LA TRIBUNE - Devant l'augmentation des plaintes, l'UFC Que choisir a publié le 22 octobre une enquête sur les victimes de fraude bancaire qui rencontrent des difficultés à se faire indemniser par leurs banques. Et vous arrivez à la conclusion que, non seulement le délai de remboursement s'est nettement allongé, mais surtout que 30% des victimes ne sont pas remboursées du tout. Un tiers, ça fait beaucoup, non ? Mais avant cela, pourriez-vous nous donner un aperçu de ce que représente la fraude bancaire en France?
MATHIEU ROBIN - La fraude à la carte bancaire (qui consiste à débiter les comptes des consommateurs en détournant leurs moyens de paiement) a représenté en France, l'an dernier, 580 millions d'euros. Ces 580 millions ont été dérobés aux clients des banques. Cela représente une perte moyenne de 400 euros par client. Une somme conséquente pour nombre de foyers. Mais c'est une moyenne, cela signifie que dans certains cas les victimes doivent faire face à des difficultés beaucoup plus importantes. [voir vidéo en bas d'article]
Pourquoi publier cette enquête maintenant ?
Par l'intermédiaire de notre réseau de 150 associations locales réparties sur tout le territoire, nous traitons environ 10.000 litiges par an sur les seules questions bancaires. Et très concrètement, depuis ce dernier trimestre, la question de la fraude bancaire et de son non-remboursement constitue vraiment la première source de difficulté pour les personnes qui viennent nous voir au quotidien. Traiter ce sujet s'est donc imposé.
Est-ce que la crise sanitaire a aggravé le phénomène ?
En effet, ce sujet s'inscrit dans un contexte plus global. Notamment avec cette crise sanitaire qui conduit les consommateurs à se tourner de plus en plus vers les modes de paiement dématérialisés : le paiement sans contact certes, mais également et surtout, les paiements à distance. Les paiements à distance par carte bancaire, il faut le savoir, sont 17 fois (+1.700%) plus fraudés que ce qu'on appelle les « paiements de proximité » (en clair, lorsque vous faites vos achats dans un magasin physique et que vous payez par carte avec la saisie du code secret sur le terminal de paiement du commerçant).
Mais la réglementation n'a-t-elle pas servi à renforcer la sécurité des transactions ?
La dernière réglementation européenne, qui est applicable depuis le 14 septembre 2019, vise en fait à améliorer et renforcer la sécurité des paiements en ligne, sur Internet en particulier. Cette réglementation, que dit-elle ? Que quand vous faites un achat en ligne, le code SMS que vous recevez n'est plus suffisant pour assurer la sécurité de la transaction en ligne. Et que désormais, il faut utiliser une authentification renforcée qui vient compléter l'envoi de SMS: ça peut-être la saisie d'un mot de passe que vous êtes le seul à connaître, ou quelque chose qui est inhérent à votre personne comme l'apposition de votre empreinte digitale sur un capteur pour vous authentifier sur votre application bancaire.
Or, si cette réglementation est effectivement applicable depuis un an, dans la réalité, elle est extrêmement peu développée aujourd'hui: moins d'un consommateur sur deux est équipé de cette technologie qui permettrait de sécuriser à 100% les paiements en ligne. En clair, seuls 46% des consommateurs qui paient en ligne en disposent.
Ce qu'il faut savoir, c'est que cette réglementation dit qu'une authentification forte est effective quand des dispositifs de ce type sont en place, et que, dans le cas où vous n'avez pas accès à un dispositif de ce type, en conséquence, la banque ne peut pas refuser de vous rembourser en alléguant que vous avez été négligents.
Concrètement, quels motifs utilisent les banquiers pour refuser de rembourser leurs clients victimes de fraude bancaire ?
Sur le terrain, on a par exemple des consommateurs qui ont reçu seulement le SMS et à qui on dit : « On ne vous remboursera pas, cher monsieur: vous avez donné vos coordonnées à n'importe qui et du coup, la perte est pour vous ». Or, si la banque avait bien mis en œuvre l'authentification renforcée, le consommateur aurait à l'évidence compris qu'il s'agissait d'un paiement, qu'une somme allait lui être débitée. Et la fraude n'aurait pas eu lieu.
Cette argumentation et ces refus sont donc un abus des banques ?
Cette position des banques est tout à fait à l'encontre de la réglementation. Celle qui existe aujourd'hui, telle qu'elle est totalement applicable. Il est tout à fait inacceptable qu'en raison des retards des établissements bancaires à respecter la réglementation, la perte subie par les clients victimes de fraude soit à la charge de ces consommateurs, alors que, en tout état de cause, ils devraient pouvoir payer en toute sécurité en ligne.
Lorsque à l'origine les banques ont voulu convaincre les Français de passer à la carte bancaire, pour vaincre leurs réticences à passer aux transactions dématérialisées, elles ont établi une sorte de contrat de confiance avec leurs clients en leur garantissant qu'ils seraient remboursés rubis sur l'ongle à la moindre fraude (avec une seule restriction, évidente: ne pas divulguer son code à quatre chiffres). Est-ce qu'on assiste aujourd'hui au grignotage de ce contrat de confiance entre les particuliers et les banques?
On s'aperçoit en effet que ce contrat de confiance est tout à fait dévoyé aujourd'hui. Et il s'agit d'une démarche, d'un véritable dispositif construit en deux parties: d'un côté, les banques accusent les consommateurs victimes d'être négligents, sans reconnaître qu'elles-mêmes ne sont pas en conformité avec la réglementation. De l'autre, elles mettent en oeuvre tout un tas de formalités administratives qui ont pour conséquence de décourager les consommateurs de bonne foi de se faire rembourser.
Des exemples de ces « tracasseries administratives »?
Ainsi, parmi les consommateurs que nous avons sondés, parmi ceux qui ont réussi à obtenir le remboursement d'une fraude, nombreux ont eu l'obligation de déposer plainte, par exemple. D'autres ont été obligés de produire une copie de leur relevé de compte, alors que bien évidemment la banque en dispose. D'autres ont eu l'obligation de rédiger un courrier de protestation. Autant de formalités qui, d'une part, ne sont pas justifiées, et d'autre part font retarder le remboursement de ces fraudes. Des pratiques qui compliquent la vie des particuliers qui font face à des pertes de 400 euros en moyenne avec des délais de remboursement qui se sont encore allongés à 25 jours en moyenne - c'est dire les conséquences très difficiles que cela peut avoir pour les ménages.
Quel est le délai « normal » pour se faire rembourser?
La réglementation est une nouvelle fois très claire en la matière: elle dit que le remboursement doit intervenir immédiatement ou au plus tard le premier jour ouvré suivant la déclaration de la fraude. Or, c'est 25 jours en moyenne : les banques sont donc très très loin de la réglementation.
Paiement sans contact, paiement sur Internet... où y-a-t-il le plus de fraudes ?
Le principal, c'est vraiment la fraude sur Internet. Particulièrement le phishing, ou hameçonnage en français, qui fonctionne comme ceci: un fraudeur vous envoie un mail sur votre adresse de courriel et vous invite à renseigner vos coordonnées bancaires sous prétexte de mettre à jour ces coordonnées sur le site de la Sécurité sociale, Ameli.fr, afin de vous faire rembourser vos soins. Là, très concrètement, le fraudeur récupère votre numéro de carte bancaire, et va ensuite réaliser un paiement sur un site marchand. Or, s'il y avait bien eu authentification renforcée, les sommes n'auraient pas pu être débitées puisque le consommateur aurait reçu une invitation de la part de sa banque à se connecter sur son espace banque en ligne avec son code personnel. Une nouvelle fois, je le redis, ces fraudes sont rendues possibles par l'apathie des banques à se mettre en conformité avec la réglementation.
Où en est-on du côté des autres menaces comme les logiciels espions, voire des techniques imitant le démarchage téléphonique ?
C'est vrai, il y a aussi tout ce qui concerne les malwares, ces « logiciels néfastes » qui peuvent être un petit peu nébuleux pour les consommateurs. Ils s'agit de logiciels espions qui, installés à leur insu sur leur ordinateur, vont récolter vos coordonnées par exemple quand vous vous connectez sur leur site de votre banque en ligne.
Vous avez également un autre type qui a un lien avec d'autres problématiques, comme par exemple le démarchage téléphonique. Vous avez des consommateurs qui sont au téléphone avec un opérateur se présentant comme étant un assureur, par exemple, et qui est bien, à ce moment là, vous demande de renseigner une nouvelle fois un certain nombre d'informations se prétendant mandaté par Ameli.fr, par exemple, et détourne à ce moment-là, les informations de la carte bancaire.Ce sont les cas de figure les plus fréquents.
Ça se joue donc beaucoup sur la crédulité ?
C'est surtout une technique de démarchage qui vise très particulièrement les personnes âgées, les personnes isolées. Des malversations qui sont malheureusement très peu sanctionnées. Quelles que soient les circonstances, cette récupération malveillante d'informations personnelles ne pourrait déboucher sur une fraude s'il y avait cette authentification renforcée. La personne fragile ou fragilisée s'apercevrait qu'on essaie de lui faire payer une somme puisqu'elle aurait à valider ce paiement en composant elle-même son code secret par exemple.
Face à cette situation, que suggérez-vous ?
Notre proposition est assez simple. Dans la mesure où la loi indique très clairement que la banque doit rembourser immédiatement le consommateur -et au plus tard le premier jour ouvré suivant la déclaration de la fraude- nous proposons d'instaurer une pénalité pour l'établissement bancaire qui ne respecterait pas cette obligation-là. Et l'on pourrait très bien imaginer que, dès lors que le délai n'a pas été respecté, les sommes non remboursées portent intérêts au bénéfice de la victime, pour justement compenser sa perte économique.
C'est cette piste que l'on désigne à l'intention des pouvoirs publics afin de rendre plus diligent ce remboursement et imposer aux banques de se mettre en conformité le plus rapidement possible.
Y a-t-il des députés qui, à l'Assemblée nationale, soutiennent votre proposition?
À ce stade, très peu...
Propos recueillis par Jérôme Cristiani
| VIDÉO Un retraité victime de phishing s'est fait voler 3.600 euros et n'a pas été remboursé
Plan d'urbanisme à Paris : les professionnels dénoncent « une aberration », le premier adjoint d'Hidalgo leur répond
Sujets les + commentés