Arnaque aux prélèvements non-autorisés en France : comment se protéger ?

Relever régulièrement les opérations à venir sur ses comptes bancaires et mettre en place une liste blanche des créanciers autorisés. Tels sont les enseignements à retenir de la vague d'arnaques aux prélèvements non-autorisés observée ces dernières semaines en France qui a mis en lumière les dérives possibles du dispositif de virements et prélèvements européens SEPA. 

Comme le relevait le site Signal Arnaques, premier à rapporter l'affaire au début du mois, une vague de prélèvements non-autorisés a été observée sur les comptes de clients de plusieurs banques françaises. Des sommes importantes, de plusieurs centaines d'euros, prélevées pour de prétendus travaux de maintenance qui ont causé un préjudice non négligeable pour les victimes, qui assurent pourtant ne jamais avoir autorisé de telles opérations. 

D'après le site spécialisé, cette escroquerie est probablement le fait d'escrocs qui ont réussi à se procurer les IBAN des victimes pour transmettre à leur banque une fausse autorisation de prélèvement et une demande de virement vers une entreprise fictive.

Les banques ne peuvent pas contrôler les mandats signés par leurs clients

Comment les banques ont-elles pu autoriser de telles opérations sans l'aval de leurs clients ? Cette affaire met en lumière la réalité des contrôles opérés par les banques lors de la mise en place d'un prélèvement SEPA. Depuis l'entrée en vigueur de cette nouvelle norme de prélèvements et virements européens en 2014, la responsabilité de la gestion des prélèvements n'incombe plus aux banques mais aux créanciers. Avant, un mandat de prélèvement signé devait être transmis à la fois au créancier et à la banque du client. Désormais, seul le créancier dispose du mandat.

Sollicitée par RTL, la Banque de France explique que "depuis le passage au prélèvement européen SEPA, seul le créancier détient les mandats signés par ses clients, et les banques ne peuvent pas contrôler cela (ni la banque du créancier, ni celle du payeur)". Cela signifie qu'une entreprise titulaire d'un identifiant créancier SEPA (ICS) - qu'elle obtient auprès de sa banque - peut facilement mettre en place un prélèvement SEPA dès lors qu'elle dispose de l'IBAN d'une personne et de l'intitulé de son compte. Il lui suffit de transmettre un faux mandat de prélèvement signé que la banque de la victime ne pourra pas contrôler.

La Banque de France précise cependant à RTL que "les banques ont des mécanismes de contrôle visant à prévenir le risque de fraude". D'abord, "la banque du créancier est tenue de veiller à ce que les prélèvements émis par son client est bien conforme à son activité économique", puis "la banque du payeur peut identifier les prélèvements initiés par un nouveau créancier pour alerter son client et, le cas échéant, les rejeter avant débit du compte" mais aussi "proposer à ses clients des dispositifs de type liste blanche ou noire".

La parade : mettre en place une liste blanche des débiteurs autorisés

Pour se prémunir des fraudes, les clients ont la possibilité de demander à leur banque la mise en place d'une liste de créanciers interdits de débiter leur compte (liste noire) ou une liste blanche, qui autorise seulement les créanciers listés à le débiter. Ce système a l'inconvénient d'être un plus fastidieux, car la liste doit être actualisée lors de l'ajout de tout nouveau créancier, mais il apparaît à ce jour le plus efficace pour contrer le risque de fraude.

Les banques interrogées par RTL assurent par ailleurs que tous les client victimes de ces prélèvements non-autorisés n'ont finalement pas été impactés, à la faveur de procédures d'annulation déclenchées avant le transfert des fonds, ou après remboursement des sommes prélevées. La loi stipule en effet que les prélèvements SEPA non autorisés doivent être remboursés par les banques, à qui la responsabilité incombe de fournir la preuve de l'autorisation. Plus largement, les prélèvements SEPA peuvent faire l'objet d'une demande d'annulation dans les 8 semaines suivant leur exécution, y compris si le mandat est valide. Et le délai passe à 13 mois en cas de fraude. Charge au client de vérifier régulièrement les opérations à venir sur son compte pour détecter d'éventuels mouvements suspects.