en volume de perte
Sujet sensible pour l’industrie bancaire qui craint une perte de confiance dans cet instrument de paiement, les chiffres de la fraude à la carte de paiement restent souvent confidentiels.
Néanmoins, si les principaux systèmes de paiement ne publient pas de chiffres annuels de la fraude, des systèmes nationaux, associations ou banques nationales publient des données statistiques permettant de régulièrement évaluer l’ampleur et l’évolution de la fraude à la carte de paiement.
Ainsi, depuis 2012, la BCE s’attache à analyser et publier annuellement les chiffres relatifs à la fraude à la carte de paiement des différents pays de la zone SEPA à partir de données fournies par les systèmes de paiement. Dans son rapport publié en 2014 sur la fraude constatée en 2012 [22], la BCE estime la fraude totale supportée par les émetteurs de cartes de la zone SEPA à 1,33 milliard d’euros, en augmentation de 14,8% par rapport à l’année précédente.
L’exercice de macro-vision effectué par la BCE permet d’avoir un éclairage sur les différentes pratiques européennes en matière de carte de paiement, tel que son taux d’adoption allant de 0,6 carte par habitant en Roumanie jusqu’à 3,7 cartes par habitant au Luxembourg. Il est toutefois surprenant de constater (figure 5.1) un taux de fraude allant du simple au triple entre des pays ayant des développements économiques et culturels comparables (Allemagne, Italie contre Royaume-Uni, France). Ces écarts peuvent s’expliquer par une réelle différence des cas de fraude mais également par une remontée
statistique différente. Les pays les plus exposés (France et Royaume-Uni) sont en effet ceux qui ont mis en place depuis des années des observatoires de surveillance (OSCP et FFA UK) fournissant annuellement des chiffres complets en matière de fraude à la carte de paiement.
Figure5.1 – Taux de fraude en pourcentage du volume total des transactions des cartes émises par pays (en bleu) et des paiements enregistrés dans la zone SEPA (en rouge) -
source : ECB [22]
L’impact non négligeable de la collecte statistique semble se confirmer lorsque l’on considère la distribution de la fraude en fonction du canal d’acquisition (figure 5.2). Si l’importance de la fraude à distance (Card Not Present (CNP)) est unanimement mise en avant, il est surprenant de constater les écarts entre différents pays. Par exemple, la fraude sur distributeurs de billets (Automatic Teller Machine (ATM)) ne représenterait que 6% de la fraude totale du Royaume-Uni contre 52% de celle des Pays-Bas.
Ces différences peuvent notamment s’expliquer si un pays considère la fraude brute tandis que l’autre considère la fraude nette. En effet, les volumes de fraude s’entendent souvent bruts, c’est-à-dire aux montants payés par l’émetteur de la carte suite à une opération frauduleuse. Néanmoins, notamment lors de paiement à distance, l’émetteur a la possibilité de se retourner vers l’acquéreur lorsque les mécanismes minimums de sécurité prescrits par les systèmes de paiement n’ont pas été mis en œuvre. Par transfert de responsabilité, les montants frauduleux sont alors remboursés à l’émetteur par l’acquéreur défaillant. Après opération, le montant de fraude restant à la charge de l’émetteur correspond à la fraude nette. La marge entre fraude brute et nette peut être très importante, notamment lors de paiement frauduleux à distance sur des sites ne vérifiant pas le code de vérification visuel (CVV2 ou CVC2) ou ne mettant pas en œuvre de système d’authentification renforcée du porteur (3D-Secure). Dans le cas des Pays-Bas sur la figure 5.2, considérer les chiffres fournis à la BCE comme ceux de la fraude nette pourrait expliquer la part de fraude à
distance relativement faible comparée à celle des distributeurs de billets et du paiement de proximité (Point Of Sale (POS)).
Figure5.2 – Distribution géographique des montants de la fraude à la carte en fonction du canal d’acquisition, d’un point de vue émetteur - source : ECB [22]
Pour une analyse consolidée de l’évolution de la fraude, il convient donc de se tourner vers les chiffres fournis par des organismes établis de longue date. Les statistiques des rapports 2014 de l’OSCP [51] et de la FFA UK [28] permettent ainsi d’en remarquer une constante évolution (figure 5.3).
(a) en France (en millions d’euros) (b) au Royaume-Uni (en millions de
Livres)
Figure 5.3 – Montant total de la fraude à la carte de paiement - source : OSCP [51] et
FFA UK [28]
Il est intéressant de constater comment le passage à EMV aura permis, dans les deux pays, de réduire temporairement le montant de la fraude : dès 2003 en France en réponse à la
problématique de « YesCard » affectant les cartes à puce de génération précédente, dès 2008 au Royaume-Uni faisant s’effondrer le montant de fraudes par carte contrefaite de 170 à 81 millions de Livres Sterling en une seule année.
5.1.2 La fraude en nombre de faits constatés
Un autre angle de vue consiste à ne plus voir la fraude sous l’angle des pertes réalisées mais sous celui des actes délictueux ou criminels identifiés. C’est l’angle de vision régulièrement adopté par la Justice et les forces de police.
Les statistiques de crimes et délits sont plus facilement rendus publiques par les différents gouvernements mais souffrent de limitations quant à leur précision et leur complétude. De nombreux pays, dans un but de transparence, publient au moins annuellement les chiffres de la délinquance. C’est le cas en France où l’Observatoire National de la Délinquance et des Réponses Pénales (ONDRP), département de l’Institut National des Hautes Études de la Sécurité et de la Justice (INHESJ), publie annuellement les faits constatés par les unités de police et gendarmerie1.
La consultation des chiffres fournis par l’ONDRP2 permet dans un premier temps
d’identifier qu’un index (numéro 90) est dédié à la « falsification et [aux] usages de cartes de crédit ». Néanmoins, une part non négligeable des faits peut également être classée sous l’index (numéro 91) « escroqueries et abus de confiances » lors du dépôt de plainte (notamment lorsqu’il s’agit d’une fraude par hameçonnage ou par cash trapping).
Au cours de l’année 2013, 41951 faits relatifs à un usage frauduleux de cartes de crédits (index 90) ont ainsi été recensés. Par ailleurs, 183216 faits d’escroquerie (index 91) ont été portés à la connaissance de la Justice, sans pour autant en connaître le pourcentage lié à la fraude à la carte de paiement.
L’étude de l’évolution de ces faits sur les 17 dernières années (figure 5.4) permet d’en noter l’augmentation régulière et de confirmer une corrélation entre ces deux index.
Ces chiffres sont toutefois à nuancer par le chiffre gris de la délinquance (faits portés à la connaissance des institutions pénales mais non comptabilisés) qui est ici amplifié par des consignes locales émises depuis 2009, confirmées par une dépêche de 2011 provenant de la Direction des Affaires Criminelles et des Grâces (DACG) [14]. Cette dernière indique aux Procureurs Généraux près des Cours d’Appel que seules les banques, victimes, sont en mesure de porter plainte concernant les usages frauduleux de cartes bancaires et invite les
1. Carte de la criminalité disponible sur www.cartocrime.net. 2. Données brutes disponibles sur www.data.gouv.fr.
Figure 5.4 – Nombre de faits constatés pour les index 90 et 91 - données cartocrime.net
services de police et de gendarmerie à fournir une notice d’information aux porteurs qui souhaiteraient porter plainte.
Ainsi, jusqu’en 2009, les courbes des faits constatés présents sur la figure 5.4 sont en adéquation avec la courbe du volume des fraudes enregistré par les émetteurs sur la figure 5.3a, notamment avec les pics de fraudes enregistrés entre 1999 et 2002 suite aux paiements à distance possibles sans code de vérification visuel et aux fraudes à la « YesCard ». A partir de 2009, aucune adéquation ne peut être identifiées entre pertes enregistrées par les émetteurs et faits constatés.