Vous avez été victimes d'escroqueries et de débits frauduleux sur votre compte bancaire ? La logique veut que votre banque vous rembourse sur le champ et intégralement. Certaines, pourtant, refusent, vous accusant de négligence. En ont-elles vraiment le droit ? Le point sur la réglementation et la jurisprudence dans le domaine.
Vous êtes malheureusement des milliers, tous les jours, à en faire l'amère expérience : malgré les progrès des dispositifs de sécurité, les arnaques sur compte bancaire sont toujours d'actualité. Cet été encore, des dizaines de clients de LCL ont été victimes de piratage à la chaine, avec à la clé un préjudice total se chiffrant en centaines de milliers d'euros. Plus que jamais, les cybercriminels sont à l'affût de toutes les failles et adaptent leurs modes opératoires.
Une chose ne change pas : à la source de ces vols, on retrouve généralement un vol de données personnelles, le plus souvent sur internet : des informations personnelles (état civil, adresse, numéro de téléphone), des numéros de carte bancaire ou, encore plus grave, des identifiants d'accès à la banque en ligne. Pour y parvenir, les malfaiteurs continuent d'utiliser la technique de l'hameçonnage, aussi appelée phishing.
Les ruses des escrocs pour vider votre compte bancaire
Ces vols de donnée ne leur suffisent plus, toutefois, à parvenir à leurs fins, depuis la généralisation des dispositifs d'authentification forte, achevée au printemps 2021, déclenchés lors des paiements en ligne ou des connexions à la banque en ligne. Une fois encore, les cybercriminels se sont adaptés. Ils n'hésitent plus à contacter directement leurs victimes au téléphone, en se faisant passer, par exemple, pour un conseiller bancaire. Les données personnelles volées leur servent ici à crédibiliser leur discours, dont la finalité est généralement de vous pousser à authentifier une opération à votre insu : un achat, un ajout de bénéficiaire de virements, etc. Le préjudice peut alors se chiffrer en dizaines de milliers d'euros.
Une réglementation protectrice des usagers
Heureusement, la réglementation dans le domaine est très protectrice des victimes. La règle en cas de débits frauduleux sur un compte bancaire est simple : la banque qui tient le compte doit rembourser. Et sur le champ : la loi dite pouvoir d'achat, adoptée l'été dernier par le Parlement, lui impose désormais un délai maximal d'un jour ouvré. Tout au plus peut-elle vous facturer une franchise de 50 euros. Et encore... Cela ne concerne que les opérations frauduleuses effectuées avec usage du code secret de la carte bancaire. La banque doit également faire la preuve que vous avez sciemment tardé à faire opposition après la perte ou le vol. En clair, si vous êtes de bonne foi, vous êtes plutôt tranquille de ce côté-là.
Il existe, par ailleurs, des cas de figure dans lesquels votre responsabilité ne peut jamais être engagée : si votre banque ne vous a pas informé clairement sur la manière de faire opposition ; si votre carte bancaire a été contrefaite et que vous êtes toujours en possession de l'original ; si le paiement frauduleux a été effectué sans qu'une authentification forte ait été exigée ; mais aussi si la fraude est la conséquence du détournement, à votre insu, de vos identifiants de carte bancaire (numéro unique, date de validité, cryptogramme) ou de compte bancaire (numéro de client et code secret).
Des politiques restrictives
Problème : face à l'énormité des sommes à rembourser - le montant total de la fraude aux moyens de paiement a atteint 1,24 milliard d'euros en 2021, en hausse de 8%, selon la Banque de France -, les banques ne font pas toujours preuve de bonne volonté. Certaines, notamment, ont adopté une politique très restrictive : pas de remboursement à partir du moment où les cybercriminels ont réussi à amener leur victime à divulguer leurs identifiants bancaires ou à valider l'opération frauduleuse par une authentification forte. C'est le cas, par exemple, de LCL, dans l'affaire évoquée en début d'article.
Voici leur logique : si les cybercriminels ont réussi à contourner les dispositifs de sécurité mis en place, c'est nécessairement parce que les victimes ont été négligentes, en ne prenant pas toutes les mesures raisonnables pour préserver la sécurité de leurs données de sécurité personnalisées. Elles renvoient ainsi au Code monétaire et financier, qui prévoit effectivement un cas de dérogation à la règle du remboursement intégral et immédiat, dans le cas où la victime n'a pas satisfait, intentionnellement ou par négligence grave, à ses obligations contractuelles de sécurité.
Une jurisprudence favorable
Une personne abusée par un site de phishing ou manipulée par un faux conseiller au téléphone doit-elle être considérée comme gravement négligente ? La question est épineuse et fait l'objet depuis des années de controverses, voire de conflits judiciaires, entre les banques, les usagers et les associations qui les représentent. En juin dernier, UFC-Que Choisir a ainsi déposé plainte contre une douzaine de banques pour « pratiques commerciales trompeuses ». L'association les accuse de faire croire aux victimes qu'elles « n'ont aucun droit au remboursement » et de les duper sur l'étendue de leurs droits. Car la réglementation est claire : pour refuser à leurs clients leur droit au remboursement, la banque doit démontrer en quoi il ont été négligents. Et ce au cas par cas.
De fait, les clients qui ont les moyens et le courage de porter leur affaire devant les tribunaux obtiennent très souvent gain de cause. La jurisprudence est clairement du côté des victimes. Dans plusieurs arrêts publiés ces dernières années (en janvier 2017, en juin 2017, en novembre 2018, en mai 2019), la Cour de cassation a confirmé plusieurs principes. Le premier : les clients ne sont pas responsables a priori du piratage de leur compte bancaire, quand bien même les paiements ont donné lieu à une authentification forte. Le deuxième : la banque a un devoir de vigilance et doit prévenir son client en cas d'activité inhabituelle sur son compte. Le troisième : c'est à la banque qu'incombe la charge de la preuve. C'est-à-dire que ce n'est pas au client de démontrer qu'il a pris toutes les « mesures raisonnables » pour préserver la sécurité de ses données de sécurité, mais à la banque de prouver qu'il a été négligent. Et c'est rarement évident, en l'absence d'aveux de la victime.
Aller en justice contre sa banque, toutefois, reste une épreuve, même si elle a de bonnes chances d'être couronnée de succès. Le meilleur moyen reste donc d'appliquer certaines bonnes pratiques, pour court-circuiter les stratégies des pirates.
