Arnaque paylib.

[AlbertoWin]

Dernier point si tu mets un hacker "compétent" en finance au coeur d'un systeme bancaire ... comment dire il se fichera du compte de Mr untel ou Mme untel ... crois moi il y a bien mieux que cela en rayon

On est 100% d'accord.

Le plus récent hack est celui de la banque du Bangladesh avec fraude en interne, idem pour de faux crédits chez Palatine...

Mais pour revenir a l'authentification forte c'est inscrit dans les systèmes mais les conseillers retail n'a pas accès à ses infos ni le client. Au vu de ton expertise je pense que tu as bien accès ou sait qui a accès à ces données mais pour le commun des clients c'est patte blanche.
Du type : "achat carte bancaire - validé par ..." (Authentification forte du client, exemption...). Ou juste un historique des authentifications forye comme dans certaines banques. Mais dans la plupart y a rien, pourquoi??

Certes pour le commun des mortels ça serait du charabia mais ce serait une preuve pour tous des transactions.
Je sais que ça existe, je dis juste qu'il faut souvent monter beaucoup d'échelons pour trouver quelqu'un qui puisse y accéder.

Pour finir ce n'est pas du hack a proprement parler bien sûr mais de la fraude bancaire toute de même. Et bien que j'ai vu des banques payer pour des clients qui franchement ne "mérite" pas (principalement l'histoire des chèques et des virements avec complicité active), j'ai aussi vu des clients aller aux tribunaux pour voir que la banque avait 0 traces informatiques et 0 preuve et qu'au final il gagnait.

Ici je parle des achats carte. Pour les prélèvements c'est souvent "no question asked" comme la législation l'exige. Pour les virements par contre c'est négligence déclarée constamment.

 

[marion30]

Oui c est sur en tous cas j ai retenu la leçon

 

[Turbo-057]

De part ma position oui effectivement je puis facilement demander ou avoir accès aux personnes qui peuvent me fournir l'information ce qui est on va dire "normal"
Il n'y a aucune obligation de flagger l'utilisation ou non utilisation du SCA pour afficher au client
Il y a des obligations de reporting des paiements qui ont utilisé le SCA ou ont beneficié d'une exemption vers les autorités de controle c'est pourquoi ces informations sont serieusement référencée
Quel serait la "valeur" ajoutée de l'afficher à un client je t'avoue que la ... même moi je n'y vois qu'un intéret plus que limité

Lorsque tu as besoin de preuve c'est qu'il y a contentieux et les personnes en charges des contentieux ont accès aux informations et pourront les fournir le cas échéant au client si besoin.

Donc on est d'accord la fraude reste sur le point du client dans tous les cas ...
Et les banques doivent"rembourser" les "fautes" des clients ... ...

Des banques qui ont "0" traces ou "0" preuves cela n'existe pas (ou plus) notamment sur nos continents ...
Après que la banque ne souhaite pas les fournir ... cela je veux bien l'entendre et dans ce cas en general ca vise que le risk est accepté d'en payer les frais.
Mais de nos jours il n'y a je pense aucun système bancaire ou tu n'aurais pas de traces ...

Et si tu vas à l'extrème si il y a "déplacement" d'argent notamment d'une banque à une autre il y a forcément des traces et information accessible ne serait que via les anciliary system utilisé pour les transferts en question.

 

[AlbertoWin]

Quel serait la "valeur" ajoutée de l'afficher à un client je t'avoue que la ... même moi je n'y vois qu'un intéret plus que limité

La preuve des opérations et que le client est aussi une trace. C'est pour ça qu'on affiche le solde au client, qu'on donne des tickets au client... En cas de problème, il peut servir de preuve. Ca n'a usage qu'en cas de contentieux mais cela reste utile, au même titre que d'autres documents administratifs ou légaux.

Donc on est d'accord la fraude reste sur le point du client dans tous les cas ...

Justement pour moi si la banque fait exemption à l'authentification forte du client, elle doit en être responsable en cas de fraude. C'est d'ailleurs la politique de la législation. Mais le flou réside dans l'acceptation du risque par la banque (shift liability) en absence de validation client sur la base du risque, qui prend la responsabilité en cas de problème?
Pour moi si la banque ne veut pas que le client confirme, c'est son problème. Si le client confirme, c'est le sien. Après selon les cas, la justice a tranché différemment. Si c'est le commerçant qui veut pas la DSP2, c'est le sien.
Si la banque et le commerçant ne veulent pas de contestation, ils doivent refaire confirmer au client à chaque transaction en direct (j'exclus les abonnements et les MITM).

Après que la banque ne souhaite pas les fournir ... cela je veux bien l'entendre

Dans des cas de jurisprudence cela est arrivé de mes souvenirs, la banque n'a pas pu prouvé que la transaction n'avait pas eu déficience technique car selon le cour les preuves abordés étaient très médiocres. Et le cassation a rejeté le pourvoi de la banque.

 

[Turbo-057]

Pour ma part je serais favorable à l'imposition du SCA à chaque usage de la carte voire idéalement avec ou sans PIN ... cependant je doute plus que fortement que les clients adhèrent à la manoeuvre ...
En general les clients souhaitent justement le "moins" d'étape possible ... pour payer
Bref l'exemption de SCA c'est pour avoir le juste milieu on va dire.

Le cout d'intégrer cela pour founir l'information au client dissuadera les banques de le faire en l'état pour la grosse majorité.