Les banques sont tenues de rembourser les sommes illégalement prélevées sur votre compte bancaire à la suite d’une fraude à la carte bancaire. D’après une étude publiée par l’ACPR et la Banque de France, la réalité semble être bien différente. Certaines banques refuseraient, en effet, d’indemniser leurs clients. Quelles banques sont concernées ? Quels sont vos droits et vos recours possibles ? Lyanne vous accompagne et répond à toutes vos questions.
En résumé …
Le saviez-vous ? En cas d’opérations frauduleuses, la banque est tenue de rembourser les sommes prélevées. Que l’opération provienne du vol de votre moyen de paiement, d’un paiement de contact ou d’une arnaque dite de « phishing », la banque est, en effet, tenue de vous rembourser sauf si elle peut prouver votre négligence grave. Pourtant, près de 30% des transactions frauduleuses ne seraient pas remboursées malgré la réglementation. Pour justifier leurs pratiques, les établissements bancaires mettent en avant la prétendue négligence de leurs clients et la mise en place d’authentification des transactions par l’envoi d’un SMS (3D Secure). Cette méthode jugée insuffisante a été retoquée par les instances européennes et l’authentification forte est en train de voir le jour. Désormais deux preuves d’identité distinctes (au lieu d’une avec le 3D Secure) devront être fournies pour autoriser une transaction.
Qu'est-ce qu'une fraude à la carte bancaire ?
Une transaction est définie comme frauduleuse si elle n’a pas été autorisée par le propriétaire de la carte bleue. Elle peut provenir du vol :
-des données confidentielles liées à la carte (notamment, votre numéro de carte)
– vol de la carte bancaire elle-même
– par le biais de sites internet malhonnêtes
Les banques ont déployé, depuis quelques années, un système de renforcement d’authentification, appelé 3D Secure. Cette opération consiste en l’envoi d’un mot de passe temporaire à usage unique envoyé par SMS et nécessaire à la validation de la transaction. Ce système permet de renforcer l’authentification du client car il est, en principe, le seul à détenir son téléphone et donc à obtenir ce mot de passe.
Ce que prévoit la loi en cas d'opérations frauduleuses
Si vous constatez des opérations frauduleuses sur votre relevé de comptes, l’article L133-18 du Code monétaire et financier oblige les banques à vous rembourser les sommes subtilisées. Sur simple demande (par e-mail ou idéalement par courrier recommandé avec accusé de réception), votre banque est, effectivement, tenue de vous rembourser immédiatement la somme sans vous facturer de frais, ni exiger de dépôt de plainte.
Cela concerne également des paiements frauduleux effectués avec la fonction « sans contact » de votre carte bancaire ou autorisés par le 3D Secure ou en cas de pratiques dites de « phishing ». Il s’agit d’arnaques basées sur l’envoi d’un e-mail en usurpant l’identité de la banque du client. Le client, pensant répondre à son conseiller bancaire, clique sur le lien de redirection et transmet ses informations confidentielles.
A noter que si l’opération frauduleuse a été effectuée à la suite de la perte ou du vol de vos moyens de paiement, la banque est en droit de vous réclamer une indemnité, dont le plafond a été fixé à 50€. Ce forfait peut être pris en charge par votre garantie moyens de paiement.
La loi…et la réalité !
Si la banque est en droit de vous refuser l’indemnisation des opérations frauduleuses si elle parvient à prouver qu’elles ont été facilitées par des négligences graves de votre part ou d’agissements frauduleux, certains récents refus d’indemnisation en assurance semblent plus contestables. Quelle définition de la négligence les assureurs adoptent-ils ?
UFC Que Choisir a récemment constaté que certaines banques exigeaient un dépôt de plainte pour enclencher le remboursement des opérations frauduleuses. Aucun texte de loi n’exige, à ce jour, qu’un dépôt de plainte ne soit effectué d’autant plus que les services de police et de gendarmerie peuvent être débordés et refusent généralement de recueillir la plainte des victimes de fraudes bancaires.
Plus grave encore, d’après un communiqué de la Banque de France et de l’ACPR (Autorité de Contrôle Prudentiel et de Résolution) publié le 26 avril 2021, « les modalités de traitement des demandes de remboursement des opérations non autorisées par carte bancaire doivent être améliorées ». Ces propos viennent corroborer une enquête publiée par UFC Que Choisir en octobre 2020, dans laquelle a été prouvé que « 30% des fraudes à la carte bancaire n'[étaient] pas remboursées par les banques ». Pour justifier leurs pratiques, les établissements bancaires mettent en avant la prétendue négligence de leurs clients et la mise en place d’authentification des transactions par l’envoi d’un SMS (3D Secure). Cependant cette méthode n’est plus considérée comme une méthode fiable et sécurisée car elle peut facilement être contournée. La méthode du « SIM-Swaping » largement utilisée par les fraudeurs permet, par exemple, d’intercepter le SMS envoyé au porteur de la carte bancaire.
Les mesures engagées pour limiter la fraude à la carte bancaire
Dans le cadre de la deuxième Directive européenne sur les services paiement, une nouvelle réglementation dénommée DSP2 a été instaurée pour renforcer la sécurité des paiements à distance, le 3DS étant considéré comme insuffisant. Ce nouveau système d’« authentification forte » a été définie dans l’article L133-4 du Code monétaire et financier et prévoit que toutes les transactions d’ici la mi-juin 2021 devront être validées à l’aide d’au moins deux des trois facteurs suivants :
– Quelque chose que seuls eux connaissent (un mot de passe par exemple)
– Quelque chose que seuls eux possèdent (une carte bancaire, un téléphone)
– Une caractéristique qui leur est personnelle (une empreinte digitale par exemple)
L’authentification forte devra nécessairement être appliquée lorsque vous accédez à votre compte en ligne ou vous initiez une opération de paiement à distance (paiement par téléphone ou par Internet) présentant plus de risque de fraude.
Le saviez-vous ? Si une opération frauduleuse a été effectuée sans qu’aucun système d’authentification n’ait été enclenché (3D Secure ou authentification forte) malgré le risque avéré de fraude, la banque ne pourra pas exiger le paiement de l’indemnité de 50€.