Par Alexandre Lazarègue, Avocat spécialisé en droit du numérique
Alors que la crise financière continue de peser sur la France et que la dette nationale atteint des sommets, la Banque de France dévoile, dans son rapport annuel 2023 de l’Observatoire de la Sécurité des Moyens de Paiement, publié il y a quelques semaines, un chiffre alarmant : sur les 31 milliards de paiements scripturaux effectués, représentant un total de 42 576 milliards d’euros, 1,19 milliard d’euros ont été détournés par fraude. Parmi ces fraudes, 28 % concernent les virements et 35 % les paiements par carte, soulignant les vulnérabilités persistantes malgré l’augmentation des transactions.
Ces pertes, qui impactent directement l’épargne des Français, sont le résultat d’une augmentation des fraudes en ligne, rendues possibles par des techniques sophistiquées telles que le spoofing et le phishing. Le spoofing consiste à usurper l’identité d’une banque ou d’un conseiller en falsifiant l’adresse email ou en imitant le numéro de téléphone du service client. L’objectif est de convaincre la victime que l’interlocuteur est fiable afin qu’elle communique des informations sensibles. Quant au phishing, il se base sur l’envoi d’emails ou de SMS imitant les communications officielles des banques, redirigeant les victimes vers de faux sites web conçus pour recueillir leurs identifiants et mots de passe.
Des techniques de fraude sophistiquées qui piègent les victimes de façon insidieuse
Ces deux techniques, souvent combinées, créent une illusion de légitimité, donnant l’impression aux victimes qu’elles interagissent de manière sécurisée avec leur banque.
En réalité, il s’agit de pièges sophistiqués visant à détourner leurs informations personnelles et à accéder à leurs comptes. Ces méthodes de fraude en ligne illustrent la nécessité de rester vigilant face à toute communication qui pourrait sembler suspecte, même si elle paraît officielle.
Fort des coordonnées bancaires obtenues, les délinquants déploient un processus ingénieux en agissant souvent en pleine nuit pour effectuer des opérations de virements ou paiement en ligne, afin que la victime ne prenne pas immédiatement connaissance des notifications de transaction. Cette stratégie maximise leur chance de succès avant que l’activité suspecte ne soit détectée et bloquée.
Les pertes subies par les particuliers peuvent engloutir la totalité de leurs économies. Libération a ainsi rapporté qu’un ancien magistrat, pourtant reconnu pour son engagement dans la lutte contre le terrorisme, et son épouse, avocate, que l’on aurait pu croire avertis, ont perdu plus de 200 000 euros dans ce type d’escroquerie en ligne. Chaque jour, de nombreux épargnants se voient dérober plusieurs dizaines de milliers d’euros, même au sein d’institutions bancaires réputées et bien établies.
Des millions d’euros détournés malgré des obligations légales claires
Les législateurs européen et français ont réagi de manière stricte face aux fraudes bancaires, en plaçant la responsabilité sur les banques elles-mêmes. En tant que prestataires de services de paiement, elles sont tenues d’assurer la sécurité des transactions en ligne via des mécanismes d’authentification forte, c’est-à-dire une double authentification pour garantir l’identité des utilisateurs.
Selon l’article L. 133-18 du Code monétaire et financier, si un paiement est effectué sans le consentement du titulaire du compte en raison de l’absence de ces dispositifs de sécurité, la banque doit rembourser l’intégralité de la somme perdue. En cas de non-remboursement, elle s’expose à des intérêts de retard conséquents.
Cependant, lorsque la banque a mis en place un système de sécurité conforme, elle doit prouver que le client a commis une “négligence grave”, par exemple en divulguant ses identifiants de manière imprudente. Si l’hameçonnage (phishing) ou le spoofing ont été suffisamment convaincants pour tromper un utilisateur raisonnable, cette négligence grave ne sera pas retenue, et la banque devra quand même rembourser.
En somme, sauf en cas de faute manifeste du client, le droit bancaire protège prioritairement l’utilisateur des services de paiement, obligeant les banques à assumer leurs responsabilités en cas de fraude.
Remboursements refusés : les stratégies bancaires pour échapper à leurs responsabilités en cas de fraude
Les banques, dans la pratique, multiplient pourtant les résistances pour refuser le remboursement des sommes détournées. Elles invoquent des arguments techniques ou juridiques complexes pour se dédouaner de leur responsabilité, ou cherchent à prouver que le client a commis une “négligence grave”, même dans des situations où la fraude était particulièrement sophistiquée.
Pour mieux se dérober, elles exigent systématiquement des victimes qu’elles déposent plainte, bien que rien ne les y oblige légalement. Cette exigence permet aux banques de disposer d’un cadre pour mieux identifier et dénoncer d’éventuelles fautes commises par les clients, comme des négligences ou des imprudences, qu’elles pourront ensuite invoquer pour refuser le remboursement.
Ces stratégies déloyales contreviennent à la volonté du législateur qui, conscient des revenus considérables générés par les banques via les frais et services associés, a estimé qu’elles sont en mesure de rembourser les sommes perdues, sauf si l’erreur provient manifestement du client. Cette obligation vise à compenser les risques auxquels les utilisateurs sont exposés et à responsabiliser les institutions financières en les incitant à améliorer leurs dispositifs de sécurité.
Il est crucial que les particuliers soient bien informés de leurs droits. La législation actuelle prévoit en effet un remboursement des sommes perdues si le client a agi avec prudence et que la fraude a été suffisamment sophistiquée pour le tromper. Les efforts de sensibilisation des banques, bien que nécessaires, ne sauraient exonérer ces dernières de leur responsabilité légale en cas de défaillance.