Aide et Contact Un sinistre ? Espace personnel
  1. Accueil
  2. Vie pratique
  3. Loisirs / Consommation
  4. Appels de faux conseillers bancaires : la banque doit-elle rembourser les opérations frauduleuses ?
Femme étonnée regarde son téléphone portable - MACSF

Appels de faux conseillers bancaires : la banque doit-elle rembourser les opérations frauduleuses ?

Sarah Dos Santos

Le 24.10.2024
À 11:11

6 min

Le dispositif d’authentification forte permet de limiter les risques d’escroquerie bancaire. Mais certains escrocs l’utilisent aux dépens des clients, en se faisant passer pour un conseiller. La banque doit-elle alors rembourser ?

Fraude en ligne : en quoi consiste l'authentification forte ?

Afin de lutter contre la fraude en ligne, les banques ont l’obligation de recourir à un dispositif de sécurité renforcée pour authentifier leurs clients et leurs achats.

Il existe trois types d’authentification forte à savoir :

  • L’utilisation de l’application mobile : afin de valider l’opération, vous recevez une notification vous invitant à vous authentifier grâce à votre code ou votre empreinte. 
  • La validation par un SMS : vous devez valider l’opération en saisissant un code reçu par SMS ou par un code dit "statique" communiqué par votre banque.
  • La validation par un appareil physique : vous devez valider l’opération grâce à un code créé par l’appareil que votre banque vous aura mis à disposition  

Faux appels d’un conseiller bancaire : quelles sont les techniques utilisées ? 

Les escrocs utilisent principalement deux techniques, d’autant plus sournoises qu’elles permettent de respecter l’authentification forte :

  • L’appel par une personne se faisant passer pour un salarié de votre banque ou pour un salarié du service fraude qui vous dit constater des opérations frauduleuses sur votre compte et vous indique que pour faire opposition au paiement, vous devez, soit lui fournir le code que vous allez recevoir par SMS, soit valider via votre application mobile la demande qui apparaitra.
  • L’envoi d’un SMS vous alertant sur la réalisation d’une opération suspecte et vous invitant à appeler un numéro pour bloquer l’opération ou pour faire opposition à votre carte bancaire. 

Quelles sont les obligations de la banque en cas de fraude malgré l'authentification forte ?

Le principe

L’article L.133-18 du code monétaire et financier énonce le principe du remboursement du titulaire de la carte : "En cas d'opération de paiement non autorisée signalée par l'utilisateur dans les conditions prévues à l'article L.133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l'opération non autorisée immédiatement après avoir pris connaissance de l'opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s'il a de bonnes raisons de soupçonner une fraude de l'utilisateur du service de paiement et s'il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu".

S’agissant de la fraude sans utilisation physique de la carte bancaire, l’article L.133-19 II du code monétaire et financier précise que : "La responsabilité du payeur n'est pas engagée si l'opération de paiement non autorisée a été effectuée en détournant, à l'insu du payeur, l'instrument de paiement ou les données qui lui sont liées. Elle n'est pas engagée non plus en cas de contrefaçon de l'instrument de paiement si, au moment de l'opération de paiement non autorisée, le payeur était en possession de son instrument".

L'exception

L'article L.133-19 III du code précise que : "IV. – Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17".

Le fait de communiquer le code à un faux conseiller ou de valider soi-même l'opération via l'application, constitue-t-il une négligence que la banque peut vous opposer ? 

La Cour de cassation statue au cas par cas. Il n'existe pas de règle absolue. 

Cependant, une tendance favorable aux clients semble émerger au regard de trois décisions récentes : 
Cour d’appel de Versailles le 28 mars 2023

Les juges ont estimé que "le mode opératoire, par l'utilisation du "spoofing", soit littéralement une usurpation d'identité, a mis M. [U] en confiance et a diminué sa vigilance, étant observé que face à un appel téléphonique évoquant de surcroît un piratage, la vigilance de la personne qui reçoit cet appel est moindre que celle d'une personne qui réceptionne un mail, laquelle dispose de davantage de temps pour en prendre connaissance et s'apercevoir d'éventuelles anomalies révélatrices de son origine frauduleuse.

Dans ces circonstances, quand bien même M. [U] a fait usage de son code confidentiel, étant observé qu'il n'est pas démontré qu'il l'a communiqué par téléphone, email, chat ou sur les réseaux sociaux comme le mettait en garde la BNP Paribas mais qu'il a indiqué l'avoir saisi sur son application, il n'est pas caractérisé à son égard une négligence grave".

Cour d’appel de Paris le 7 février 2024

Les juges ont estimé que "La circonstance que l'escroc ait pu usurper un numéro de téléphone de la société BNP Paribas, et qu'il annonçât le code qui s'affichait à l'écran de [R] [Y], était de nature à persuader celle-ci qu'elle était en relation avec un technicien de la banque.

Il en est de même de la connaissance par son interlocuteur tant des opérations réalisées peu auparavant, ce qui n'est réputé connu que de [R] [Y], de la banque et des bénéficiaires, que de leur disparition, ces faits ne pouvant que la conforter dans la croyance qu'un incident informatique était survenu.

Compte tenu de ces éléments, il n'est pas démontré par la banque que la société [H] Transports ait commis une négligence grave exonérant la société BNP Paribas de son obligation de remboursement. En conséquence, il y a lieu de condamner l'intimée à rembourser à la société [H] Transports la somme de 98 000 euros avec intérêts au taux légal à compter du 8 janvier 2020, date de réception de la mise en demeure".

Cour de Cassation 23 octobre 2024 pourvoi 23-16.267

La cour a estimé que "Après avoir exactement énoncé qu'il incombe au prestataire de services de paiement de rapporter la preuve d'une négligence grave de son client, l'arrêt constate que le numéro d'appel apparaissant sur le téléphone portable de M. [J] s'était affiché comme étant celui de Mme [Y], sa conseillère BNP et retient qu'il croyait être en relation avec une salariée de la banque lors du réenregistrement et nouvelle validation qu'elle sollicitait de bénéficiaires de virement sur son compte qu'il connaissait et qu'il a cru valider l'opération litigieuse sur son application dont la banque assurait qu'il s'agissait d'une opération sécurisée.

Il ajoute que le mode opératoire par l'utilisation du "spoofing" a mis M.[J] en confiance et a diminué sa vigilance, inférieure, face à un appel téléphonique émanant prétendument de sa banque pour lui faire part du piratage de son compte, à celle d'une personne réceptionnant un courriel, laquelle aurait pu disposer de davantage de temps pour s'apercevoir d'éventuelles anomalies révélatrices de son origine frauduleuse".

À noter

Les articles L.133-18 et L.133-19 peuvent ne pas trouver à s’appliquer pour les comptes bancaires à usage professionnel conformément à l’article L.133-2 du code monétaire et financier qui autorise un établissement bancaire à prévoir des dispositions particulières dans la convention de compte et faire supporter toutes les pertes sur son client.

Comment se prémunir de ces faux appels ? 

Puisque la banque peut vous opposer votre négligence pour refuser de vous rembourser le montant des opérations frauduleuses et qu’il existe un risque qu’un tribunal valide sa position, nous vous invitons à la plus grande vigilance et prudence à réception d’appel, de SMS ou de mail suspect. 

Les conseils de la MACSF

  • Ne jamais donner vos coordonnées bancaires par téléphone lorsque vous n’avez pas contacté vous-même votre conseiller bancaire habituel et ce même si le numéro semble être celui de votre banque. Il est préférable d’appeler vous-même votre conseiller ou votre banque via le numéro présent dans votre application mobile.
    En effet, un conseiller bancaire que vous ne connaissez pas ou le service d’opposition ne vous contactent pas pour faire opposition ou pour vous signaler des opérations suspectes. 
  • Ne jamais donner les codes reçus par téléphone puisque ces codes sont utilisés pour valider une opération et en aucun cas pour faire opposition à l’opération
  • Ne jamais valider une opération via l’application mobile si vous n’êtes pas à l’origine de la demande de paiement. Tout comme le code reçu par SMS, on ne peut pas faire opposition à un paiement par carte bancaire en validant une demande par l’application mobile.
  • Ne cliquez jamais sur le lien d’un SMS ou un mail qui vous demande d’actualiser vos données bancaires. En effet, c’est par le biais d’un mail frauduleux que l’escroc parvient à avoir vos données personnelles et peut donc vous faire croire qu’il est une personne de confiance. 
Conseiller MACSF

Vous avez été victime d’un piratage de données ou d’une usurpation d’identité au cours de votre vie privée ou professionnelle ?

Nous vous invitons à contacter au plus vite votre conseiller MACSF au 32.33

Il vous aidera dans vos démarches quel que soit votre contrat. 

Sources

Communiqué de presse de la Cour de Cassation du 23/10/24 >

À propos de l'auteur

Sarah Dos Santos

Sarah Dos Santos est titulaire d’un Master en Droit de la responsabilité des assurances. Elle est juriste expert à la MACSF et assure la gestion de sinistres en matière de droit de la consommation, de droit bancaire et de propriété intellectuelle.

Ces sujets pourraient vous intéresser

Le compte bancaire professionnel : une obligation ?
homme consulte contrat d'ouverture de compte bancaire | MACSF

01.06.2022

2 min

Le compte bancaire professionnel : une obligation ?

En tant que professionnel de santé exerçant votre activité à titre libéral, votre banque peut-elle vous contraindre à détenir un compte banc...

Travaux sur ouvrage existant et garantie décennale : la donne a changé
Installation d'une pompe à chaleur sur la façade d'une maison - MACSF

30.01.2025

3 min

Travaux sur ouvrage existant et garantie décennale : la donne a changé

Une construction à côté de chez vous ? Ayez les bons réflexes
Une maison en construction dans un lotissement - MACSF

30.01.2025

5 min

Une construction à côté de chez vous ? Ayez les bons réflexes

Chaque mois, recevez toute l’actualité sur votre profession et votre spécialité

Ok

Les solutions MACSF

Cyber-risques MACSF

Assurance cyber-risques

Protégez votre activité des conséquences d’une cyberattaque (compromission ou fuite des données, demande de rançon, interruption d’activité…)

En savoir plus sur l'assurance cyber
RCP MACSF

RCP-PJ Libéraux

Indispensable pour vous défendre en cas de mise en cause par un patient, le contrat RCP-PJ facilite le règlement de vos litiges d'ordre privé ou professionnel.

En savoir plus