Fraude à la carte bancaire : les banques obligées de rembourser les victimes
Alors que les fraudes et arnaques se multiplient sur le Web, de plus en plus de banques refusent de rembourser leurs clients lésés. Une pratique qui bénéficiait d'une zone grise juridique et à laquelle la Banque de France met fin.
Les arnaques et les fraudes en ligne sont devenues monnaie courante, et malheureusement beaucoup de personnes tombent dans le piège. Certaines ont la mauvaise surprise de se réveiller un matin et de découvrir que d'importantes sommes ont disparu de leur compte en banque. Elles se tournent alors vers leur banque pour demander des explications et, surtout, pour réfuter ces virements. En effet, selon la loi, lorsqu'un client conteste une transaction suspecte auprès de sa banque, celle-ci est tenue de le rembourser dans les 24 heures. Enfin, ça, c'est en théorie, car nombre d'entre elles refusent et, à ce jour, seulement 70 à 80 % des arnaques sont réellement remboursées. Un chiffre qui s'explique avant tout par la démocratisation de l'authentification forte – également appelée authentification à deux facteurs (2FA) ou double authentification.
Cette technologie, notamment utilisée pour la connexion à un espace bancaire en ligne et pour les achats sur Internet, permet de s'assurer que la personne légitime est bien à l'origine de l'opération bancaire effectuée à distance par deux preuves d'identité distinctes (mot de passe question secrète, empreinte digitale, reconnaissance vocale, code secret, smartphone...). Or, bien souvent, les banques utilisent l'excuse de l'authentification forte pour accuser les victimes de négligence, estimant qu'elles ont elles-mêmes participé à l'arnaque. L'Observatoire de la sécurité des moyens de paiement (OMSP) à la Banque de France a décidé de s'attaquer à ce problème grandissant et a publié, le mardi 16 mai, une liste de treize recommandations, destinées à la fois aux banques et à leurs clients, visant à lutter contre la fraude et à supprimer la zone grise qui entoure leur remboursement par les établissements bancaires. Dorénavant, l'argument de l'authentification forte ne fonctionnera plus !
Fraude à la carte bancaire : des techniques de plus en plus complexes
Les arnaques bancaires arrivent beaucoup plus souvent qu'on ne le croit, puisque environ 1,3 million de ménages ont été escroqués en 2020, ce qui représente une hausse de 161 % depuis 2010 ! En plus, ce ne sont pas de petites sommes, car 60 % des fraudes signalées concernent des montants allant de 4 000 à plusieurs dizaines de milliers d'euros, ce qui représente au final un total de plus de 1,2 milliard d'euros, selon le dernier rapport de la Banque de France. Et si le système d'authentification forte a permis de réduire considérablement la fraude aux paiements sur Internet – entre 2019 et 2022, on note une baisse de 30 % – les paiements frauduleux avec authentification forte ont représenté 9 % du nombre total des paiements frauduleux par carte sur Internet en 2021, mais 30 % des sommes dérobées, selon l'OMSP. Même s'il y a moins de victimes, les sommes dérobées sont plus conséquentes !
Autre problème : les modes opératoires des cybercriminels ont évolué, et de nouveaux types d'arnaques se sont développés pour contourner la réglementation. Les méthodes utilisées sont de plus en plus sophistiquées : cela peut aller du simple phishing – qui consiste à extorquer les coordonnées personnelles et bancaires de quelqu'un via un mail ou SMS frauduleux – jusqu'à l'usurpation d'identité en se faisant passer pour des conseillers bancaires – la technique du vishing –, en passant par le piratage de la puce du téléphone. Bref, il est temps d'évoluer !
Fraudes en ligne : que dit la loi ?
La loi impose aux banques de rétablir immédiatement le compte des victimes, sauf en cas de négligence grave. En effet, le code monétaire et financier (article L133-18) prévoit que lorsque le client signale à sa banque "une opération de paiement non autorisée", celle-ci doit le rembourser "immédiatement". Cela signifie qu'en cas de fraude, une banque doit rembourser son client sans que celui-ci n'ait à apporter la moindre preuve. C'est à la banque de lancer des investigations en cas de doute, puisque le client paye un service visant à assurer la sécurité de ses transactions, et ensuite de "prouver la fraude ou la négligence grave" afin de récupérer le remboursement effectué. Or, les banques ont tendance à s'affranchir de leur obligation de démontrer la négligence personnelle de leurs clients pour refuser de les rembourser. La plupart du temps, elles se contentent d'accuser les victimes de "négligence", mais sans fournir de preuve. Or, la seule raison pour laquelle une banque peut récupérer un remboursement est de "prouver la fraude ou la négligence grave" du client, selon le code monétaire et financier (L. 133-23). Mais elle doit dans tous les cas avancer le remboursement.
Les banques refusent également de rembourser les victimes en cas d'authentification renforcée, sans pour autant apporter la preuve que leur client est à l'origine du paiement. Elles conseillent à la place de se tourner vers la police afin de retrouver le criminel et lui reprendre son argent. Mais selon la loi, "l'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière".
Fraude à la carte bancaire : dissiper le flou juridique
Parmi les treize points abordés par la Banque de France, un en particulier concerne l'authentification forte et le refus de remboursement. Les organismes rappellent que ce dispositif n'est pas infaillible, et qu'un client peut être manipulé par un arnaqueur sans qu'il puisse être accusé de négligence. Julien Lasalle, qui dirige l'OMSP, remet en cause ce procédé. "Dans les cas où c'est bien l'utilisateur qui a procédé à l'authentification, il faut se demander quelle est l'origine de la transaction ? Est-ce que l'utilisateur a été suffisamment informé au moment de l'authentification pour avoir connaissance de l'opération qu'il était en train de valider ? Est-ce que la banque lui a donné une possibilité de sortir de la transaction ? Il faut se poser ces questions pour déterminer la valeur du consentement donné au travers de l'authentification", explique-t-il à Franceinfo.
Les recommandations rappellent que si une transaction contestée n'a pas fait l'objet d'une identification forte, la banque doit rembourser le client "au plus tard à la fin du premier jour ouvré". Si elle a fait l'objet d'une authentification forte, alors l'établissement bancaire doit analyser les différents paramètres associés à cette transaction (origine de la transaction, paramètres de l'authentification forte, interactions avec le payeur, etc.), tout en tenant compte que l'existence d'une authentification forte n'est pas suffisante pour considérer que la transaction a été autorisée par le client. "À défaut d'éléments suffisants pour justifier le caractère autorisé de la transaction ou démontrer une négligence grave de l'utilisateur, l'établissement est tenu de rembourser sans délai l'opération en cause", conclut le rapport. L'instance bancaire en profite pour rappeler aux clients de ne jamais authentifier des transactions dont ils ne sont pas à l'initiative, et de ne jamais communiquer leurs mots de passe, leurs codes confidentiels ou la moindre information bancaire à des tiers, même au banquier, encore moins par mail ou téléphone, car une banque ne demande jamais ce genre d'informations.
Fraude en ligne : de grandes banques refusent de rembourser
En juin 2022, l'UFC-Que Choisir, avait analysé pas moins de 4 300 signalements de fraudes en ligne réalisées entre 2019 et 2022, et avait constaté que douze établissements parmi les plus grands – La Banque Postale, Crédit Agricole, Banque Populaire, BNP Paribas, Société Générale, CIC, LCL, Boursorama, ING, Nickel, Cetelem et Floa Banque – ne respectaient pas la loi en refusant de façon "systématique" de rembourser les victimes. L'association de consommateurs avait donc porté plainte contre les douze établissements pour pratiques commerciales trompeuses, comme elle l'annonçait dans son communiqué du 28 juin.
L'association estimait que "c'est en laissant croire, de la sorte, aux consommateurs qu'ils n'ont aucun droit au remboursement, que les banques se rendent, selon nous, coupables de pratiques commerciales trompeuses. Elles les dupent sur l'étendue de leurs droits". Pour Alain Bazot, président de l'UFC-Que Choisir, "face à la multiplication de fraudes de plus en plus sophistiquées, on ne saurait admettre que les banques s'affranchissent allègrement de leur obligation de démontrer expressément la négligence de leurs clients pour refuser de les rembourser". Quels que soient les cas de figure, en attendant de prouver la négligence des clients, les banques doivent les rembourser et ensuite mener l'enquête.