Entre consommateur floué, commerçants réticents à la mise en place de procédures de sécurité jugées complexes, banques peu compréhensives, les pouvoirs publics peinent à imposer une protection largement applicable.
Le taux d'utilisation frauduleuse des cartes bancaires pour des achats en ligne a augmenté en flèche. En 2010, il s'établissait à seulement 0,074 % de l'ensemble des règlements par CB, mais le montant peut interpeller davantage : c'est en effet 120 millions d'euros qui ont été ainsi « détournés » d'un usage honnête concernant des web-emplettes. L'UFC Que Choisir, dans son étude détaillée de février 2012 sur le sujet, indique que l'achat par carte sur le net fait l'objet de deux fraudes par minute et, pour ne représenter que 5 % des règlements totaux, représente un tiers de la fraude au paiement en France. Et au vu de l'augmentation des achats en ligne ― un quart de l'ensemble du commerce en 2020, selon les projections, le flot des transactions usurpées n'est pas près de s'endiguer.
En ligne de mire, la facilité avec laquelle l'identité d'une carte est récupérable par un fraudeur. Les informations la puce et le code PIN confidentiel n'étant pas transférables pour effectuer des achats en ligne, il reste les données statiques, la série de douze chiffres, la date de validité, le cryptogramme visuel, que les internautes mal intentionnés peuvent récupérer via des spywares (récupération des données saisies), des actes de phishing (données soutirées sur demande frauduleuse), des générateurs de codes ou par piratage des sites des commerçants.
Depuis 2005, la riposte s'organise : les grandes sociétés émettrices de cartes bancaires ont d'abord tenté d'imposer aux sites marchands des codes standard de sécurité, norme PCI DSS, aujourd'hui peu appliqués. En 2008 est apparue la norme 3D Secure, dont la première version imposait au client la validation de la commande sur le site de sa banque. Seul problème : la saisie sur clavier, toujours espionnable, et les données de sécurité ne variant pas d'une commande à l'autre. En 2010, seconde version de 3D Secure : les codes de sécurité, différents pour chaque achat sont générés par sms ou boîte vocale, lecteur de carte attribué au client de la banque en ligne : la quasi-totalité des banques françaises proposent désormais à leurs clients des systèmes de sécurisation des transactions CB sur internet. Mais les commerçants ne jouent pas vraiment le jeu. Peur de décourager la clientèle au moment de l'achat, transaction rendue complexe, les plus gros marchands du web boudent toujours 3D Secure et les tentatives des pouvoirs publics d'uniformiser la sécurité de la banque en ligne et de l'achat web. En attendant la généralisation de l'outil miracle contre la fraude, reste au consommateur à se prémunir contre l'usurpation de ses données bancaires : adopter un bon antivirus, garder toujours pour soi ses codes, adopter les solutions proposées par sa banque ou adopter les paiements alternatifs comme PayPal ou les cartes prépayées et, surveiller ses comptes de près.
En alerte face au problème, les associations de consommateurs se mobilisent : il convient urgemment d'informer largement le public sur les moyens de déceler la fraude et ses risques, d'impliquer les commerçants sur la mise du dispositif le moins contraignant pour eux et, surtout, d'épargner aux consommateurs bernés toute pénalité de la part de leur établissement bancaire.