Pour contourner les dispositifs protégeant les comptes bancaires, les cybercriminels n'hésitent plus à se faire passer, au téléphone, pour des conseillers bancaires. Pour les victimes, c'est la double peine : dans ce cas, les banques refusent généralement de les rembourser. Ces refus automatiques sont toutefois contestés par les associations de consommateurs, mais aussi par la justice, qui vient de trancher en faveur d'une victime.

Le mode opératoire est bien rodé. Vous recevez un coup de fil. Le numéro qui apparaît sur votre mobile est celui de votre banque. Vous décrochez. Au bout du fil, une personne se présente comme un conseiller, en charge de la lutte anti-fraude : « Bonjour, vous êtes bien M. xxx, né le xx/xx/xx et titulaire du compte n°xxxxx ? ». Votre interlocuteur vous indique ensuite que des opérations suspectes se présentent sur votre compte et qu'il faut réagir vite. Pour cela, il a besoin de votre aide : vous devez lui communiquer des codes reçus par SMS sur votre mobile, ou valider une authentification via l'application de votre banque. Inquiet et sous pression, vous obtempérez. Le piège se referme : la personne au bout du fil est un escroc, et vous venez, sans le savoir, de valider un paiement sur internet ou l'ajout d'un nouveau bénéficiaire de virement. Immédiatement, votre compte est débité. Le préjudice dépasse régulièrement les 10 000 euros. Une paille pour certains, les économies d'une vie pour d'autres.

Cette arnaque au faux conseiller fait partie des menaces qui montent. Selon Cybermalveillance.gouv.fr, un groupement d'intérêt public chargé d'assister les victimes de fraudes sur internet, elle « s'est considérablement développée en 2022 (...) ». Logique : relativement complexe à mettre en œuvre, elle a toutefois l'avantage, pour les cybercriminels, de leur permettre de contourner les dispositifs d'authentification forte, généralisés depuis 2021 pour faire baisser la fraude sur les paiements en ligne.

Carte bancaire : voici la nouvelle fraude qui menace votre compte

Refus d'indemniser

Cette arnaque, de plus, est à double tranchant. Non seulement les montants détournés sont très élevés, mais les victimes, lorsqu'elles signalent la fraude, se heurtent souvent au refus de leur banque de les indemniser.

Pourtant, la réglementation semble claire sur le sujet. Voici ce que dit le code monétaire et financier (1) : « En cas d'opération de paiement non autorisée signalée par l'utilisateur (...), le prestataire de services de paiement du payeur rembourse au payeur le montant de l'opération non autorisée immédiatement après avoir pris connaissance de l'opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant (...). »

Cette règle, cependant, souffre deux exceptions, deux cas de figure où la banque n'est pas tenue de rembourser : si la victime est complice de la fraude, ou « s'il n'a pas satisfait intentionnellement ou par négligence grave » (2) à son obligation de « préserver la sécurité de ses données de sécurité personnalisées » : en clair, son numéro de compte ou de carte bancaire, le code secret de cette carte, les codes reçus par SMS ou le dispositif d'authentification forte fourni par sa banque.

La négligence grave invoquée

C'est précisément sur cette notion de négligence grave que les banques s'appuient pour refuser systématiquement de rembourser les victimes d'arnaques au faux conseiller. En fournissant à un tiers des codes de validation, ou encore en authentifiant une opération dont elles n'étaient pas à l'origine, elles ont été négligentes et ont donc engagé leur responsabilité.

C'est ce que nous a confirmé Boursorama Banque, une des rares banques à avoir accepté de nous répondre sur le sujet : « Nous pouvons être amenés à refuser un remboursement au titre de la négligence grave, c'est-à-dire quand l'analyse démontre que les opérations ont été effectuées par le client depuis un de ses appareils habituels (ordinateur ou téléphone portable) avec une authentification renforcée (...) ».

On se retrouve donc face à un douloureux paradoxe pour les victimes : l'authentification forte, conçue pour les protéger des arnaques, devient la preuve utilisée par les banques pour démontrer leur négligence grave. « C'est une porte claquée au nez du consommateur », résume Raphaël Bartlomé, en charge du service juridique d'UFC-Que Choisir.

Arnaque sur compte bancaire : votre banque peut-elle refuser de vous rembourser ?

BNP Paribas condamnée

Cette analyse de la réglementation, toutefois, est très contestée. A commencer, justement, par UFC-Que Choisir. L'association de défense des consommateurs a porté plainte, l'an dernier, contre une douzaine de banques (3). Elle les accuse de pratiques commerciales trompeuses, notamment pour leur refus de rembourser les victimes d'arnaques au faux conseiller. L'instruction de la plainte reste en cours, et rien n'indique qu'elle pourrait déboucher sur une condamnation. Mais c'est « une manière de faire avancer le sujet », explique Raphael Bartlomé.

« Ne pas rembourser dès qu'il y a eu authentification forte : nous considérons que c'est une pratique illégale », développe le juriste, qui poursuit : « La négligence grave, c'est, par exemple, révéler le code secret de sa carte bancaire dans le métro. Ici, nous parlons d'escroqueries extrêmement sophistiquées. Les escrocs usurpent les numéros de téléphone des banques, connaissent tout de leurs victimes grâce à des vols de données personnelles. Leur discours est crédible. Or, si l'arnaque n'est pas facilement détectable, la victime ne peut pas être accusée de négligence grave. »

C'est, en substance, la logique qu'a retenu la cour d'appel de Versailles. Dans une décision datée du 28 mars 2023, elle a condamné BNP Paribas à indemniser un client, victime d'une arnaque aux faux conseiller, à hauteur de 54 500 euros plus 1 500 euros au titre du préjudice moral. Dans cette affaire, l'escroc avait réussi à usurper le numéro de téléphone de la conseillère de la victime, se présentant comme un assistant. Il l'avait averti d'une attaque pirate contre son compte et convaincu d'authentifier, dans l'application mobile de sa banque, des ajouts de bénéficiaires de virement, que le faux conseiller expliquait avoir dû préalablement supprimer pour contrer l'attaque. La cour d'appel de Versailles a considéré, dans ce cas précis, que la négligence grave n'était pas caractérisée.

La FBF joue la carte de la prévention

Interrogée sur la décision de la cour d'appel de Versailles, la Fédération bancaire française explique qu'elle « ne commente pas une décision de justice ». Elle rappelle aussi que « des travaux sont en cours depuis quelques mois sous l'égide de l'Observatoire de la sécurité des moyens de paiement (OSMP) sur le remboursement de la fraude. Nous espérons que ceux-ci vont aboutir très prochainement. »

La FBF a lancé, ces derniers jours, une campagne de prévention sur la protection des données bancaires, en presse écrite, radio et sur internet.

Quelle va être, désormais, la portée de cette décision, sans précédent à ce niveau de juridiction pour une affaire de ce type ? « La décision de Versailles est intéressante », estime Raphaël Bartlomé, d'UFC Que Choisir. « Elle ne dédouane pas totalement l'usager, mais elle confirme qu'il n'a pas été gravement négligent. » Et donc qu'il est éligible à une indemnisation.

« La notion de négligence grave restera à l'appréciation des tribunaux »

Cette décision pourrait-elle faire jurisprudence ? « La décision pourra effectivement être invoquée dans d'autres affaires », confirme Me Katia Debay. Son verdict, toutefois, ne peut être généralisé. « La notion de négligence grave restera à l'appréciation des tribunaux », confirme l'avocate en droit bancaire. Pour cela, ces derniers s'appuient notamment sur la plainte déposée par la victime et sur les pièces qu'elle pourra apporter au dossier. D'où l'importance de conserver tout ce qui permet de prouver sa bonne foi : des captures d'écran, par exemple, des appels et messages échangés avec l'escroc. D'être, également, aussi factuel que possible lors du dépôt de la plainte, en évitant les commentaires du type « J'aurais dû m'en douter ».

Pour les banques, un enjeu de confiance

Une autre question se pose : ce précédent pourrait-il convaincre les banques d'adoucir leurs politiques ? De renoncer au rejet automatique des demandes des victimes, sans procéder à une véritable analyse de la situation ? Raphaël Bartlomé l'espère.

Rien n'est certain. D'abord, parce que rares sont les clients qui choisissent de contester en justice le rejet de leur banque, notamment lorsque les sommes détournées sont peu importantes. Mais aussi parce que l'enjeu dépasse la seule question financière. « Est-ce que ce type de fraude coûte cher aux banques ? Tout est relatif, elles sont souvent assurées », explique le juriste en chef d'UFC-Que Choisir. « L'objectif de leur intransigeance est aussi de maintenir la confiance dans les outils de sécurisation, ne pas laisser penser qu'ils sont faillibles, en reportant la responsabilité sur l'usager. Alors qu'en réalité, les banques aussi sont dépassées par le talent des fraudeurs. »

(1) Article L133-18 du CMF. (2) Article L133-19 du CMF. (3) La Banque Postale, Crédit Agricole, Banque Populaire, BNP Paribas, Société Générale, CIC, LCL, Boursorama Banque, ING, Nickel, Cetelem et Floa Banque.