la banque refuse de rembourser… est-ce lgal ?
Pour prévenir les dispositifs protecteurs des comptes bancaires, les cybercriminels n’hésitent plus se faire passer, au téléphone, pour des conseillers bancaires. Pour les victimes, c’est la double peine : dans ce cas, les banques refusent généralement de les rembourser. Ces refus automatiques sont toutefois contestés par les associations de consommateurs, mais aussi par la justice, qui vient de trancher en faveur d’une victime.
Le mode opératoire est bien rod. Vous recevez un coup de fil. Le numéro qui apparat sur votre mobile est celui de votre banque. Vous décrochez. Au bout du fil, une personne se présente comme un conseiller, en charge de la lutte anti-fraude : Bonjour, vous tes bien M. xxx, n le xx/xx/xx et titulaire du compte nxxxxx ?. Votre interlocuteur vous indique ensuite que des opérations suspectes se présentent sur votre compte et qu’il faut réagir vite. Pour cela, il a besoin de votre aide : vous devez lui communiquer des codes reçus par SMS sur votre mobile, ou valider une authentification via l’application de votre banque. Inquiet et sous pression, vous obtemprez. Le pige se referme : la personne au bout du fil est un escroc, et vous venez, sans le savoir, de valider un paiement sur internet ou l’ajout d’un nouveau bnficiaire de virement. Immédiatement, votre compte est débité. Le préjugé dépasse régulièrement les 10000euros. Une paille pour certainsles économies d’une vie pour d’autres.
Cette arnaque au faux conseiller fait partie des menaces qui montent. Selon Cybermalveillance.gouv.fr, un groupement d’intérêt public chargé d’assister les victimes de fraudes sur internet, elle s’est considérablement développée en 2022 (…). Logique : relativement complexe mettre en œuvre, elle a toutefois l’avantage, pour les cybercriminels, de leur permettre de déployer les dispositifs d’authentification fortegénéralisé depuis 2021 pour faire reculer la fraude sur les paiements en ligne.
Carte bancaire : voici la nouvelle fraude qui menace votre compte
Refus d’indemniser
Cette arnaque, de plus, est double tranchant. Non seulement les montants détournés sont très élevés, mais les victimes, lorsqu’elles signalent la fraude, se heurtent souvent au refuser de leur banque de les indemniser.
Pourtant, la réglementation semble claire sur le sujet. Voici ce que dit le code montaire et financier (1): En cas d’opération de paiement non autorisée signalée par l’utilisateur (…), le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisé immédiatement après avoir pris connaissance de l’opération ou après en avoir t informé, et en tout tat de cause au plus tard la fin du premier jour ouvrable suivant (…).
Ce réglage, cependant, souffre deux exceptionsdeux cas de figure o la banque n’est pas tenue de rembourser : si la victime est complice de la fraude, ou s’il n’a pas satisfait intentionnellement ou par négligence grave (2) son obligation de préserver la sécurité de ses données de sécurité personnalisées : en clair, son numéro de compte ou de carte bancaire, le code secret de cette carte, les codes reçus par SMS ou le dispositif d’authentification forte fourni par sa banque.
La négligence grave invoquée
C’est précisément sur cette notion de négligence grave que les banques s’appuient pour refuser systématiquement de rembourser les victimes d’arnaques au faux conseiller. En fournissant un tiers des codes de validation, ou encore en authentifiant une opération dont ils n’étaient pas l’origine, elles ont t négligentes et ont donc engage leur responsabilité.
C’est ce que nous a confirmé Boursorama Banque, une des rares banques avoir accepter de nous répondre sur le sujet : Nous pouvons tre amens refuser un remboursement au titre de la négligence grave, c’est–dire quand l’analyse démontre que les opérations ont été effectuées par le client depuis un de ses appareils habituels (ordinateur ou téléphone portable) avec une authentification renforcée (…).
On se retrouve donc face un douloureux paradoxe pour les victimes : l’authentification forte, conue pour les protéger des arnaques, devient la preuve use par les banques pour démontrer leur négligence grave. C’est une porte claque au nez du consommateur, CV Raphal Bartlom, en charge du service juridique d’UFC-Que Choisir.
Arnaque sur compte bancaire : votre banque peut-elle refuser de vous rembourser ?
BNP Paribas condamné
Cette analyse de la réglementation, cependant, est très contestée. A commencer, justement, par UFC-Que Choisir. L’association de défense des consommateurs port plain, l’an dernier, contre une douzaine de banques (3). Elle les accuse de pratiques commerciales trompeuses, notamment pour leur refus de rembourser les victimes d’arnaques au faux conseiller. L’instruction de la plainte reste en cours, et rien n’indique qu’elle pourrait déboucher sur une condamnation. Mais c’est une manière de faire avancer le sujet, explique Raphael Bartlom.
Ne pas rembourser ds qu’il y a eu une authentification forte : nous considérons que c’est une pratique illégale, développe le juriste, qui poursuit : La négligence grave, c’est, par exemple, révéler le code secret de sa carte bancaire dans le métro. Ici, nous parlons d’escroqueries extrêmement sophistiques. Les escrocs usurpent les numéros de téléphone des banques, connaissent tout de leurs victimes grâce aux vols de données personnelles. Leur discours est crédible. Ou, si l’arnaque n’est pas facilement détectable, la victime ne peut pas être accusée de négligence grave.
C’est, en substance, la logique qu’a retenue la cour d’appel de Versailles. Dans une décision datée du 28 mars 2023, elle a condamn BNP Paribas indemniser un client, victime d’une arnaque aux faux conseiller, hauteur de 54500euros plus 1500euros au titre du jugement moral. Dans cette affaire, l’escroc avait réussi à usurper le numéro de téléphone de la conseillère de la victime, se présentant comme un assistant. Il l’avait averti d’une attaque pirate contre son compte et convaincu d’authentifier, dans l’application mobile de sa banque, des ajouts de bnficiaires de virement, que le faux conseiller expliquait avoir d’être pralablement supprimé pour contrer l’attaque. La cour d’appel de Versailles à considérer, dans ce cas précis, que la négligence grave n’était pas caractérisée.
La FBF joue la carte de la prévention
Interroge sur la décision de la cour d’appel de Versailles, la Fédération bancaire française explique qu’elle ne commente pas une décision de justice. Elle rappelle aussi que des travaux sont en cours depuis quelques mois sous l’Observatoire de la sécurité des moyens de paiement (OSMP) sur le remboursement de la fraude. Nous espérons que ceux-ci vont arriver très prochainement.
La FBF a lancé, ces derniers jours, une campagne de prévention sur la protection des données bancaires, en presse critique, radio et sur internet.
Quelle va être, désormais, la porte de cette décision, sans précédent ce niveau de juridiction pour une affaire de ce type ? La décision de Versailles est intéressante, estime Raphal Bartlom, d’UFC Que Choisir. Elle ne dédouane pas totalement l’usager, mais elle confirme qu’il n’a pas été gravement négligent. Et donc qu’il est éligible une indemnisation.
La notion de négligence grave reste l’appréciation des tribunaux
Cette décision pourrait-elle faire jurisprudence ? La décision pourra effectivement être invoquée dans d’autres affaires, confirme Me Katia Debay. Son verdict, cependant, ne peut être général. La notion de négligence grave reste l’appréciation des tribunaux, confirme l’avocate en droit bancaire. Pour cela, ces derniers s’appuieront notamment sur la plainte déposée par la victime et sur les photos qu’elle pourra apporter au dossier. D’o l’importance de conserver tout ce qui permet de prouver sa bonne foi: des captures d’écran, par exemple, des appels et des messages modifiés avec l’escroc. D’être, galement, aussi factuel que possible lors du dépôt de la plainteen vitant les commentaires du type J’aurais d m’en douter.
Pour les banques, un enjeu de confiance
Une autre question se pose : ce précédent pourrait-il convaincre les banques d’adoucir leurs politiques? De renoncer au rejet automatique des demandes des victimes, sans procéder à une véritable analyse de la situation ? Raphal Bartlom l’espre.
Rien n’est certain. D’abord, parce que rares sont les clients qui choisissent de contester en justice le rejet de leur banque, notamment lorsque les sommes détournées sont peu importantes. Mais aussi parce que l’enjeu dépasse la seule question financière. Est-ce que ce type de fraude cote cher aux banques? Tout est relatif, elles sont souvent assurées, explique le juriste en chef d’UFC-Que Choisir. L’objectif de leur intransigeance est aussi de maintenir la confiance dans les outils de sécurisationne pas laisser penser qu’ils sont faillibles, en déclarant la responsabilité sur l’usager. Alors qu’en réalité, les banques sont aussi dépassées par le talent des fraudeurs.
(1) Article L133-18 du CMF. (2) Article L133-19 du CMF. (3) La Banque Postale, Crédit Agricole, Banque Populaire, BNP Paribas, Société Générale, CIC, LCL, Boursorama Banque, ING, Nickel, Cetelem et Floa Banque.
