Fraude au faux conseiller : votre banque en fait-elle assez pour vous protéger ?

+37% : au 1er semestre 2025, les sommes dérobées sur les comptes bancaires à la suite de fraudes par manipulation - souvent des fraudes au faux conseiller - a augmenté dans des proportions inquiétantes, selon les chiffres dévoilés fin janvier 2026 par l'Observatoire de la sécurité des moyens de paiement (OSMP) de la Banque de France.

Cette fraude supplémentaire, de l'ordre de 39 millions d'euros par rapport au second semestre 2024 est entièrement imputable à la hausse de la fraude par « virement banque en ligne », initié depuis l'espace bancaire mobile ou web de la victime, comme nous le détaillons dans l'article ci-dessous.

« Les voleurs sont des opportunistes » : les raisons de l'explosion des fraudes au faux conseiller

« Nos applications bancaires sont très sécurisées »

Une question se pose face à cette hausse : nos banques en font-elles assez pour sécuriser leurs canaux numériques ? « Nos applications bancaires sont très sécurisées », rassure Geoffrey Laloux, Principal et sponsor du domaine Paiement chez Square Management. « Ces fraudeurs ne forcent pas la sécurité de la banque, mais abusent de la crédibilité des usagers, qui sont le maillon faible. »

A défaut de la forcer, certains pirates parviennent néanmoins à contourner cette sécurité. « Effectivement, la fraude au virement par manipulation implique en règle générale que le fraudeur soit arrivé à se connecter au compte de la victime (sans nécessairement que cela lui accorde la possibilité de réaliser des opérations sensibles telles que l'ajout de bénéficiaire, l'émission de virement ou l'élévation de plafond de paiement) », confirme la Banque de France à MoneyVox. « Cet accès résulte en général de fuites de données obtenues après un hameçonnage bancaire : faux courriel ou SMS amenant la victime sur un site miroir de la banque, où elle est invitée à s'identifier (voire s'authentifier). »

La Banque de France suit la situation de près

Pour réduire ce risque, l'OSMP recommande depuis 2023 aux banques « d'appliquer une authentification forte systématique en cas de connexion depuis un nouvel appareil. (...) Les banques françaises appliquent dans leur très grande majorité cette recommandation, et nous suivons la situation de près. »

Indispensable, cette mesure n'est pas infaillible. Un usager du forum de MoneyVox, client de la banque en ligne Fortuneo, en a récemment fait l'expérience. D'après son récit, un pirate a pu se connecter à son espace bancaire en ligne et créer un bénéficiaire de virement, sans qu'il ait reçu le moindre SMS ou notification. Pourtant, nous avons pu vérifier que Fortuneo appliquait une authentification forte par code SMS en cas de connexion sur un nouvel appareil.

Sécuriser sans compliquer, un casse-tête

Finalement, c'est une mesure plus traditionnelle qui a permis à ce lecteur d'éviter le pire : le délai de temporisation de 24 heures appliqué par Fortuneo entre l'ajout d'un nouveau bénéficiaire et le premier virement. Un délai qui lui a laissé le temps de supprimer ce nouveau bénéficiaire et de changer ses identifiants.

Efficace, cette mesure de sécurité entre pourtant en contradiction avec l'esprit d'un récent règlement sur le virement instantané, dont l'Union européenne souhaite faire le fer de lance de la souveraineté européenne en matière de paiement. L'esprit de ce texte est de supprimer les frictions qui peuvent entraver l'usage du virement instantané. Il interdit, par exemple, aux banques de le facturer plus cher que le virement classique. Il leur impose aussi de laisser l'usager moduler ces plafonds selon ses besoins. Une liberté qui ouvre des brèches : « L'utilisateur est son meilleur ennemi », estime Geoffrey Laloux. « De nombreux utilisateurs, parce que c'est plus facile, vont mettre le montant maximum. »

En contrepartie, ce même règlement a ajouté une autre couche de sécurité en imposant la vérification du bénéficiaire avant chaque virement. Le service est entré en vigueur le 9 octobre 2025, soit après la période couverte par les derniers chiffres de l'OSMP. Il est donc encore tôt pour juger de son efficacité.

Virement : le mode d'emploi du service de vérification du bénéficiaire

Des messages qui font chuter la fraude

Les banques ont une autre parade face à l'épidémie de fraude par manipulation : la prévention. Toutes, ou presque, ont déployé de nouveaux messages de prudence dans leurs interfaces de banque en ligne, quitte, parfois, à recréer de la friction en alourdissant un peu la procédure d'initiation du virement.

Certains de ces messages semblent d'ailleurs très efficaces. Exemple chez BoursoBank : la banque en ligne a ajouté une étape au moment de réaliser certaines opérations sensibles : ajout d'un bénéficiaire, ajout suivi d'un virement, virement de gros montant... Elle demande au client de confirmer qu'il est en ligne avec un conseiller BoursoBank. Si la réponse est positive, la procédure est interrompue, le client est sensibilisé au risque de fraude et invité à contacter directement un conseiller au téléphone. Cette simple précaution a permis de « faire baisser les fraudes au faux conseiller de 90% », explique Xavier Prin, directeur de la communication et du marketing de la banque en ligne, dont « 10% des collaborateurs, au global, sont mobilisés sur la lutte contre la fraude ».

Une autre banque en ligne, Revolut, a opté pour une autre solution. Désormais, lorsqu'un client se connecte à son application mobile à l'invitation d'un conseiller (réel ou faux), un bandeau apparaît pour confirmer, ou non, que cet appel est bien émis par Revolut. Si ce n'est pas le cas, le bandeau vire au rouge et prévient : « Revolut ne vous appelle pas ». Une solution simple et efficace, qui mériterait d'être généralisée.

Banque en ligne : Revolut trouve une parade contre l'arnaque au faux conseiller