En croissance continue depuis au moins une décennie, le nombre d'escroqueries avec débits frauduleux a encore progressé depuis la pandémie. Un phénomène que les banques peinent à endiguer, malgré les progrès de sécurisation des moyens de paiement. Face à l'importance des préjudices, elles sont soupçonnées de ne plus rembourser automatiquement certaines victimes.
La solidité d'une banque ne se mesure pas seulement à sa résistance aux crises économiques. Elle réside également, et peut-être surtout, dans sa capacité à remplir sa mission première : être un coffre-fort pour votre argent.
Cela n'a pas été une mince affaire ces dernières années. Le transfert sur le web et le mobile d'une part croissante des opérations bancaires a, en effet, constitué un véritable défi pour les banques. Car c'est désormais, à distance, derrière un ordinateur ou depuis un téléphone, que les malfaiteurs déploient l'essentiel de leurs ressources.
S'ils n'ont pas totalement disparu, les vols à main armée sont devenus rarissimes : leur nombre a baissé de 95% entre 1996 et 2018 (1), grâce notamment à la réduction de la détention d'espèces dans les agences. En revanche, les escroqueries, au sens large, sont de plus en plus nombreuses. Et elles se terminent généralement par un débit frauduleux sur le compte de la victime. Boursorama Banque, une des rares banques à avoir accepté de répondre à nos questions, constate, « comme l'ensemble des banques (...) une recrudescence de fraudes qui utilisent des techniques et scénarios (...) toujours plus sophistiqués qui peuvent tromper les clients. »
Le nombre de plaintes pour escroquerie a doublé en 10 ans
Les chiffres du Service statistique ministériel de la sécurité intérieure (SSMSI), qui compile chaque mois les actes de la délinquance signalés aux forces de l'ordre, sont très clairs. A l'exception du 2e trimestre 2020, soit celui du premier confinement, le nombre d'escroqueries enregistrées chaque trimestre n'a cessé de progresser. Il a tout simplement doublé en 10 ans, passant de 60 000 au 1er trimestre 2012 à 120 000 au 3e trimestre 2022. Parmi les différentes formes de délinquance suivies par le service, c'est le seul, avec les violences sexuelles, à connaître une hausse aussi importante et régulière.
La hausse des cas de débits frauduleux sur les comptes bancaires est, elle, visible grâce à une autre enquête menée par le SSMSI, en collaboration avec l'Insee, et baptisée « Cadre de vie et sécurité » (CVS). Sur la seule année 2020, 1,3 million de ménages métropolitains ont déclaré avoir été victimes d'au moins un débit frauduleux sur leur compte bancaire, soit 4,5% de l'ensemble des ménages détenteurs d'un compte bancaire. Ils étaient seulement 500 000 en 2010, mais ce chiffre n'a cessé d'augmenter depuis, passant le million en 2015.
Les montants fraudés en hausse de 50% depuis 5 ans
Une autre source chiffrée permet d'évaluer le volume des sommes dérobées. Chaque année, la Banque de France publie les chiffres de son Observatoire de la sécurité des moyens de paiements. En 2021, le butin des cybercriminels donne le tournis : 1,24 milliard d'euros. Un montant qui a augmenté de près de 50% en 5 ans.
Le chèque (37% des montants fraudés) est, de loin, le moyen de paiement le plus fragile face à la fraude. Mais c'est la carte bancaire qui est la plus souvent utilisée pour vider les comptes : elle ne représente « que » 34% des montants dérobés, mais plus de 90% du volume total des fraudes.
Arnaque sur internet : les ruses des escrocs pour vider votre compte bancaire
Des moyens de paiement pourtant mieux sécurisés
« Des techniques et scénarios (...) toujours plus sophistiqués ». De fait, la tâche des escrocs pour atteindre les comptes bancaires est de plus en plus compliquée. Car, face à la menace croissante, le secteur bancaire a dû réagir. Depuis 2021, les opérations effectuées à distance, et en particulier les paiements par carte bancaire sur internet, sont mieux sécurisées, grâce à un recours plus fréquent à des dispositifs dits d'authentification forte.
Carte bancaire : ce qui change pour la sécurité de vos paiements
A leur tour, les cybercriminels ont dû s'adapter. Dérober (ou acheter sur le darknet) un numéro de carte bancaire ne suffit plus. Pour contourner ces dispositifs et accéder aux comptes bancaires, ils ont besoin de plus d'informations : état-civil, adresse mail, numéro de téléphone, nom de la banque, numéro de compte, etc. Pour récupérer ces données, ils ont un recours massif à la technique de l'hameçonnage, ou phishing. Ils vous contactent, par courriel et de plus en plus souvent par SMS, en se faisant passer pour un autre : une administration, un commerçant, une société de services, etc. Ils s'arrangent alors pour vous orienter vers un site web, faux mais souvent très crédible, où ils vont récupérer vos données par la ruse.
En 2022, le Groupement d'Intérêt Public Action contre la cybermalveillance a noté une hausse de 51% des recherches d'assistance de victimes d'hameçonnage. Il a également identifié plus de 50 menaces différentes, preuve de la créativité des cybercriminels, qui n'hésitent pas à changer régulièrement de modes opératoires pour éviter d'être repérés. Parmi les « hameçons » les plus couramment utilisés en 2022, on retrouve ainsi la notification d'infraction pédopornographique, le faux support technique, la fausse livraison de colis, le chantage à la webcam piratée, le compte personnel de formation (CPF), le renouvellement de carte Vitale (Ameli), les fausses confirmations de commande...
Les banques rechignent-elles à rembourser ?
La généralisation de l'authentification forte a-t-elle permis d'endiguer la fraude ? Difficile à dire, tant les chiffres très récents manquent sur le sujet. D'après le SSMSI, le nombre brut des escroqueries signalées a tendance à se stabiliser depuis le début de l'année, à un niveau qui reste toutefois supérieur à ce qu'il était avant la pandémie.
Cette généralisation semble, en revanche, avoir changé la donne sur un autre sujet : celui de l'indemnisation des victimes. En juin 2022, l'association de consommateurs UFC Que Choisir a déposé plainte pour « pratiques commerciales trompeuses » contre une douzaine d'établissements, parmi lesquels La Banque postale, le Crédit agricole, la Banque populaire, BNP Paribas, Société générale, le CIC, LCL, Boursorama ou encore Nickel. En cause notamment, leur refus systématique de rembourser les sommes détournées lorsque les opérations ont été validées avec une authentification forte. Selon l'UFC, cette pratique serait contraire au code monétaire et financier.
Fraude sur compte bancaire : le trouble jeu des banques
Le cadre général, en effet, est le suivant : en cas de débits frauduleux sur un compte bancaire, la banque qui tient le compte est tenue de rembourser le préjudice. Et, ce très rapidement : dans un délai d'un jour ouvré. Il existe toutefois quelque cas de figure où le remboursement peut être refusé. Un, en particulier, semble de plus en plus souvent invoqué : la négligence grave. L'usager bancaire, en effet, a l'obligation de protéger ses différents identifiants bancaires. S'il ne le fait pas, il s'expose à devoir supporter le préjudice subi.
Cette question de la négligence est relativement simple à arbitrer dans le monde physique. Si vous confiez à un tiers votre code de carte bancaire et qu'il l'utilise pour effectuer des paiements ou des retraits, votre responsabilité est logiquement engagée. C'est plus épineux dans le cas des usages à distance. Un usager abusé au téléphone par un faux conseiller bancaire et qui authentifie, de bonne foi, des opérations doit-il être considéré comme négligent ? C'est, de fait, la nouvelle jurisprudence que les banques semblent appliquer.
Une nouvelle jurisprudence sur les remboursements ?
Boursorama Banque nous le confirme : « Nous pouvons être amenés à refuser un remboursement au titre de la négligence grave, c'est-à-dire quand l'analyse démontre que les opérations ont été effectuées par le client depuis un de ses appareils habituels (ordinateur ou téléphone portable) avec une authentification renforcée (...). » Même tonalité du côté du Crédit Agricole : « Le Crédit Agricole applique la règlementation en la matière, à savoir le remboursement immédiat du client, en prenant pour principe, sa bonne foi. Toutefois, comme le précise le Code monétaire et financier, la contestation doit être effectuée dans les temps impartis et il ne doit pas y avoir de négligence constatée, susceptible d'avoir favorisé la fraude. »
Pour Aurélien Soustre, ancien cadre commercial en banque de détail et membre du Comité consultatif du secteur financier (CCSF), cette politique est contraire à l'esprit de la réglementation. « Il y a un renversement du régime de la preuve. La réglementation indique que c'est à la banque d'apporter la preuve de la négligence de l'usager. Désormais, on a la sensation que les banques considèrent par défaut que leur client a été négligent, et que c'est à lui d'apporter la preuve qu'il ne l'a pas été. Avec l'authentification forte, le client est réputé complice et doit assumer les conséquences de sa négligence. Pourtant, les fraudeurs ont souvent une longueur d'avance, et tout le monde peut tomber dans les pièges tendus. »
Arnaque au faux conseiller : la banque refuse de rembourser... est-ce légal ?
En filigrane, un soupçon : face à la hausse des préjudices, les banques ont choisi de durcir les conditions de remboursement. « C'est une politique de risques calculée », poursuit Aurélien Soustre. « Elles savent qu'en cas de refus de rembourser, certains vont s'accrocher et généralement obtenir gain de cause. Mais la plupart des clients vont abandonner. » Pourtant, la justice tranche généralement en faveur des victimes. Le 28 mars dernier, la cour d'appel de Versailles a, par exemple, condamné BNP Paribas à reverser 54 000 euros à un client abusé par un faux conseiller.
Difficile, toutefois, de confirmer le recul des remboursements, en l'absence de chiffres incontestables ou récents. En octobre 2020, l'UFC-Que Choisir estimait à 30% la part des victimes non remboursées, dans une étude maison. En 2021, la Fédération bancaire française, qui représente le secteur bancaire, évoquait, de son côté, un taux de remboursement de 85%. Source plus solide, l'enquête CVS du SSMSI, déjà évoquée, annonçait, en 2020, un chiffre de 79% des victimes remboursés. Un chiffre cohérent avec celui obtenu en octobre 2022 par un sondage MoneyVox - YouGov France (2) : 81% des sondés ayant été victimes de débits frauduleux indiquaient avoir été remboursés du préjudice subi, dont 65% en totalité.
Arnaque : 4 Français sur 10 victimes de débits frauduleux sur leur compte bancaire
L'accent mis sur la prévention
A défaut de bonne volonté au moment d'indemniser les victimes, les banques mettent l'accent sur la prévention pour éviter que les clients ne tombent dans les pièges.
Dans ce même sondage d'octobre 2022, 70% des Français expliquaient avoir déjà reçu des informations sur les risques d'escroqueries de la part de leur banque. De fait, la plupart des banques relayent désormais, sur leurs sites web, leurs applications mobiles, voire via des courriels et de SMS, des messages de prévention sur les campagnes de fraude en cours. Elles sont de plus en plus nombreuses, également, à alerter en temps réel leurs clients, par SMS notamment, lorsqu'un paiement par carte bancaire d'un certain montant intervient.
L'autre levier de prévention est de nature technologique. BNP Paribas explique, par exemple, renforcer « constamment ses dispositifs de lutte contre la fraude en déployant des ressources et en mettant en œuvre des technologies de détection des opérations frauduleuses ».
La sensibilisation des clients passe enfin par les réseaux sociaux. Récemment, plusieurs banques (CIC, Crédit Mutuel, La Banque Postale, LCL, Orange Bank, SG) ont participé à une campagne sur Instagram baptisée « Fraude Fight Club », orchestrée par Cybermalveillance.gouv.fr. Objectif notamment : prévenir les arnaques aux faux conseillers bancaires, qui constituent actuellement la principale menace.
Votre argent est-il bien protégé ? Découvrez tous les articles de notre dossier spécial
(1) Source : Les Echos. (2) Enquête réalisée sur un échantillon de 1 003 personnes, représentatives de la population nationale française âgée de 18 ans et plus. Sondage effectué en ligne, sur le panel propriétaire YouGov France, du 28 au 31 octobre 2022.
