Fraude sur compte bancaire : dans quels cas êtes-vous responsable ?

Confrontées à des débits frauduleux sur des comptes bancaires, certaines enseignes bancaires rejettent la faute sur les clients victimes et refusent de les indemniser, les accusant de négligence. Mais dans quel cas êtes-vous réellement responsables des piratages que vous subissez ? Le point sur la réglementation et la jurisprudence dans le domaine.

Vincent MIGNOT • Journaliste-rédacteur

Publié le mercredi 11 décembre 2019 à 07h00

Le scénario est classique. Vous recevez un courriel, à l’entête de votre banque. Il vous signale un problème sur votre compte et vous propose de le régler en cliquant sur un lien contenu dans le message. Il vous amène directement vers la page de connexion de votre espace bancaire en ligne. Vous entrez en toute confiance vos identifiants. Problème : ce site est en fait une copie créée par des pirates. L’histoire, en général, se termine mal : vous vous apercevez, quelques heures plus tard, que des virements ont été passés à votre insu vers des comptes basés à l’étranger, ou que votre carte bancaire a été utilisée pour des achats en ligne. Vous venez d’être victimes d’un hameçonnage (ou phishing), une fraude qui consiste à usurper l’identité de votre banque (ou de tout autre institution) pour vous soutirer des informations sensibles. Mais cela aurait tout aussi bien pu être un skimming - un vol de données de carte bancaire au distributeur d’argent. Le résultat est malheureusement le même : vous avez subi des débits frauduleux sur votre compte bancaire.

Ces arnaques sont malheureusement légion. En 2018, la fraude aux moyens de paiement a dépassé pour la première fois le milliard d’euros, selon la Banque de France, en hausse de 36% sur un an. Et cette année, le site Phishing Initiative France, mis en place à l’initiative de l’Union européenne, a déjà recueilli le signalement de plus de 137 000 sites de phishing. Il faut dire que cette technique, qui s’appuie avant tout sur la crédulité de ses victimes, ne demande pas de grandes compétences techniques et est à la portée du premier pirate venu.

Une réglementation protectrice des usagers

Heureusement, les choses finissent souvent par s’arranger pour les victimes de ces fraudes : le plus souvent, ils vont en effet être indemnisés par leur banque. Car la réglementation, dans le domaine, est clairement de leur côté. En voici le cadre, tel que prévu par le Code monétaire et financier.

En cas de débits frauduleux consécutifs à la perte ou au vol de votre carte bancaire plastique ou de votre chéquier, votre responsabilité est engagée tant que vous n’avez pas fait opposition. Les pertes restant à votre charge sont toutefois plafonnées à 50 euros. Le reste doit vous être remboursé par votre banque. L’intégralité du préjudice doit même vous être remboursé si le débit frauduleux a été effectué sans utilisation du code secret ; s’il a été effectué avant que vous ne puissiez effectivement détecter la perte ou le vol ; ou encore s’il est consécutif à une erreur de votre banque : par exemple en cas d’envoi d’une nouvelle carte à une mauvaise adresse.

Il existe, par ailleurs, des cas de figure dans lesquels votre responsabilité ne peut jamais être engagée : si votre banque ne vous a pas informé clairement sur la manière de faire opposition ; si votre carte bancaire a été contrefaite et que vous êtes toujours en possession de l’original ; si le paiement frauduleux a été effectué sans qu’une authentification forte ait été exigée, c’est-à-dire sans envoi d’un code SMS à usage unique ou sans recours à un capteur biométrique d’empreintes digitales. Mais aussi si la fraude est la conséquence du détournement, à votre insu, de vos identifiants de carte bancaire (numéro unique, date de validité, cryptogramme) ou de compte bancaire (numéro de client et code secret). Ce qui est le cas, généralement, avec le phishing.

Deux exceptions

Attention toutefois : la réglementation prévoit deux exceptions . La première paraît logique : pas de remboursement si vous avez intentionnellement fraudé votre banque. La seconde est plus ambigüe : votre banque peut en effet refuser de vous indemniser si elle estime que vous avez fait preuve de négligence grave en ne faisant pas opposition, même après vous être rendus compte de la perte ou du vol, ou en ne prenant pas toutes les mesures raisonnables pour préserver la sécurité de vos données de sécurité personnalisées : en particulier votre code secret de carte bancaire et vos identifiants de connexion à votre banque en ligne.

Des cas complexes

Les banques invoquent surtout la négligence grave dans deux cas : quand le paiement frauduleux a été effectué avec l’utilisation du code secret de la carte bancaire, dans le cas d’un paiement de proximité, ou du code unique envoyé par SMS, dans le cas d’un paiement à distance par carte ou par virement. En résumé, quand les pirates ont réussi à contourner les dispositifs mis en place pour vérifier l’authentification du payeur.

Certains cas sont relativement simples à instruire. L'exemple typique est celui du consommateur qui se fait voler son portefeuille, contenant à la fois sa carte bancaire et son code secret inscrit sur un bout de papier : ici, difficile de contester la négligence. Mais d’autres sont beaucoup plus complexes. Il existe, en effet, des techniques sophistiquées pour détourner les systèmes d’authentification forte des banques. Une d’entre elles consiste à détourner la ligne mobile de la victime, en se faisant passer pour elle auprès de son opérateur et en déclarant un vol de carte SIM pour en obtenir une nouvelle : c’est ce qu’on appelle un SIM Swap. La faille permet ainsi au pirate de recevoir les codes à usage unique envoyés par SMS, et d’authentifier des paiements par carte sur internet ou d’ajouter des bénéficiaires de virement. Pour la mettre en œuvre, il doit nécessairement être en possession d’un certain nombre d’informations sur sa victime : son état civil, son numéro de téléphone, son adresse email, son numéro de carte bancaire, son identifiant de banque en ligne... Des informations généralement récupérées par le biais d’un email de phishing.

La jurisprudence plutôt du côté des victimes

Etre victime de phishing est-il suffisant pour être taxé de négligence grave ? C’est en tout cas un argument très souvent invoqué par les banques. Selon le ministère de l’Intérieur, cité par l’association de consommateurs UFC dans l’édition de décembre 2019 de son magazine Que Choisir (1), « la banque refuserait de rembourser les débits frauduleux dans 20% des cas ». Certaines s’en sont même fait une spécialité, comme le Crédit Mutuel Nord Europe.

Les clients qui ont les moyens et le courage de porter leur affaire devant les tribunaux obtiennent toutefois très souvent gain de cause. La jurisprudence, en effet, est plutôt du côté des victimes. Dans plusieurs arrêts publiés ces dernières années - en janvier 2017, en novembre 2018, en mai 2019 - la Cour de cassation a confirmé deux principes. Le premier : les clients ne sont pas responsables a priori du piratage de leur compte bancaire, quand bien même les paiements ont donné lieu à une authentification forte. Le second : C’est à la banque qu’incombe la charge de la preuve. C’est-à-dire que ce n’est pas au client de démontrer qu’il a pris toutes les « mesures raisonnables » pour préserver la sécurité de ses données de sécurité, mais à la banque de prouver qu’il a été négligent. Et c’est rarement évident, en l’absence d’aveux de la victime.

Aller en justice contre sa banque, toutefois, reste une épreuve, même si elle a de bonnes chances d’être couronnée de succès. Le meilleur moyen reste donc d’appliquer certaines bonnes pratiques, pour éviter d’être piraté : ne pas noter son code secret, ne jamais se connecter à sa banque en cliquant sur un lien dans un courriel ou SMS, consulter régulièrement ses comptes bancaires…

De nouvelles règles d’authentification arrivent

Ce ne sera sans doute pas la fin de débits frauduleux, tant les pirates savent se montrer créatifs. Mais vous soutirer de l’argent va devenir plus compliqué. Les règles de sécurité encadrant l’accès à votre compte bancaire et à vos paiements vont en effet être renforcées, avec l’entrée en vigueur de la 2e directive européenne sur les services (DSP2). D’ici la fin 2020, les banques devront notamment dire au revoir au code à usage unique envoyé par SMS, dont nous avons évoqué les failles, et adopter une nouvelle génération de systèmes d’authentification, passant notamment par l’usage de leurs applications mobiles et de la biométrie.

(1) « Débits frauduleux : quand la banque ne veut pas rembourser », Que Choisir, décembre 2019.

Ces articles pourraient vous intéresser !

Livret d'épargne : « Une pub télé annonce un taux de 5%. Peut-on avoir confiance ? »

Aspa : les nouveaux seuils 2026 pour rembourser à l'Etat le minimum vieillesse en cas de décès

Partager cet article

Commentaires

Publié le 11 décembre 2019 à 09h27 - #1Dionysos

Homme
Au bord du fleuve et du vignoble
74 ans

...et ceux qui n'ont pas de smartphone????
Tout moyen supplémentaire de protection devrait être mis à la charge des banques , ce sont elles qui ont le plus à y perdre.

Publié le 13 décembre 2019 à 07h37 - #2Compte anonyme

Bonjour je suis concernée par cette fraude et la banque ne veut pas me rembourser parce que sous la peur d'être débitée de ces sommes et la pression des fraudeurs qui se sont fait passer pour le service des fraudes ils m'ont dit que la seule façon de pouvoir arrêter ces prélèvements c'était de leur donner les codes reçus par SMS.
En panique et de peur que ces sommes soient prélevées je me suis dit que ce code qui servait à valider le paiement était peut-être nécessaire pour l'annuler au service des fraudes, sauf que je ne savais pas que j'étais en communication avec les fraudeurs.
Donc la banque refuse le remboursement, alors que l'origine de cette fraude est le piratage de ma carte bancaire. Donc protection insuffisante du système bancaire. Si la carte n'avait pas été piratée il n'y aurait pas pu y avoir de prélèvement.
Quand je fais le numéro du téléphone qui m'a appelé je tombe a l'agence postale, a ce jour personne n'a répondu a ma question, pour quoi l'agence postale.
Si vous avez été victime ou si vous savez la procédure pour être rembourse je suis intéressée.
Ce qui m'a été pris 2000 € était ma SEULE épargne a 71 ans c'est terrible pour moi

Publié le 13 décembre 2019 à 11h26 - #3Compte anonyme

Réponse à Hérault 71 ans
Bonjour,
Je suis dans une situation un peu identique à la vôtre (je n'ai pas donné le code aux fraudeurs, mais ils l'ont intercepté).
Je suis tombé, sur ce forum, sur quelqu'un éminemment sympathique en la personne de Jmi12 qui m'a beaucoup aidé et qui continue encore de le faire.
Je ne saurais que trop vous conseiller de le contacter, il est bien plus compétent que moi (même si je suis prêt à vous aider, moi aussi. Mais lui a des connaissances en droit que je n'ai pas)
Attendez vous à ce que ce soit long (mon incident bancaire date du mois de mars).
Attendez vous aussi, après avoir épuisé toutes les voies de recours auprès de votre banque, à devoir saisir la justice (en-dessous de 4000,00 €, vous n'êtes pas tenue de prendre un avocat)
Voyez si vous n'avez pas un contrat d'assurance qui serait assorti d'une protection juridique (ils peuvent vous fournir un avocat -gratuitement- si vous ne vous vous sentez pas capable d'assurer votre défense toute seule).
Voila pour les 1ers conseils ; je reste à votre écoute.
N'hésitez pas à dire à Jmi12 que c'est TOTO_35 qui vous a conseillé de vous adresser à lui.
Bon courage ; ne baissez pas les bras, la banque n'attend que ça.
PS: j'ai 73 ans ....

Publié le 13 décembre 2019 à 13h29 - #4Nicky73

Homme
Savoie
53 ans

Bonjour, j’ai aussi été victime d’escroquerie en pensant tchatter avec mon service client les fraudeurs avait exactement le même logo et pour m’authentifier ils m’ont demandé le code reçu par sms et la patatra en 20mn 20 virements pour pratiquement 30000€ je venais de vendre ma maison suite à un divorce ...il m’a fallu + de 20 mn pour appeler la banque ...pour l’instant je n’ai aucune nouvelle concrète et j’ai fait appel à UFC !
C’est très difficile moralement de se faire berner comme ça et voir le fruit des années de travail partir en 20mn , j’ai été très affecté par ça mais doit faire face à la vie et surtout obtenir réparation.
Pour faire suite à la fraude que j’ai subi début septembre j’ai eu l’agréable surprise de voir apparaître crédité les 20 virements frauduleux fin décembre soit 4 mois après sans aucunes informations de la part de la banque (Nickel) j’ai aussitôt transféré la somme car plus du tout confiance ! Et c’est jours-ci j’ai reçu un courrier me disant que le remboursement n’était pas possible car j’avais fait preuve de négligence...
Cela prouve la désorganisation de cette banque où les fraudeurs pullulent et a priori cela pourrait provenir de l’intérieur même de l’enseigne.
J’ai eu l’agréable surprise de revoir apparaître les 20 virements frauduleux dont j’avais été victime 4 mois après un beau matin sans courrier sans contact avec la banque qui ne m’a donné aucune explication...
L’essentiel est bien la et je souhaite bien du courage à toutes les victimes d’escroquerie car c’est très dur moralement de surmonter tout ça !! Alors courage !

Publié le 13 décembre 2019 à 17h12 - #5polo92

Homme

Bonjour,
Je viens d'être victime d'un achat à l'étranger avec ma carte bleue. Je l'ai signalé à ma banque (LCL en l'occurence), j'ai été recrédité en 72h. J'ai été très étonné de la rapidité du remboursement. Bon étant un client sans histoire (à part une histoire de chèque volé il y a 12 ans) depuis 25, ça a du compter.
Edit: je viens de lires les commentaires, la fraude pour moi ne portait que sur 255 €. ça a du compter aussi...

Publié le 13 décembre 2019 à 17h17 - #6Compte anonyme

Bonjour,
La fraude est en train d'exploser littéralement ; et pendant ce temps nos banques qui ont bénéficié d'un créneau de 18 mois pour mettre en place la DSP2 (directive européenne pour la sécurité des moyens de paiement) viennent d'obtenir un nouveau créneau de 18 mois. Cette directive devait se mettre en place le 14 septembre 2019.
N'hésitez pas à revenir si vous avez besoin.
Cordialement.

Publié le 13 décembre 2019 à 18h21 - #7frenet

Homme
Tourlaville
71 ans

bonjour
ci-dessous plusieurs pistes, de préférence cumulatives, pour au moins limiter la casse.
- prendre une carte dans un établissement qui gère des cartes virtuelles à usage unique et montant pré-renseigné quelques instants avant l'achat,
- avoir au moins deux banques avec accès internet pour pouvoir faire rapidement des virements de l'une à l'autre. Sur celle où on possède une carte mettre des seuils d'alerte par sms faibles (s'il s'agit d'un compte joint mettre des alertes à destination des deux téléphones), minimiser le découvert autorisé ou le mettre à 0 et ne laisser en compte que le strict nécessaire. Sur l'autre compte sans carte bancaire, mettre les liquidités principales, bloquer tous les prélèvements sauf ceux explicitement autorisés (concept de liste blanche que les banques rechignent à mettre en place malgré l'obligation qu'elles ont à le proposer)
- ne jamais laisser ses coordonnées bancaires permanentes sur un site marchand, car on n'a jamais la certitude que le site n'est pas déjà piraté ou ne le sera pas pendant la durée de vie de notre carte. Seuls les sites gouvernementaux et leurs sous-traitants font l'objet d'audit de sécurité informatique par un organisme officiel (DCSSI).
La nouvelle directive n'apportera pas grand chose comme protection supplémentaire car la plupart des tablettes et smartphones ont un système d'exploitation qui n'est pas entretenu par le fabricant du matériel, ce qui veut dire que les failles de sécurité ne sont pas corrigées et en plus elles sont publiées sur les sites spécialisés, idéal pour les pirates qui n'ont même pas besoin d'avoir des connaissances poussées.
Cordialement

Publié le 13 décembre 2019 à 18h48 - #8PUBLIUSCUM

Homme
NICE

Je suis surpris que les systèmes qui consistent à répondre systématiquement à une "question personnelle secrète"aléatoire et changeante, en s'identifiant de plus avec un code KAPTCHA, ne soient pas généralisés, pour effectuer certaines opérations financières SENSIBLES.
La fraude et le phishing sont alors impossibles dans un tel cas.
Par ailleurs il est stupéfiant d' accepter l'idée de donner ses codes secrets sur internet ou par téléphone, ou ses données personnelles, puisqu'il suffit de DÉCIDER une bonne fois pour toutes de REFUSER SYSTÉMATIQUEMENT toute communication OU TOUT RDV, qui n'auraient pas été au préalable PROGRAMMÉS PERSONNELLEMENT et dans UN BUT BIEN PRÉCIS.
il est simple de constater que nous sommes responsables et acteurs de nos décisions, et que nous n'avons nul besoin d'être sans cesse démarchés pour quelque raison que ce soit.(Les appels téléphoniques inutiles sont en nette augmentation).
Nous devons parfaitement avoir connaissances des appels urgents et personnels susceptibles d'être retenus,mais il convient d'être toujours méfiant en procédant à une vérification d'office de L'IDENTITÉ de son interlocuteur avant d'effectuer toute opération,car les malfrats n'hésitent pas, dans certains cas, à cibler et lister précisément les habitudes de leurs victimes.
Les réactions psychologiques de tout un chacun, sont souvent à l'origine d'automatismes et de réflexes, souvent à l'origine de simples émotions s'exprimant dans l'immédiateté.
Faisons donc en sorte de cultiver les bons réflexes et automatismes, permettant d'obtenir une réponse appropriés en présence de situations de la vie courante pouvant modifier notre vigilance par nature imparfaite.

Publié le 13 décembre 2019 à 21h23 - #9Compte anonyme

Je ne veux discréditer personne et surtout pas décourager les bonnes volontés mais, j’ai été victime d’une arnaque à la carte bancaire et pourtant à chaque fois que je faisais un achat sur Internet, je le faisais au moyen d’une carte virtuelle … Mais le jour où mon compte a été débité, le fraudeur a fait son achat à mon insu, avec les données de ma carte bancaire, préalablement détournées !
Il faut savoir que sur le « darknet » (le deuxième plus grand marché illégal du Net, au monde) un numéro de carte bancaire se vend pour la modique somme de 1 dollar !! Il reste alors aux hackers à se procurer le cryptogramme et la date de fin de validité. Grâce à la technique dite du « mass guessing bot » il leur faudra (pour une carte VISA, ce qui est mon cas) pas plus de six secondes pour se procurer ces données manquantes … !!
Il faut aussi savoir que les hackers peuvent « siphonner » les données de votre smartphone et intercepter vos SMS (et donc avoir accès au code envoyé par votre banque)
Quant au découvert autorisé, la banque avait fixé le plafond maximum de mon découvert autorisé à 700,00 € ; or l’achat frauduleux qui a été effectué a mis mon compte à découvert de 1100,00 €. C’est dire que la banque n’aurait pas dû autoriser cet achat ou, à tout le moins, aurait dû me contacter avant de, éventuellement, l’autoriser.
Mais la banque n’a rien fait ; ce qui ne l’empêche pas de refuser de me rembourser. D’où la raison pour laquelle je viens de saisir la justice.
Tout cela pour dire, et sans vouloir polémiquer, que ce n’est pas aussi simple qu’on le pense de ne pas se faire avoir …

Publié le 14 décembre 2019 à 23h42 - #10PH009

Homme
Paris
82 ans

J'ai été confronté à un vol de 2 chéquiers volés dans le circuit de production ou de destruction de la BNP. 50 chèques en circulation dont je n'avais pas pris possession. Remboursés intégralement par la banque mais une vraie galère. Des gens me menaçant de complicité avec les fraudeurs ayant utilisés les chèques volés pour acheter du matériel et autres biens. A noter quelques gens honnêtes m'ayant renvoyé des chèques. Tardivement les juristes de la banque sont venus à mon secours par exemple en écrivant à un commissariat qui commençait une enquête à mon égard suite à une plainte. Pas la moindre indemnité de la banque pour dédommager le stress et le temps passé.

Publié le 15 décembre 2019 à 11h01 - #12PUBLIUSCUM

Homme
NICE

Le cryptogramme représente bien le point faible majeur des cartes bancaires.il convient donc de ne jamais le perdre de vue dans tous les cas.Les paiements par carte bancaire ne doivent jamais donner lieu à une mise "hors de la vue"de la carte du client, pour "introduction dans le lecteur de carte"par le commerçant qui pourrait "s'absenter provisoirement", ou autre.
Le client ne doit jamais "perdre des yeux"sa carte bancaire,notamment à l'étranger.
il existe un moyen simple de vérifier que son cryptogramme n'a pas été lu abusivement lors d'un paiement : il suffit de le masquer avec un mini autocollant circulaire de couleur, (en vente dans les papeteries),posé avec une précision extrême, et impossible à recoller très rapidement à l'identique après décollage non autorisé par le client.
il est évident cependant que la sécurité à 100 % ne peut exister avec le paiement à distance,notamment avec les smartphones.
Je préfère donc limiter et bien choisir mes achats à distance en relevant minutieusement les références de chacun de mes paiements,si je suis dans l'obligation de reproduire mon cryptogramme,ce qui pourrait faciliter le déroulement de toute enquête en cas de fraude.
Par ailleurs il est important de bien choisir un établissement bancaire de confiance "ayant fait ses preuves",même si là encore la sécurité totale ne peut exister.
Tout paiement par carte bancaire doit donner lieu à des VÉRIFICATIONS RÉGULIÈRES et minimum ce qui malheureusement est trop souvent négligé, sans oublier pour autant que la perfection n'existe toujours pas en matière de sécurité de paiements à distance,

Publié le 15 décembre 2019 à 18h55 - #13Avisé

Notre cas est un peu different mais reste dans la meme rubrique des prelevements frauduleux: des achats sur Google en dollars US ont ete faits sur notre compte Fortuneo, probablement via le piratage de notre Mastercard. Google France a refuse d'admettre qu'il s'agissait d'une fraude et a refuse de fournir quelque information que ce soit. Fortuneo nous a oblige a remplir plusieurs formulaires, y compris un depot de plainte aupres de la gendarmerie, alors que la loi n'oblige pas le client a faire tout cela. Apres reception de toutes les pieces demandees, Fortuneo nous a rembourse les montants frauduleux, SAUF les frais de change qu'elle a preleve sur les 3 transactions en question. Que faire?

Publié le 22 mars 2020 à 19h07 - #16Compte anonyme

Bonjour,
Victime de cette fraude récemment
Ma banque m'informe qu'ils savent où mon argent a été virée mais qu'ils ne peuvent rien faire?!?!?
Total 2 virements effectué 400 et 500 euros
J'ai reçu le texto avec code de confirmation ce qui m'a alerté et ma fait prendre contacte avec ma conseillère mais trop tard
Aujourd'hui celle ci me propose de me rembourser 200 euros si je signe un document de confidentialité et que je ne porte pas plainte
Je me pose aussi la question sur la légitimité de ce procédé

Publié le 22 mars 2020 à 22h06 - #17Compte anonyme

Bonjour,
Votre banque essaye de “ limiter les dégâts ” en vous proposant de vous rembourser 200 euros. Dites vous que si elle se sentait sûre d’elle, elle mettrait en cause votre négligence et refuserait de vous rembourser le moindre centime.
Pour être en guerre avec ma banque (suite à une arnaque à la carte bancaire) et pour avoir étudié de près le code monétaire et financier, ainsi que la jurisprudence récente, je pense bien connaître le sujet. Aussi, à votre place, je n’accepterais pas sa proposition.
Un conseil : gardez précieusement le SMS contenant le code à usage unique que vous avez reçu.
N’hésitez pas à revenir sur le forum et à poser toutes les questions que vous souhaitez. Je vous aiderai avec plaisir si je le peux.
Cordialement.

Publié le 23 mars 2020 à 10h38 - #18Dionysos

Homme
Au bord du fleuve et du vignoble
74 ans

Il existe un cas rarement évoqué sur ce site.
C'est la réservation d'un hôtel par téléphone et par carte.
L'hôtelier demande les 3 composants de la carte: n °de carte, d'expiration,et de cryptogramme. Aucune trace écrite...que du verbal.
La seule précaution que je prends ,c'est de récupérer ma facture!
Mais qu'en est-il des données laissées à l'hôtel???

Bons plans du moment

140 € offerts [EXCLU]

Jusqu'à 240 € offerts + Sobrio à 1 €/mois la 1ère année

Compte rémunéré 3% et Visa Premier offerte

Jusqu'à 280 € offerts + livret boosté à 5% pendant 3 mois