Comprendre les paiements électroniques pour mieux se protéger

Lors de la formation monnaie du 5 décembre 2025, la CNAFC a consacré une deuxième séquence aux paiements électroniques et à leurs enjeux de sécurité. Aux commandes, Pierre Bienvenu, chef du Service des moyens de paiement scripturaux à la Banque de France, qui déroule un paysage contrasté : innovation, souveraineté, mais aussi fraudes, manipulations et vigilance accrue pour les consommateurs.

Le cash reste un pilier… et un droit

Avant même de parler numérique, commençons par rappeler une évidence qui n’en est plus une pour tout le monde : l’espèce reste un moyen de paiement à part entière et pas un vestige du passé. Le billet, moyen de paiement physique, entraîne des contraintes très concrètes – transport, recyclage, fabrication – mais il reste au cœur de la stratégie nationale des moyens de paiement.

Cette stratégie repose sur une idée simple : laisser à chaque Français la liberté de choisir son moyen de paiement. Carte, virement, espèces, prélèvement : tous doivent rester disponibles et sûrs. Cela inclut le cash, pour lequel la France et l’Europe continuent d’investir massivement, aussi bien dans la filière industrielle (impression, usines, transport de fonds) que dans le cadre juridique.

Un point est martelé : en France, pour les transactions inférieures à 1 000 euros, un commerçant n’a pas le droit de refuser un paiement en espèces. C’est le seul moyen de paiement qu’il est obligé d’accepter. Il existe toutefois une nuance : le commerçant n’est pas tenu de disposer de 499 euros de monnaie. Il peut ainsi refuser un billet de 500 euros présenté pour un petit achat de 2 euros, s’il n’a pas de quoi rendre l’appoint. Mais si le client a l’appoint, le commerce ne peut pas interdire le cash par principe.

Il existe toutefois une Europe à plusieurs vitesses face au cash. Tous les pays de la zone euro n’interprètent pas de la même manière la notion de cours légal. Dans certains pays du Nord, comme l’Irlande, l’Allemagne ou les Pays-Bas, la liberté contractuelle prime : un commerçant peut annoncer à l’entrée qu’il n’accepte pas les espèces et le client qui pénètre dans le magasin est réputé avoir renoncé à payer en cash.

Ce décalage de pratiques, alors que la monnaie est unique, alimente un débat plus large sur l’harmonisation du cours légal en Europe. D’où les efforts engagés depuis plusieurs années pour rapprocher les définitions et les usages. La France, elle, reste attachée à l’idée que l’espèce est une garantie d’inclusion et un droit concret pour le consommateur.

La France, pays de la carte… et du sans contact

Du côté des paiements scripturaux, c’est-à-dire tous les paiements hors espèces, la tendance lourde est claire : la carte domine largement. La France est un « pays de la carte ». Environ 62 % des transactions scripturales sont réalisées par carte et plus de la moitié des paiements de proximité (en magasin ou au distributeur) se fait désormais avec ce support.

Cette carte, on la retrouve sous plusieurs formes. La carte physique glissée dans le terminal, celle utilisée pour payer en ligne ou encore la carte enregistrée dans un téléphone, via des solutions comme Apple Pay, Google Pay ou Samsung Pay. Sous toutes ces formes, c’est toujours le même moyen de paiement en coulisses : les réseaux de cartes.

En magasin, une révolution a déjà eu lieu : le sans contact. Une grande partie des transactions par carte en proximité se fait désormais sans code, en approchant simplement la carte du terminal. Et parmi ces paiements sans contact, la part du paiement mobile progresse très vite. Environ 15 % des paiements de proximité se font déjà via le téléphone : un chiffre qui n’existait quasiment pas il y a quelques années.

Virement instantané : la nouvelle norme silencieuse

Autre grande tendance, l’essor du virement instantané. Là où le virement « classique » met encore un jour pour être crédité sur le compte du bénéficiaire, le virement instantané s’exécute en dix secondes, vingt-quatre heures sur vingt-quatre, sept jours sur sept.

Longtemps facturé par les banques, ce service est désormais gratuit depuis janvier 2025. Toutes les banques françaises ont l’obligation de proposer l’envoi de virements instantanés et de les accepter à la réception. Parfois, les interfaces ne sont pas encore très lisibles, certains clients ne trouvent pas l’option, ou ne peuvent pas l’utiliser entre certains types de comptes (par exemple des comptes d’épargne), mais la règle de base est claire : l’infrastructure est là, le service doit exister.

Le virement instantané repose sur une logique très différente de celle de la carte : on ne passe plus par un réseau d’acceptation (terminal, contrat commerçant, schéma de carte), mais par un transfert direct de compte à compte. D’où son intérêt pour les paiements entre particuliers et, demain, pour le paiement chez les commerçants.

Souveraineté : CB, Visa, Mastercard et la montée de Wero

Derrière les usages du quotidien se cache un enjeu moins visible mais central : la souveraineté. Pour la Banque de France, les paiements sont une industrie stratégique, au même titre que l’énergie ou la santé. Ils doivent fonctionner en permanence et ne pas dépendre exclusivement d’acteurs étrangers.

Sur le cash, la souveraineté est plus facile à percevoir : la France imprime ses billets, maîtrise sa filière industrielle, surveille ses convoyeurs de fonds. Sur les paiements électroniques, c’est plus subtil.

En regardant sa carte bancaire, le consommateur découvre souvent deux logos : Visa ou Mastercard, d’un côté, et le logo CB, de l’autre. CB, pour « cartes bancaires », c’est le réseau historique français, né de la fusion, dans les années 1980, de plusieurs systèmes dont celui des « cartes bleues ». Il fonctionne comme un groupement interbancaire, piloté par les grandes banques françaises.

La politique dite de « co-marquage » (ou « co-badge ») consiste à avoir une carte adossée à deux réseaux : CB pour les paiements en France, Visa ou Mastercard pour les opérations à l’étranger. C’est une manière de garder un ancrage national tout en restant compatible avec le reste du monde.

Or toutes les banques ne jouent pas le jeu. Certaines, notamment à la faveur de partenariats commerciaux (par exemple autour des Jeux olympiques), ont choisi de ne plus émettre que des cartes Visa, sans CB. La Banque de France, dans sa stratégie nationale des moyens de paiement, les invite à revenir vers ce co-marquage, pour préserver un réseau national fort.

Dans le même mouvement, une solution de paiement européenne commence à être mise en avant : Wero, basée sur le virement instantané. D’abord pensée pour les paiements entre particuliers, elle doit progressivement s’ouvrir au paiement sur internet, puis chez les commerçants physiques, à partir de 2026-2027. Déployée pour l’instant dans quelques pays (dont la France, l’Allemagne, les Pays-Bas, la Belgique, le Luxembourg), elle se présente comme une alternative européenne aux géants du paiement mobile et aux portefeuilles des géant de la tech.

Le chèque, fin de vie accompagnée

Dans ce paysage très dynamique, un moyen de paiement décline doucement : le chèque. Il ne représente plus qu’une petite fraction des transactions scripturales – à peu près 2 % – et son usage recule d’environ 15 % par an.

Il n’y a pas, officiellement, de volonté de le faire disparaître, mais plutôt d’accompagner sa fin de vie. Autrefois, on parlait même de faire payer les chèques pour accélérer ce mouvement. L’idée a été abandonnée : les usages se déplacent d’eux-mêmes vers d’autres moyens (virement, carte, prélèvement) et l’industrie a déjà fort à faire pour maintenir une filière chèque viable.

Pour le consommateur, le chèque reste gratuit à l’émission. En revanche, certains acteurs peuvent facturer l’encaissement – c’est par exemple le cas d’offres de dépôt de chèques chez les buralistes. À l’avenir, ces frais pourraient se développer. Les prochaines années diront si le chèque s’éteint « tout seul » ou si des décisions plus fermes sont prises.

Chéquier, carte : la sécurité de base reste la plus efficace

Lorsqu’on évoque la sécurité, il convient d’insister sur des conseils très simples.

Pour le chéquier, le moment le plus risqué est l’envoi par la poste. Les fraudeurs interceptent des chéquiers en transit et les utilisent avant même que le client ait reçu le sien. D’où une recommandation claire : privilégier le retrait du chéquier en agence, où il est gratuit, plutôt que l’envoi postal facturé. Et si un chéquier envoyé par courrier n’arrive pas rapidement, demander aussitôt une opposition préventive.

Pour la carte, la base reste inchangée : ne jamais donner son code confidentiel, ne jamais confier sa carte à un tiers, même en cas d’appel prétendument urgent. Les escrocs savent très bien exploiter la panique ou la précipitation, en se faisant passer pour un conseiller bancaire ou un livreur venu « récupérer » la carte pour la sécurité du client.

Concernant le sans contact, une mise au point est faite : les étuis ou « boîtiers » censés protéger la carte dans le métro ou la file d’attente sont présentés comme largement inutiles. En laboratoire, dans des conditions très spécifiques, on peut imaginer des attaques en approchant un terminal caché d’un sac. Mais dans la vraie vie, les fraudes observées sont d’un autre type : portefeuilles volés, cartes utilisées immédiatement dans les commerces de proximité. De toute façon, en cas de fraude au sans contact, le client est remboursé automatiquement.

Fraudes et moyens de paiement : trois grands défis

La Banque de France suit de près la fraude, via l’Observatoire de la sécurité des moyens de paiement. Environ 1,2 milliard d’euros sont fraudés chaque année, pour près de huit millions d’opérations. La carte représente une grande partie du nombre de transactions frauduleuses, même si tous les moyens de paiement sont concernés.

Important : ces chiffres n’incluent pas les escroqueries de type « fraude au sentiment », faux placements, investissements « bidon » sur des plateformes de cryptoactifs. Dans ces cas, c’est bien le client qui a initié l’opération, même s’il a été trompé sur la nature du bénéficiaire. L’Observatoire, lui, ne compte que les fraudes où le moyen de paiement est attaqué : des opérations que le client n’a pas voulu faire.

Trois grands défis se dégagent. D’abord, les cartes volées, utilisées en sans contact ou avec le code obtenu par ruse (faux coursier, faux conseiller bancaire…). Ensuite, les chèques volés ou interceptés, parfois avant même la réception du chéquier. Enfin, et surtout, la fraude par manipulation, lorsque le client, sous l’influence d’un escroc, valide lui-même des paiements ou des virements via l’authentification forte.

Paiements à distance et authentification forte : mode d’emploi

Les paiements à distance – principalement les achats sur internet – ont longtemps été un point noir. Le déploiement de l’authentification forte a permis de réduire fortement certaines formes de fraude, mais a aussi déplacé le problème.

Historiquement, l’authentification reposait sur un simple SMS : un code à six chiffres à recopier. Désormais, elle passe le plus souvent par l’application bancaire, avec un « pass de sécurité », une « clé digitale » ou équivalent. Le téléphone du client reçoit une notification : il voit le montant, le nom du commerçant, puis valide en tapant un code, en posant son empreinte digitale ou en présentant son visage. L’authentification forte repose sur deux facteurs : possession (le téléphone) et connaissance ou biométrie (code, empreinte, visage).

Dans l’idéal, c’est un rempart très solide. Mais le système prévoit des exemptions. Comme pour le sans contact en magasin, où l’on peut payer sans code en dessous d’un certain montant, les petites transactions en ligne, jugées peu risquées, peuvent être exemptées d’authentification forte. Certaines opérations de faible montant ou réalisées chez des commerçants identifiés comme peu risqués seront ainsi validées sans passage par l’application.

Deux conséquences importantes sont rappelées aux participants. Premièrement, si un paiement à distance est frauduleux et n’a pas été authentifié fortement, le client est remboursé automatiquement : on ne peut pas lui opposer une « négligence grave » puisqu’il n’a pas validé lui-même l’opération. Deuxièmement, plus une transaction est authentifiée fortement, plus la responsabilité du client peut être engagée en cas de manipulation.

Fraude par manipulation : l’escroc qui se fait passer pour votre banquier

C’est le grand sujet du moment. La fraude par manipulation explose. Le scénario est désormais bien rodé.

D’abord, les fraudeurs collectent des données : numéro de carte, IBAN, identifiants de banque en ligne. Ils les récupèrent via des piratages de bases de données, mais aussi en envoyant de faux SMS (colis, péages, avis d’impôts, fausse alerte de sécurité) ou de faux mails. Une fois ces informations en main, ils passent à l’étape suivante : le faux conseiller bancaire.

Le téléphone sonne. Une voix se présente comme « votre banque ». Elle affirme avoir repéré des opérations suspectes, parfois en citant des montants ou des commerciaux plausibles : un paiement Western Union, un achat sur un site de jeux, un virement important. Le client, pris de court, répond qu’il n’est pas à l’origine de ces opérations. L’interlocuteur propose alors de l’« aider » à bloquer la fraude, lui demande de valider des opérations, d’installer une application ou de suivre des instructions pas à pas.

C’est là que l’authentification forte, détournée, devient l’arme de l’escroc. Le client valide lui-même, sur son téléphone, des virements ou des paiements, en croyant annuler une fraude. Techniquement, tout est correct : deux facteurs d’authentification, confirmation sur l’appli, apparence d’une opération volontaire. Juridiquement, la banque peut alors invoquer la négligence grave.

Le message martelé pendant la formation est simple : tout comme on ne doit jamais donner son code PIN, on ne doit jamais réaliser d’authentification forte sur demande d’un prétendu conseiller. La banque peut bloquer une opération suspecte sans l’aide du client. En cas de doute, mieux vaut raccrocher, rappeler soi-même sa banque au numéro habituel, vérifier les opérations sur son espace en ligne, plutôt que de suivre des instructions dictées au téléphone.

Nouveaux outils contre la fraude : bénéficiaire vérifié et fichier des IBAN frauduleux

Face à ces évolutions, des outils supplémentaires sont mis en place.

Pour les virements, la « vérification du bénéficiaire » a été déployée récemment. Lorsqu’un client saisit un nouveau bénéficiaire, le système compare l’IBAN et le nom renseigné. Selon le niveau de concordance, un message s’affiche : correspondance parfaite (feu vert), légère différence (feu orange avec indication du vrai nom du titulaire du compte), ou incohérence totale (feu rouge).

Dans les cas typiques de substitution de RIB – l’artisan dont la boîte mail est piratée, le concessionnaire automobile dont les mails sont imités – ce contrôle doit permettre de repérer que le compte destinataire n’appartient pas à la personne attendue. Le client reste libre de passer outre l’alerte, mais il sait alors qu’il prend le risque à sa charge.

Par ailleurs, un fichier des IBAN frauduleux doit être créé et géré par la Banque de France. L’idée : permettre aux banques d’échanger les coordonnées de comptes utilisés à des fins de fraude, tout en respectant strictement les règles de protection des données personnelles. Un moyen de renforcer la détection en amont, sans tout faire reposer sur la vigilance individuelle.

Face aux SMS suspects : un réflexe, le 33700

Dernier volet de cette séquence : les faux SMS, qui promettent un colis, signalent une amende, évoquent un problème de compte ou un gain inespéré. Pour les signaler, un réflexe simple est rappelé : le 33 700.

Ce numéro, géré par les opérateurs téléphoniques, permet de transférer le message frauduleux reçu. Le consommateur renvoie le SMS suspect au 33700, puis suit les instructions qui lui sont communiquées, notamment pour transmettre le numéro d’envoi. Ces signalements aident à bloquer les campagnes en cours et à affiner les filtres.