Confrontées à des débits frauduleux sur des comptes bancaires, certaines enseignes bancaires rejettent la faute sur les clients victimes et refusent de les indemniser, les accusant de négligence. Mais dans quel cas êtes-vous réellement responsables des piratages que vous subissez ? Le point sur la réglementation et la jurisprudence dans le domaine.

Le scénario est classique. Vous recevez un courriel, à l’entête de votre banque. Il vous signale un problème sur votre compte et vous propose de le régler en cliquant sur un lien contenu dans le message. Il vous amène directement vers la page de connexion de votre espace bancaire en ligne. Vous entrez en toute confiance vos identifiants. Problème : ce site est en fait une copie créée par des pirates. L’histoire, en général, se termine mal : vous vous apercevez, quelques heures plus tard, que des virements ont été passés à votre insu vers des comptes basés à l’étranger, ou que votre carte bancaire a été utilisée pour des achats en ligne. Vous venez d’être victimes d’un hameçonnage (ou phishing), une fraude qui consiste à usurper l’identité de votre banque (ou de tout autre institution) pour vous soutirer des informations sensibles. Mais cela aurait tout aussi bien pu être un skimming - un vol de données de carte bancaire au distributeur d’argent. Le résultat est malheureusement le même : vous avez subi des débits frauduleux sur votre compte bancaire.

Ces arnaques sont malheureusement légion. En 2018, la fraude aux moyens de paiement a dépassé pour la première fois le milliard d’euros, selon la Banque de France, en hausse de 36% sur un an. Et cette année, le site Phishing Initiative France, mis en place à l’initiative de l’Union européenne, a déjà recueilli le signalement de plus de 137 000 sites de phishing. Il faut dire que cette technique, qui s’appuie avant tout sur la crédulité de ses victimes, ne demande pas de grandes compétences techniques et est à la portée du premier pirate venu.

Une réglementation protectrice des usagers

Heureusement, les choses finissent souvent par s’arranger pour les victimes de ces fraudes : le plus souvent, ils vont en effet être indemnisés par leur banque. Car la réglementation, dans le domaine, est clairement de leur côté. En voici le cadre, tel que prévu par le Code monétaire et financier.

En cas de débits frauduleux consécutifs à la perte ou au vol de votre carte bancaire plastique ou de votre chéquier, votre responsabilité est engagée tant que vous n’avez pas fait opposition. Les pertes restant à votre charge sont toutefois plafonnées à 50 euros. Le reste doit vous être remboursé par votre banque. L’intégralité du préjudice doit même vous être remboursé si le débit frauduleux a été effectué sans utilisation du code secret ; s’il a été effectué avant que vous ne puissiez effectivement détecter la perte ou le vol ; ou encore s’il est consécutif à une erreur de votre banque : par exemple en cas d’envoi d’une nouvelle carte à une mauvaise adresse.

Il existe, par ailleurs, des cas de figure dans lesquels votre responsabilité ne peut jamais être engagée : si votre banque ne vous a pas informé clairement sur la manière de faire opposition ; si votre carte bancaire a été contrefaite et que vous êtes toujours en possession de l’original ; si le paiement frauduleux a été effectué sans qu’une authentification forte ait été exigée, c’est-à-dire sans envoi d’un code SMS à usage unique ou sans recours à un capteur biométrique d’empreintes digitales. Mais aussi si la fraude est la conséquence du détournement, à votre insu, de vos identifiants de carte bancaire (numéro unique, date de validité, cryptogramme) ou de compte bancaire (numéro de client et code secret). Ce qui est le cas, généralement, avec le phishing.

Deux exceptions

Attention toutefois : la réglementation prévoit deux exceptions . La première paraît logique : pas de remboursement si vous avez intentionnellement fraudé votre banque. La seconde est plus ambigüe : votre banque peut en effet refuser de vous indemniser si elle estime que vous avez fait preuve de négligence grave en ne faisant pas opposition, même après vous être rendus compte de la perte ou du vol, ou en ne prenant pas toutes les mesures raisonnables pour préserver la sécurité de vos données de sécurité personnalisées : en particulier votre code secret de carte bancaire et vos identifiants de connexion à votre banque en ligne.

Des cas complexes

Les banques invoquent surtout la négligence grave dans deux cas : quand le paiement frauduleux a été effectué avec l’utilisation du code secret de la carte bancaire, dans le cas d’un paiement de proximité, ou du code unique envoyé par SMS, dans le cas d’un paiement à distance par carte ou par virement. En résumé, quand les pirates ont réussi à contourner les dispositifs mis en place pour vérifier l’authentification du payeur.

Découvrez les meilleures cartes bancaires gratuites grâce à notre comparatif

Certains cas sont relativement simples à instruire. L'exemple typique est celui du consommateur qui se fait voler son portefeuille, contenant à la fois sa carte bancaire et son code secret inscrit sur un bout de papier : ici, difficile de contester la négligence. Mais d’autres sont beaucoup plus complexes. Il existe, en effet, des techniques sophistiquées pour détourner les systèmes d’authentification forte des banques. Une d’entre elles consiste à détourner la ligne mobile de la victime, en se faisant passer pour elle auprès de son opérateur et en déclarant un vol de carte SIM pour en obtenir une nouvelle : c’est ce qu’on appelle un SIM Swap. La faille permet ainsi au pirate de recevoir les codes à usage unique envoyés par SMS, et d’authentifier des paiements par carte sur internet ou d’ajouter des bénéficiaires de virement. Pour la mettre en œuvre, il doit nécessairement être en possession d’un certain nombre d’informations sur sa victime : son état civil, son numéro de téléphone, son adresse email, son numéro de carte bancaire, son identifiant de banque en ligne... Des informations généralement récupérées par le biais d’un email de phishing.

La jurisprudence plutôt du côté des victimes

Etre victime de phishing est-il suffisant pour être taxé de négligence grave ? C’est en tout cas un argument très souvent invoqué par les banques. Selon le ministère de l’Intérieur, cité par l’association de consommateurs UFC dans l’édition de décembre 2019 de son magazine Que Choisir (1), « la banque refuserait de rembourser les débits frauduleux dans 20% des cas ». Certaines s’en sont même fait une spécialité, comme le Crédit Mutuel Nord Europe.

Les clients qui ont les moyens et le courage de porter leur affaire devant les tribunaux obtiennent toutefois très souvent gain de cause. La jurisprudence, en effet, est plutôt du côté des victimes. Dans plusieurs arrêts publiés ces dernières années - en janvier 2017, en novembre 2018, en mai 2019 - la Cour de cassation a confirmé deux principes. Le premier : les clients ne sont pas responsables a priori du piratage de leur compte bancaire, quand bien même les paiements ont donné lieu à une authentification forte. Le second : C’est à la banque qu’incombe la charge de la preuve. C’est-à-dire que ce n’est pas au client de démontrer qu’il a pris toutes les « mesures raisonnables » pour préserver la sécurité de ses données de sécurité, mais à la banque de prouver qu’il a été négligent. Et c’est rarement évident, en l’absence d’aveux de la victime.

Aller en justice contre sa banque, toutefois, reste une épreuve, même si elle a de bonnes chances d’être couronnée de succès. Le meilleur moyen reste donc d’appliquer certaines bonnes pratiques, pour éviter d’être piraté : ne pas noter son code secret, ne jamais se connecter à sa banque en cliquant sur un lien dans un courriel ou SMS, consulter régulièrement ses comptes bancaires…

De nouvelles règles d’authentification arrivent

Ce ne sera sans doute pas la fin de débits frauduleux, tant les pirates savent se montrer créatifs. Mais vous soutirer de l’argent va devenir plus compliqué. Les règles de sécurité encadrant l’accès à votre compte bancaire et à vos paiements vont en effet être renforcées, avec l’entrée en vigueur de la 2e directive européenne sur les services (DSP2). D’ici la fin 2020, les banques devront notamment dire au revoir au code à usage unique envoyé par SMS, dont nous avons évoqué les failles, et adopter une nouvelle génération de systèmes d’authentification, passant notamment par l’usage de leurs applications mobiles et de la biométrie.

Lire aussi : Compte bancaire, paiements : ce qui change pour votre sécurité

(1) « Débits frauduleux : quand la banque ne veut pas rembourser », Que Choisir, décembre 2019.