Certaines banques refusent de rembourser leurs clients, victimes de débits frauduleux sur leurs comptes bancaires. Leur argument : la négligence. En ont-elles vraiment le droit ? Le point sur la réglementation et la jurisprudence dans le domaine.

Des clients de LCL en ont récemment fait l'amère expérience : malgré les progrès des dispositifs de sécurité, les fraudes sur compte bancaire sont toujours d'actualité. Les cybercriminels, en effet, sont à l'affût de toutes les failles et adaptent leurs modes opératoires, qui deviennent de plus en plus sophistiqués.

Une chose ne change pas : à la source de ces vols, on retrouve généralement un vol de données personnelles, le plus souvent sur internet : des informations personnelles (état civil, adresse, numéro de téléphone), des numéros de carte bancaire ou, encore plus grave, des identifiants d'accès à la banque en ligne. Pour y parvenir, les malfaiteurs continuent d'utiliser la technique de l'hameçonnage, aussi appelée phishing. Exemple classique : vous recevez un courriel, à l'entête de votre banque, vous signalant un problème sur votre compte et vous encourageant à vous connecter d'urgence. Un lien vous est proposé dans le message. Vous cliquez et il vous amène directement sur le site de votre banque. Mais il s'agit en fait d'une copie, conçue pour voler vos identifiants.

Ces vols de donnée ne leur suffisent plus, toutefois, à parvenir à leurs fins, depuis la généralisation des dispositifs d'authentification forte, achevée au printemps 2021, déclenchés lors des paiements en ligne ou des connexions à la banque en ligne. Une fois encore, les cybercriminels se sont adaptés. Ils n'hésitent plus à contacter directement leurs victimes au téléphone, en se faisant passer, par exemple, pour un conseiller bancaire. Les données personnelles volées leur servent ici à crédibiliser leur discours, dont la finalité est généralement de vous pousser à authentifier une opération à votre insu : un achat, un ajout de bénéficiaire de virements, etc. Le préjudice peut alors se chiffrer en dizaines de milliers d'euros.

Une réglementation protectrice des usagers

Heureusement, la réglementation dans le domaine est très protectrice des victimes. La règle en cas de débits frauduleux sur un compte bancaire est simple : la banque qui tient le compte doit rembourser. Et sur le champ : la loi dite pouvoir d'achat, récemment adoptée par le Parlement, leur impose désormais un délai maximal d'un jour ouvré. Tout au plus peut-elle vous facturer une franchise de 50 euros. Et encore... Cela ne concerne que les opérations frauduleuses effectuées avec usage du code secret de la carte bancaire. La banque doit également faire la preuve que vous avez sciemment tardé à faire opposition après la perte ou le vol. En clair, si vous êtes de bonne foi, vous êtes plutôt tranquille de ce côté-là.

Il existe, par ailleurs, des cas de figure dans lesquels votre responsabilité ne peut jamais être engagée : si votre banque ne vous a pas informé clairement sur la manière de faire opposition ; si votre carte bancaire a été contrefaite et que vous êtes toujours en possession de l'original ; si le paiement frauduleux a été effectué sans qu'une authentification forte ait été exigée. Mais aussi si la fraude est la conséquence du détournement, à votre insu, de vos identifiants de carte bancaire (numéro unique, date de validité, cryptogramme) ou de compte bancaire (numéro de client et code secret).

Politiques restrictives

Problème : face à l'énormité des sommes à rembourser - le montant total de la fraude aux moyens de paiement a atteint 1,24 milliard d'euros en 2021, en hausse de 8%, selon la Banque de France -, les banques ne font pas toujours preuve de bonne volonté. Certaines, notamment, ont adopté une politique très restrictive : pas de remboursement à partir du moment où les cybercriminels ont réussi à amener leur victime à divulguer leurs identifiants bancaires ou à valider l'opération frauduleuse par une authentification forte. C'est le cas, par exemple, de LCL, dans l'affaire évoquée en début d'article.

Voici leur logique : si les cybercriminels ont réussi à contourner les dispositifs de sécurité mis en place, c'est nécessairement parce que les victimes ont été négligentes, en ne prenant pas toutes les mesures raisonnables pour préserver la sécurité de leurs données de sécurité personnalisées. Elles renvoient ainsi au Code monétaire et financier, qui prévoit effectivement un cas de dérogation à la règle du remboursement intégral et immédiat, dans le cas où la victime n'a pas satisfait, intentionnellement ou par négligence grave, à ses obligations contractuelles de sécurité.

Une jurisprudence favorable

Une personne abusée par un site de phishing ou manipulée par un faux conseiller au téléphone doit-elle être considérée comme gravement négligente ? La question est épineuse et fait l'objet depuis des années de controverses, voire de conflits judiciaires, entre les banques, les usagers et les associations qui les représentent. En juin dernier, UFC-Que Choisir a ainsi déposé plainte contre une douzaine de banques pour « pratiques commerciales trompeuses ». L'association les accuse de faire croire aux victimes qu'elles « n'ont aucun droit au remboursement » et de les duper sur l'étendue de leurs droits. Car la réglementation est claire : pour refuser à leurs clients leur droit au remboursement, la banque doit démontrer en quoi il ont été négligents. Et ce au cas par cas.

Découvrez les meilleures cartes bancaires gratuites grâce à notre comparatif

De fait, les clients qui ont les moyens et le courage de porter leur affaire devant les tribunaux obtiennent très souvent gain de cause. La jurisprudence est franchement du côté des victimes. Dans plusieurs arrêts publiés ces dernières années (en janvier 2017, en juin 2017, en novembre 2018, en mai 2019), la Cour de cassation a confirmé plusieurs principes. Le premier : les clients ne sont pas responsables a priori du piratage de leur compte bancaire, quand bien même les paiements ont donné lieu à une authentification forte. Le deuxième : la banque a un devoir de vigilance et doit prévenir son client en cas d'activité inhabituelle sur son compte. Le troisième : c'est à la banque qu'incombe la charge de la preuve. C'est-à-dire que ce n'est pas au client de démontrer qu'il a pris toutes les « mesures raisonnables » pour préserver la sécurité de ses données de sécurité, mais à la banque de prouver qu'il a été négligent. Et c'est rarement évident, en l'absence d'aveux de la victime.

Des bonnes pratiques à adopter

Aller en justice contre sa banque, toutefois, reste une épreuve, même si elle a de bonnes chances d'être couronnée de succès. Le meilleur moyen reste donc d'appliquer certaines bonnes pratiques, pour court-circuiter les stratégies des pirates.

La Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) vient d'actualiser ses recommandations pour lutter contre la fraude aux paiements en ligne. Elle conseille notamment :

  • de toujours utiliser un canal sécurisé et connu (favori, moteur de recherche) pour se connecter à sa banque et de ne jamais cliquer sur un lien reçu par mail ou SMS ;
  • de refuser toute communication non sollicitée et proposée en direct (téléphone, chat...), et recontacter sa banque par un canal habituel : « votre banque ne vous demandera jamais de valider à distance une opération à des fins de test ou en réponse à une fraude ; si elle suspecte une opération de fraude, votre banque est en capacité de la bloquer sans avoir à vous demander votre intervention » ;
  • de ne jamais utiliser les outils et données d'authentification pour des opérations dont vous n'êtes pas à l'origine et de ne jamais les communiquer à un tiers.

Enfin, en cas de fraude, la DGCCRF conseille de conserver « toute pièce et élément relatif à ces opérations qui puisse attester de la sophistication de la manipulation dont vous avez été victime (SMS, copie-écran etc.) ». Des pièces que vous pourrez opposer à votre banque si elle cherche à vous accuser de négligence sans en apporter la preuve.