Arnaque au prélèvement SEPA : ce que votre banque ne vous dit pas

par · Publié · Mis à jour

Des dizaines de personnes se sont récemment plaintes sur Signal Arnaques de prélèvements non autorisés sur leurs comptes. Si nos alertes à ce sujet ont fait le tour de la presse, personne n’a jusque-là donné d’explications sur le phénomène. Nous avons donc enquêté pour comprendre. Et nos découvertes ont de quoi faire peur…

Des prélèvements incompréhensibles

Tout commence avec une série de prélèvements « SEPA » (la norme des prélèvements bancaires européens) observés sur les relevés bancaires de nombreux internautes. Sur Signal-Arnaques, ils relatent des sommes conséquentes allant de 300 à 700 euros selon les cas. A chaque fois, un même libellé : une certaine société « ENS » pour des « travaux de maintenance ».

Aucune des victimes n’a autorisé ces prélèvements. Fort logiquement, comme la loi le leur impose, les banques remboursent les personnes ainsi prélevées dès qu’elles en font la demande. Mais une question commence dès lors à se poser : comment cela a-t-il pu se produire ? Comment des banques ont pu autoriser ces prélèvements ? Bug ? Faille de sécurité ? Arnaque ?

Beaucoup de médias reprennent ensuite l’alerte, mais aucun ne semble parvenir à répondre à cette question. Ce n’est pas faute d’avoir essayé. Par exemple, Benjamin Hue de RTL a réussi à obtenir une réponse de la BPCE dont certains clients ont été touchés par ces fameux prélèvements… Réponse plutôt décevante puisque la banque explique qu’elle ne souhaite pas « rentrer dans des explications techniques ».

Bon, vous vous en doutez : nous allons devoir creuser pour y comprendre quelque chose.

Comment marche un prélèvement SEPA ?

Pour comprendre ce qui a pu se passer, revenons-en aux bases de fonctionnement d’un prélèvement SEPA. La Banque de France propose justement un schéma qui en résume le mécanisme :

Pour faire simple, la mise en place d’un prélèvement que vous autorisez nécessite la signature d’un mandat de votre part. Le destinataire de ce dernier fait alors suivre les ordres de prélèvements à son prestataire de paiement (c’est à dire sa banque la plupart du temps) comme le mandat l’y autorise. Sa banque et la vôtre échangent ensuite des messages interbancaires pour organiser les transferts d’argent.

La question qui se pose à présent est donc : comment les banques (la vôtre et celle du bénéficiaire du virement) contrôlent-elle que le mandat est OK ? Pour tenter de le comprendre, nous avons donc lu la réglementation puis interrogé plusieurs personnes travaillant dans les services « backoffice » de différentes banques. Les réponses que nous avons obtenues sont surprenantes !

Le contrôle des prélèvements en théorie

Avant la mise en place des prélèvements SEPA en 2014, vous deviez envoyer un mandat de prélèvement à la fois à votre créancier et à votre banque. Mais SEPA a changé la donne : aujourd’hui, seul votre créancier dispose du mandat. Votre banque doit donc s’en remettre aux informations données par la banque de celui qui requière le prélèvements pour décider si elle donnera ou non les fonds.

Or, lors d’une demande de prélèvement reçue par votre banque, le mandat correspondant n’est jamais transmis ! Cela veut donc dire que votre banque est dans l’incapacité de contrôler que vous avez bien donné une telle autorisation de prélèvement. On pourrait pourtant imaginer qu’elle vous envoie un message de validation comme lors d’un paiement par carte en ligne. On pourrait, oui. Mais ce n’est pas le cas aujourd’hui !

Bref, le contrôle n’ayant pas lieu du côté de votre banque, on peut s’attendre à ce qu’il soit du côté du prestataire de paiement de celui qui fait le prélèvement. C’est d’ailleurs ce que semble dire la réglementation européenne sur les prélèvements SEPA…

Le prestataire de services de paiements du bénéficiaire doit veiller à ce que le payeur donne son consentement à la fois au bénéficiaire et au prestataire de services de paiement du payeur

Source : Article 5-3 du règlement 260/2012 de l’Union Européenne

La réalité du contrôle en pratique…

Le texte dit donc bien que le prestataire de paiement (souvent la banque) de celui qui prélève doit contrôler que vous avez donné votre consentement au prélèvement. En pratique, ce contrôle s’avère tellement léger qu’il est pour ainsi dire inexistant. Une de nos sources du monde bancaire nous explique pourquoi :

Aujourd’hui, le contrôle se résume à faire lire ses obligations au créancier. On ne peut pas, en tant que banque, vérifier la légitimité de la personne signataire du mandat. On ne peut pas lui demander une pièce d’identité, ni vérifier sa signature.

Les contrôles se limitent donc à des mécanismes d’alerte qui reposent essentiellement sur la bonne volonté des acteurs de la chaîne de paiement. On peut par exemple penser à des contrôles statistiques pour détecter qu’un organisme fait l’objet d’un taux de contestations anormal lors de ses prélèvements. Il pourrait aussi y avoir des « listes noires » d’organismes de prélèvement posant problème.

La Banque de France s’est exprimée à ce sujet à notre demande :

Les banques ont des mécanismes de contrôles visant à prévenir le risque de fraude.

  • La banque du créancier est tenue de veiller à ce que les prélèvements émis par son client sont bien conformes à son activité économique (en nombre, en valeur …).
  • La banque du payeur peut identifier les prélèvements initiés par un nouveau créancier pour alerter son client et, le cas échéant, les rejeter avant débit du compte.
Source : service presse de la Banque de France par email

Ces contrôles anti-fraude volontaires semblent néanmoins avoir une efficacité contestable comme nous allons le voir à travers quelques exemples. La conclusion de l’un de nos contacts du monde bancaire a même de quoi faire froid dans le dos :

Il semblerait qu’à l’époque de la construction de Sepa, personne n’ait pensé à des escroqueries de masse.

Personne, vraiment ?

Les bons conseils d’UFC Que choisir en 2014

Le magazine « Que choisir » avait vu venir les dérives potentielles de ce nouveau règlement (SEPA) quelques mois avant sa mise en place en août 2014. En s’appuyant sur certaines de ses dispositions protectrice, leurs journalistes donnaient les bons conseils suivants.

Le règlement SEPA, dans son article 5-3. d), prévoit que vous pouvez exiger de votre banque la mise en place de limitations du passage de prélèvements sur votre compte, et ce, de différentes manières. Vous pouvez ainsi créer une liste noire ou une liste blanche [de fournisseurs]. Ces deux listes sont, à nos yeux, les deux outils les plus efficaces pour limiter le risque de fraude sur votre compte.

Source : Que Choisir, Prélèvements SEPA, les bons réflexes

Outre ce conseil, malheureusement encore trop peu connu, l’association UFC Que Choisir donnait d’autres recommandations qui sont plus que jamais d’actualité.

  • Surveiller ses relevés de compte régulièrement pour détecter tout mouvement suspect
  • Bien noter et conserver la Référence Unique de Mandat (RUM) lorsque vous signez un mandat de prélèvement (encore faut-il l’obtenir…)

Ces réflexes, vous allez le voir, vous DEVEZ à présent les avoir tant les dérives possibles sont nombreuses aujourd’hui.

Les conséquences d’un contrôle défaillant

Résumons rapidement ce que nous avons découvert jusque-là.

  1. Légalement, le seul à détenir le mandat de prélèvement que vous avez signé, c’est le créancier à qui vous l’avez remis.
  2. Personne, ni la banque du créancier, ni votre banque, ne vérifie l’existence de ce mandat.
  3. A aucun moment, on ne vous demande de confirmer que vous avez bien validé ce prélèvement

Le cas ENS : le prélèvement à l’arrache

Très logiquement, il est donc possible de vous faire des prélèvements sans vous faire signer de mandat… et techniquement, c’est qu’on voit à présent se produire. Concrètement, il suffit à un organisme qui détient un numéro ICS de connaître l’IBAN de quelqu’un pour réaliser un prélèvement sur son compte sans demander une quelconque autorisation. C’est vraisemblablement ce qui s’est passé dans le cas des prélèvements « ENS » que nous évoquions en début d’article.

La réponse du groupe BPCE interrogé par RTL sur cette situation surprenante laisse une impression désagréable. La banque se contente de dire qu’il n’y a eu « aucun impact au final pour ses clients » car soit « les clients concernés ont déjà été recrédités des fonds » soit « l’établissement bancaire à l’origine des prélèvements a déclenché les procédures d’annulation en amont avant que le prélèvement ne soit visible sur le compte du client ».

En bref, les banques ne voient pas trop le problème de cette quasi-absence de contrôle puisque les gens peuvent demander à être remboursés. Qu’en est-il des clients qui ne verront pas l’entourloupe dans les temps ? Ou de ceux qui seront rabroués par un conseiller bancaire mal formé sur ce sujet ? Apparemment, ces victimes-là n’intéressent pas grand-monde…

Le cas Amazon : faire ses courses avec l’argent d’un autre

Le manque de contrôle aux différents étages de ce système peut générer d’autres types d’arnaques. Si vous êtes client de chez Amazon, peut-être avez-vous déjà remarqué que vous pouviez payer vos commandes par prélèvement sur votre compte. Lorsque vous voulez donner accès à votre compte à Amazon, la procédure se résume à l’écran ci-dessous :

Un moyen de paiement d’une simplicité déconcertante

En remplissant ces 3 petites cases et en appuyant sur le bouton jaune vous donnez mandat à Amazon pour taper dans le compte que vous avez entré. Aucune confirmation n’étant nécessaire, des petits malins peuvent en profiter pour payer avec le compte de n’importe qui. Et devinez quoi ? C’est exactement ce qui se passe !

Voyez par exemple ce témoignage chez Signal Arnaques :

Source : Signalement Signal Arnaques #639744

Nous avons pris ici l’exemple d’Amazon, mais le même type de pratique frauduleuse est possible avec une très grande quantité de boutiques en ligne ou de services soumis à abonnement…

Le cas Xpendy : le paiement dissimulé

Une autre forme de manœuvre profite de ce système de prélèvement en mode « open-bar » : c’est le paiement dissimulé. Imaginez que vous souhaitiez vous désabonner à Netflix et que vous ne sachiez pas trop comment résilier rapidement. Vous tombez sur le site « Xpendy » qui vous propose justement de vous aider à le faire : super ! Comme vous pouvez le voir ci-dessous, la procédure semble alors très simple…

Résilier, c’est facile ?

Les plus attentifs d’entre vous auront remarqué la petite phrase « si je vais plus loin, j’accepte un amortissement unique pour la résiliation de Netflix ». Qu’est-ce que ça veut dire ? Qu’Xpendy profite du fait que vous laissiez votre IBAN dans le formulaire pour vous pomper discrètement 30 euros par SEPA. Malin, non ?

Pas très légal, en tout cas, selon le Centre Européen de Consommateurs de Belgique. Celui-ci expose plusieurs manquements dont l’un est particulièrement explicite.

Le bouton de validation d’achat mis en place par Xpendy se borne à mentionner « résilier » plus le nom de l’enseigne concernée, formulation vague qui n’est évidemment pas valable au regard du droit européen. La sanction de ce manque de transparence est sans appel : le prétendu contrat que vous oppose Xpendy est nul et vous n’avez donc rien à payer !

Source : Site du Centre Européen des Consommateurs de Belgique

Que faire si j’ai été prélevé malgré moi ?

L’avantage du prélèvement SEPA est qu’il permet des contestations de manière relativement simple.

  • Vous avez jusqu’à 8 semaines pour contester un prélèvement auprès de votre banque, même si vous avez signé un mandat pour celui-ci.
  • Vous avez jusqu’à 13 mois pour demander l’annulation d’un prélèvement pour lequel vous n’avez pas donné d’autorisation. C’est en effet dans ce cas un détournement de vos moyens de paiement : le Code monétaire et Financier vous protège donc.

Si vous rencontrez des difficultés pour faire valoir vos droits, vous pouvez demander de l’aide sur notre forum.

Que faire pour éviter les problèmes ?

En attendant que les régulateurs et les banques prennent des mesures pour éviter ces dérives, il va falloir vous protéger. Rappelons deux règles simples déjà évoquées.

  • Pointez vos comptes. Même si vous n’avez pas fait de bêtise, vous pouvez être prélevé malgré vous du fait de la grande permissivité du système. Si vous ne comprenez pas un débit, ce n’est pas normal : demandez des détails à votre banque.
  • Le droit européen vous permet de demander à votre banque de limiter les prélèvements SEPA possibles à une « liste blanche » de créanciers autorisés. Il vous faudra simplement penser à mettre à jour cette liste quand vous donnerez votre accord pour un prélèvement.

Des questions ? Des réactions ? N’hésitez pas à nous le faire savoir en commentaire… mais aussi à faire connaître cet article autour de vous !

41 réponses

  1. Pas fautes d’avoir prévenu. dit :
    14 mai 2023 à 14 h 14 min

    J’avais déjà signalé le problème à ma banque il y a quatre ans lorsque j’avais souscrit à un service téléphonique et que l’opérateur à pu effectuer son prélèvement (légitime pour le coup) sans que je n’ai a donner la moindre autorisation.

    Voici la réponse de la banque en question :

    « Bonjour [XXX],

    Vous nous avez contactés concernant le mandat de prélèvement.

    Nous vous confirmons qu’en communiquant l’IBAN, n’importe quel organisme peut présenter son prélèvement sur votre compte courant.

    Par ailleurs, nous vous informons que lorsqu’un prélèvement se présente sur votre compte la première fois, un e-mail vous est envoyé afin de l’accepter ou de le refuser.

    Pour votre information, si vous estimez qu’un prélèvement n’est pas légitime, vous pouvez nous envoyer à tout moment une demande écrite et signée nous demandant la mise en opposition temporaire ou permanente sur ce prélèvement.

    Depuis la rubrique « Prélèvement » de votre compte courant, vous pouvez également réaliser un rejet tardif de ce prélèvement pour vous faire recréditer du montant de celui-ci.

    Nous restons à votre écoute pour toute information complémentaire au 02 98 00 29 00 (numéro non surtaxé).

    Cordialement,

    [YYY]
    Le Service Clients »

    Répondre
  2. Stéphane dit :
    15 mai 2023 à 10 h 22 min

    La société ENS a été radiée et tous les clients ont été remboursés par la banque de ce créancier frauduleux. Dossier clos

    Répondre
  3. bdd13 dit :
    15 mai 2023 à 11 h 25 min

    Bonjour,
    Toute communication d’un RIB devient donc un danger potentiel.
    Que dire des vols de chéquiers sur lesquels un RIB est systématiquement disponible ?
    Grave…

    Répondre
  4. RICAUD Françoise dit :
    15 mai 2023 à 13 h 14 min

    bonjour,
    recommandez-vous de laisser un numéro de CB pour les achats en ligne plutôt qu’un IBAN ?
    aujourd’hui mes comptes Netflix, Amazon.. débitent ma Visa.. est-ce plus « sécuritaire » ?
    cordialement,
    Françoise Ricaud

    Répondre
  5. berta dit :
    15 mai 2023 à 15 h 48 min

    J’ai été victime d’un prélèvement abusif de ce type en 2020 alors que j’étais client au LCL.La banque a refusée de me rembourser et j’au du aller en justice pour obtenir réparation.

    Répondre
  6. Alex dit :
    15 mai 2023 à 15 h 51 min

    Bonjour !

    Votre article m’interpelle ! Merci pour les info !

    1-Est-ce que juste un IBAN suffit ou faut-il que les 3 soient réunis (IBAN, nom et prénom) pour être une victime potentielle ?
    2-Je ne comprends pas trop ….beaucoup de société avec activités commerciales laissent l’ IBAN visible sur leur site internet pour pouvoir faire des versements’, ex : centre équestres, …
    Y’a t’il une différence entre un commerce et un particulier ?

    Répondre
    • Jean-Baptiste Boisseau dit :
      15 mai 2023 à 16 h 32 min

      1- Il faut IBAN et intitulé du compte (ça n’a pas besoin d’être très précis).
      2- Il y a des mécanismes spécifiques pour des prélèvements SEPA inter-entreprises (B2B), mais certaines entreprises utilisant les mêmes mécaniques SEPA que les particuliers pourraient aussi être victimes.

      Répondre
  7. Monique COLLINET dit :
    15 mai 2023 à 15 h 58 min

    J’ai été victime d’une arnaque via l’abonnement Netflix et ce, pour un montant de 1026 euros sur la mastercard. Je n’ai eu aucun remboursement de la part de l’émetteur de la card ni de la banque soit disant parce que j’ai communiqué mes coordonnées bancaire ! Et cela n’a pas pris plus de 10 minutes pour bloquer ma carte lorsque je me suis aperçu d’une possible arnaque !!

    Répondre
  8. Jean Marc dit :
    15 mai 2023 à 18 h 17 min

    Je comprends parfaitement pourquoi les banques rechignent à répondre sur ce sujet sensible, beaucoup trop laxistes dans l’enregistrement des demandes de prélèvement arrivant par courrier papier, ne font aucune vérification. C’est bien pour cette raison que les banques ont obligation d’accepter les reprises de prélèvement indus pendant 13 mois et de rembourser les clients fraudés!!!!!

    Répondre
  9. Nardon dit :
    15 mai 2023 à 20 h 33 min

    Monsieur Boisseau,
    En tant que particulier, je possède un compte bancaire sur une banque en ligne via Internet. J’ai créé une liste de prélévements autorisés, est-ce que cela est suffisant pour se prémunir de telles arnaques ?
    Cordialement,
    D. Nardon

    Répondre
    • Jean-Baptiste Boisseau dit :
      16 mai 2023 à 9 h 08 min

      Si c’est liste est bien une « liste blanche » (c’est à dire que tout autre créancier est automatiquement refusé), oui, c’est la meilleure des défenses.
      Pointer ses comptes reste malgré tout nécessaire parce que les problèmes de paiement inattendus ne se limitent pas aux prélèvements SEPA.

      Répondre
    • JM dit :
      16 mai 2023 à 14 h 37 min

      Utilisateurs de banques en ligne, je vous conseille de régulièrement vérifier les bénéficiaires de virements et les autorisations de prélèvement autorisés sur votre compte………………….ET aussi jeter un coup d’œil sur votre compte au moins 1x par semaine, et de préférence en utilisant un PC protégé par un antivirus et anti spam.

      Répondre
  10. Martin dit :
    16 mai 2023 à 9 h 14 min

    J’aime ma banque ! mais souvent ça nous fait mal au c…

    Répondre
  12. Christophe Debarre dit :
    16 mai 2023 à 11 h 46 min

    Encore un grand merci pour cette enquête ainsi que tout les moyens a utiliser pour se retourner, se renseigner, donc encore une raison de plus de bien surveiller nos compte jusqu’au jour ou enfin les banquiers penseront un peu plus à ceux qui les font vivres : Leurs CLIENTS, mais ceci est encore une autres affaires !!!
    Cordialement, tof

    Répondre
    • shasta dit :
      17 mai 2023 à 12 h 39 min

      Oui totalement, d’ailleurs, je me demande ceci :

      Même si certain.e.s d’entre nous demandent un remboursement, tout cet argent frauduleux entrant, fait augmenter le budget des banques ? D’autant que certain.e.s non vigilant.e.s n’y pensent pas du tout ou à temps, ce qui créée un bénéfice supplémentaire aux banques. ? Cette fraude desservirait nous les clients qui font vivre ces banques et serviraient ces mêmes banques ? D’où ce laxime envers la vérification plus orientée du mandataire ?

      Répondre
  13. CLIVET LILIANE dit :
    16 mai 2023 à 12 h 08 min

    Merci pour pour toutes ces explications et les commentaires qui suivent
    Réger ses achats via paypal est-il plus sécurisé étant donné qu’un seul organisme à ses données bancaires

    Répondre
  14. JM dit :
    16 mai 2023 à 14 h 43 min

    Si vous voulez approfondir le sujet banques et avoir des informations sur les actualités et les sanctions des différents établissements bancaires : https://acpr.banque-france.fr/

    Répondre
  15. ricco claude dit :
    16 mai 2023 à 15 h 38 min

    Le pointage des comptes est plus que nécessaire. Les banques en ligne font aussi des erreurs involontaires? par exemple dans les remises de chèques. J’ai fait une remise de 500€ qui m’a été créditée pour 50€. l’erreur signalée a bien sûr té réparée mais si je n’avais pas vérifié…………

    Répondre
  16. Furnelle Brigitte dit :
    16 mai 2023 à 16 h 48 min

    Et que ce passe t’il en Belgique.
    J’ai eu 2 arnaques non remboursées par ma banque. Alors que j’ai contester une le jour même et l’autre la semaine suivante.
    Suivre régulièrement son compte ne suffit plus parce que en Belgique, elles nous rejettent tout de suite, même client depuis des décennies

    Répondre
  17. soane muliava dit :
    17 mai 2023 à 2 h 17 min

    bonjour
    les notifications sur votre smartphone à l’écran d’accueil sont sujets aussi à l’arnaque des 1 euros où il faut laisser vos coordonnées bancaires pour seulement 1 euro d’achat même pour un iphone dernier cri que l’on oublie facilement qu’un iphone ne coûte pas un euro mais plus que ça

    Heureusement ma carte visa arrive à échéance le jour même j’ai pu récupérer les sommes d’argent dérobées le jour même en justifiant avec la lettre de réclamation et les justificatifs à la banque

    J’utilise la double authentification (1 sms et 1 code que vous avez préalablement défini sur 3D-secure avec la Banque)
    mon smartphone m’avertit dès que j’ouvre mon compte mél si je clique sur OUI C’EST BIEN MOI ça s’ouvre sinon ça ne s’ouvre pas,c’est pareil pour mon facebook

    Il y a pour ceux qui s’y connaissent :

    Authentification multifacteur – Gratuit
    LastPass MFA (notifications PUSH pour vérifier la connexion),
    Google Authenticator (générer des codes de vérification à usage unique sur votre smartphone),
    Microsoft Authenticator (pareil que Google Authenticator),
    Toopher (notifications PUSH pour vérifier la connexion),
    DUO (notifications PUSH pour vérifier la connexion),
    GRID (Un tableau imprimable de chiffres et de lettres utilisés pour saisir des valeurs différents lors de la connexion.

    Authentification multifacteur – Premium
    YUBICO (Appareil USB qui génère des codes de vérification à usage unique).

    Authentification multifacteur – LastPass Business
    SALESFORCE (Envoie des notifications push à votre téléphone pour vérifier la connexion).

    Répondre
  18. lpaul dit :
    17 mai 2023 à 5 h 38 min

    compliqué ,surtout que tous demande un iban pour tout

    Répondre
  19. Ben dit :
    22 mai 2023 à 13 h 31 min

    Bonjour,

    certaines banques ou prestataires de paiement sanctionne le rejet de prélèvement quand ceux-ci sont répétitif, alors non seulement la victime se fait détrousser mais en plus elle doit prouvé la légitimité du rejet, au risque de voir son compte clôturé.

    Répondre
  20. PHILIPPE CHAZARENC dit :
    7 août 2023 à 11 h 23 min

    Il fut une époque où le troc était bien plus simple !

    Répondre
  21. MAURICE DOMINIQUE KLAHR dit :
    6 septembre 2023 à 14 h 06 min

    Bonjour ,
    J’ai été victime d’une arnaque sur mon compte ING d’un site internet WEBFITBUDDY77.COM.
    D’une petite somme répétée tous les mois 24,50€ depuis 01_01_2021 inclus au 06_09_22 .
    Tout à commencer par l’inscription sur ce site web , j’ai remarqué un prélèvement de 1,50€ en janvier 2011 .Est ce que j’ai validé cette inscription avec ma carte bancaire ? peut être .
    Remarquer après étude des relevés où 3 prélèvement de 24,50€ ont eu lieu le même mois . Total de l’arnaque autour de 800€ .
    Je devais gérer des travaux , le décès de ma mère , et j’ai laissé passé ces opérations de 24,50 .
    Comme je me servais de ma CB pour pratiquement tous mes achats quotidien , je n’ai pas été suffisamment attentif .
    J’ai déclaré à ING l’arnaque , avis de prélèvement et relevé bancaire transmis à une adresse indiquée par un conseiller ING . Aucune réponse de leur part , la banque a clôturé tous les comptes en France .
    J’ai clôturé le mien en juillet 2022 .
    Est ce que ING est responsable de n’être pas intervenu , lorsque l’on voit plusieurs prélèvement de 24,50 .

    Existe t il un moyen de mettre en cause la banque en ligne ING , d’être indemnisé
    Cordialement

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *