Médiation auprès de la Fédération bancaire française (FBF) : Publication du rapport d'activité 2023
La médiatrice auprès de la Fédération bancaire française (FBF), Mme Marie-Christine Caffet, a présenté son rapport annuel 2023 en juin 2024 lors d'une réunion plénière du Comité consultatif du secteur financier (CCSF).
M. Pierre Minor lui a succédé au poste de médiateur auprès de la FBF depuis le 23 mai 2024 (visiter le site du médiateur).
La médiation auprès de la FBF représente la moitié de la médiation bancaire en France. Environ 5 450 dossiers ont été résolus en 2023 grâce à l'action de la médiatrice.
Quelques chiffres clefs pour 2023
En 2023, le nombre de saisines a été de 20 300 dossiers avec un taux de recevabilité de 38 %. Il est à noter une hausse de 68 % du nombre de dossiers reçus en 2023 par rapport à 2022.
L'augmentation du nombre de saisines s'explique par trois facteurs :
- la multiplication des fraudes aux paiements en ligne qui représente 80 % des dossiers ;
- la mise en oeuvre de la recommandation 2022-R- 01 du 9 mai 2022 de l'Autorité de contôle prudentiel et de régulation (ACPR) qui impose aux banques de respecter strictement le délai de deux mois après le dépôt d'une réclamation.
Cette recommandation, suite aux travaux du CCSF, a amélioré les délais et le parcours de traitement des réclamations par les banques.
En effet, les accusés de réception de chaque réclamation doivent faire figurer le délai de réponse ainsi que les coordonnées du médiateur, ce qui facilite la saisine du médiateur.
Une nouvelle recommandation de l'ACPR 2024-R-02 sur le traitement des réclamations a été publiée le 2 juillet 2024.
- enfin, l'adhésion de nouveaux établissements bancaires à la médiation auprès de la FBF, notamment BNP Paribas, qui n'a plus de médiateur propre.
Les recommandations préconisées par l'Observatoire de la sécurité des moyens de paiement (OMSP) sur le remboursement des victimes de fraudes en mai 2023, devraient conduire à un ralentissement des dépôts de dossiers, notamment avec la suppression des exemptions d'authentification forte, et le traitement des dossiers les plus simples au niveau des banques.
Dans son rapport, la médiatrice constate un appauvrissement du contenu des réclamations qui sont assez succinctes surtout celles qui sont faites en ligne. Cela n'est pas le cas quand le consommateur est assisté dans ses démarches par une association de consommateurs.
Il est constaté 3 axes d'amélioration à prévoir au niveau des services de réclamation des banques :
- les moyens humains sont souvent insuffisants ;
- le traitement des litiges portant sur les délais de réalisation d'opérations est complexe ;
- les services de réclamation de 1er niveau ont peu de marges de manoeuvre pour proposer des solutions comprenant un geste pécuniaire ou une indemnisation.
Seulement 5 à 10 % des réclamations remontent en médiation. De nombreux dossiers ne sont pas recevables car le consommateur n’a fourni ni la réclamation écrite adressée à sa banque, ni la réponse de celle-ci, et n'a pas joint les pièces justificatives.
Les thèmes des litiges
Depuis 2020, 80 % des litiges concernent des fraudes aux paiements en ligne.
Les litiges portant sur la tarification bancaire, ainsi que ceux concernant les clôtures abusives des comptes ont quasiment disparu. Les litiges relatifs à la renégociation de crédits et à l'assurance emprunteur connaissent un nouveau rebond.
La médiatrice relève que "les banques doivent prendre leurs responsabilités....il ne suffit pas de faire des campagnes de prévention ou des alertes, sur le site internet ou sur l'application bancaire, mais il faut aussi surveiller les comptes, les connexions inconnues et les mouvements atypiques".
"Le problème majeur est la compromission du mot de passe présent dans un dossier sur deux de fraude remontant en médiation...La sécurité de l'accès au compte est un vrai défi....Il devient crucial de limiter autant que possible toutes les exemptions d'authentification forte qui sont autant de portes ouvertes aux intrusions malveillantes."
La compromission du mot de passe est constatée dans une fraude sur deux.
La compromission du mot de passe peut faire suite à des appels téléphoniques des escrocs se faisant passer pour des conseillers bancaires ou via des faux sites miroirs, ou des faux écrans d'initiation de paiements.
Plusieurs établissements bancaires ont mis en place une authentification forte à chaque connexion que ce soit pour une consultation, une initiation de paiement ou un accès aux comptes. L'exemption devient l'exception.
Les délais de traitement
Le délai moyen de traitement d'un dossier à compter de la réception des éléments de la banque est de 143 jours.
Illustration par des cas pratiques
Le rapport présente ensuite différents cas pratiques de médiation qui illustrent l'activité de la médiatrice.
A titre d'exemple : usurpation d'identité lors de l'ouverture d'un compte en ligne, ordre d'achat de lingots d'or, clôture d'un plan épargne logement, intrusion avec mofidification d'un mot de passe, escroquerie (virement)...
Exemples issus du rapport 2023 de la médiation auprès de la FBF
1er exemple : Intrusion avec modification du mot de passe
Une consommatrice a saisi la médiatrice pour obtenir le remboursement de deux opérations. Elle indique avoir reçu un SMS lui demandant de mettre à jour sa carte vitale. Elle reconnait avoir suivi les instructions du lien et avoir reçu ensuite un appel téléphonique d’un numéro de téléphone appartenant à son établissement bancaire. Son interlocuteur, se présentant comme un collaborateur du service des fraudes de sa banque, l’a informée de plusieurs opérations douteuses en cours et l’a invitée à les bloquer sur son application bancaire.
La consommatrice, sans détailler ce qu’elle a fait, a constaté ensuite qu’un virement ainsi qu’un paiement par carte bancaire avaient été débités sur son compte bancaire. Le virement a fait l’objet d’un rappel auprès de la banque du bénéficiaire et une somme d'environ 50 % du virement contesté a été recréditée.
La banque a refusé de rembourser ces opérations estimant que l’opération par carte bancaire ainsi que l’ajout du bénéficiaire ont été validés par authentification forte sur l’appareil de la consommatrice, son dispositif n’ayant pas été détourné.
La médiatrice constate que l’authentification forte a été utilisée pour la validation du paiement par carte bancaire, qu’elle a donc manifestement autorisé, ainsi que pour l’ajout de l’IBAN d’un nouveau bénéficiaire de virement.
En revanche, les virements, manifestement ordonnés par le fraudeur, n’ont pas été validés par la personne. Si les virements internes sont exemptés d’authentification forte (puisqu’il n’y a pas de sortie de fonds), ce n’est pas le cas pour les virements externes, lorsque l’ordre provient d’un tiers initiateur. Par ailleurs, les pièces techniques fournies par la banque révèlent une connexion sur l’espace sécurisé de banque en ligne de la consommatrice depuis un appareil inhabituel, quelques minutes avant la fraude.
Le fraudeur a donc pu s’introduire dans l’espace bancaire de la cliente ce qui engage sa seule responsabilité personnelle, puisqu’elle est la seule à connaitre son code d’accès (son mot de passe).
Au moment de cette connexion est intervenue une demande de modification de mot de passe; ensuite ont été effectués un virement interne, puis l’activation du service virement international et l’ajout d’un bénéficiaire, enfin le virement frauduleux.
La demande de modification de mot de passe a fait l’objet d’une authentification forte, puisque la procédure prévoit la saisie du nouveau code (facteur de connaissance) et la saisie d’un code de validation de ce changement, envoyé par SMS sur la messagerie personnelle du titulaire du compte (facteur de possession).
La médiatrice a considéré que le paiement par carte, qu’elle a validé elle-même en authentification forte, avait été autorisé mais que le virement, en revanche, n’avait pas été autorisé, puisque non validé par ses soins.
L’intrusion de l’escroc résultant d’une série de négligences graves, mais aussi de la manipulation par le spoofing, la médiatrice a conclu à un partage de responsabilités et proposé, en droit comme en équité, que la banque prenne en charge la moitié de son préjudice final résultant du virement non autorisé (en tenant compte du succès du rappel). |
2ème exemple : Litige concernant le remboursement de paiements effectués à distance par carte bancaire en l’absence d’authentification forte Le consommateur a demandé le remboursement d'opérations de paiements réalisées à distance avec les données de sa carte bancaire, dont il contestait être à l’origine.
Sa banque a refusé prétextant qu’il avait été gravement négligent en ne signalant que très tardivement les opérations litigieuses, considérées comme «non autorisées» (puisque n’ayant pas bénéficié d’une authentification forte).
Après étude des éléments, la médiatrice a considéré que le défaut d’authentification forte appliquée aux paiements concernés était en l’espèce de la responsabilité du commerçant qui en était le bénéficiaire (article L.133-19 V et VI du Code monétaire et financier). Le commerçant est tenu à un remboursement intégral à la banque du payeur des opérations contestées. Il appartenait donc à la banque du consommateur de lui recréditer les opérations contestées et de se rapprocher de la banque du commerçant pour en obtenir le remboursement.
Cette approche a été justifiée par l’arrêt du 30 août 2023 de la Cour de cassation (référence 22 11 707) qui, s’intéressant à la mise en œuvre de la DSP 2, a pour la première fois eu l’occasion de se prononcer sur la disposition légale contenue au V de l’article L 133-19 du Code monétaire et financier, visant l’absence d’authentification du fait du prestataire de service de paiement du payeur.
La cour de Cassation a considéré, les juges du fond ayant retenu pour rejeter la demande du plaignant « qu’il avait commis une négligence grave en faisant confiance à une personne qu’il ne connaissait pas et qui lui racontait une histoire assez peu crédible» «dès lors, en se déterminant ainsi, sans rechercher, comme il lui incombait, si l’opération de paiement litigieuse avait été exécutée sans que la banque exige l’authentification forte du payeur, le tribunal n’avait pas donné de base légale à sa décision». Or, pour la médiatrice, cette position lui a semblé transposable au cas où le défaut émane du commerçant. En conclusion, la médiatrice a préconisé que la banque concernée rembourse le consommateur et se rapproche de la banque du commerçant pour obtenir de celui-ci bénéficiaire le remboursement des opérations contestées, en application du V et du VI de l’article L. 133-19 du code monétaire et financier. |
La saisine du médiateur
Les annexes du rapport présentent la liste des banques adhérentes à la médiation auprès de la FBF et rappellent la procédure de saisine de la médiatrice.
La médiatrice peut être saisie par courrier postal à :
Monsieur le Médiateur auprès de la FBF
CS 151
75422 Paris Cedex 9
ou
en ligne sur le site https://lemediateur.fbf.fr
Important : avant de saisir le médiateur, vous devez avoir effectué des démarches auprès de votre banque. Lorsque vous saisissez le médiateur, pensez à lui communiquer les échanges avec votre banque et à joindre les pièces justificatives.
Pour connaitre le rôle du médiateur et la procédure de médiation, consultez la fiche pratique de l'INC "Vous avez un litige bancaire ou financier : quel médiateur saisir ?". Vous pouvez également utiliser la lettre type "Vous saississez le médiateur bancaire pour règler un litige avec votre banque".
> Télécharger le rapport d'activité
Corinne Lamoussière-Pouvreau
Juriste à l'Institut national de la consommation