Fraude en ligne : en quoi consiste l'authentification forte ?
Afin de lutter contre la fraude en ligne, les banques ont l’obligation de recourir à un dispositif de sécurité renforcée pour authentifier leurs clients et leurs achats.
Il existe trois types d’authentification forte à savoir :
- L’utilisation de l’application mobile : afin de valider l’opération, vous recevez une notification vous invitant à vous authentifier grâce à votre code ou votre empreinte.
- La validation par un SMS : vous devez valider l’opération en saisissant un code reçu par SMS ou par un code dit "statique" communiqué par votre banque.
- La validation par un appareil physique : vous devez valider l’opération grâce à un code créé par l’appareil que votre banque vous aura mis à disposition
Faux appels d’un conseiller bancaire : quelles sont les techniques utilisées ?
Les escrocs utilisent principalement deux techniques, d’autant plus sournoises qu’elles permettent de respecter l’authentification forte :
- L’appel par une personne se faisant passer pour un salarié de votre banque ou pour un salarié du service fraude qui vous dit constater des opérations frauduleuses sur votre compte et vous indique que pour faire opposition au paiement, vous devez, soit lui fournir le code que vous allez recevoir par SMS, soit valider via votre application mobile la demande qui apparaitra.
- L’envoi d’un SMS vous alertant sur la réalisation d’une opération suspecte et vous invitant à appeler un numéro pour bloquer l’opération ou pour faire opposition à votre carte bancaire.
Quelles sont les obligations de la banque en cas de fraude malgré l'authentification forte ?
Le principe
L’article L.133-18 du code monétaire et financier énonce le principe du remboursement du titulaire de la carte : "En cas d'opération de paiement non autorisée signalée par l'utilisateur dans les conditions prévues à l'article L.133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l'opération non autorisée immédiatement après avoir pris connaissance de l'opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s'il a de bonnes raisons de soupçonner une fraude de l'utilisateur du service de paiement et s'il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu".
S’agissant de la fraude sans utilisation physique de la carte bancaire, l’article L.133-19 II du code monétaire et financier précise que : "La responsabilité du payeur n'est pas engagée si l'opération de paiement non autorisée a été effectuée en détournant, à l'insu du payeur, l'instrument de paiement ou les données qui lui sont liées. Elle n'est pas engagée non plus en cas de contrefaçon de l'instrument de paiement si, au moment de l'opération de paiement non autorisée, le payeur était en possession de son instrument".
L'exception
L'article L.133-19 III du code précise que : "IV. – Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17".
Le fait de communiquer le code à un faux conseiller ou de valider soi-même l'opération via l'application, constitue-t-il une négligence que la banque peut vous opposer ?
La Cour de cassation statue au cas par cas. Il n'existe pas de règle absolue.
Cependant, une tendance favorable aux clients semble émerger au regard de trois décisions récentes :
Cour de Cassation le 23 octobre 2024
La cour a estimé que "Après avoir exactement énoncé qu'il incombe au prestataire de services de paiement de rapporter la preuve d'une négligence grave de son client, l'arrêt constate que le numéro d'appel apparaissant sur le téléphone portable de M. [J] s'était affiché comme étant celui de Mme [Y], sa conseillère BNP et retient qu'il croyait être en relation avec une salariée de la banque lors du réenregistrement et nouvelle validation qu'elle sollicitait de bénéficiaires de virement sur son compte qu'il connaissait et qu'il a cru valider l'opération litigieuse sur son application dont la banque assurait qu'il s'agissait d'une opération sécurisée.
Il ajoute que le mode opératoire par l'utilisation du "spoofing" a mis M.[J] en confiance et a diminué sa vigilance, inférieure, face à un appel téléphonique émanant prétendument de sa banque pour lui faire part du piratage de son compte, à celle d'une personne réceptionnant un courriel, laquelle aurait pu disposer de davantage de temps pour s'apercevoir d'éventuelles anomalies révélatrices de son origine frauduleuse".
Cour d’appel de Paris le 22 mai 2025
La Cour d’appel indique que "S'agissant de la négligence grave dont la banque soutient que Mme X s'est rendue coupable, il convient de relever que le numéro de téléphone qui a contacté Mme X était celui de l'agence de la banque où elle a son compte ce qu'elle démontre par la production de la copie d'écran qui fait apparaître le numéro [XXX] à 15 h 52 c'est à dire alors qu'elle procède aux opérations en ligne avec le faux conseiller à l'appareil. Ce numéro est bien celui de l'agence bancaire [XX]. Le fait qu'il s'agisse de ce numéro, ce que Mme X a vérifié et qui ne saurait lui être reproché, était de nature à la mettre en confiance. Elle a pu ainsi sans faute procéder via le lien qui lui était envoyé par la personne qu'elle pensait légitimement être une personne de son agence bancaire à des opérations sur un site miroir qui a permis la capture de ses identifiants.
Contrairement à ce que soutient la banque, les faits qui sont relatés par Mme X dans son procès-verbal de plainte ne démontrent pas une négligence grave de sa part dans de telles circonstances, le nom du lien et les intitulés étant suffisamment trompeurs pour que Mme X contactée via le numéro de téléphone de sa propre agence ne les détecte pas"
Cour de cassation le 12 juin 2025
La cour a estimé : "à la demande de l'escroc, cette employée, après s'être connectée au service de paiement en ligne à l'aide du dispositif de sécurité personnalisé mais sans le mot de passe, avait effectué diverses manipulations afin de reconstituer les écritures sans se méfier de son interlocuteur qui ne lui demandait pas de mot de passe. Il relève que la circonstance que l'escroc ait pu usurper un numéro de téléphone de la banque et annoncer le code qui s'affichait sur l'écran de l'utilisatrice était de nature à persuader celle-ci qu'elle était en relation avec un technicien. Il ajoute que la connaissance par son interlocuteur des opérations réalisées avant l'appel et de leur disparition pouvait la conforter dans la croyance qu'un incident informatique était survenu. Il retient encore que l'historique des opérations versé aux débats par la société révèle que le numéro d'abonné du titulaire de la carte de transfert sécurisé n'était pas attaché à la validation des tiers.
De ces constatations et appréciations, la Cour d'appel a pu déduire que la société n'avait pas commis de négligence grave dans la conservation et l'utilisation de ses données personnelles de sécurité".
À noter
Les articles L.133-18 et L.133-19 peuvent ne pas trouver à s’appliquer pour les comptes bancaires à usage professionnel conformément à l’article L.133-2 du code monétaire et financier qui autorise un établissement bancaire à prévoir des dispositions particulières dans la convention de compte et faire supporter toutes les pertes sur son client.
Comment se prémunir de ces faux appels ?
Puisque la banque peut vous opposer votre négligence pour refuser de vous rembourser le montant des opérations frauduleuses et qu’il existe un risque qu’un tribunal valide sa position, nous vous invitons à la plus grande vigilance et prudence à réception d’appel, de SMS ou de mail suspect.
Les conseils de la MACSF
- Ne jamais donner vos coordonnées bancaires par téléphone lorsque vous n’avez pas contacté vous-même votre conseiller bancaire habituel et ce même si le numéro semble être celui de votre banque. Il est préférable d’appeler vous-même votre conseiller ou votre banque via le numéro présent dans votre application mobile.
En effet, un conseiller bancaire que vous ne connaissez pas ou le service d’opposition ne vous contactent pas pour faire opposition ou pour vous signaler des opérations suspectes. - Ne jamais donner les codes reçus par téléphone puisque ces codes sont utilisés pour valider une opération et en aucun cas pour faire opposition à l’opération
- Ne jamais valider une opération via l’application mobile si vous n’êtes pas à l’origine de la demande de paiement. Tout comme le code reçu par SMS, on ne peut pas faire opposition à un paiement par carte bancaire en validant une demande par l’application mobile.
- Ne cliquez jamais sur le lien d’un SMS ou un mail qui vous demande d’actualiser vos données bancaires. En effet, c’est par le biais d’un mail frauduleux que l’escroc parvient à avoir vos données personnelles et peut donc vous faire croire qu’il est une personne de confiance.