Supprimer la zone grise autour du remboursement des fraudes subies par les clients : c'est l'objet d'une série de recommandations publiées par la Banque de France ce mardi. Avec un principe central : si elles refusent de rembourser, les banques devront se justifier, même si leurs dispositifs de sécurité ont été contournés.
C'est la loi : lorsque votre compte bancaire est débité suite à une opération que vous n'avez pas autorisée, votre banque doit vous rembourser sur le champ. Pourtant, toutes les victimes dénonçant des débits frauduleux sur leur compte n'obtiennent pas réparation. Selon les sources, les taux de remboursements oscillent de 70% à 80%. En clair, dans 2 à 3 cas sur 10, la victime supporte le coût de la fraude.
Comment expliquer ce 2 poids, 2 mesures ? Là encore, il faut se reporter à la réglementation. Elle autorise, en effet, les banques à reporter la responsabilité de la fraude sur la victime dans deux cas : lorsqu'elle est complice de la fraude, logiquement, mais également quand elle a permis, par sa négligence grave, au cybercriminel de parvenir à ses fins.
Cette question de la « négligence grave », et de la manière dont on peut la prouver, suscite depuis longtemps des débats juridiques entre les banques d'un côté, les usagers et leurs représentants de l'autre. Ils ont atteint un paroxysme depuis 2021, et la généralisation des dispositifs dits d'authentification forte, destinés à sécuriser les opérations - les paiements notamment - effectuées à distance, sur le web et le mobile.
En juin 2022, l'UFC-Que Choisir a mis en cause une douzaine de banques, sous la forme d'une plainte, toujours en cours d'instruction, pour « pratiques commerciales trompeuses ». Parmi les griefs adressés par l'association de consommateurs : le refus automatique de ces banques de rembourser leurs clients victimes de débits frauduleux lorsque l'opération a été validée par une authentification forte.
Fraude bancaire : UFC-Que Choisir porte plainte contre 12 banques
Un cadre clair pour effacer la « zone grise »
Résumons. L'usage d'une authentification forte permet-elle de prouver automatiquement la négligence grave de la victime ? Les banques répondent souvent « oui », les usagers répondent « non ». Pour trancher et effacer cette « zone grise », pour reprendre l'expression de l'OMSP, les deux camps se sont réunis autour d'une table, lors de groupes de travail organisés, entre octobre 2022 et février 2023, par la Banque de France et l'Observatoire de la sécurité des moyens de paiement (OMSP). Objectif : établir un cadre clair pour traiter les demandes de remboursement d'opérations frauduleuses.
Il y a urgence. Si l'authentification forte a permis de faire reculer la fraude aux paiements par carte sur internet (1), elle a aussi encouragé les cybercriminels à faire évoluer leurs modes opératoires. Plus complexes à mettre à œuvre, leurs nouvelles techniques, à l'image de l'arnaque au faux conseiller, sont aussi plus rentables.
Carte bancaire : voici la nouvelle fraude qui menace votre compte
La preuve en chiffres : selon l'OMSP, les paiements frauduleux avec authentification forte ont représenté 9% du nombre total des paiements frauduleux par carte sur internet en 2021, mais 30% des sommes dérobées. En clair, moins de victimes, mais des préjudices plus lourds.
L'authentification forte n'est pas infaillible
Ce nouveau cadre a été dévoilé ce mardi par la Banque de France. Il consiste en une série de recommandations - 13 précisément - dont 6 s'adressent directement aux banques. Elles « illustrent l'engagement de l'ensemble des membres de l'Observatoire à faire face à deux grandes nécessités » a commenté François Villeroy de Galhau, gouverneur de l'institution, dans un communiqué. « D'une part, intensifier collectivement nos actions de prévention et de lutte contre la fraude ; et d'autre part, apporter des réponses clarifiées et harmonisées aux victimes de fraude ».
Premier principe : l'authentification forte n'est pas infaillible. La Banque de France reconnaît, en effet, qu'un usager manipulé par un fraudeur et qui authentifie, sous pression, un paiement n'est pas nécessairement négligent. C'est une victoire pour les associations de consommateurs qui défendaient ce principe. Cela va également dans le sens d'une récente décision de justice : le 28 mars dernier, la cour d'appel de Versailles avait condamné BNP Paribas à indemniser un client victime d'une arnaque au faux conseiller.
Arnaque au faux conseiller : la banque refuse de rembourser... est-ce légal ?
Pas de refus sans preuves
Deuxième principe : les banques ne peuvent plus refuser de rembourser sans preuves. Concrètement, en cas d'opération validée par une authentification forte, mais contestée par le client, l'établissement doit instruire le dossier en un jour ouvré au maximum. Sur quelle base ? En vérifiant, en particulier, si l'opération frauduleuse - le paiement d'un bien ou d'un service en ligne, par exemple - a bien été initiée par la victime présumée. Comment ? En s'appuyant sur les paramètres techniques de la transaction : son origine, le terminal utilisé, sa localisation géographique...
S'il n'est pas en mesure de conclure que la fraude vient du client lui-même ou que ce dernier a fait preuve d'une négligence grave, l'établissement doit procéder au remboursement immédiat.
Et s'il refuse de rembourser, il doit en informer le client, lui communiquer le motif du refus et joindre les éléments qui justifient sa décision.
Application immédiate, bilan fin 2024
Ce nouveau cadre, dévoilé aujourd'hui mais adopté fin avril, est d'ores et déjà en vigueur par les banques. Reste à voir si, et comment, il sera appliqué.
Les recommandations de l'OMSP, en effet, n'ont pas caractère de loi. Elles sont plutôt des lignes de conduite adressées aux banques sur la manière d'appliquer correctement la réglementation sur le sujet. Leur application, néanmoins, sera contrôlée par le « gendarme bancaire », l'Autorité de contrôle prudentiel et de résolution, qui en tirera un premier bilan à la fin de l'année 2024
(1) Selon l'OSMP, le taux de fraude sur ce type de paiement est passé de 0,249% en 2020 à 0,196% en 2021 et devrait continuer à baisser en 2022.
