La directive européenne sur les services de paiement, dite DSP2, est entrée en application en janvier 2018. Son objectif affiché : renforcer la sécurité des transactions électroniques et mieux protéger les consommateurs contre la fraude. Huit ans plus tard, les paiements en ligne sont plus sécurisés qu’avant, c’est certain. Mais les fraudes n’ont pas disparu, et les banques continuent de refuser des remboursements en s’abritant derrière les mêmes arguments qu’avant la directive. Qu’est-ce que la DSP2 a réellement changé ?
L’authentification forte, avancée majeure et limite principale
Le changement le plus visible de la DSP2, c’est l’authentification forte (SCA, pour Strong Customer Authentication). Pour valider un paiement en ligne, il faut désormais combiner au moins deux facteurs parmi trois catégories : quelque chose que vous connaissez (un code), quelque chose que vous possédez (votre téléphone) et quelque chose que vous êtes (empreinte digitale, reconnaissance faciale). En pratique, cela se traduit par la validation via l’application bancaire ou par un code SMS complété d’un mot de passe.
Cette mesure a fait baisser la fraude sur les paiements en ligne. L’Observatoire de la sécurité des moyens de paiement note une diminution du taux de fraude sur les paiements par carte sur internet depuis la généralisation du dispositif. Le problème, c’est que les fraudeurs se sont adaptés. Plutôt que d’essayer de contourner l’authentification forte, ils font en sorte que la victime valide elle-même l’opération. Le phishing par SMS ou par téléphone (technique dite de spoofing) reste le vecteur principal : le fraudeur se fait passer pour la banque, crée un sentiment d’urgence, et obtient la validation du paiement par la victime elle-même. L’authentification forte fonctionne, mais elle ne protège pas contre la manipulation psychologique.
Le droit au remboursement existe, mais les banques résistent
La DSP2 a posé dans le droit européen un principe clair : en cas d’opération de paiement non autorisée, la banque doit rembourser le client. En France, c’est le Code monétaire et financier qui prévoit ce remboursement, au plus tard le jour ouvrable suivant la contestation. La franchise à la charge du client est limitée à 50 euros pour les opérations réalisées avant opposition. Après opposition, le client ne supporte rien.
En théorie, le cadre est favorable aux victimes. En pratique, les établissements bancaires refusent régulièrement de rembourser en invoquant la « négligence grave » du client. Leur raisonnement : si vous avez vous-même validé l’opération, même sous la contrainte ou la tromperie, vous avez fait preuve de négligence. C’est un argument que les tribunaux français rejettent de plus en plus souvent. Plusieurs arrêts de la Cour de cassation ont jugé que répondre à un appel téléphonique imitant le numéro de sa banque et transmettre un code sous la pression ne constitue pas une négligence grave. La charge de la preuve pèse sur la banque, pas sur le client.
Que faire face à un refus de remboursement
Les victimes de fraude disposent de 13 mois à compter de la date de débit pour contester une opération non autorisée. La première étape consiste à envoyer une réclamation écrite en recommandé au service client de la banque, en citant les textes du Code monétaire et financier. Si la banque refuse ou ne répond pas sous deux mois, le médiateur bancaire peut être saisi gratuitement. Si la médiation n’aboutit pas, le tribunal judiciaire reste compétent.
Pour les dossiers complexes ou les montants importants, se faire accompagner par un cabinet spécialisé en droit bancaire permet d’aborder le contentieux avec un interlocuteur qui connaît la jurisprudence applicable. Les banques prennent les réclamations nettement plus au sérieux quand elles sont portées par un professionnel.
Et la DSP3 ?
La Commission européenne a proposé en 2023 un nouveau paquet législatif sur les services de paiement, incluant une troisième directive (DSP3) et un règlement directement applicable dans tous les États membres. Parmi les mesures envisagées : un renforcement des obligations de remboursement, une meilleure protection contre le spoofing, et la possibilité pour les banques de partager des données entre elles pour détecter les fraudes en amont. Le texte est encore en cours de discussion au niveau européen.
En attendant, le cadre de la DSP2 reste le droit applicable. Les textes protègent les victimes de fraude, même si obtenir un remboursement demande souvent de la persévérance et une bonne connaissance de ses droits. Les banques comptent sur le fait que la plupart des clients abandonnent après un premier refus. C’est précisément ce qu’il ne faut pas faire.
Auteur
CecileCecile est journaliste économique avec 12 ans d'expérience, spécialisée en macroéconomie, inflation et politiques européennes.
Elle propose des analyses claires et structurées, s'appuie systématiquement sur des chiffres et des données sourcées et explique les mécanismes économiques sans jargon. Son approche pédagogique et rigoureuse conclut souvent par une mise en perspective utile tant pour les décideurs que pour le grand public.
