Fraudes aux moyens de paiement: pourquoi les banques ne remboursent pas toujours les clients

En décrochant son téléphone ce jour-là, Emilie était loin de s'imaginer que cet appel lui coûterait très cher, 1.788 euros exactement. Comme plusieurs milliers de personnes avant elle, Emilie a été victime d'un escroc se faisant passer pour un conseiller bancaire. Et elle n'y a vu que du feu.

"Ils sont très forts, ils ont un langage soutenu, ils savent ce qu'ils font... Ils ont toutes les informations, il n'y avait rien qui pouvait me faire douter", témoigne-t-elle dans notre long format Ligne Rouge diffusé ce mercredi soir sur BFMTV.

En 2022, 1,19 milliard d'euros de transactions frauduleuses ont été enregistrés en France. Sur ce montant, 464 millions d'euros correspondaient à des paiements réalisés par carte bancaire (dont 68% sur Internet) et 313 millions à des fraudes au virement, lesquelles ont plus que triplé en cinq ans, selon l'Observatoire de sécurité des moyens de paiement (OSMP).

Les méthodes des escrocs sont multiples mais certaines sont plus courantes que d'autres. À commencer par l’hameçonnage qui prend le plus souvent la forme d'un mail avec un lien redirigeant vers un site semblable à un site officiel et sur lequel le destinataire est invité à cliquer pour renseigner des informations personnelles. Une autre méthode fréquente est celle du faux conseiller bancaire qui contacte directement la victime par téléphone. Il l'informe d'une prétendue fraude en cours et lui demande de lui communiquer plusieurs informations personnelles pour mettre fin aux paiements frauduleux. Pour gagner en crédibilité auprès de la victime, les escrocs ont parfois recours au "spoofing", une technique qui permet d'usurper le numéro de téléphone d’une agence bancaire.

Quel remboursement?

La plupart du temps, dans les deux tiers des cas environ, les victimes de fraude sont remboursées par leurs banques. Mais il arrive que ces dernières refusent d'indemniser leurs clients. C'est bien entendu le cas quand le client est complice de la fraude mais aussi quand la banque estime qu'il a fait preuve de négligence grave. En clair, lorsqu'elle considère qu'il a involontairement permis à l'escroc de contourner les mesures de sécurité de la banque.

Cette situation se présente notamment quand la transaction a été autorisée par l'authentification à deux facteurs. Généralisé à partir de 2019, ce dispositif permet de vérifier l'identité du consommateur avant de valider une opération. Par exemple, en lui envoyant un SMS avec un code qu'il devra renseigner dans l'application de sa banque pour confirmer son achat.

Ces dernières années, plusieurs litiges ont opposé des banques et leurs clients ayant validé des transactions frauduleuses via l'authentification forte. Les premières refusaient le remboursement estimant qu'il y avait eu là une négligence grave, tandis que les seconds assuraient avoir agi sous la pression des escrocs. Du côté de la Fédération bancaire française, on explique que les banques ont fortement renforcé leurs systèmes de sécurité et que le reste ne dépend pas d'elles: "Pour ce qui est de l’utilisation de faux numéros de téléphone par les escrocs, nous en appelons d’abord aux autorités publiques et aux opérateurs téléphoniques, pour qu’il soit remédié à ces situations".

Anonymat, pornographie : comment le gouvernement veut "sécuriser" Internet

22:16

"Zone grise"

L'Observatoire de la sécurité des moyens de paiement reconnaît qu'il existe une "zone grise" sur le remboursement des fraudes, et l'essentiel de celle-ci "concerne les opérations contestées ayant occasionné une authentification forte".

Pour supprimer cette "zone grise", l'OSMP a émis en mai dernier 13 recommandations. Deux d'entre elles sont particulièrement claires: d'abord, toute transaction contestée par le titulaire du compte n'ayant pas fait l'objet d'une authentification forte doit entraîner un remboursement au plus tard à la fin du premier jour ouvré après réception de cette contestation.

L'Observatoire affirme par ailleurs que l'authentification forte demandée par les banques pour s'assurer que l'utilisateur est bien celui qu'il prétend être, malgré son niveau de sécurité élevé, n'est pas infaillible. Par conséquent, la banque ne peut systématiquement refuser le remboursement d'une transaction frauduleuse validée par l'authentification forte, l'existence de ce dispositif "n'étant pas suffisante en soi pour considérer que la transaction a été autorisée". Or, "c'est trop souvent le cas", déplorait au printemps Julien Lasalle, de la direction des études et surveillance des paiements de la Banque de France.

La banque doit prouver qu'il y a eu négligence

Désormais, la banque doit instruire le dossier en moins de 24 heures et prouver à partir de différents paramètres (origine de la transaction, paramètres de l'authentification forte, interactions avec le payeur, etc.) qu'il y a bien eu une négligence grave de l'utilisateur. Dans le cas contraire, l'établissement est tenu de rembourser sans délai l'opération en cause.

En mars, une décision de justice saluée par les associations de consommateurs était déjà allée dans le sens du client. La cour d'appel de Versailles avait en effet condamné BNP Paribas à rembourser 54.000 euros à un homme victime d’une arnaque, considérant que la "négligence" dont la banque l'accusait n'était pas avérée.

La victime avait été contactée via un numéro d’appel identique à celui de sa vraie conseillère bancaire, enregistré dans son téléphone. De plus, les SMS d’authentification des virements bancaires s’affichaient à la suite des précédents messages envoyés par la banque. Le client s’était rendu compte trop tard de la supercherie. Il avait alors prévenu sa banquière et demandé un remboursement des sommes prélevées frauduleusement. Mais la BNP Paribas avait refusé.