Intervention de Marie-Christine Caffet, lors de la Plénière mensuelle du 16 octobre 2025
Nicolas de Seze
Nous avons le plaisir d’accueillir ce matin Marie-Christine Caffet, membre de l’OSMP et ancienne médiatrice auprès de la Fédération Bancaire Française. Marie-Christine est déjà intervenue à deux reprises à France Payments Forum : le 10 juin 2021 dans une rencontre digitale du GT SLF, et le 30 juin 2022 dans une table ronde lors de l’anniversaire des 10 ans de France Payments Forum.
Pour la petite histoire, le 30 juin 2022 était le surlendemain du jour où UFC Que Choisir avait déposé plainte contre 12 banques pour refus injustifié de remboursement de paiements frauduleux[1], ce qui avait conduit le gouverneur de la Banque de France, président de l’OSMP, à mettre en place un groupe de travail chargé d’émettre des recommandations sur le traitement des demandes de remboursement d’opérations frauduleuses.
Julien Lasalle, qui était chargé d’animer ce groupe de travail de l’OSMP, m’avait alors contacté pour voir si quelques membres du Cercle des médiateurs bancaires pourraient participer aux travaux de ce groupe, ce que nous avons bien sûr accepté. Et je peux témoigner que Marie-Christine a joué au sein de ce groupe un rôle déterminant pour aboutir aux fameuses recommandations de l’OSMP publiées le 16 mai 2023[2]. Et ce n’est pas un hasard si, quelques mois plus tard, Marie-Christine a été désignée comme membre de l’OSMP.
Comme Julien Lasalle nous l’a expliqué lors de notre rencontre digitale du 25 septembre, le bilan de la mise en œuvre des recommandations de l’OSMP est globalement positif, tant sur le volet prévention de la fraude que sur le volet traitement des réclamations. Dans le même temps, l’évolution de la jurisprudence a, elle aussi, conduit les médiateurs à adapter leurs analyses et leurs méthodes de travail.
Marie-Christine Caffet
J’ai été médiatrice auprès de la FBF de 2018 à 2024. J’ai passé le relais à Pierre Minor, mais je continue de participer aux travaux du Cercle des médiateurs bancaires, que je représente au sein de l’OSMP. Pour préparer mon intervention d’aujourd’hui, j’ai eu des échanges avec plusieurs de nos collègues médiateurs.
Les recommandations de l’OSMP
Comme l’a rappelé Nicolas de Seze, la demande initiale portait sur les modalités de remboursement des paiements frauduleux, mais les 13 recommandations de l’OSMP publiées en mai 2023 vont plus loin que ce seul volet. Les recommandations qui ont été poussées par les médiateurs portaient plus particulièrement sur les outils de prévention et de détection. Je ne vais pas les passer toutes en revue, mais je voudrais en évoquer certaines.
Recommandation 5 [3]
Cette recommandation vise l’obligation pour les banques de vérifier que lors de l’installation d’un portefeuille de paiement électronique (wallet) sur le smartphone du client, celle-ci a bien fait l’objet d’une authentification forte. Il se trouve que les banques s’étaient majoritairement affranchies de cette vérification initiale, de sorte qu’on a observé en 2021 une envolée des fraudes sur les wallets. La position des médiateurs était que lorsque la banque n’est pas en mesure de prouver que c’est bien le client qui a installé le wallet sur son smartphone, elle doit rembourser. Les médiateurs que j’ai consultés me confirment que cette recommandation est bien mise en œuvre : les banques ont mis en place une authentification forte à l’installation d’un wallet et si ce n’est pas le cas, elles remboursent.
Recommandation 9 [4]
Il s’agit de la quasi-suppression de l’exemption d’authentification forte lors de la connexion à son application bancaire. Beaucoup de personnes n’utilisent pas leur smartphone pour regarder leur application bancaire, mais un ordinateur. Nous avions constaté que l’exemption d’authentification prévue par les textes européens aboutissait à ce que des fraudeurs entrent dans l’espace personnel bancaire des clients et à partir du moment où ils sont dans l’espace personnel, il leur est beaucoup plus facile de pratiquer des manipulations.
Aujourd’hui, l’ensemble des grands établissements qui sont adhérents à la médiation auprès de la FBF ont mis en place une vérification plus systématique, par authentification forte, que la connexion est bien faite à l’initiative du payeur authentique et légitime. Il reste évidemment des possibilités d’exemption, mais cette recommandation n°9 a conduit les banques à mettre en place les moyens de repérer les terminaux et points d’accès utilisés par leurs clients.
Recommandation 4 [5]
Les médiateurs ont aussi beaucoup insisté sur la nécessité de limiter autant que possible les exemptions d’authentification fortes lors de l’émission de virements. Les textes d’application de la DSP 2 permettaient en effet aux banques de considérer qu’à partir du moment où un virement était émis vers un bénéficiaire existant et que l’inscription de ce bénéficiaire avait été validée par authentification forte, la banque pouvait s’exempter de vérifier par authentification forte que l’émission du virement était faite à l’initiative du payeur.
Et on a constaté un nombre considérable de fraudes par manipulation dans lesquelles le fraudeur était entré dans l’espace personnel du client, avait fait inscrire son propre IBAN en authentification forte et émettait ensuite des virements. Aujourd’hui, la position du médiateur auprès de la FBF est que tout virement contesté qui n’a pas fait l’objet d’une authentification forte au moment de son envoi est considéré comme non autorisé et que la banque doit rembourser.
Ces trois recommandations ont été un grand motif de satisfaction pour les médiateurs et leur mise en œuvre a limité l’ampleur des fraudes puisqu’aujourd’hui on est plutôt dans une phase de stabilisation du montant de la fraude, et ce n’est plus l’envolée que nous avions connue en 2021-2022 et début 2023.
Recommandation 6 [6]
J’en viens maintenant à la recommandation 6, qui est sans doute la principale et que les médiateurs appliquent en matière de remboursement des cas de fraude. Et à cet égard, je vous précise que la position des médiateurs a évolué à la lumière d’une série d’arrêts de la Cour de cassation de ces derniers mois (et encore tout récemment).
Sous l’angle juridique, lorsqu’un client conteste une opération qui a fait l’objet d’une authentification forte, l’analyse repose sur la différence entre opérations autorisées et non autorisées (cf. le graphique qui figure en page 4 des recommandations OSMP de mai 2023).
La notion d’opération autorisée
La notion d’opération autorisée (authorized payment en anglais) a été traduite comme suit dans le code monétaire et financier (CMF) :
- Une opération de paiement est autorisée si le payeur a donné son consentement à son exécution (article L.133-6).
- Le consentement est donné sous la forme convenue entre le payeur et son prestataire de services de paiement (article L.133-7).
Les banques ont donc considéré dans un premier temps qu’à partir du moment où il y avait authentification forte, l’opération avait été autorisée, puisque cela renvoyait à la « forme convenue » entre le payeur et son PSP.
De leur côté, les associations de consommateurs (et les victimes) considéraient qu’une opération contestée est forcément non autorisée (même si le client a éventuellement fait preuve de la négligence grave).
Au sein même du Cercle des médiateurs bancaires, nous avions un débat pour savoir ce que signifie une opération autorisée ou non autorisée. Mais comme je l’indiquais plus haut, la jurisprudence toute récente de la Cour de cassation semble nous apporter des éclairages très intéressants, en introduisant le terme « intention de paiement » dans la manière d’appréhender l’autorisation. En schématisant à l’extrême, pour la Cour de cassation, une opération est autorisée :
- Quand la banque peut prouver qu’il y a une authentification forte (c’est l’élément initial)
- Et quand la banque peut aussi prouver que le payeur avait réellement l’intention de faire l’opération en question, c’est-à-dire qu’il l’a décidée librement, de sa propre initiative (NB : je ne parle pas ici d’initiation de paiement, mais d’intention).
Exemple : un payeur conteste une opération car il s’est connecté à un faux site marchand : il avait bien l’intention de payer, mais il n’a pas payé les baskets qu’il voulait acheter, il a payé autre chose au profit d’un fraudeur. La banque doit prouver que cette intention de payer existait. Or la façon de le prouver, ce sont les déclarations du payeur. La question de l’intention est une notion complètement jurisprudentielle, et à mon avis, les débats sur cette question vont durer longtemps.
Autre exemple : un client qui voulait faire un placement alléchant mais qui s’est fait « avoir » et a fait un placement vers un site complètement frauduleux, en effectuant lui-même des virements alors qu’il s’agissait d’une escroquerie.
La notion d’opération non autorisée
L’opération non autorisée est typiquement celle dans laquelle le client a fait l’objet d’une manipulation. La recommandation n°6 de l’OSMP consiste à dire que pour déterminer si le client a fait preuve ou non de négligence grave, il faut vérifier si les notifications qu’il a reçues au moment où il a validé le paiement, étaient suffisamment claires sur ce qu’il était en train de faire et sur la destination effective des fonds.
Exemple classique de manipulation : le client n’était pas du tout d’accord pour faire un paiement, mais il l’a fait car quelqu’un l’a appelé pour lui dire « votre carte est en train d’être utilisée frauduleusement et vous allez être remboursé ».
Dans le cas d’une opération non autorisée, les banques et les médiateurs sont obligés d’appliquer les articles du Code monétaire et financier : il faut prouver la négligence grave. Et là aussi, un débat juridique s’ouvre qui, à mon avis, n’est pas tranché.
Jusqu’à une période récente, la négligence grave était de ne pas avoir protégé ses données de sécurité personnalisées (cf. articles L.133-4 et L.133-15 du CMF) Or, dans le cas d’une opération non autorisée suite à manipulation, il arrive fréquemment que ce soit le client qui valide lui-même, sans donner ses codes. Donc il n’a pas « compromis » ses données de sécurité personnalisées, mais les a utilisées à son propre détriment.
La différence entre opérations autorisées et non autorisées est importante car en matière de position des médiateurs, cela n’a pas du tout les mêmes conséquences.
Si je reviens aux opérations autorisées (pour lesquelles la banque ou le médiateur a la preuve de l’intention de payer), le code monétaire et financier ne prévoit aucun remboursement.
Que font les médiateurs ? Ils appliquent aussi la nouvelle jurisprudence de la Cour de cassation, qui renvoie au devoir de vigilance de la banque. Les médiateurs regardent si la banque pouvait déceler que l’opération revêtait une anomalie (ou pouvait laisser penser à une opération illicite). C’est typiquement le cas lorsqu’il y a des récurrences de paiements ou des paiements d’un montant astronomique.
Dans ces cas-là, la position des médiateurs est d’aller vers un partage de responsabilités. Pour prendre un exemple que m’a été cité tout récemment : un client avait fait 4 virements successifs pour effectuer un placement de 16 000 euros. Le client reconnaissait avoir eu l’intention de faire ces virements, mais il s’agissait d’un faux site et les fonds étaient partis (en Lituanie, en Russie ou ailleurs…). Le médiateur a considéré qu’au regard du profil du client, de ses habitudes, de ses moyens financiers…, la banque aurait pu s’alerter au deuxième ou au troisième virement, et il a proposé que la banque rembourse 50% (soit 8 000 euros) au titre du devoir de vigilance. Dans d’autres dossiers ou circonstances, la proportion peut être moindre, notamment si la Banque a questionné son client pendant les opérations et qu’il a malgré tout persévéré : c’est vraiment du cas par cas.
Aujourd’hui, la position de la Cour de cassation est que si l’opération est autorisée (c’est-à-dire si la banque peut prouver qu’il y avait effectivement l’intention de paiement), on n’est pas dans les dispositions de l’article L133-19 IV du CMF (qui vise les opérations non autorisées) mais dans le devoir de vigilance de la banque.
Concernant maintenant les opérations non autorisées résultant d’une manipulation, les choses sont assez mouvantes, puisque la Cour de cassation tend à considérer que le client n’ayant pas eu l’intention de payer, l’opération peut être considérée comme non autorisée. La banque doit alors prouver la négligence grave. Or, la jurisprudence (récente et ancienne) tend à considérer que la preuve de la négligence grave ne reposerait que sur l’aveu du client.
Donc, en l’absence de déclarations du client victime de manipulation, ou s’il réfute avoir donné ses codes ou avoir validé lui-même les opérations, la preuve de la négligence grave ne peut être apportée que par les traces techniques d’identification du payeur, produites par la banque.
Ma position personnelle (dont je ne suis pas sûre qu’elle soit partagée par l’ensemble des médiateurs) est que cela dépendra de plus en plus souvent de la procédure d’authentification forte qui a été mise en œuvre.
- Si un client vous dit « ce n’est pas moi », mais que vous avez la trace technique fournie par la banque qui prouve quel appareil a été utilisé et, surtout, que l’authentification forte a été faite par empreinte digitale (c’est-à-dire par inhérence), et si le client vous dit qu’on ne lui a pas volé son appareil, alors vous avez les éléments de preuve de la négligence grave.
- En revanche, si l’authentification forte a été faite par une procédure que certaines banques appellent « SMS renforcé », qui repose sur deux codes, dont l’un est un code d’identification personnelle reçu par téléphone ou par courrier (ou créé par le client) et l’autre est un code qui circule par SMS, par mail ou par téléphone, la banque peut-elle prouver que c’est le client qui a lui-même validé ? À mon avis non.
Je soulève à nouveau ce point parce que, pour l’instant, la jurisprudence ne tient pas compte de ces deux ou trois modes différents d’authentification forte. Et je suis convaincue qu’à terme, le critère d’inhérence par rapport au critère de connaissance deviendra majeur. Je fais aussi une différence entre inhérence par empreinte digitale et celle par reconnaissance faciale car je ne suis pas sûre qu’avec l’intelligence artificielle, on n’aura pas un jour un problème de compromission de la reconnaissance faciale.
Pour un développement par les banques d’offres « accompagnées »
J’en viens maintenant à un point qui n’est pas, pour l’instant, partagé par les banques. Les médiateurs militent aussi pour que les banques mettent en place des offres « accompagnées » à l’intention de certains segments de leur clientèle. Il ne s’agit pas ici d’une offre réglementée, mais l’idée est que les banques offrent à toutes les catégories de clientèle la possibilité d’utiliser les paiements à distance de façon plus accompagnée, encadrée et sécurisée.
Il faut que les moyens de paiement et les services de paiement soient adaptés aux usages effectifs des clients et à leurs besoins de sécurité. Ainsi, dans plusieurs banques, jusque récemment le plafond de la carte bancaire était lié au type de carte de paiement (par exemple 1 500 à 3000 euros pour une carte de base, 7 000 ou 8000 euros pour une carte gold ou VISA…). Aujourd’hui, certains établissements offrent à leurs clients la possibilité, quel que soit le type de carte qu’ils détiennent, d’en abaisser eux-mêmes le plafond, sans leur ôter la faculté de le relever si besoin ( par authentification forte) et c’est une bonne chose. Il devrait en être de même pour les virements.
Autre point sur lequel les médiateurs sont très vigilants et demandeurs : que les banques offrent à leurs clients la possibilité de définir eux-mêmes une sorte de « liste noire » de destinations de virements ou de paiements qu’ils veulent interdire. Par exemple, je ne fais jamais d’achats en Lituanie, en Afrique ou en Russie, et je ne veux pas non plus enregistrer d’IBAN vers ces destinations. La grande masse des clients ne détectent pas ou ne prennent pas le temps de vérifier la destination effective de leurs paiements…
Ce type d’offre « accompagnée » doit être à la main de chaque établissement, en fonction de son positionnement, mais cela peut aussi être un outil concurrentiel. Je pense par exemple aux offres qui ont été développées par les grands opérateurs de téléphonie à l’intention des jeunes. S’agissant des banques, il ne faut pas simplement une offre pour les jeunes, ou pour le personnes très âgées, mais une offre segmentée pour diverses catégories de clientèle.
Et je pense aussi aux millions de comptes sous procuration. Pour payer, par exemple, l’EHPAD du grand-père, il faut le faire à distance, sur Internet. Aujourd’hui, dans la majorité des banques, si vous ouvrez aux mandataires la possibilité d’utiliser Internet, cette possibilité est de facto ouverte aussi à la personne qui est protégée. Il faut donc pouvoir limiter l’utilisation de la banque à distance, notamment lorsqu’il s’agit de personnes âgées ou de personnes vulnérables, en difficulté.
Nicolas de Seze
Merci beaucoup, Marie-Christine
***
Hervé Sitruk
On a aussi un cas assez banal : le changement de numéro de portable qui se fait à une heure ou une journée maximum d’un acte frauduleux, qui constitue un élément de vraisemblance mais qui n’est jamais pris en compte. On constate que les tribunaux disent par exemple : « vous êtes chirurgien, donc vous avez les moyens de payer ». Et en général, ce sont des personnes solvables qui sont amenées à couvrir alors qu’elles peuvent être tout à fait de bonne foi. Derrière cela, il y a un problème de confiance.
Carole Ghilardi
J’ai été témoin cet été d’un cas qui mérite d’être relaté : une personne malvoyante a été victime d’une usurpation d’identité, les fraudeurs ont créé un compte Revolut et l’argent est parti. La banque a reproché à cette personne de ne pas avoir réagi aux mails. Or, étant malvoyante, elle n’avait pas vu les alertes. Donc peut-être faut-il aussi prévoir, en termes d’inclusion, des modalités différentes pour des personnes qui souffrent d’un handicap visuel.
Marie-Christine Caffet
Vous êtes complètement dans la ligne de ce que nous défendons. Et les gens qi sont dans une situation difficile se comptent par millions.
[1] Refus de remboursement des fraudes bancaires – L’UFC-Que Choisir dépose plainte contre 12 banques
[2] Recommandations de l’Observatoire – modalités de remboursement des opérations frauduleuses
[3] Lorsque l’utilisateur du service de paiement conteste une opération de paiement qu’il nie avoir autorisée et qui a été réalisée au moyen d’une solution mobile pour laquelle l’enrôlement de l’instrument de paiement n’a pas donné lieu à authentification forte, le prestataire de services de paiement du payeur procède sans délai au remboursement du montant de cette opération
[4] Les prestataires de service de paiement sont invités à exiger une authentification forte en cas de consultation des comptes depuis la banque en ligne ou l’application mobile depuis un terminal et/ou un point d’accès à internet qui n’a pas été précédemment utilisé par le client.
[5] Lorsqu’un utilisateur du service de paiement conteste une ou plusieurs opérations qu’il nie avoir autorisées et que ces opérations n’ont pas été authentifiées de manière forte, le prestataire de services de paiement du payeur rembourse sans délai le montant de ces opérations.
[6] Lorsqu’un client conteste une opération de paiement qu’il nie avoir autorisée et que cette opération a été authentifiée de manière forte, le prestataire de services de paiement doit procéder dans le délai d’un jour ouvré à une première analyse de cette opération. Cette analyse vise à apprécier, en prenant en compte 3 familles de paramètres, si l’utilisateur est susceptible d’avoir consenti à l’opération ou s’il s’agit d’une opération non autorisée : (a) les paramètres techniques associés à l’opération ; (b) les modalités de l’authentification forte mise en œuvre ; (c) les éléments de contexte
