SYSTEMPAY - Encaissements frauduleux par carte bancaire

A l'attention des régies utilisant SYSTEMPAY

Plusieurs entités publiques du secteur public local ont été destinataires d'encaissements frauduleux par carte bancaire. Ces paiements ont été effectués sur le module de paiement sécurisé VADS (Vente à Distance Sécurisée 3DS) de SystemPay, commercialisé notamment par la Caisse d'Epargne sous le nom SP PLUS V2.

Les commerçants victimes de cette fraude ne doivent surtout pas procéder au remboursement immédiat.

Présentation de la fraude constatée :

Le fraudeur se servirait de deux failles constatées sur le dispositif SystemPay - SP PLUS V2 :

1. la possibilité de valider des transactions par carte sans demande d'authentification forte systématique pour les transactions de faibles montants (exemption) ou lorsque la carte a été émise par une banque non soumise à la réglementation européenne mise en place par la Directive sur les Services de Paiement n°2 (établissement Hors Union Européenne) ;
2. l'accès par internet à des pages de paiement des commerçants référencés sur Systempay, permettant aux fraudeurs d'effectuer de nombreuses tentatives de paiement, de part l'absence d'interface avec le système d'information du commerçant (absence de création de compte client, de sélection d'article ou de référence à une facture).

Ces failles permettraient aux fraudeurs d'utiliser des plages de cartes bancaires piratées afin d'effectuer des paiements sur ces sites, avant de solliciter le remboursement de ces transactions par virement ou tout autre moyen de paiement sur leur compte personnel afin de collecter les fonds.

Le commerçant est destinataire par la suite des demandes de remboursement et des impayés émis cette fois par les cartes des porteurs fraudés.

Conduite à tenir pour l'entité publique destinataire des encaissements frauduleux

Il est appelé à la plus grande vigilance lorsque vous constatez sur votre compte bancaire des opérations injustifiées par carte bancaire réalisées via votre site e-commerce SystemPay.

Il convient de ne pas procéder au remboursement immédiat via une facture crédit (remboursement sur la carte du porteur) ou via un autre moyen de paiement (virement).
En cas de demande de remboursement sollicitée par un usager, il est préconisé de demander des documents permettant d'attester que l'opération a bien été débitée à tort sur son compte bancaire ainsi que les justificatifs d'identité afférents.

Comment éviter d'accepter ces encaissements ?
Il convient de contacter sans délai votre interlocuteur SystemPay (SP+V2) afin d'optimiser rapidement le paramétrage de la solution.

Vous trouverez ci-après les éléments de langage technique transmis par le GIE CB :

1. Exiger du 3D Secure sur toutes les transactions, que la carte soit émise par un émetteur européen ou extra européen. Cela doit déjà être le cas pour les cartes européennes du fait de la DSP2 et des RTS SCA.
2. Pour les cartes non françaises (ou bien non CB), lors du processus 3D Secure v2, le commerçant peut forcer la mise en œuvre d’une authentification (ex : envoi d’un code SMS. Le paramètre challengerequestorindicateur doit être valorisé à 03 ‘challenge requested’. Ainsi cela garantira une authentification dans 100% des cas, sans situations d’exemptions (=frictionless) sur les transactions de petits montants comme 1€."