Demande de code bancaire pour paiement facture, est ce normal???

Bonjour marielg13 ,

Bienvenue sur La Communauté SFR,

   S F R  ne demande jamais votre codes   secret bancaire  ! si vous avez donnez vos codes  :  Faut vite les changer !!  Ne faites rien  ,ne répondez surtout pas.

Demandez de l'aide sur Twitter à SFR_SAV  en MP afin qu'ils vérifient ?

Vous pouvez suivre votre dossier partout.

Bonne chance.

Cordialement,

 JE.

Bonjour @marielg13 ,

J'ai aussi rencontré cette procédure (mais pour une facture d'eau)

Comme vous j'ai trouvé ça étrange et anormal (j'avais changé le code secret immédiatement après le paiement)

J'ai posé la question à ma banque et voici leur réponse.

Bonjour Monsieur xxxxx

Vous êtes à présent sur la double authentification pour les achats en ligne.
Vous renseignez dans un premier temps votre code secret hello bank à 6 chiffres (celui pour consulter vos comptes) puis le code secret à 5 chiffres reçu par sms afin de valider l'achat.
Le code permet à votre banque de vérifier que vous êtes bien à l'origine du paiement.
Bonne journée.

A bientôt chez Hello!

Vincent Conseiller Hello bank!

Bonjour @marielg13 

Ceci fait la 2eme fois que sfr me demande mon code secret bancaire pour payer ma facture mobile, je ne trouve pas cela normal???  Pouvez vous m'expliquer...Merci  

---

C'est une arnaque, et ce n'est pas SFR qui t'a fait payer.

Le mieux est de changer ton code de carte et de vérifier les prélèvements à venir qui seraient douteux.

Comme dit par les intervenants précédents, il n'y a aucun cas où SFR peut te demander ton code pour payer, mais pire, il n'y a JAMAIS aucun cas où tu dois donner ton code à quelqu'un (même à ta banque).

• C'est un code secret : il reste secret entre toi et le terminal de paiement.
• Tout autre circonstances qui te demande ton code par oral est donc anormale et donc douteuse.

à+

Donc il faut que je change de banque ?

---

@TagadaTsoinTsoin  a écrit :

Donc il faut que je change de banque ?

---

Ben non pourquoi :

1. d'une part ta dans le message que tu nous as recopié de ta banque, elle ne te demande jamais de divulguer "oralement" le code personnel de ta carte bancaire (ni en le saisissant dans un formulaire d'ailleurs)
   • c'est d'ailleurs important ce code-là (et pas un autre) car il faut savoir qu'en droit bancaire français, une transaction faite avec le code personnel de ta carte est supposée émaner de ta personne (ce sera à toi de prouver que ce n'était pas toi qui l'a fourni car il est STRICTEMENT PERSONNEL comme on le disait) alors qu'une transaction sans le code persode ta carte, c'est l'inverse (on suppose que ça peut être un fraudeur sauf s'il est démontré que c'est toi).
2. ta banque demande d'abord de saisir ton code HelloBank (c'est un autre code, spécifique pour la double authentification, qui n'est pas censé être ton code personnel de carte bancaire même si, par commodité tu as peut-être fixé le même (mauvaise idée 😉)... il n'est pas très "crucial" car il sert juste en gros à dire "Hello ma banque, je suis Tagadatsouinsoin qui vous parle, veuillez m'envoyer le code SMS à usage unique sur mon téléphone à moi que vous connaissez pour faire terminer l'authentification")
3. et donc, elle t'envoie un code par SMS à usage unique (c'est lui qui devient crucial) qui t'est envoyé sur un "terminal de confiance" (càd un appareil supposé n'appartenir qu'à toi et qui n'est pas en possession des arnaqueurs) : et ce code vient en complément du point 2 pour terminer l'authentification "certaine" que c'est bien toi.

Donc, non, au contraire, ta banque ne transgresse pas les règles de bases, et même les renforce (par la double authentification) pour éviter ce qui était largement possible jusqu'à présent : commander un article sur internet sans jamais rentrer son code personnel secret de carte, mais uniquement les coordonnées de la carte et du cryptogramme au dos... Ce qu'un tiers pourrait lire en voyant ta carte par exemple... Alors que là avec le 1er code d'authentification (insuffisant) associé au deuxième (à usage unique) et transmis uniquement sur un terminal de confiance (appareil supposé n'appartenir qu'à toi) c'est nettement plus difficile de passer une transaction à ta place pour un arnaquer.

À+

Salut @Ryry ,

En fait il faudrait que @marielg13 nous donne des précisions.

- est ce le code de la carte bancaire ou le code d'accès à l'espace client de sa banque qui était demandé.

- est ce SFR qui demandait ce code ou un intermédiaire de "confiance" sur lequel SFR l'avait redirigée pour le paiement.

Moi j'avais compris que c'était son code d'accès à l'espace client de sa banque.

N'empêche que ça me gêne de communiquer le code de mon espace client, de plus à une entité inconnue (c'est dommage, je ne me souviens pas du nom de cet intermédiaire que je voyais pour la première fois)

Bonjour @TagadaTsoinTsoin 

---

Moi j'avais compris que c'était son code d'accès à l'espace client de sa banque.

---

Possible (et encore plus surprenant/dangeureux car là un tel code sert à aller gérer le compte client, et pas uniquement faire une transaction)

Cela étant, comme @marielg13 disait "sfr me demande mon code secret bancaire pour payer", j'en restais naïvement au code de la carte bancaire.

---

N'empêche que ça me gêne de communiquer le code de mon espace client, de plus à une entité inconnue (c'est dommage, je ne me souviens pas du nom de cet intermédiaire que je voyais pour la première fois)

---

Mais tout à fait, à la relecture des "consignes" de ta banque HelloBank je suis assez surpris (si je comprends bien et s'il ne font pas erreur dans cette réponse personnelle qu'ils t'ont fait) de comprendre qu'ils te demandent de taper ton code "secret" HelloBank chez un tiers, et non pas sur leur propre page HelloBank (c'est ce que j'avais cru dans un premier temps)... À vérifier tout de même...

Pour ma part, avec ma banque, voilà ce qui se passe en pratique :

• Avant que la double authentification ne soit activée pour mes achats en ligne :
  1. je fais un achat sur internet, je donne mon numéro de carte bancaire, je donne le cryptogramme du verso (mais je ne donne jamais le code secret) 
  2. l'achat est confirmé par le site marchand (c'est facile, rapide, mais pas très sûr)
• Version 1 de la double authentification (car ensuite ma banque à amélioré sa sécurité)
  1. comme dans le cas précédent je fais l'achat sur le web via n° de carte et cryptogramme
  2. le site marchand est dérouté (sans doute via une procédure standardisées des cartes de crédits) vers une page de ma banque qui me demande un code transmis par SMS
  3. je reçois le SMS à usage unique sur mon "terminal de confiance" (en l'occurrence mon propre téléphone) et je rentre ce code dans la page web de ma banque
  4. le page web poursuit en revenant au site du marchand qui me confirme que la transaction s'est bien passée avec ma banque
• Version 2 de la double authentification (ma banque m'a averti qu'ils considéraient les SMS comme pas assez de confiance et j'ai dû définir avec mon banquier un code "de double authentification" dans mon espace client)
  1. la procédure commence de la même façon (site marchand dérouté vers une page de ma banque une fois donnés n° de carte et cryptogramme)
  2. la page de ma banque me dit juste qu'elle attend une validation d'achat à faire dans l'appli mobile bancaire de mon téléphone (plus de transmission de code par SMS)
  3. une fois que je me suis connecté et authentifié sur le mobile, pour valider l'achat en cours il me faut entrer mon code de double authentification (qui n'est pas celui de ma carte bancaire, et qui n'est pas non plus celui pour me connecter à l'appli bancaire : c'est bien un "2e code d'achat" spécifique pour la double-authentification)
  4. et l'achat est validé, la page web retourne au site marchand qui confirme que ça s'est bien passé avec ma banque.

À+

P.S. La philosophie de la deuxième variante c'est qu'un SMS, ce n'est pas encore assez fiable : il pourrait être intercepté (c'est déjà un niveau de piraterie qui n'est plus à la portée de tous, mais faisable... et alors le pirate valide un achat sans ton action).

Alors que t'obliger à utiliser l'appli bancaire pour rentrer un code, dans laquelle il y a une communication chiffrée de bout en bout entre toi et ta banque, c'est quand même beaucoup beaucoup plus dire à te court-circuiter (sauf, et on en revient là, si tu as donnés tes codes secret à quelqu'un, ce qu'il ne faut jamais faire).

Salut @Ryry ,

Je viens de refaire un achat en ligne et, ce coup ci, c'est bien une redirection vers un site de validation de ma banque.

Donc:

- demande du code secret d'accès à l'espace client de ma banque

- envoi d'un code par SMS

Puis retour au site marchand.

Effectivement, ma banque propose aussi une double authentification en passant par une appli au lieu d'un SMS (je ne l'ai pas activé)

J'attends ma facture d'eau (juin), c'est pour celle ci que j'avais tiqué à cause de la redirection vers un site de paiement que je ne connaissais pas.

A+