virement

le virement bancaire, la néobanque et la fraude

Pour émettre un virement,vous avez peut-être déjà souhaité ajouter l’IBAN de votre fintech étrangère sur votre espace client de votre banque. Soit elle a refusée, soit elle vous a imposé un délai de 24, 48 ou même 72h ouvrées avant utilisation. Ces procédures suscitent des propos négatifs à l’encontre des banques. Toutes les suppositions y vont avec majoritairement le fait que la banque soit archaïque et dans l’illégalité. Nous vous proposons de faire le tour des principales mesures sur les virements. Mais nous aborderons aussi les raisons de ces procédures parfois impopulaires.

L’impossibilité d’ajouter un IBAN étranger dans ses bénéficiaires

Déjà vous pouvez oublier l’idée de partir dans une croisade judiciaire au motif que votre banque ne vous laisse pas ajouter l’IBAN étranger seul, via son site ou son application. Il n’y a rien d’illégal dans la procédure de la banque, elle est tenue et obligée à des vérifications sur les flux. Une absence de contrôle ou de procédure (LCB-FT) de sa part l’exposerait à des sanctions financières lourdes et sévères (ex récents en France : Western Union, La Banque Postale, Société Générale, Crédit Mutuel,…)

Pourquoi ça ne marche pas ?

C’est principalement parce que dans les banques traditionnelles cette possibilité n’est pas active par défaut. On trouve également cette limitation chez Hello bank !, pour la partie banques en ligne. Cela reste déjà rare d’avoir des clients qui opèrent des virements transfrontaliers dans les banques. Vous réduisez encore davantage le nombre de personnes concernées quand vous limitez aux clients présents dans les banques traditionnelles et qui n’utilisent pas de fintech. Si vous lisez ces lignes, vous êtes très certainement client d’une fintech. Vous êtes déjà en train de généraliser votre profil à tout le parc client de votre banque. Il faut recadrer et éviter de citer ses propres parents comme des exemples car s’ils sont concernés, c’est sous l’influence des enfants.

Une obligation de contrôle

Par défaut, la banque va donc limiter l’ajout des bénéficiaires. Mais toutes, sans exception, vous permettront de faire du transfrontalier si votre profil le permet. Il faudra probablement passer voir votre conseiller ou signer un avenant, mais c’est une obligation pour la banque. Elle pourra même vous questionner dans le cadre de ses obligations (LCB-FT), afin de savoir votre rythme de virements, les montants, les bénéficiaires… avant d’ouvrir le droit sur votre identifiant.

Il n’est donc pas utile de s’agacer contre la pratique de la banque. Le droit n’est pas présent dans votre contrat. Elle doit l’ajouter et donc réaliser un contrôle tout en profitant pour vérifier vos données. Ne transposez jamais le fonctionnement d’un établissement français avec un étranger, chaque pays disposant de ses règles et ses obligations. La France est très stricte sur les règles imposées aux banques.

Votre banque s’assurera que légalement vous êtes en droit d’émettre des virements, une fois la vérification opérée, elle mettra en place la procédure d’authentification forte (push application, lecteur de carte, carte de clés personnelles,…). Sachez que le SMS est critiqué et n’est souvent plus considéré comme une « authentification forte ». Hors de l’hexagone, les virements fonctionnent souvent via des codes TAN à usage unique que vous obtenez en insérant la carte dans un lecteur.

Aucune banque ne fait donc barrage ou obstacle pour l’ouverture des virements transfrontaliers. Il faudra simplement demander le droit sur votre identifiant et réaliser l’authentification (passage en agence, code envoyé par courrier afin de valider l’adresse postale, demande téléphone/chat/messagerie,…).

Votre banque peut toutefois vous demander de passer par le conseiller pour l’ajout des bénéficiaires. C’est un cas extrêmement rare, mais il est lié à votre profil. En clair, vous avez une particularité judiciaire ou administrative qui est incompatible avec une telle action. Ce n’est pas une entrave à la libre circulation des capitaux pour information.

Délai de quelques heures à plusieurs jours pour initier un premier virement

C’est l’une des critiques les plus récurrentes des clients envers leurs banques qui pratiquent ces méthodes. Soyons clair, la méthode est critiquable. Initialement, l’idée avait pour vocation de limiter le détournement de votre compte, avec un délai entre l’action d’ajouter l’IBAN et l’exploiter pour un virement. Et c’est ce delta qui intéressait les banques.

Là encore on laisse de côté les utilisateurs avertis. Pensez à la majorité des profils qui ne sont pas des experts ou qui ne sont pas à l’aise. Vous connaissez le proverbe « la nuit porte conseil » ? Sachez qu’imposer au moins 24h permet le laisser mûrir les doutes et les questions sur certaines situations.

Des fraudes de plus en plus sophistiquées

Par exemple, le client réceptionne un SMS avec le code pour ajouter un bénéficiaire. Mais il ne comprend pas tout et dans la foulée il reçoit un appel. Appel malveillant qui parvient à se faire passer pour sa banque. Le client donne alors ce code. Les clients, dans la précipitation ou l’inquiétude, fournissent plus facilement ces informations aux escrocs.

Ne croyez pas que les personnes abusées sont bêtes. Ce sont bien les méthodes qui sont très sophistiquées allant même jusqu’à faire afficher le numéro de votre banque sur le téléphone.(pour information, certains opérateurs ne limitent pas la présentation du numéro, les faussaires peuvent donc transmettre le numéro de leur choix à afficher). Les techniques sont rodées, les mots bien choisis. Les arnaques se déroulent parfois en plusieurs temps pour limiter les doutes de la victime.

L’idée de ce délai, c’est que souvent, après une nuit de sommeil ou au calme, le client va « tilter » sur quelque chose. Il va trouver ça bizarre et revérifier. C’est aussi parfois en parlant avec un proche ou un conjoint que le côté étrange ressort.

Si ce délai est encore en place dans de nombreuses banques, c’est justement que la technique est davantage bénéfique que négative. A l’époque il y avait un autre avantage : surveiller sur combien de comptes dans une période de quelques heures le même IBAN était renseigné. Avec la prolifération des fintech, il devient de plus en plus simple d’avoir de multiples IBAN et contourner les contrôles de certaines banques qui sont trop faibles.

Là vous pouvez vous dire, qu’on vient de défendre le système mais qu’on le disait critiquable au début.

Comment réduire ce délai ?

Les banques qui exploitent encore ce mécanisme et qui ne sont pas passées à un système tiers de confiance (un mobile par exemple) sont en retard d’un train. Depuis des années, la méthode d’un équipement de confiance est éprouvée. Rapidement plusieurs banques y sont passées dès 2014/2015.  D’autres en 2019 sont encore avec ces fameux délais. Délais qui ne touchent pas que les banques traditionnelles, mais aussi certaines banques en ligne (parfois même de manière invisible en laissant un délai entre la demande et l’exécution du virement).

Quand votre banque vous demande, en plus de l’authentification sur son site, de saisir un code obtenu par notification push, lecteur carte ou carte clé personnelle, puis qu’elle vous notifie sur le mobile et demande de confirmer à nouveau par un code, on peut trouver ça lourd. D’un autre côté, avec 4 facteurs d’authentification, elle vous permet d’utiliser immédiatement l’IBAN. D’autant que le couple identifiant / mot de passe pour vous authentifier, est souvent communiqué par les clients sur des agrégateurs, il n’est plus forcément digne de confiance comme seule mesure.

Pour les clients avec smartphone, les banques peuvent donc utiliser des méthodes de Push. Pour ceux n’en disposant pas, ou n’ayant pas de réseau, avec une mesure de carte clé personnelle / lecteur de carte, la banque peut passer par SMS/Appel comme méthode d’authentification en substitution du push.

De nombreuses solutions existent donc pour réduire ce délai concernant la première utilisation d’un bénéficiaire. Donc être encore à des délais reste critiquable, car avec l’accumulation des facteurs d’authentification, le client aurait immédiatement compris que ce n’est pas logique autant de demandes.

L’équilibre entre les diverses populations qui existent en banque est très compliqué. On peut s’étonner que les jeunes soient souvent les victimes de fraudes et que ça fonctionne.

Les types de fraudes fréquemment utilisés

La fraude aux virements ne passe pas que via l’ajout du bénéficiaire par un tiers disposant de vos accès. Bien souvent, le client est l’initiateur de l’opération frauduleuse.

Les fraudeurs savent poster des annonces intéressantes sur différentes thématiques (matériel, séjours, vacances, services,…) et vous proposent ainsi de régler par virement pour plus de « sécurité » car ils n’ont pas confiance en PayPal, ou autres.

Et c’est là que vous, la victime, tombez dans le piège !

Vous êtes pressé. Vous voyez une annonce pour des vacances qui est intéressante sur un site réputé. Vous faites le virement avec la référence de l’annonce et tout… Le fraudeur connaît mieux que vous le fonctionnement de votre banque et saura vous faire aboutir le virement, et juste avant que l’opération ne soit plus annulable par votre banque.

Avec un délai de 24/48h, vous auriez pu douter du sérieux l’annonce devant l’impatience du bénéficiaire. Ce délai vous aurait ainsi protégé d’une escroquerie.

Les exemples sont très vastes, bien pensés, éprouvés et ne vous pensez jamais à l’abri. Parfois un manque d’attention sur un site suffit à tomber dans le piège.

Là encore, restons sur les vacances et les séjours au ski. Sachez que souvent les escroqueries ne sont pas sur un virement de 1000€ mais sur 4000 ou 5000€. Car oui, l’offre frauduleuse n’est pas 10 fois moins élevées, mais juste un peu en dessous pour rester crédible et cohérente. D’autant qu’avec un tel montant, vous ne vous poserez pas la question du virement car vous penserez qu’effectivement la carte ne passera pas.

Il faut donc rester prudent, car les fraudeurs ont bien souvent un coup d’avance pour contourner votre vigilance. Quand vous lisez ces lignes, ne pensez pas « moi jamais, ça n’arrive qu’aux autres »

Arrêter ou annuler un virement

Un virement une fois initié, qu’il soit SEPA, TARGET, SWIFT,… est irrévocable. Voilà l’idée que beaucoup de monde a à l’esprit. C’est vrai mais faux en même temps.

Les banques ne discutent pas de manière humaine entres elles. Tout est normé selon une règle, à savoir la norme ISO 20022. C’est elle qui va coder les messages et les dialogues afin d’être compatibles avec toutes les banques.

Une fois que le virement est envoyé, votre banque ne peut plus l’arrêter, c’est trop tard. Donc si vous vous rendez compte que vous êtes victime d’une arnaque ou d’une fraude, votre banque ne pourra pas révoquer l’ordre. Elle devra lancer une procédure de retour des fonds.

Intéressons-nous principalement aux virements SEPA classiques et aux virements via SWIFT.

Virement SEPA

Dans le cas d’un virement SEPA, vous (ou votre banque) pouvez initier une procédure de rappel des fonds durant 10 jours ouvrés pour 3 raisons uniquement :

  • Doublon (un premier virement identique a déjà été effectué, ce nouveau virement est en double)
  • Incident technique (une erreur au niveau de la banque a déclenchée un virement non demandé)
  • Virement frauduleux (le virement n’a pas été réalisé par vous, vos accès sont compromis)

La banque du bénéficiaire est censée répondre à la demande de votre banque avec une réponse positive ou négative. Toutefois, certaines traitent soit par l’ignorance les demandes, soit elles répondent de manière négative par principe. On ne parle pas que des Françaises mais de toutes celles compatibles SEPA.

Virement SWIFT

Si le virement est un virement SWIFT ou un SEPA datant de plus de 10 jours ouvrés, alors il faut passer via la messagerie SWIFTNet et envoyer une demande de retour des fonds. (MT192 ou alors MT199, ce dernier permet de détailler la demande).

La procédure SWIFT (MT192/199) oblige la banque destinataire cette fois à répondre sous 7 jours ouvrés. Une réponse ne vaut pas obligation de retour des fonds cela même si la fraude est évidente.

Le retour des fonds

Selon la législation de chaque pays, les banques n’ont pas le droit de reprendre cet argent. Non seulement le bénéficiaire doit donner son accord, mais disposer encore des fonds. C’est souvent cette absence des fonds qui fait que le rappel est impossible.

Vous aurez donc compris qu’en SEPA ou en SWIFT, cette procédure de rappel n’est pas contraignante. Si le bénéficiaire ne veut pas rendre l’argent ou ne l’a plus, votre banque ne pourra rien faire.

Lorsqu’il s’agit d’un doublon ou d’ un incident technique de son fait, dans une telle situation, même si le bénéficiaire garde l’argent, votre banque en sera de sa poche.

Mais ce qui nous intéresse, c’est le virement frauduleux !

Le virement frauduleux

Par fraude, on entend un virement effectué par un tiers ayant dérobé de vos accès. Il n’est donc pas question ici d’un virement que vous avez fait et pour lequel vous découvrez que c’est une fraude.

Prenons donc l’exemple d’un virement SEPA effectué à votre insu. Vous avez notifié votre banque de cette opération frauduleuse. Votre banque va immédiatement initier un RECALL si elle est dans les 10 jours ouvrés sinon elle va opter pour un message SWIFT MT19x.

Bien que l’échange soit normé selon l’ISO 20022, il n’est pas rare que 2 banques françaises échangent par email ou téléphone en complément. Cette relation permet souvent de mettre en lumière que le compte bénéficiaire est frauduleux ou détourné. La banque bénéficiaire sera également plus enclin à répondre favorablement à sa consœur et lui renvoyer les fonds. Cela reste cependant très rare.

Si la banque bénéficiaire est étrangère, autant dire votre établissement français pourra toujours rêver pour avoir une réponse au RECALL de manière positive.

A partir de cet instant, sauf à prouver votre négligence, votre banque devra vous rembourser l’opération frauduleuse. Elle en sera de sa poche. Vous vous dites probablement « on ne va pas les plaindre pour 5000€ ». Sauf que quotidiennement, il n’y a pas une dizaine ou une centaine de virements frauduleux, le chiffre est nettement plus conséquent. L’addition est donc corsée. Pourtant, le virement ne s’est pas fait par magie, il y a souvent eu négligence du client à un moment afin que cela puisse se faire.

La réglementation française, confortée par les réglementations Européennes surprotègent les consommateurs et donc les clients des banques. Afin de limiter la casse, les banques appliquent donc des filtrages sur ces opérations qu’on peut presque qualifier d’irrévocables.

SEPA Inst vient encore compliquer les risques, car le RECALL sera impossible, l’argent sera déjà passé par plusieurs comptes en quelques instants.

Le cas des néo-banques

L’accroissement du nombre de fintech vient considérablement simplifier les ouvertures frauduleuses de comptes. N26 par exemple s’est fait rappeler à l’ordre par le régulateur pour ses manquements dans les contrôles d’identité. Suite à quoi s’en est suivi une vague de plaintes sur les réseaux sociaux et forums de clôtures de comptes sans préavis. Certains comptes ont été pris dans les filets alors qu’ils étaient uniquement en contact avec une personne initialement concernée par un incident.

Toutes les fintech et néobanques promettent une ouverture de compte en quelques minutes en se moquant des acteurs classiques. Toutefois, elles ont toutes comprises qu’elles se font bernées par les fraudeurs qui savent contourner des contrôles et même des contrôles visio qui demandent d’énoncer des chiffres aléatoires ou faire des mouvements de la tête aléatoires.

Lorsque des opérations frauduleuses transitent par ces nouveaux acteurs, il y a bien souvent aucun échange avec les acteurs traditionnels. Conclusion, votre banque traditionnelle en sera de sa poche pour vous indemniser.

Plusieurs personnes se sont étonnées d’avoir pu ouvrir un compte dans ces nouveaux établissements avec des papiers déclarés perdus et remplacés. Malgré une base détenue par Interpol et nommée SLTD, ou encore TES en France, ces acteurs ne passent généralement pas les titres dans le fichier donc ils sont toujours exploitables. Dans le secteur des banques classiques, mieux vaut ne pas se tromper et utiliser un titre invalidé car les contrôles sont opérés postérieurement et vous vous exposez à des sanctions pénales.

Un transfert de responsabilité qui augmente la méfiance envers les clients

Vous aurez compris le fond du problème expliquant ces délais : les fraudes et l’absence de règles contraignantes ou d’entente entre les acteurs.

Les banques sont donc obligées de débrayer par défaut certaines opérations transfrontalières et les activer sur demande de leurs clients.

A aucun moment, si la fonction n’est pas proposée cela indique que votre banque est archaïque ou dans l’illégalité. Cela veut juste dire que vous n’avez pas encore le droit sur votre identifiant. Rapprochez-vous de votre banque afin de connaître les modalités pour l’activation des virements transfrontaliers SEPA.

Et à la question « pourquoi les fintech ne filtrent pas alors ? » la réponse est très simple, votre banque vous l’avez en direct, parfois en physique. Si elle vous met en défaut par négligence, vous pourrez avoir un échange physique. Dans une fintech, on écourtera votre échange et tant pis pour votre argent.

Un cas concret chez N26

Un cas récent chez N26, en février dernier, fait état d’un entrepreneur (Axel Seitz) ayant un compte dans cet établissement.

Le 19 février il constate qu’il ne parvient plus à accéder à son application. Lorsqu’il va notifier N26 de la situation, ce n’est qu’après plusieurs semaines, le 6 mars qu’il parvient à savoir ce qui se passe avec son compte. Il est alors en France et découvre que sur un solde supposé de 80000€, il reste moins de 30€ sur son compte, précisément 12,26€.

Axel Seitz essaye ce 6 mars, alors qu’il est en France d’avoir un échange téléphonique. Le support par chat refuse de répondre favorablement. Cet entrepreneur, qui vend des jouets, est donc face à un chat qui ne fait que l’inviter à se rapprocher de la police.

L’information a été longuement relayée dans la presse allemande faisant intervenir publiquement le régulateur. Celui-ci s’est questionné sur N26. La presse fait d’ailleurs état d’un autre cas à 4000€ avec Judith Bogner. La « Verbraucherzentrale Sachsen » (défenseur des droits) traite à présent plusieurs cas similaires et difficultés à joindre N26 ou comptes bloqués spontanément.

Vincent Haupert, un expert en sécurité avait d’ailleurs mis en lumière des faiblesses dans le système de virements chez N26.

Axel Seitz s’est fait accompagné d’un avocat pour les suites et pour espérer revoir son argent.

Concernant N26, le régulateur s’interroge sur la qualité des services et des contrôles. Vous comprendrez peut-être mieux le mail « Rappel sécurité : comment se protéger » envoyé le 11 avril 2019 par N26.

La criminalité dans le secteur bancaire touche tous les acteurs. Aucun ne s’en trouve épargner. Il faut donc non seulement composer avec ces crimes mais également protéger les clients d’eux même. Cela passera par des mesures impopulaires et parfois contraignantes pour certains profils.

Il est donc incohérent d’opposer des critiques contre les acteurs historiques en indiquant que les nouveaux font mieux. Il faut surtout voir le comportement des nouveaux acteurs lors de problèmes et leur accessibilité.