C’est un drame en deux actes qui pourrait arriver à tout le monde : voir ses économies partir en fumée en quelques minutes, après être tombé dans le piège d’un faux conseiller bancaire… et ne jamais se faire rembourser. « Je revenais de ma pause déjeuner quand j’ai vu, sur mon portable, que ma conseillère bancaire m’appelait », se remémore Fabien*, la trentaine, la gorge encore nouée par cette « catastrophe ». Il décroche. Au bout du fil, un homme se présente comme un collaborateur de sa banque. « Sa voix était posée. Il s’exprimait bien. Il connaissait le nom de ma conseillère, mon adresse, mon numéro de compte. Je ne me suis pas méfié », reconnaît le jeune homme. Son interlocuteur l’avertit que « des mouvements suspects ont été constatés sur son compte. Et qu’il faut les contrer le plus rapidement possible ».
Comment ? On lui demande de se rendre sur son application bancaire, et de valider des opérations. Fabien ne le sait pas, mais il va par ce biais enregistrer un nouveau bénéficiaire sur son compte, qui va, peu à peu, être vidé. Ce n’est que le lendemain, en rappelant sa banque, qu’il tombe littéralement de sa chaise. Les 6 000 euros qu’il était parvenu à économiser, « pour les coups durs et ses prochaines vacances », se sont envolés.
« C’est à ce moment-là que l’acte 2 du drame a lieu », soupire-t-il. Il conteste les opérations et porte plainte. Mais les sommes prélevées sont déjà loin. Pour échapper à la procédure de rappel des fonds, l’argent a circulé très vite, en passant par des banques à l’étranger. Au commissariat, on lui fait comprendre que les chances de retrouver ses escrocs sont infimes. À la banque, on lui explique qu’il a lui-même validé les opérations, notamment via la double authentification – le fait de combiner deux éléments d’identification, comme son smartphone et un mot de passe ou un code. Après plusieurs semaines d’attente, la sentence tombe : sa banque ne lui remboursera pas ces sommes, nous rapporte-t-il.
Une fraude qui explose depuis plusieurs mois
Cette scène se reproduirait très souvent, trop souvent. Depuis 2022, ce type d’arnaque a littéralement explosé. Selon le rapport de l’Observatoire de la sécurité des moyens de paiement publié en juillet dernier, « les montants de fraude liés au virement ont plus que triplé en cinq ans, passant de 78 millions d’euros en 2017 à 313 millions d’euros en 2022 ». 70 % du montant de cette fraude concerne les virements initiés depuis les interfaces de banque en ligne. Et si ces chiffres datent de 2022, le phénomène est loin de se tarir en 2023, constate Jean-Jacques Latour, directeur expertise de Cybermalveillance.gouv.fr, une plateforme gouvernementale d’assistance aux victimes d’actes de cybermalveillance. L’arnaque touche tous les profils, et toutes les catégories sociales : ouvriers et cadres, citadins et ruraux, salariés et fonctionnaires, anonymes et célébrités.
De l’autre côté, les victimes rencontrent quasi systématiquement des difficultés à obtenir un remboursement de leur banque. « Imaginez que vous retirez de l’argent, et qu’un faux conseiller bancaire apparaît et vous dit : “je vais vérifier vos billets”, avant de disparaître dans la nature. Vous ne pourrez pas demander à votre banque de vous rembourser », explique Jean-Jacques Latour.
À lire aussi : Ne relâchez pas votre vigilance face aux arnaques bancaires en ligne
Que dit la loi ?
Pourtant, dans le monde virtuel, les choses ne sont pas tout à fait similaires. Jérôme Lasserre Capdeville, maître de conférences à l’Université de Strasbourg en droit bancaire, rappelle que le principe est clair. La loi impose que les banques remboursent, sur leurs propres deniers, leurs clients de toute somme indûment prélevée sur leur compte bancaire. Qu’importe si l’escroc et les sommes dérobées ne sont jamais retrouvés. Mais il existe deux exceptions : si le client est un complice de l’escroquerie, ou s’il a été « gravement négligent ». En théorie, c’est à l’établissement bancaire d’apporter la preuve de ces deux éléments qui lui permettent de botter en touche.
Mais en pratique, la banque commence quasi systématiquement par ne pas rembourser, regrette Guy Grandgirard, président d’ADC France, une association d’aide aux victimes de fraudes bancaires. Pour ce faire, l’établissement se retrancherait derrière la « négligence grave », avançant par exemple le fait que la victime ait validé des opérations via une authentification forte. Y compris lorsque le numéro de la banque a été usurpé – une fraude désignée sous le terme « spoofing », et qui vise à convaincre la victime, souvent avec succès, que l’appel est bien passé du service des fraudes ou de l’établissement bancaire en question.
« C’est toujours la faute du consommateur : il n’avait qu’à pas donner ses coordonnées. Il n’avait pas qu’à valider les virements », déplore Guy Grandgirard. Pourtant, « l’authentification forte n’est pas infaillible. Il ne faut pas tout mettre sur le dos des consommateurs, puisque si on était à leur place, pris dans l’arsenal de l’escroc, on tomberait aussi dans le piège », renchérit Mélanie Saldanha, juriste à l’UFC Que Choisir. « Leur discours est tellement bien rodé que parfois, la fraude est réellement indécelable », poursuit-elle.
À lire aussi : Attention à ce site si vous souhaitez effectuer des démarches liées à votre carte grise
« La banque n’a aucun intérêt à payer »
Il faut bien comprendre que « la banque n’a aucun intérêt à payer », avance l’avocat Arnaud Delomel, qui défend régulièrement des victimes d’escroquerie financière. « Car la plupart du temps, les victimes vont laisser tomber. Et même si vous allez en justice, la banque a encore une chance de ne pas perdre, et de ne pas avoir à payer. Au pire, elle devra rembourser (la somme prélevée indûment) et vos frais d’avocat. Le calcul risque/avantage pour un établissement bancaire est très vite vu », expose l’avocat spécialisé en droit du crédit et de la consommation, au Cabinet Delomel.
Sauf qu’en août 2022, une nouvelle loi, destinée à mieux protéger les victimes de faux conseillers bancaires, a été adoptée. Il existe toujours une obligation pour la banque de rembourser dès qu’il y a une contestation de son client, inscrite à l’article L 133-18 du Code monétaire et financier. Mais si l’établissement bancaire tarde à reverser la somme, des pénalités s’appliqueront – pénalités que les banques devront payer, et qui seront versées au client. Il s’agit d’indemniser le retard de ce remboursement, qui peut survenir après des mois de procédure.
Et cette nouvelle règle pourrait sensiblement alourdir la facture des banques… à condition que les victimes aient les moyens d’aller en justice. « Le calcul risque/avantage pour les banques va s’inverser, sous réserve que les personnes, les consommateurs victimes tiennent le coup, initient des actions en justice et fassent condamner suffisamment les établissements bancaires. L’ampleur et le nombre des procédures finiront par faire changer ces pratiques bancaires », estime Maître Delomel.
Une arnaque en deux temps
L’arnaque, appelée parfois « vishing », se déroule toujours en deux temps, explique Mélanie Saldanha, juriste au sein de l’UFC-Que Choisir. Les escrocs récupèrent d’abord les numéros de téléphone et les données personnelles et parfois bancaires des internautes, souvent en rachetant un jeu de données piratées par d’autres. C’est la phase d’hameçonnage, qui commence souvent par ces fameux SMS qui vous invitent à cliquer sur un lien pour récupérer un colis, recevoir sa carte vitale, ou payer une contravention.
Car avec la « dématérialisation à outrance » de nombreux services, les occasions de se faire voler ce type de données, puis de se faire escroquer, se sont multipliées, déplore Guy Grandgirard, le président d’ADC France. Avant l’appel, les escrocs ont déjà votre nom, votre adresse, votre date de naissance, parfois votre numéro de carte et vos identifiants de connexion… Toutes ces informations qui permettront de mieux vous manipuler, en vous faisant croire qu’ils sont les véritables conseillers bancaires. Mais ils ont encore besoin de vous pour que vous validiez la double authentification – une étape indispensable pour qu’un nouveau RIB, celui de l’arnaqueur, soit ajouté à votre liste de bénéficiaire, ou qu’un virement soit bien validé.
À lire aussi : « Arnaque à l’écran noir » : qu’est-ce que c’est, et comment vous protéger
Des milliers d’euros en quelques secondes
Et pour se mettre dans la peau d’un conseiller bancaire, ou d’un agent du service des fraudes, les escrocs – il s’agit souvent d’autres personnes que celles chargées de l’hameçonnage – vont suivre des scénarios préétablis. C’est ce qu’a montré le youtubeur et informaticien Micode, qui a infiltré l’un de ses réseaux, dans son enquête publiée en juin dernier. « Ils arrivent avec des fiches, des checklists, des réponses préétablies sur toutes les objections qu’on pourrait avoir. Il y a une vraie méthode », confirme Jean-Jacques Latour, directeur expertise de la plateforme Cybermalveillance. gouv.fr.
Ajoutez à cela que les téléphones sont aussi parfois piratés, souligne l’UFC Que Choisir. De même que les applications des banques, renchérit Jérôme Lasserre Capdeville. Dans une affaire jugée récemment par la Cour d’appel de Versailles, rapporte le maître de conférences en droit bancaire, les escrocs avaient seulement demandé à la victime d’entrer dans son application bancaire – qu’ils avaient préalablement piratée. Ils avaient ainsi pu récupérer son code secret – et piocher allégrement dans les comptes. Dans une telle situation, « la victime ne pouvait que se tromper » avec, pour l’arnaqueur, un jackpot à la clef.
Car les sommes en jeu sont loin d’être anodines. En quelques minutes, les montants atteignent facilement les milliers d’euros, les comptes courants, comptes d’épargne et parfois les comptes d’entreprises sont vidés, sans que la victime comprenne ce qu’il se passe. Dans l’affaire jugée à la Cour d’appel de Versailles, 54 000 euros s’étaient volatilisés.
Avec la négociation de la DSP3, la loi ne peut pas être changée au niveau français
Comment alors mieux protéger les consommateurs, face à ce type d’arnaque ? Pour commencer, il faudrait que les banques remboursent davantage les consommateurs en cas de fraude, estime l’UFC Que Choisir qui a porté plainte contre 12 banques, en juin 2022, pour pratiques commerciales trompeuses. L’Observatoire de la sécurité des moyens de paiement a, de son côté, émis des recommandations en mai dernier, demandant aux banques « d’améliorer les démarches de remboursement des consommateurs victimes de fraude. Notamment lorsque l’opération de paiement contestée est effectuée avec l’authentification forte ». Mais ces préconisations ne sont pas obligatoires. Et la loi ne peut pas être changée dans l’immédiat, souligne Jérôme Lasserre Capdeville, maître de conférences à l’Université de Strasbourg en droit bancaire.
La raison ? La directive sur les services de paiement (la DSP3), censée modifier les règles existantes (de la DSP2), est actuellement en discussion à Bruxelles. Impossible donc d’aller avec une loi française, à l’encontre du droit européen. « On espère que le législateur européen se saisira de l’occasion pour mieux prendre en compte cette nouvelle fraude », avance Mélanie Saldanha de l’UFC Que choisir.
Du côté des banques, les messages de prévention et les alertes fusent à chaque fois qu’un nouveau bénéficiaire, ou qu’un virement est enregistré, quitte à rendre leurs expériences clients moins fluides. Mais souvent, l’internaute ne va pas les lire, ou les validera à la va-vite, sans réellement en prendre connaissance. Or, « si le client est vraiment négligent, s’il passe outre toutes les alertes mises en place – nous bloquons par exemple les opérations si le client indique être en ligne avec un conseiller – nous ne le rembourserons pas. Mais rien ne nous empêchera jamais de faire un geste commercial en fonction de telle ou telle situation », explique Xavier Prin, porte-parole de Boursorama, la seule banque sur la dizaine contactée à avoir accepté de répondre à nos questions.
Le législateur ne dit pas : vous devez rembourser le client systématiquement, même en cas de négligence grave. Si c’était le cas, « si les banques devaient rembourser à chaque fois que quelqu’un se fait escroquer, nos frais bancaires exploseraient », évalue Jean-Jacques Latour, directeur expertise de Cybermalveillance.gouv.fr.
Une autre piste, rendue possible avec la loi Naegen entrée en vigueur l’été dernier, serait de mettre en place des numéros certifiés – pour couper l’herbe à tous ceux qui parviennent à pirater le numéro de la banque. Mais la mise en place d’un tel système prendra du temps.
Et en attendant, il n’y a qu’une solution : pour les victimes, se faire conseiller par des associations d’aide et consulter, si besoin, un avocat. « Les dispositions en matière de fraude bancaire sont extrêmement en faveur des consommateurs. Les banques ne les appliquent pas, certes. Mais quand une personne saisit la justice avec un dossier complet et clair, les chances de succès sont excellentes », avance Arnaud Delomel. Mais encore faut-il en avoir les moyens.
Pour toutes les autres potentielles victimes, c’est-à-dire nous tous, il faut partir du principe que la banque n’a pas besoin que vous vous connectiez ou que vous réalisiez une opération en particulier pour bloquer des opérations de piratage. Elle n’a évidemment pas besoin de votre code secret ou de votre validation, qu’il ne faut jamais – jamais ! – donner. « Si un établissement bancaire veut bloquer un pseudo-prélèvement frauduleux, il le bloque, point barre », martèle Jean-Jacques Latour, directeur expertise de Cybermalveillance.gouv.fr.
Si une personne se présente comme étant votre conseiller bancaire : raccrochez, et rappelez votre banque, avec votre numéro – pas en cliquant sur « Rappeler », ajoute Mélanie Saldanha de l’UFC Que Choisir. Changez votre mot de passe, alertez votre banque, et demandez lui de faire un rappel de tous les virements qui ont pu être réalisés.
Depuis « la catastrophe », Fabien a, lui, contacté une association d’aides aux victimes de fraudes. Et si, dans les prochaines semaines, rien ne bouge, et qu’aucun remboursement ne vient, il consultera un avocat. Mais ce qu’il aimerait par-dessus-tout, c’est que davantage de monde connaissance l’existence de cette arnaque et les moyens de la déceler et d’y échapper. En attendant, le trentenaire mise tout sur sa procédure de remboursement. Mais en même temps, soupire-t-il, il aimerait tant pouvoir penser à autre chose.
* le prénom a été changé, à sa demande, ce dernier étant en pleine procédure avec son établissement bancaire.