Appels de faux conseillers bancaires : la banque doit-elle rembourser les opérations frauduleuses ?

Fraude en ligne : en quoi consiste l'authentification forte ?

Afin de lutter contre la fraude en ligne, les banques ont l’obligation de recourir à un dispositif de sécurité renforcée pour authentifier leurs clients et leurs achats.

Il existe trois types d’authentification forte à savoir :

• L’utilisation de l’application mobile : afin de valider l’opération, vous recevez une notification vous invitant à vous authentifier grâce à votre code ou votre empreinte. 
• La validation par un SMS : vous devez valider l’opération en saisissant un code reçu par SMS ou par un code dit "statique" communiqué par votre banque.
• La validation par un appareil physique : vous devez valider l’opération grâce à un code créé par l’appareil que votre banque vous aura mis à disposition  

Faux appels d’un conseiller bancaire : quelles sont les techniques utilisées ? 

Les escrocs utilisent principalement deux techniques, d’autant plus sournoises qu’elles permettent de respecter l’authentification forte :

• L’appel par une personne se faisant passer pour un salarié de votre banque ou pour un salarié du service fraude qui vous dit constater des opérations frauduleuses sur votre compte et vous indique que pour faire opposition au paiement, vous devez, soit lui fournir le code que vous allez recevoir par SMS, soit valider via votre application mobile la demande qui apparaitra.
• L’envoi d’un SMS vous alertant sur la réalisation d’une opération suspecte et vous invitant à appeler un numéro pour bloquer l’opération ou pour faire opposition à votre carte bancaire. 

Quelles sont les obligations de la banque en cas de fraude malgré l'authentification forte ?

Le principe

L’article L.133-18 du code monétaire et financier énonce le principe du remboursement du titulaire de la carte : "En cas d'opération de paiement non autorisée signalée par l'utilisateur dans les conditions prévues à l'article L.133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l'opération non autorisée immédiatement après avoir pris connaissance de l'opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s'il a de bonnes raisons de soupçonner une fraude de l'utilisateur du service de paiement et s'il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu".

S’agissant de la fraude sans utilisation physique de la carte bancaire, l’article L.133-19 II du code monétaire et financier précise que : "La responsabilité du payeur n'est pas engagée si l'opération de paiement non autorisée a été effectuée en détournant, à l'insu du payeur, l'instrument de paiement ou les données qui lui sont liées. Elle n'est pas engagée non plus en cas de contrefaçon de l'instrument de paiement si, au moment de l'opération de paiement non autorisée, le payeur était en possession de son instrument".

L'exception

L'article L.133-19 III du code précise que : "IV. – Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17".

Le fait de communiquer le code à un faux conseiller ou de valider soi-même l'opération via l'application, constitue-t-il une négligence que la banque peut vous opposer ? 

La Cour de cassation statue au cas par cas. Il n'existe pas de règle absolue. 

En effet, les décisions divergent de telle sorte qu’on peut une fois retenir l’absence de négligence du client, et une autre fois au contraire retenir l’existence d’une négligence : 

• Cour de Cassation 25 octobre 2017 pourvoi 16-11.644 : "L'arrêt d'appel avait condamné la banque à rembourser la cliente. La Cour de cassation casse l'arrêt : la cour d'appel aurait dû rechercher si la cliente, en recevant le sms litigieux, ne pouvait pas avoir conscience de son caractère frauduleux et si, en communiquant son nom, son numéro de carte et la date d'expiration, elle n'avait pas commis un manquement à ses obligations."
• Cour de Cassation 18 janvier 2017 pourvoi 15-18.102 : "Il incombe, par application des articles L.133-19, IV, et L.133-23 du code monétaire et financier, de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations ; cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés".
• Cour de Cassation 28 mars 2018 pourvoi 16-20.018 : "Le fait de communiquer des données personnelles sur un dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, constitue une négligence grave. Peu importe que la victime soit, ou non, avisée des risques d'hameçonnage."

Comment se prémunir de ces faux appels ? 

Puisque la banque peut vous opposer votre négligence pour refuser de vous rembourser le montant des opérations frauduleuses et qu’il existe un risque qu’un tribunal valide sa position, nous vous invitons à la plus grande vigilance et prudence à réception d’appel, de SMS ou de mail suspect.