C’est un drame en deux actes qui pourrait arriver à tout le monde : voir ses économies partir en fumée en quelques minutes, après être tombé dans le piège d’un faux conseiller bancaire… et ne jamais se faire rembourser. « Je revenais de ma pause déjeuner quand j’ai vu, sur mon portable, que ma conseillère bancaire m’appelait », se remémore Fabien*, la trentaine, la gorge encore nouée par cette « catastrophe ». Il décroche. Au bout du fil, un homme se présente comme un collaborateur de sa banque. « Sa voix était posée. Il s’exprimait bien. Il connaissait le nom de ma conseillère, mon adresse, mon numéro de compte. Je ne me suis pas méfié », reconnaît le jeune homme. Son interlocuteur l’avertit que « des mouvements suspects ont été constatés sur son compte. Et qu’il faut les contrer le plus rapidement possible ».
Comment ? On lui demande de se rendre sur son application bancaire, et de valider des opérations. Fabien ne le sait pas, mais il va par ce biais enregistrer un nouveau bénéficiaire sur son compte, qui va, peu à peu, être vidé. Ce n’est que le lendemain, en rappelant sa banque, qu’il tombe littéralement de sa chaise. Les 6 000 euros qu’il était parvenu à économiser, « pour les coups durs et ses prochaines vacances », se sont envolés.
« C’est à ce moment-là que l’acte 2 du drame a lieu », soupire-t-il. Il conteste les opérations et porte plainte. Mais les sommes prélevées sont déjà loin. Pour échapper à la procédure de rappel des fonds, l’argent a circulé très vite, en passant par des banques à l’étranger. Au commissariat, on lui fait comprendre que les chances de retrouver ses escrocs sont infimes. À la banque, on lui explique qu’il a lui-même validé les opérations, notamment via la double authentification – le fait de combiner deux éléments d’identification, comme son smartphone et un mot de passe ou un code. Après plusieurs semaines d’attente, la sentence tombe : sa banque ne lui remboursera pas ces sommes, nous rapporte-t-il.
Une fraude qui explose depuis plusieurs mois
Cette scène se reproduirait très souvent, trop souvent. Depuis 2022, ce type d’arnaque a littéralement explosé. Selon le rapport de l’Observatoire de la sécurité des moyens de paiement publié en juillet dernier, « les montants de fraude liés au virement ont plus que triplé en cinq ans, passant de 78 millions d’euros en 2017 à 313 millions d’euros en 2022 ». 70 % du montant de cette fraude concerne les virements initiés depuis les interfaces de banque en ligne. Et si ces chiffres datent de 2022, le phénomène est loin de se tarir en 2023, constate Jean-Jacques Latour, directeur expertise de Cybermalveillance.gouv.fr, une plateforme gouvernementale d’assistance aux victimes d’actes de cybermalveillance. L’arnaque touche tous les profils, et toutes les catégories sociales : ouvriers et cadres, citadins et ruraux, salariés et fonctionnaires, anonymes et célébrités.
De l’autre côté, les victimes rencontrent quasi systématiquement des difficultés à obtenir un remboursement de leur banque. « Imaginez que vous retirez de l’argent, et qu’un faux conseiller bancaire apparaît et vous dit : “je vais vérifier vos billets”, avant de disparaître dans la nature. Vous ne pourrez pas demander à votre banque de vous rembourser », explique Jean-Jacques Latour.
À lire aussi : Ne relâchez pas votre vigilance face aux arnaques bancaires en ligne
Que dit la loi ?
Pourtant, dans le monde virtuel, les choses ne sont pas tout à fait similaires. Jérôme Lasserre Capdeville, maître de conférences à l’Université de Strasbourg en droit bancaire, rappelle que le principe est clair. La loi impose que les banques remboursent, sur leurs propres deniers, leurs clients de toute somme indûment prélevée sur leur compte bancaire. Qu’importe si l’escroc et les sommes dérobées ne sont jamais retrouvés. Mais il existe deux exceptions : si le client est un complice de l’escroquerie, ou s’il a été « gravement négligent ». En théorie, c’est à l’établissement bancaire d’apporter la preuve de ces deux éléments qui lui permettent de botter en touche.
Mais en pratique, la banque commence quasi systématiquement par ne pas rembourser, regrette Guy Grandgirard, président d’ADC France, une association d’aide aux victimes de fraudes bancaires. Pour ce faire, l’établissement se retrancherait derrière la « négligence grave », avançant par exemple le fait que la victime ait validé des opérations via une authentification forte. Y compris lorsque le numéro de la banque a été usurpé – une fraude désignée sous le terme « spoofing », et qui vise à convaincre la victime, souvent avec succès, que l’appel est bien passé du service des fraudes ou de l’établissement bancaire en question.
« C’est toujours la faute du consommateur : il n’avait qu’à pas donner ses coordonnées. Il n’avait pas qu’à valider les virements », déplore Guy Grandgirard. Pourtant, « l’authentification forte n’est pas infaillible. Il ne faut pas tout mettre sur le dos des consommateurs, puisque si on était à leur place, pris dans l’arsenal de l’escroc, on tomberait aussi dans le piège », renchérit Mélanie Saldanha, juriste à l’UFC Que Choisir. « Leur discours est tellement bien rodé que parfois, la fraude est réellement indécelable », poursuit-elle.
À lire aussi : Attention à ce site si vous souhaitez effectuer des démarches liées à votre carte grise
« La banque n’a aucun intérêt à payer »
Il faut bien comprendre que « la banque n’a aucun intérêt à payer », avance l’avocat Arnaud Delomel, qui défend régulièrement des victimes d’escroquerie financière. « Car la plupart du temps, les victimes vont laisser tomber. Et même si vous allez en justice, la banque a encore une chance de ne pas perdre, et de ne pas avoir à payer. Au pire, elle devra rembourser (la somme prélevée indûment) et vos frais d’avocat. Le calcul risque/avantage pour un établissement bancaire est très vite vu », expose l’avocat spécialisé en droit du crédit et de la consommation, au Cabinet Delomel.
Sauf qu’en août 2022, une nouvelle loi, destinée à mieux protéger les victimes de faux conseillers bancaires, a été adoptée. Il existe toujours une obligation pour la banque de rembourser dès qu’il y a une contestation de son client, inscrite à l’article L 133-18 du Code monétaire et financier. Mais si l’établissement bancaire tarde à reverser la somme, des pénalités s’appliqueront – pénalités que les banques devront payer, et qui seront versées au client. Il s’agit d’indemniser le retard de ce remboursement, qui peut survenir après des mois de procédure.
Et cette nouvelle règle pourrait sensiblement alourdir la facture des banques… à condition que les victimes aient les moyens d’aller en justice. « Le calcul risque/avantage pour les banques va s’inverser, sous réserve que les personnes, les consommateurs victimes tiennent le coup, initient des actions en justice et fassent condamner suffisamment les établissements bancaires. L’ampleur et le nombre des procédures finiront par faire changer ces pratiques bancaires », estime Maître Delomel.
Une arnaque en deux temps
L’arnaque, appelée parfois « vishing », se déroule toujours en deux temps, explique Mélanie Saldanha, juriste au sein de l’UFC-Que Choisir. Les escrocs récupèrent d’abord les numéros de téléphone et les données personnelles et parfois bancaires des internautes, souvent en rachetant un jeu de données piratées par d’autres. C’est la phase d’hameçonnage, qui commence souvent par ces fameux SMS qui vous invitent à cliquer sur un lien pour récupérer un colis, recevoir sa carte vitale, ou payer une contravention.
Car avec la « dématérialisation à outrance » de nombreux services, les occasions de se faire voler ce type de données, puis de se faire escroquer, se sont multipliées, déplore Guy Grandgirard, le président d’ADC France. Avant l’appel, les escrocs ont déjà votre nom, votre adresse, votre date de naissance, parfois votre numéro de carte et vos identifiants de connexion… Toutes ces informations qui permettront de mieux vous manipuler, en vous faisant croire qu’ils sont les véritables conseillers bancaires. Mais ils ont encore besoin de vous pour que vous validiez la double authentification – une étape indispensable pour qu’un nouveau RIB, celui de l’arnaqueur, soit ajouté à votre liste de bénéficiaire, ou qu’un virement soit bien validé.
À lire aussi : « Arnaque à l’écran noir » : qu’est-ce que c’est, et comment vous protéger
Des milliers d’euros en quelques secondes
Et pour se mettre dans la peau d’un conseiller bancaire, ou d’un agent du service des fraudes, les escrocs – il s’agit souvent d’autres personnes que celles chargées de l’hameçonnage – vont suivre des scénarios préétablis. C’est ce qu’a montré le youtubeur et informaticien Micode, qui a infiltré l’un de ses réseaux, dans son enquête publiée en juin dernier. « Ils arrivent avec des fiches, des checklists, des réponses préétablies sur toutes les objections qu’on pourrait avoir. Il y a une vraie méthode », confirme Jean-Jacques Latour, directeur expertise de la plateforme Cybermalveillance. gouv.fr.
Ajoutez à cela que les téléphones sont aussi parfois piratés, souligne l’UFC Que Choisir. De même que les applications des banques, renchérit Jérôme Lasserre Capdeville. Dans une affaire jugée récemment par la Cour d’appel de Versailles, rapporte le maître de conférences en droit bancaire, les escrocs avaient seulement demandé à la victime d’entrer dans son application bancaire – qu’ils avaient préalablement piratée. Ils avaient ainsi pu récupérer son code secret – et piocher allégrement dans les comptes. Dans une telle situation, « la victime ne pouvait que se tromper » avec, pour l’arnaqueur, un jackpot à la clef.
Car les sommes en jeu sont loin d’être anodines. En quelques minutes, les montants atteignent facilement les milliers d’euros, les comptes courants, comptes d’épargne et parfois les comptes d’entreprises sont vidés, sans que la victime comprenne ce qu’il se passe. Dans l’affaire jugée à la Cour d’appel de Versailles, 54 000 euros s’étaient volatilisés.
Avec la négociation de la DSP3, la loi ne peut pas être changée au niveau français
Comment alors mieux protéger les consommateurs, face à ce type d’arnaque ? Pour commencer, il faudrait que les banques remboursent davantage les consommateurs en cas de fraude, estime l’UFC Que Choisir qui a porté plainte contre 12 banques, en juin 2022, pour pratiques commerciales trompeuses. L’Observatoire de la sécurité des moyens de paiement a, de son côté, émis des recommandations en mai dernier, demandant aux banques « d’améliorer les démarches de remboursement des consommateurs victimes de fraude. Notamment lorsque l’opération de paiement contestée est effectuée avec l’authentification forte ». Mais ces préconisations ne sont pas obligatoires. Et la loi ne peut pas être changée dans l’immédiat, souligne Jérôme Lasserre Capdeville, maître de conférences à l’Université de Strasbourg en droit bancaire.
La raison ? La directive sur les services de paiement (la DSP3), censée modifier les règles existantes (de la DSP2), est actuellement en discussion à Bruxelles. Impossible donc d’aller avec une loi française, à l’encontre du droit européen. « On espère que le législateur européen se saisira de l’occasion pour mieux prendre en compte cette nouvelle fraude », avance Mélanie Saldanha de l’UFC Que choisir.
Du côté des banques, les messages de prévention et les alertes fusent à chaque fois qu’un nouveau bénéficiaire, ou qu’un virement est enregistré, quitte à rendre leurs expériences clients moins fluides. Mais souvent, l’internaute ne va pas les lire, ou les validera à la va-vite, sans réellement en prendre connaissance. Or, « si le client est vraiment négligent, s’il passe outre toutes les alertes mises en place – nous bloquons par exemple les opérations si le client indique être en ligne avec un conseiller – nous ne le rembourserons pas. Mais rien ne nous empêchera jamais de faire un geste commercial en fonction de telle ou telle situation », explique Xavier Prin, porte-parole de Boursorama, la seule banque sur la dizaine contactée à avoir accepté de répondre à nos questions.
Le législateur ne dit pas : vous devez rembourser le client systématiquement, même en cas de négligence grave. Si c’était le cas, « si les banques devaient rembourser à chaque fois que quelqu’un se fait escroquer, nos frais bancaires exploseraient », évalue Jean-Jacques Latour, directeur expertise de Cybermalveillance.gouv.fr.
Une autre piste, rendue possible avec la loi Naegen entrée en vigueur l’été dernier, serait de mettre en place des numéros certifiés – pour couper l’herbe à tous ceux qui parviennent à pirater le numéro de la banque. Mais la mise en place d’un tel système prendra du temps.
Et en attendant, il n’y a qu’une solution : pour les victimes, se faire conseiller par des associations d’aide et consulter, si besoin, un avocat. « Les dispositions en matière de fraude bancaire sont extrêmement en faveur des consommateurs. Les banques ne les appliquent pas, certes. Mais quand une personne saisit la justice avec un dossier complet et clair, les chances de succès sont excellentes », avance Arnaud Delomel. Mais encore faut-il en avoir les moyens.
Pour toutes les autres potentielles victimes, c’est-à-dire nous tous, il faut partir du principe que la banque n’a pas besoin que vous vous connectiez ou que vous réalisiez une opération en particulier pour bloquer des opérations de piratage. Elle n’a évidemment pas besoin de votre code secret ou de votre validation, qu’il ne faut jamais – jamais ! – donner. « Si un établissement bancaire veut bloquer un pseudo-prélèvement frauduleux, il le bloque, point barre », martèle Jean-Jacques Latour, directeur expertise de Cybermalveillance.gouv.fr.
Si une personne se présente comme étant votre conseiller bancaire : raccrochez, et rappelez votre banque, avec votre numéro – pas en cliquant sur « Rappeler », ajoute Mélanie Saldanha de l’UFC Que Choisir. Changez votre mot de passe, alertez votre banque, et demandez lui de faire un rappel de tous les virements qui ont pu être réalisés.
Depuis « la catastrophe », Fabien a, lui, contacté une association d’aides aux victimes de fraudes. Et si, dans les prochaines semaines, rien ne bouge, et qu’aucun remboursement ne vient, il consultera un avocat. Mais ce qu’il aimerait par-dessus-tout, c’est que davantage de monde connaissent l’existence de cette arnaque et les moyens de la déceler et d’y échapper. En attendant, le trentenaire mise tout sur sa procédure de remboursement. Mais en même temps, soupire-t-il, il aimerait tant pouvoir penser à autre chose.
* le prénom a été changé, à sa demande, ce dernier étant en pleine procédure avec son établissement bancaire.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Non! Les banques ne sont pas plus responsables des fraudes que leurs clients. Il est trop facile de faire payer les autres alors que la plupart des clients reconnaissent eux-mêmes qu’il “ne se sont pas méfiés”. Cela relève de la même mentalité que les gens qui veulent que l’état paye tout et toujours. Au final, c’est toujours les mêmes qui payent : les contribuables pour l’état, les autres clients – moins naïfs – pour les banques.
Avec vous les personnages âgées ou les plus fragiles peuvent creuver…
les banques et notament les émeteurs de carte de crédit percoivent 3% du chiffre d’affaire sur les transactions sur le net et même sur les transacions courantes auprès des commerces proximité y compris restaurants et supermarché ,certaines voudraient voir porter ce montant à 4 voir 5 % ( visa ) Aucun état de la cee n’a le pouvoir de réguler ces commissions Ils seraient cependant bien avisés de mettre légalement à la charge des émetteurs de cartes de crédit l’obligation d’assurer la totalité des transactions par cartes y compris celles dont l’origine est frauduleuse , fishing cheval de troie , et autres catastrophes issues des malware
Pauvre calimero, mouarrggg !
Moi même j’ai été victime d’un faux rib qui a été falsifié sur mon mail envoyé par mon notaire(20000€)Le code BIC et l’iban modifié. Le banquier à manque de vigilance car le BIC devait commencer par cddc… (Caisse des dépôts et consignation) alors que ce n’était pas le cas et il manquait le tampon rouge de la caisse des dépôts sur le Rib, la banque aurait dû savoir que les virements bancaires transitent toujours par la caisse des dépôts, moi je l’ignorais, par contre la banque à manqué à son devoir de vigilance. Toujours est-il qu’à ce jour elle ne veut pas me rembourser. L’affaire est confiée à un avocat qui m’assure que la banque est responsable et que j’ai toutes mes chances d’être remboursé.
Si tous les mouvements financiers se font d’un compte bancaire à un autre, et donc par ordinateur et réseaux financiers, il devrait être facile de repérer où va l’argent de l’escroquerie., et par là de remonter aux coupables. Croyez bien que quand ça les intéresse de retrouver des mouvements financiers susceptibles d’échapper aux impôts, là ils les retrouvent !
Mais peut être que les pouvoirs publics n’ont pas très envie de retrouver les coupables des cyber-escroqueries…
A plusieurs reprises depuis ces 6 derniers mois, alors que je naviguais tranquillement sur mon ordinateur, d’un seul coup ( à chaque fois ) mon écran est totalement bloqué et un message s’affiche en grand en utilisant tout le temps le site MICROSOFT qui m’indique que le service sécurité de MICROSOFT vient de bloquer mon ordinateur car il y a plusieurs tentatives de fraudes en cours. Il m’est demandé d’appeler le numéro de téléphone du service sécurité de MICROSOFT qui s’affiche et en même temps un message vocal me donne un numéro de code de sécurité que je dois entrer dans une case qui elle aussi s’affiche. La première fois j’ai vraiment cru que c’était MICROSOFT qui me contactait et j’ai fait ce qu’il me demandait. Dès lors ils ont pris le contrôle total de mon ordinateur. Puis , celui qui se présentait ( très bien au demeurant ) comme ingénieur au service de sécurité de MICROSOFT m’a informé que j’avais 6 paiements frauduleux en cours provenant d’une société de jeux située en Belgique de chacun 500 euros. En plus il m’indiquait que son service venait d’intercepter les codes secrets des 6 messages que m’envoyait ma banque par sms et il me donnait ces codes en même temps que je les recevais sur mon téléphone de la part de ma banque alors que je n’avais strictement rien fait jusque là. Rapidement je m’aperçois qu’ils ont non seulement les références de mes cartes bancaires avec les numéros de sécurité, et aussi mon numéro de téléphone et surtout qu’ils arrivent à intercepter les codes secrets envoyés par sms par ma banque sur mon téléphone à mon intention. C’est à ce moment là que ” l’ingénieur MICROSOFT ” me demande de me connecter à mon compte bancaire pour bien vérifier qu’il a bien bloquer les tentatives de fraudes. Dès lors je lui dis que je ne vais pas me connecter à mon compte bancaire puisqu’il a le contrôle total de mon ordinateur et que je ne veux pas qu’il connaissent mes mots de passe. Quà cela ne tienne, bien tranquillement il me dit qu’il va me rappeler dans 1 heure pour me laisser le temps d’aller tranquilement sur mon compte. Je lui dis ok mais je sais pertinament qu’il va rester sur mon écran pour voir mes mots de passe de mon compte bancaire et que si je m’exécute je suis cuis et mes sous avec. Donc je ne vais pas sur mon compte bancaire et j’appelle le numéro national de ma banque qui me dis de téléphoner immédiatement au service cyber sécurité pour les informer. Aussitôt dit j’appelle ce service qui sait qui je suis dès l’affichage de mon numéro de téléphone et donc de mes coordonnées chez eux et j’ai à peine commencè de leur expliquer mon problème que mon interlocuteur m’informe qu’ils se sont immédiatement rendu compte de la tentative, avant mon appel, de fraude de 6 fois 500 euros mais qu’ils avaient bloqué toutes les transactions enc ours et donc que je ne risquat plus rien et que l’argent ne serait pas volé sur mon compte. Cette personne m’a dit qu’il y avait énormément de fraudes avec l’utilisation du site MICROSOFT. J’ai eu plusieurs fois ces mêmes tentatives à lidentique par la suite et un spécialiste m’a expliqué que dès lors que l’ordinateur est bloqué avec ces écrans MICROSOFT ou autres il faut immédiatement déconnecter l’ordinateur d’internet et attendre une bonne heure avant de se reconnecter. Je suis un peu long dans mon explication mais je suis un homme de 73 ans très averti de l’utilisation d’internet mais je comprends maintenant que l’on peut se faire avoir très facilement. Par contre ce qui est très inquiétant c’est que les escrocs peuvent intercepter les codes de sécurité envoyés par les banques lorsque vous faites ( vous même ou un escroc ) en même temps que vous. Que faire si le ou les paiements sont validés alors que vous n’y êtes pour rien ? Quant à ma banque il s’agit du CREDIT MUTUEL et je suis vraiment surpris de leur rapide réaction pour me protéger, ils se sont montrés très réactifs.
j’ai été victime de ce piratage en février 2023 avec un montant très important qui avait disparu des mes comptes. les escrocs avaient fait différents virements entre mes comptes, avaient enregistré un nouveau rib et un téléphone pour valider les virements. tous ça s’est passé le soir à 21h30 un samedi lorsque ma banque internet était fermée.
Panique à bord appel a la gendarmerie qui ne pouvait rien faire ( logique).
L’appel venait du numéro de tél de ma banque et le faux conseiller connaissait presque tout de mes comptes , mes N° des cartes, mon adresse etc donc une mise en confiance, un discours bien rodé et calme.
J’ai certainement eu de la chance car le lundi avec le conseiller de ma bank tout s’est bien passé et je fût remboursé de la totalité de la fraude sans opposition malgré les sommes très importantes: une partie des fonds était viré sur un compte de la même bank.
je tient à remercier ma BB Bank celle qui est le moins cher pour efficacité et son sérieux.
Pas d’accord non plus pour rembourser systématiquement les victimes. La technologie est une matière récente en terme de générations et il faut avant tout former et informer massivement des gens pour qui c’est difficile. On leur confie des outils et on ne leur explique pas comment s’en servir, c’est ça le premier problème à traiter ! Sinon on les rembourse, on les infantilise et on aura éternellement des gens non avertis qui continueront encore et encore à faire le bonheur des escrocs. C’est franchement pas une évolution si c’est ça et qu’on doive éponger les problèmes !
C’est exactement la question que je me posais…sans oublier Meta qui ne fait absolument rien pour filtrer les pubs de placements bidons !!!
A ce niveau de négligence c’est de la complicité !!!