Arnaque au prélèvement SEPA : ce que votre banque ne vous dit pas
Des dizaines de personnes se sont récemment plaintes sur Signal Arnaques de prélèvements non autorisés sur leurs comptes. Si nos alertes à ce sujet ont fait le tour de la presse, personne n’a jusque-là donné d’explications sur le phénomène. Nous avons donc enquêté pour comprendre. Et nos découvertes ont de quoi faire peur…
Des prélèvements incompréhensibles
Tout commence avec une série de prélèvements “SEPA” (la norme des prélèvements bancaires européens) observés sur les relevés bancaires de nombreux internautes. Sur Signal-Arnaques, ils relatent des sommes conséquentes allant de 300 à 700 euros selon les cas. A chaque fois, un même libellé : une certaine société “ENS” pour des “travaux de maintenance”.
Aucune des victimes n’a autorisé ces prélèvements. Fort logiquement, comme la loi le leur impose, les banques remboursent les personnes ainsi prélevées dès qu’elles en font la demande. Mais une question commence dès lors à se poser : comment cela a-t-il pu se produire ? Comment des banques ont pu autoriser ces prélèvements ? Bug ? Faille de sécurité ? Arnaque ?
Beaucoup de médias reprennent ensuite l’alerte, mais aucun ne semble parvenir à répondre à cette question. Ce n’est pas faute d’avoir essayé. Par exemple, Benjamin Hue de RTL a réussi à obtenir une réponse de la BPCE dont certains clients ont été touchés par ces fameux prélèvements… Réponse plutôt décevante puisque la banque explique qu’elle ne souhaite pas “rentrer dans des explications techniques”.
Bon, vous vous en doutez : nous allons devoir creuser pour y comprendre quelque chose.
Comment marche un prélèvement SEPA ?
Pour comprendre ce qui a pu se passer, revenons-en aux bases de fonctionnement d’un prélèvement SEPA. La Banque de France propose justement un schéma qui en résume le mécanisme :
Pour faire simple, la mise en place d’un prélèvement que vous autorisez nécessite la signature d’un mandat de votre part. Le destinataire de ce dernier fait alors suivre les ordres de prélèvements à son prestataire de paiement (c’est à dire sa banque la plupart du temps) comme le mandat l’y autorise. Sa banque et la vôtre échangent ensuite des messages interbancaires pour organiser les transferts d’argent.
La question qui se pose à présent est donc : comment les banques (la vôtre et celle du bénéficiaire du virement) contrôlent-elle que le mandat est OK ? Pour tenter de le comprendre, nous avons donc lu la réglementation puis interrogé plusieurs personnes travaillant dans les services “backoffice” de différentes banques. Les réponses que nous avons obtenues sont surprenantes !
Le contrôle des prélèvements en théorie
Avant la mise en place des prélèvements SEPA en 2014, vous deviez envoyer un mandat de prélèvement à la fois à votre créancier et à votre banque. Mais SEPA a changé la donne : aujourd’hui, seul votre créancier dispose du mandat. Votre banque doit donc s’en remettre aux informations données par la banque de celui qui requière le prélèvements pour décider si elle donnera ou non les fonds.
Or, lors d’une demande de prélèvement reçue par votre banque, le mandat correspondant n’est jamais transmis ! Cela veut donc dire que votre banque est dans l’incapacité de contrôler que vous avez bien donné une telle autorisation de prélèvement. On pourrait pourtant imaginer qu’elle vous envoie un message de validation comme lors d’un paiement par carte en ligne. On pourrait, oui. Mais ce n’est pas le cas aujourd’hui !
Bref, le contrôle n’ayant pas lieu du côté de votre banque, on peut s’attendre à ce qu’il soit du côté du prestataire de paiement de celui qui fait le prélèvement. C’est d’ailleurs ce que semble dire la réglementation européenne sur les prélèvements SEPA…
Le prestataire de services de paiements du bénéficiaire doit veiller à ce que le payeur donne son consentement à la fois au bénéficiaire et au prestataire de services de paiement du payeur
Source : Article 5-3 du règlement 260/2012 de l’Union Européenne
La réalité du contrôle en pratique…
Le texte dit donc bien que le prestataire de paiement (souvent la banque) de celui qui prélève doit contrôler que vous avez donné votre consentement au prélèvement. En pratique, ce contrôle s’avère tellement léger qu’il est pour ainsi dire inexistant. Une de nos sources du monde bancaire nous explique pourquoi :
Aujourd’hui, le contrôle se résume à faire lire ses obligations au créancier. On ne peut pas, en tant que banque, vérifier la légitimité de la personne signataire du mandat. On ne peut pas lui demander une pièce d’identité, ni vérifier sa signature.
Les contrôles se limitent donc à des mécanismes d’alerte qui reposent essentiellement sur la bonne volonté des acteurs de la chaîne de paiement. On peut par exemple penser à des contrôles statistiques pour détecter qu’un organisme fait l’objet d’un taux de contestations anormal lors de ses prélèvements. Il pourrait aussi y avoir des “listes noires” d’organismes de prélèvement posant problème.
La Banque de France s’est exprimée à ce sujet à notre demande :
Les banques ont des mécanismes de contrôles visant à prévenir le risque de fraude.
Source : service presse de la Banque de France par email
- La banque du créancier est tenue de veiller à ce que les prélèvements émis par son client sont bien conformes à son activité économique (en nombre, en valeur …).
- La banque du payeur peut identifier les prélèvements initiés par un nouveau créancier pour alerter son client et, le cas échéant, les rejeter avant débit du compte.
Ces contrôles anti-fraude volontaires semblent néanmoins avoir une efficacité contestable comme nous allons le voir à travers quelques exemples. La conclusion de l’un de nos contacts du monde bancaire a même de quoi faire froid dans le dos :
Il semblerait qu’à l’époque de la construction de Sepa, personne n’ait pensé à des escroqueries de masse.
Personne, vraiment ?
Les bons conseils d’UFC Que choisir en 2014
Le magazine “Que choisir” avait vu venir les dérives potentielles de ce nouveau règlement (SEPA) quelques mois avant sa mise en place en août 2014. En s’appuyant sur certaines de ses dispositions protectrice, leurs journalistes donnaient les bons conseils suivants.
Le règlement SEPA, dans son article 5-3. d), prévoit que vous pouvez exiger de votre banque la mise en place de limitations du passage de prélèvements sur votre compte, et ce, de différentes manières. Vous pouvez ainsi créer une liste noire ou une liste blanche [de fournisseurs]. Ces deux listes sont, à nos yeux, les deux outils les plus efficaces pour limiter le risque de fraude sur votre compte.
Source : Que Choisir, Prélèvements SEPA, les bons réflexes
Outre ce conseil, malheureusement encore trop peu connu, l’association UFC Que Choisir donnait d’autres recommandations qui sont plus que jamais d’actualité.
- Surveiller ses relevés de compte régulièrement pour détecter tout mouvement suspect
- Bien noter et conserver la Référence Unique de Mandat (RUM) lorsque vous signez un mandat de prélèvement (encore faut-il l’obtenir…)
Ces réflexes, vous allez le voir, vous DEVEZ à présent les avoir tant les dérives possibles sont nombreuses aujourd’hui.
Les conséquences d’un contrôle défaillant
Résumons rapidement ce que nous avons découvert jusque-là.
- Légalement, le seul à détenir le mandat de prélèvement que vous avez signé, c’est le créancier à qui vous l’avez remis.
- Personne, ni la banque du créancier, ni votre banque, ne vérifie l’existence de ce mandat.
- A aucun moment, on ne vous demande de confirmer que vous avez bien validé ce prélèvement
Le cas ENS : le prélèvement à l’arrache
Très logiquement, il est donc possible de vous faire des prélèvements sans vous faire signer de mandat… et techniquement, c’est qu’on voit à présent se produire. Concrètement, il suffit à un organisme qui détient un numéro ICS de connaître l’IBAN de quelqu’un pour réaliser un prélèvement sur son compte sans demander une quelconque autorisation. C’est vraisemblablement ce qui s’est passé dans le cas des prélèvements “ENS” que nous évoquions en début d’article.
La réponse du groupe BPCE interrogé par RTL sur cette situation surprenante laisse une impression désagréable. La banque se contente de dire qu’il n’y a eu “aucun impact au final pour ses clients” car soit “les clients concernés ont déjà été recrédités des fonds” soit “l’établissement bancaire à l’origine des prélèvements a déclenché les procédures d’annulation en amont avant que le prélèvement ne soit visible sur le compte du client”.
En bref, les banques ne voient pas trop le problème de cette quasi-absence de contrôle puisque les gens peuvent demander à être remboursés. Qu’en est-il des clients qui ne verront pas l’entourloupe dans les temps ? Ou de ceux qui seront rabroués par un conseiller bancaire mal formé sur ce sujet ? Apparemment, ces victimes-là n’intéressent pas grand-monde…
Le cas Amazon : faire ses courses avec l’argent d’un autre
Le manque de contrôle aux différents étages de ce système peut générer d’autres types d’arnaques. Si vous êtes client de chez Amazon, peut-être avez-vous déjà remarqué que vous pouviez payer vos commandes par prélèvement sur votre compte. Lorsque vous voulez donner accès à votre compte à Amazon, la procédure se résume à l’écran ci-dessous :
En remplissant ces 3 petites cases et en appuyant sur le bouton jaune vous donnez mandat à Amazon pour taper dans le compte que vous avez entré. Aucune confirmation n’étant nécessaire, des petits malins peuvent en profiter pour payer avec le compte de n’importe qui. Et devinez quoi ? C’est exactement ce qui se passe !
Voyez par exemple ce témoignage chez Signal Arnaques :
Nous avons pris ici l’exemple d’Amazon, mais le même type de pratique frauduleuse est possible avec une très grande quantité de boutiques en ligne ou de services soumis à abonnement…
Le cas Xpendy : le paiement dissimulé
Une autre forme de manœuvre profite de ce système de prélèvement en mode “open-bar” : c’est le paiement dissimulé. Imaginez que vous souhaitiez vous désabonner à Netflix et que vous ne sachiez pas trop comment résilier rapidement. Vous tombez sur le site “Xpendy” qui vous propose justement de vous aider à le faire : super ! Comme vous pouvez le voir ci-dessous, la procédure semble alors très simple…
Les plus attentifs d’entre vous auront remarqué la petite phrase “si je vais plus loin, j’accepte un amortissement unique pour la résiliation de Netflix”. Qu’est-ce que ça veut dire ? Qu’Xpendy profite du fait que vous laissiez votre IBAN dans le formulaire pour vous pomper discrètement 30 euros par SEPA. Malin, non ?
Pas très légal, en tout cas, selon le Centre Européen de Consommateurs de Belgique. Celui-ci expose plusieurs manquements dont l’un est particulièrement explicite.
Le bouton de validation d’achat mis en place par Xpendy se borne à mentionner « résilier » plus le nom de l’enseigne concernée, formulation vague qui n’est évidemment pas valable au regard du droit européen. La sanction de ce manque de transparence est sans appel : le prétendu contrat que vous oppose Xpendy est nul et vous n’avez donc rien à payer !
Source : Site du Centre Européen des Consommateurs de Belgique
Que faire si j’ai été prélevé malgré moi ?
L’avantage du prélèvement SEPA est qu’il permet des contestations de manière relativement simple.
- Vous avez jusqu’à 8 semaines pour contester un prélèvement auprès de votre banque, même si vous avez signé un mandat pour celui-ci.
- Vous avez jusqu’à 13 mois pour demander l’annulation d’un prélèvement pour lequel vous n’avez pas donné d’autorisation. C’est en effet dans ce cas un détournement de vos moyens de paiement : le Code monétaire et Financier vous protège donc.
Si vous rencontrez des difficultés pour faire valoir vos droits, vous pouvez demander de l’aide sur notre forum.
Que faire pour éviter les problèmes ?
En attendant que les régulateurs et les banques prennent des mesures pour éviter ces dérives, il va falloir vous protéger. Rappelons deux règles simples déjà évoquées.
- Pointez vos comptes. Même si vous n’avez pas fait de bêtise, vous pouvez être prélevé malgré vous du fait de la grande permissivité du système. Si vous ne comprenez pas un débit, ce n’est pas normal : demandez des détails à votre banque.
- Le droit européen vous permet de demander à votre banque de limiter les prélèvements SEPA possibles à une “liste blanche” de créanciers autorisés. Il vous faudra simplement penser à mettre à jour cette liste quand vous donnerez votre accord pour un prélèvement.
Des questions ? Des réactions ? N’hésitez pas à nous le faire savoir en commentaire… mais aussi à faire connaître cet article autour de vous !
Je bricole des choses sur le web depuis la création de ma première société en 2004. Je fais partie de l’aventure Signal Arnaques (mais aussi Scamdoc et Scampredictor) depuis ses débuts, en particulier pour m’occuper des aspects techniques.
.
à n’en pas douter une énième abjection criminelle destructrice capitaliste-(patriarchiste_ils_sont_indissociables)
Pour faire simple, on peut dire que la sécurité liée aux IBANS est aussi fiable que pour les chèques.
Fiche relative à la non-préservation du droit des usagers SEPA
Le système SEPA (Single Euro Payments Area ou espace unique de paiement en euros) mis en place depuis quelques années permet aux clients d’effectuer des paiements en euros sans numéraire, par virement bancaire ou prélèvement automatique dans tous les pays signataire du SEPA ( UE et non UE définis).
Pour les prélèvements SEPA, en France, les mandats utilisés par nombreux prestataires de service sont des mandats de prélèvement récurrents. En activité, ce système repose essentiellement sur le droit que possède chaque titulaire d’un ICS d’émettre un ordre de prélèvement sur un compte bancaire.
1) En théorie
a. Pour obtenir un ICS, qui permettra à une entité d’émettre des ordres de prélèvements, il suffit qu’une entreprise répondant aux critères d’attribution SEPA demande à la banque centrale une habilitation. Si les conditions du moment sont respectées, la Banque centrale accorde à cette entreprise un ICS. En juin 2023, 677 000 ICS étaient autorisés dans la zone euro. Mais il faut savoir qu’un ICS n’est que l’identification d’une créance ouverte qui peut rester valable jusqu’à 36 mois après un dernier prélèvement. Notons que l’utilisation d’un ICS engage son utilisateur au strict respect des règles SEPA et que seule la banque centrale peut annuler un ICS (une petite dizaine annulée en 2023). Donc un ICS est quasiment immuable même en cas de changement de nom de l’entreprise, en cas de modification de statut, de modification du siège social, de modification de compte bancaire de l’entreprise à l’origine de la demande. Une fois en service, un ICS permet d’émettre des ordres de prélèvements auprès de toutes les banques ayant adhérées au système SEPA .
b. Pour obtenir un paiement, pour exemple, une société X = le mandataire possède un ICS et les coordonnées bancaires d’une personne Y = le mandaté. La finalité de Y est d’adresser un ordre de prélèvement à la banque de Y : pour ce faire il faut ;
a. que X possède une autorisation de prélèvement signée et daté par Y ,
b. pour chaque prélèvement, que X = le mandataire ait informé Y= le mandaté, au moins 15 jours calendaire avant d’effectuer un prélèvement.
2) Dans la pratique la plus courante, pour un service récurent, un mandat d’autorisation de prélèvement en forme réglementaire est établi par X. Ce document est alors daté + signé par Y et remis à X. Comme X est titulaire d’un ICS valable, il peut alors établir un ordre de prélèvement auprès de la banque de Y. Cette banque vérifie alors que le X possède bien un ICS valable et constatant cela, elle accepte cette demande de prélèvement à faire sur le compte du client Y à la date de règlement définie dans la demande. Par suite, sur le compte bancaire de Y apparait quelques jours après, un avis de prélèvement de la somme demandée, puis encore quelques jours après (si cela n’était pas déjà existant) la création d’une ligne supplémentaire sur les autorisations permanentes SEPA du compte de l’intéressé.
Sur ce point, concernant les autorisations, notons que du point de vue banque en interne, pour pouvoir effectuer l’opération de prélèvement sur le compte de Y, il doit y sur ce compte, dans la liste des autorisations de prélèvements, la présence de l’ICS à l’origine de la demande en cours. Donc à défaut, pour ce faire, sur la base que tous les détenteurs d’ICS sont des organismes respectables qui appliquent strictement les règles SEPA et puisqu’ils émettent c’est qu’ils sont donc sont en possession d’une autorisation de mandat : la banque créée une ligne correspondante sur la liste des autorisations SEPA de Y).
Question préavis défini réglementairement de 15 jours calendaires par le règlement SEPA, notons que le mandat est établi à une date précise. En cas de premier prélèvement lié à ce mandat, compte tenu des délais de réalisation, de transmission et d’exploitation d’une demande d’un prélèvement , l’intéressé ne pourra être informé que plusieurs jours après d’un préavis de prélèvement sur ses comptes et plusieurs jours encore après , s’il n’existait pas d’autorisation permanente correspondante, de la création d’une ligne supplémentaire des prélèvements récurrents autorisés sur son compte. Comme par habitude, en banque, les prélèvements interviennent entre 10 et 15 jours après les demandes faites, les intéressés ne bénéficient pas des 15 jours calendaires réglementaires.
Néanmoins parallèlement, nombreux organismes créditeurs informent directement les crédités qu’ils vont subir un prélèvement sur leur compte bancaire à une date définie qui n’est pas toujours à J+15.
3) Dans des cas de malveillance ou d’erreur de la part des titulaire ICS, pour les crédités les choses se passent de manière beaucoup moins bien et le respect de leurs droits ne semble pas préservé.
En effet, pour exemple, en absence de mandat et en connaissance de l’identité bancaire d’un intéressé, n’importe quels détenteurs d’ICS peuvent émettre à l’encontre d’un titulaire de compte bancaire, une demande de prélèvement auprès de la banque de l’intéressé. Cette demande suivra son cours jusqu’à ce que l’intéressé s’aperçoive d’un (ou plusieurs) prélèvement(s) et d’une (ou plusieurs) ligne(s) supplémentaire(s) sur sa liste des autorisations permanentes en banque.
Certes, le système SEPA permet des recours possibles pour des opérations contestées mais cela est limité dans le temps
a) Dans le cas où l’intéressé est conscient rapidement que, des opérations sur son compte bancaire sont réalisées sans son autorisation, il peut agir via sa banque, pour demander, le plus souvent après coup, le remboursement immédiat des sommes prélevées et la mise en place d’un refus d’autorisation de prélèvement temporel (opposition) ou définitif (révocation) envers l’ICS concerné. Certaines banques facturent alors parfois des frais à leurs clients pour ces opérations.
Curieusement, n’ayant jamais donné d’autorisation, l’intéressé se doit de prévenir l’’organisme ayant émis une demande de prélèvement en précisant la démarche faite auprès de sa banque. Certes cela peut mettre en évidence le droit de l’intéressé au sein de l’entreprise à l’origine de la demande ; mais de toute évidence, le fait de devoir justifier de ne pas avoir donné d’autorisation à une entreprise avec laquelle peut être il n’a aucun lien, semble aberrante.
b) Dans le cas où l’intéressé ne s’aperçoit tardivement (voir hors délais) que des opérations ont été faites sur son compte sans son autorisation, les conséquences d’une malveillance ou d’erreur de la part d’un détenteur d’ICS sont beaucoup plus compliquées pour la victime. Cela peut alors nécessiter les mises en place de procédures juridiques compliquées dans lesquelles seront impliquées certes le détenteur d’ICS mais aussi la banque de l’intéressé qui a octroyé une autorisation de prélèvement sans exiger la preuve d’une autorisation effective.
Au bilan, en cas de malveillance ou d’erreur,
le système SEPA ne permet pas le respect des droits de celui qui n’a pas donné d’autorisation.