Confrontées à des fraudes sur compte bancaire de plus en plus fréquentes et sophistiquées, certaines enseignes bancaires traînent les pieds lorsqu’il s’agit d’indemniser leurs clients, les accusant de négligence. Pourtant, la réglementation est clairement du côté des victimes. Explications.

Le 14 mars dernier, le tribunal d’instance de Beauvais condamnait le Crédit Mutuel Nord Europe à rembourser à l’un de ses clients 2.731,98 euros, soit l’équivalent de quatre opérations frauduleuses passées sur son compte bancaire. Jusqu’ici, la banque avait refusé de le faire, justifiant ce refus par la négligence supposée de ce client, victime d’une technique de fraude sur compte bancaire appelée phishing (ou hameçonnage en français).

Le scénario est classique. Le client reçoit un mail, à l’en-tête de sa banque. Le message lui signale un problème sur son compte et lui propose de cliquer sur un lien pour accéder à son espace de gestion en ligne. Ce lien l’amène vers un site qui ressemble comme deux gouttes d’eau à celui de sa banque. Il entre donc en toute confiance ses identifiants bancaires, voire certains codes secrets. Problème : ce site est en fait une copie créée par des pirates. L’histoire, en général, se termine mal : le client s’aperçoit, quelques heures plus tard, que des virements ont été passés à son insu vers des comptes basés à l’étranger.

Les affaires comme celle-ci, rendue publique par l’Association française des usagers de banques (Afub), sont légion. En 2013 (derniers chiffres disponibles), le projet Phishing Initiative, qui permet aux internautes francophones de reporter des cas de phishing, a pu identifier et confirmer l’apparition de plus de 28.000 nouveaux sites frauduleux, soit près de 80 par jour en moyenne. Et selon le spécialiste de la sécurité informatique Kaspersky Lab, les faux sites bancaires représentaient environ un quart de ces attaques, une part qui a doublé entre 2012 et 2013. Il faut dire que cette technique, qui s’appuie avant tout sur la crédulité de ses victimes, ne demande pas de grandes compétences techniques et est à la portée du premier pirate venu.

Une réglementation protectrice des usagers

En général, les choses finissent par s’arranger pour les victimes de ces fraudes : le droit est, en effet, plutôt de leur coté. La directive européenne sur les services de paiement, transposée en droit français en 2009, oblige les banques à rembourser les opérations de paiement non autorisées par le titulaire d’un compte. Il y a toutefois une exception à cette règle, détaillée par l’article L133-19 du code monétaire financier : « Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 [protection de ses codes de sécurité, NDLR] et L. 133-17 [opposition en cas de perte et vol, NDLR].

« Le cas typique de négligence, c’est celui du consommateur qui se fait voler son portefeuille contenant à la fois sa carte bancaire et son code secret inscrit sur un bout de papier », explique Maxime Chipoy, chargé de mission banque au sein de l’association de consommateurs UFC-Que Choisir. « La directive sur les services de paiement est très claire », poursuit-il, « il y a négligence si un paiement frauduleux est effectué avec utilisation du code secret ou d’un code à usage unique. La négligence ne peut pas être invoquée dans le cas d’un simple vol d’identifiants bancaires par phishing ».

La négligence doit être prouvée

Toutefois, il existe des cas plus complexes. Le Crédit Mutuel a ainsi fait face à une opération de phishing très sophistiquée, qui a permis à des fraudeurs de récupérer des identifiants bancaires, mais aussi de détourner le système utilisé pour authentifier les virements : une « carte de clés personnelles » qui, sur le principe de la bataille navale, permet au client de retrouver un code secret à partir de coordonnées envoyées par la banque.

C’est en arguant de l’infaillibilité de ce dispositif, pourtant sujette à caution, que le Crédit Mutuel Nord Europe a justifié l’accusation de négligence, et le non-remboursement d’opérations frauduleuses. « (…) Toutes les opérations de paiement par carte bancaire contestées ont été effectuées après la saisie d’une des 64 cases (choisie au hasard) figurant sur la carte de clés personnelles », a notamment écrit la banque à un de ses clients victime, dont le cas a été relaté sur le blog SOS Conso du Monde.fr. « Ces opérations ont été rendues possibles parce que vous avez communiqué l’ensemble de vos informations personnelles à savoir l’identifiant, le mot de passe, les informations relatives à votre carte de clés personnelles ».

Lire par ailleurs : Le Crédit Mutuel Nord Europe refuse de rembourser certains clients victimes de fraude

Cet argumentaire, toutefois, semble trouver ses limites une fois porté devant la justice, comme l’illustre l’affaire citée en introduction de cet article. En effet, il ne suffit pas pour la banque d’invoquer la négligence de son client pour avoir gain de cause. « La jurisprudence a confirmé que la banque doit aussi en apporter la preuve », rappelle Maxime Chipoy. En résumé, fournir des éléments tangibles prouvant qu’un client a divulgué le code authentifiant la transaction frauduleuse : quasi-impossible dans le cadre d’une opération qui s’est déroulée à distance, par voie électronique.

Redoubler de prudence

Moralité : victimes de phishing de bonne foi, si votre banque refuse de vous rembourser, vous avez toutes les chances d’obtenir gain de cause devant un tribunal. Encore faut-il avoir le courage, et les moyens, d’y porter l’affaire.

Le plus simple reste encore d’éviter ce genre de situation, en redoublant de prudence. « Globalement, les banques ne font pas les efforts suffisants pour informer leurs clients sur les questions de sécurité » déplore Maxime Chipoy, qui encourage les consommateurs à prendre de bonnes habitudes : « Ne jamais envoyer de mail contenant ses données bancaires ; ne jamais cliquer sur un lien contenu dans un mail, et préférer se rendre directement sur le site de sa banque ; mettre à jour son antivirus et son navigateur, pour prévenir d’éventuelles failles. Et aussi, penser à sécuriser son smartphone avec un antivirus. »