Depuis quelques mois, les fraudes aux faux conseillers bancaires se multiplient, avec des préjudices qui peuvent s'élever à plusieurs dizaines de milliers d'euros. Ces récits de victimes font peur à l'heure où la réglementation bancaire s'efforce de promettre la sécurité des transactions. Et ils commencent à atterrir devant les tribunaux.

C'est la fameuse arnaque des faux conseillers de la BNP dont l'équipe a été récemment démantelée par la police. Et c'est aussi le récent arrêt de la Cour d'appel de Versailles qui vient de condamner BNP Paribas à rembourser, à hauteur de 54.000 euros, un client victime de virements frauduleux, via la méthode du spoofing (usurpation d'identité).

Depuis les années 2010, une première batterie de dispositifs de sécurité, notamment le 3D Secure, a certes permis de diviser par deux le taux de fraude par carte, avant que ce dernier stagne à partir de 2018. Ce qui a amené les régulateurs à promouvoir l'authentification forte (deux facteurs d'authentification distincts pour valider une transaction, NDLR), ce qui a permis de réduire le taux de fraude de 30% depuis sa mise en œuvre (à 0,196% en 2021), et ce malgré le boom du commerce en ligne.

Techniques de manipulation

Mais, au fur et à mesure que les dispositifs de sécurité se renforcent, « de nouvelles fraudes se développent et s'attaquent directement aux titulaires de comptes ou aux porteurs de carte, par des techniques de manipulation pour amener les victimes à s'authentifier et à valider le paiement frauduleux en toute bonne foi », résume Julien Lasalle, secrétaire général de l'Observatoire de la sécurité des moyens des paiements. Par toutes sortes de subterfuges (spoofing, phishing, vol de coordonnées bancaires...), les fraudeurs vont réussir à embarquer les victimes dans un scénario oppressant pour les convaincre de leur transmettre leurs codes confidentiels.

Certes, et une récente campagne de la Fédération bancaire française l'a rappelé avec force, « il ne faut jamais donner ses codes et mots de passe » à quiconque, y compris à son propre conseiller bancaire. Mais la fraude est tellement bien rodée que « même des banquiers s'y font prendre », reconnaît-on au siège de la Banque de France.

Authentification forte et refus de remboursement

Même si ces fraudes demeurent l'exception, « le constat, souligné par les associations de consommateurs, est que les victimes ont beaucoup de mal à faire valoir leur droit au remboursement en cas de fraude, surtout quand il y a eu une authentification forte, une situation où la banque a tendance à considérer d'emblée que le client a été négligeant », explique Julien Lasalle. D'où la décision de l'Observatoire de travailler à préciser ou à redéfinir les règles pour prévenir et gérer les cas de fraude.

Ce groupe de travail a permis d'établir 13 recommandations, qui s'appliquent déjà et ont valeur d'accord de place, sous la supervision de l'Autorité de contrôle prudentiel et de résolution (ACPR). Le principal message est bien que l'authentification forte ne doit pas entraîner systématiquement un refus de la banque de rembourser. « C'est trop souvent encore le cas », regrette Julien Lasalle.

L'idée de ces recommandations est donc bien de faciliter les démarches et de rappeler aux banques qu'il leur incombe de faire la preuve de la négligence grave ou de l'intention de frauder de leur client, et ce dans les 24 heures, avant de refuser de procéder à un remboursement immédiat.

Réduire la zone grise

Tout l'enjeu de ces recommandations est bien de réduire au maximum la zone grise sur l'appréciation du caractère autorisé ou non de la transaction contestée. Pour cela, les banques doivent analyser quasiment en temps réel les conditions dans lesquels le paiement contesté a été initié, quels ont été les moyens d'authentification au moment de la transaction, et enfin, quels ont été les éléments de contexte de la transaction, afin de déterminer une présomption de fraude ou de négligence grave. Autant dire que toutes les banques ne sont pas équipées pour le faire.

Si ces recommandations éclaircissent bien le terrain, il restera toujours une marge d'appréciation de la banque, source de contentieux. « Un point n'apparaît pas dans les recommandations c'est celui d'inviter les établissements bancaires à tenir compte de l'évolution de la jurisprudence, sur une réglementation finalement relativement récente », avance un observateur. En ce sens, l'arrêt de la Cour d'appel de Versailles a été bien accueilli par les associations de consommateurs ou les avocats spécialisés dans la défense des clients. La jurisprudence devrait être plutôt favorable aux consommateurs.

Mais les recommandations incitent aussi les acteurs des paiements à améliorer leurs dispositifs, comme à vérifier systématiquement l'identité d'un client avec son IBAN (identité bancaire), ou bien de proposer, dans le parcours client, un « bouton de sortie » pour annuler une transaction. Il s'agit aussi pour les banques de s'interroger sur les limites et les risques du « selfcare » (laisser au client le soin de réaliser un maximum d'opérations bancaires) et de la numérisation à outrance de la relation client.