Faux conseiller bancaire : Que dois-je faire ?

1 – En 2022, il y a eu 31 milliards de paiements scripturaux soit une augmentation de 8% par rapport à 2021.

La fraude s’est, elle aussi, accrue avec 1,19 milliards d’euros en 2022 dont 28 % pour les virements et 35 % pour les paiements par carte bancaire.

Voir : Banque de France, Observatoire de la sécurité des moyens de paiement, 7e rapp. annuel pour 2022, p. 8 et s

2 – Le cas de l’arnaque au faux conseiller bancaire devient de nos jours tristement classique…

Vous êtes contacté par un numéro de téléphone qui est celui strictement le même que celui de votre banque.

– Le nom de votre banque s’affiche sur votre écran de téléphone lors de l’appel,
– Le numéro téléphonique entrant est répertorié comme étant celui de votre banque sur
internet.

Que vous indique le faux conseiller bancaire ?

– Le faux conseiller bancaire vous informe que des virements ou des paiements par carte bancaire sont en cours de débit sur votre compte bancaire vers un pays de l’union européenne,

– Le faux conseiller vous indique qu’il doit très rapidement se connecter à votre compte bancaire pour bloquer et faire opposition à ces virements/paiements.

– Le faux conseiller bancaire vous adresse alors un lien de connexion sur lequel vous cliquez sans donner vos codes secrets de connexion à votre compte bancaire.

– Le faux conseiller bancaire arrive alors à se connecter à votre compte bancaire et le « siphonne » en quelques minutes par plusieurs virements.

Dans la panique, vous contactez votre banque pour avoir plus d’explications et celle-ci vous révèle qu’elle ne vous a jamais contacté…

Vous êtes donc victime d’une escroquerie au faux conseiller bancaire…

Vous devez alors immédiatement porter plainte et faire opposition aux paiements en vous
faisant accompagner impérativement par un avocat puisque chaque déclaration que vous
ferez compte dans le processus de remboursement.

3 – Sous quelles conditions votre banque doit-elle vous rembourser ?

Le 30 août 2023, la Cour de cassation a rappelé que le titulaire du compte doit être remboursé si la banque n’a pas exigé une authentification forte lors des paiements non autorisés :
« En cas de paiement en ligne non autorisé, le client qui a communiqué par négligence son code de sécurité à un tiers n’a pas à en supporter les conséquences financières si la banque n’a pas exigé son authentification forte avant de réaliser le paiement ».

Cour de cassation, chambre commerciale, 30 août 2023 n°17-10.158,

Dans cette affaire, le consommateur avait communiqué à son interlocuteur un code à 6 chiffres découlant du système de sécurisation des paiements « 3D Secure ». Un paiement avait alors été réalisé sans le consentement du consommateur qui avait demandé le remboursement de cette transaction à sa banque. La banque avait refusé le remboursement de cette transaction en considérant que le consommateur avait commis une négligence grave en communiquant son code 3D SECURE au faux conseiller.

La Cour de cassation a considéré que le consommateur devait être remboursé des transactions dont il n’était pas à l’origine puisque la banque n’a pas exigé d’authentification forte lors de ce paiement.

4 – Qu’est-ce qu’une authentification forte ?

La définition de l’authentification forte résulte du règlement délégué (UE) 2018/389 de la Commission du 27 novembre 2017 complétant la directive (UE) 2015/2366 par des normes techniques de réglementation relatives à l’authentification forte du client.
L’article L.133-4, f) du Code monétaire et financier Français définit la notion d’authentification forte comme suit :

 « une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories  “connaissance ” (quelque chose que seul l’utilisateur connaît),  ” possession ” (quelque chose que seul l’utilisateur possède) et ” inhérence ” (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification ; »

Une authentification est dite forte si vous avez pour la validation du paiement en ligne ou la connexion à votre compte utilisé 2 des 3 facteurs suivants :
– Un élément de connaissance (que vous seul connaissez) : mot de passe, code secret, question secrète, etc.
 
– Un élément de possession (que vous seul possédez) : téléphone portable, montre connectée, clé USB etc.
 
– Un élément d’inhérence de biométrie (ce que vous êtes) : reconnaissance faciale, vocale, empreinte digitale, etc.

Il pourra, par exemple, vous être demandé de saisir votre code secret puis d’effectuer une prise d’empreinte digitale.

L’authentification forte est un dispositif de vérification d’identité destiné à renforcer la sécurité des opérations en ligne (paiements, accès au compte, ajout de bénéficiaire de virement, changement de coordonnées, etc.).

Les hypothèses où cette authentification forte n’est pas exigée sont fort nombreuses :

• Elles s’expliquent par le faible montant de l’opération (paiement sans contact par exemple ; v. CJUE, 11 nov. 2020, no C-287/19,),
• Le faible niveau de risque (virement à soi-même ou entre banques, paiements au moyen de protocoles sécurisés),
• Le caractère récurrent de l’opération après une première authentification forte.
  
• Ce qu’il faut retenir : Le client est déchargé de toute responsabilité, notamment en cas d’opération de paiement non autorisée sans utilisation des données de sécurité personnalisées, et « de perte ou de vol d’un instrument de paiement ne pouvant être détecté par le payeur avant le paiement » (C. mon. fin., art. L. 133-19, I, al. 2). En d’autres termes, votre banque devra vous rembourser de la transaction non autorisée s’il n’accepte pas une authentification forte
  du payeur.

5 – Comment la banque peut-elle se défendre pour ne pas avoir à vous rembourser ? Votre négligence grave dans la conservation de vos données personnelles

• Attention, la banque pourra prouver la négligence grave du client pour ne pas avoir à
  le rembourser.
• Le banquier doit rapporter la preuve que le client n’a pas satisfait, de façon grave, à ses
  obligations, notamment de conservation des dispositifs de sécurité personnalisés pour ne
  pas avoir à rembourser son client.
• La seule utilisation de l’instrument de paiement et des données personnelles ne peut pas
  être analysée en une négligence grave de la part du client. (Cass. com., 18 janv. 2017, n°
  15-18.102 : JurisData n° 2017-000509)

6 – Quelles sont les voies de recours ?

Dans un premier temps, vous devez déposer une plainte et contacter votre banque afin de faire opposition aux prélèvements ou paiements effectués. Votre banque devra alors initier une procédure de « recall » des fonds.

Vous devrez indiquer dans votre procès-verbal de plainte les circonstances dans lesquelles vous avez été arnaqué : absence d’authentification forte lors des paiements en ligne, absence de négligence du titulaire du compte. Pour cela vous devez vous faire assister par un avocat.

En cas de refus de votre banque de procéder au remboursement, votre avocat adressera une mise en demeure à votre banque. Cette mise en demeure est un processus amiable de règlement de votre litige. Votre avocat invoquera les textes et la jurisprudence au soutien de votre défense.

En cas d’échec de ce processus amiable, votre avocat adressera une assignation en justice à votre banque. Le Tribunal judiciaire du lieu du siège social de votre banque sera saisi de votre dossier. L’objectif sera d’obtenir remboursement des transactions non autorisées.