Fraude bancaire : les victimes de moins en moins remboursées

"Vous avez été négligent", "Vous avez donné votre accord pour la transaction", "Vous avez répondu à un message frauduleux"… Autant d'arguments présentés par les établissements bancaires pour renvoyer leurs clients à leur responsabilité lorsqu'ils sont victimes d'une fraude, et refuser de les rembourser. Ainsi, 30 % des victimes n’ont pas été dédommagées, et 8 % ne l’ont été que partiellement, selon une enquête réalisée par l'UFC-Que Choisir auprès de ses abonnés.

Un chiffre en hausse, puisque, l'année précédente, il était de 26%. Le montant moyen des fraudes aux moyens de paiement s’élevant à 1 848 €, "les conséquences peuvent être graves pour certains", interpelle l'association de défense des consommateurs, qui pointe dans un communiqué la responsabilité des banques.

Un meilleur cadre juridique

Pour Matthieu Robin, chargé de mission secteur financier pour UFC-Que Choisir, cette diminution des remboursements est d’autant plus préoccupante "sachant que le cadre juridique est largement amélioré pour les consommateurs qui sont victimes de fraudes aujourd’hui". Depuis le 14 septembre 2019, le recours aux codes à usage unique comme moyen d’authentification sur internet (3D-Secure) n’est en effet plus jugé suffisant. Finie, la confirmation par le seul envoi d’un SMS à usage unique, possiblement détourné. Dorénavant, un mot de passe ou un système de reconnaissance digitale doivent être utilisés. 

Pirater les données de l’utilisateur suppose alors d’avoir accès à son smartphone ou d’avoir décrypté son code secret. Cette loi impose également le remboursement immédiat de toute transaction effectuée sans authentification forte, donc la victime ne peut plus être accusée de négligence, seul motif permettant aux banques d’être exonérées du remboursement de la fraude. Mais selon UFC-Que Choisir, seuls 46 % des consommateurs sont équipés d’un "dispositif d’authentification forte". L’Observatoire de la sécurité des moyens de paiement (OSMP), de son côté, justifie ce retard par la crise sanitaire.

Des banques réticentes à rembourser

"Ce calendrier contrarié n’exempte pas les banques de l’obligation de dédommagement", rétorque UFC-Que Choisir. "Or, ces dernières continuent à ergoter face à leurs clients, jugés responsables, même quand la fraude a eu lieu via le 3D-Secure." L'association a récolté plusieurs témoignages, comme celui d'un client de La banque postale, victime de virements illicites d’un montant de 9 000 €. Pour justifier son refus de remboursement, la banque argue qu'un code à usage unique lui a bien été envoyé, alors qu'il ne l'a jamais reçu.

Nathalie Dupuis, juriste à l’UFC-Que Choisir de l’Artois, suit plus d’une dizaine de litiges liés à des refus d’indemnisation de paiements non autorisés dus au piratage de compte ou de données bancaires. "__L’argument de la négligence est avancé depuis la mise en place du 3D-Secure. Sans apporter de preuves, les banques ne font que déduire. Cela continue avec l’authentification renforcée", déplore-t-elle. Le nouveau système servirait même de prétexte. 

Les virements contestés impliquent la connaissance "du numéro client, de sa date de naissance, de son code secret à six chiffres. Ces données sont personnelles et supposent, pour être utilisées à l’insu du client, qu’il les communique à un tiers ou les saisisse lui-même sur un site frauduleux", interprète ainsi la médiatrice auprès de la Fédération bancaire française (FBF), intervenant pour un dossier entre ING et une consommatrice ayant perdu 4 800 €. "Mais supposition n’est pas preuve", estime l'UFC-Que Choisir qui rappelle qu'"il revient à la banque de l’apporter, quel que soit le dispositif de sécurisation instauré." Il revient donc à la banque de démontrer la responsabilité de son client, et "bien souvent, elle en est incapable", souligne l'association.

Des démarches interminables

Des plus en plus de consommateurs risquent d'être concernés par ces fraudes, avec le développement des paiements en ligne et sans contact, accéléré par la crise sanitaire. Face à cette hausse, Matthieu Robin de l'UFC-Que Choisir observe que "les banques ont des pratiques qui visent au découragement des victimes" avec des démarches pour obtenir le remboursement dû qui ressemblent à un "parcours du combattant : dépôt de plainte, rédaction d'une lettre de contestation, présentation de justificatifs comme une copie de relevé de compte bancaire, absence de réponse, relances, etc."

Autant de démarches qui ne sont pas imposées dans la réglementation. Selon lui, "la banque vous pose des questions pour essayer de trouver une faille, afin de déterminer que vous avez été négligent et ne pas avoir à vous rembourser et à respecter ses obligations". Résultat : entre le signalement de l’arnaque et la restitution des sommes subtilisées, 25 jours se passent en moyenne. "Alors que le remboursement doit avoir lieu immédiatement, ou au plus tard le premier jour ouvré suivant le signalement de la fraude, sauf si la banque a de bonnes raisons de croire que le consommateur est fraudeur lui-même", indique Matthieu Robin.

Les consommateurs sont régulièrement confrontés à un chargé de clientèle qui pointe leur responsabilité sans preuves et leur demande de se justifier. C'est ce qui est arrivé avec une des clientes du Crédit agricole, dont l'association a recueilli le témoignage. Victime d'un "phishing", 1 600 € lui ont été volés via deux opérations illicites. Alors même que c’est son banquier qui l’a prévenue de ces mouvements suspects sur son compte – et malgré ses réclamations, un dépôt de plainte et une situation financière périlleuse connue de son conseiller –, celui-ci refuse de lui créditer l’intégralité des montants détournés, la jugeant responsable parce qu’elle a répondu au faux e-mail.

Sollicitée par l’AFP, la Fédération bancaire française a balayé les accusations en expliquant qu’une fois la fraude révélée par le client, "chaque banque s’organise ensuite pour apprécier la situation, selon les circonstances et le type de fraude, et assurer le traitement".