Fraudes en série à la Banque Nationale La loi ne prévoit aucune responsabilité pour les banques

Aucune loi ne protège les consommateurs canadiens contre les fraudes par télévirement, comme celles qui empoisonnent la vie de dizaines de clients commerciaux de la Banque Nationale depuis le mois dernier. Au Royaume-Uni, l’organisme responsable des paiements bancaires a décidé d’imposer aux banques le remboursement des sommes détournées.

« Il n’y a pas de loi au Canada qui encadre ça », déplore l’avocat en droit bancaire Marc Lemieux. Il n’y a pas non plus de loi sur la protection des victimes de fraudes en ligne. »

Seules les « conventions de compte », auxquelles les consommateurs adhèrent pour obtenir des services bancaires, partagent les responsabilités entre le client et l’institution financière lorsque surviennent de telles fraudes. « Ce n’est pas des contrats dont les gens ont même connaissance », dit Marc Lemieux.

Ces ententes énumèrent les obligations de sécurité informatique du consommateur.

« Vous êtes seul responsable des pertes que vous pourriez subir en utilisant un canal de communication si vous faites preuve de négligence dans la protection de votre identifiant, votre mot de passe et tout mode d’authentification », prévoit celle des services bancaires aux entreprises de la Banque Nationale.

Le contrat précise aussi que « les opérations effectuées à distance en utilisant notamment votre identifiant […] sont réputées sous votre responsabilité ».

Bref, si les banques croient que le client n’a pas fait ce qu’il fallait pour protéger les accès à son compte, elles ne se considèrent pas comme responsables des pertes subies.

Versions inconciliables

Le problème est au cœur de la controverse, dans le cas de la vague de fraudes ayant affecté les clients commerciaux de la Banque Nationale. Toutes les victimes que La Presse et les autres médias ont contactées nient avoir violé les règles de sécurité et ne peuvent identifier aucun moment où elles auraient pu être hameçonnées.

De son côté, l’institution financière affirme pourtant que son système de sécurité n’a subi aucune défaillance. « C’est le résultat de gens qui ont été victimes d’hameçonnage », a assuré lundi André Boucher, chef de la sécurité de l’information. Une position que la Banque maintenait mercredi.

Chez Option consommateurs, l’avocat Alexandre Plourde déplore le flou qui règne au Canada en matière de remboursement des fraudes bancaires.

« Dans les contrats, les banques peuvent imposer plein d’obligations en matière de sécurité à leurs clients et aux consommateurs : protéger leurs NIP, leurs mots de passe, utiliser des réseaux sécurisés, ne pas laisser leur appareil sans surveillance », énumère-t-il.

Son collègue Marc Lemieux croit que le système bancaire canadien doit être mieux préparé au fléau croissant des fraudes par télévirement. « Je pense que la loi devrait demander aux banques d’améliorer leurs systèmes d’authentification et de détection », dit-il.

Certains détenteurs de comptes commerciaux de la Banque Nationale ont vu des transactions se succéder en rafales à des heures tardives dans leurs comptes.

Le Royaume-Uni innove

Marc Lemieux donne l’exemple du Royaume-Uni. Là-bas, l’autorité qui réglemente les transactions bancaires électroniques, Payment Systems Regulator (PSR), doit même imposer à partir de 2024 le remboursement obligatoire des victimes en cinq jours ouvrables. Une première mondiale.

Le fardeau sera partagé moitié-moitié entre la banque du fraudé, ayant émis les fonds, et celle du fraudeur, qui les a reçus.

« Nous nous attendons à ce que l’industrie commence tout de suite à s’organiser pour ces nouvelles exigences », expliquait PSR dans un document présentant ce virage à venir, en juin dernier.

L’objectif est notamment d’« augmenter la protection des consommateurs pour que la plupart des victimes de fraudes par télévirement soient rapidement remboursées et d’augmenter la confiance dans le système de paiement britannique », écrit PSR.

La protection doit s’appliquer à toute personne victime d’une telle fraude, mais prévoit bien sûr des exceptions dans les cas où le consommateur s’est lui-même rendu complice de la fraude, ou s’il a fait preuve de négligence grave.

À Singapour et en Australie, les autorités penchent plutôt pour un système partageant les coûts entre la banque et le consommateur.

Au Royaume-Uni comme ailleurs, les critiques de l’approche de PSR craignent que sa politique de remboursement intégral par les banques ne fasse bondir les cas de fraude, en éliminant tout incitatif à la prudence.

Ici, c’est Paiements Canada qui assume la responsabilité de coordonner les services de paiement rapide électroniques. Contacté par La Presse, l’organisme estime qu’il ne lui appartient pas de se prononcer sur une telle solution.

« Paiements Canada ne régit pas les interactions entre les institutions financières et leurs clients ; cependant, nous continuons à plaider en faveur de l’innovation en matière de sécurité des paiements au sein de l’écosystème des paiements afin d’offrir aux Canadiens des options de paiement pratiques, sûres et efficaces », écrit la directrice des communications Victoria McMullen, sans répondre à nos questions.

L’Association des banquiers canadiens n’a pas répondu à nos questions sur l’initiative britannique et sur le partage des responsabilités en cas de fraude par télévirement.

« Les banques réaffirment leur volonté de protéger leurs clients contre la fraude financière, mentionne un courriel de Mélanie Richer, porte-parole. Les banques tiennent à cœur les relations à long terme qu’elles entretiennent avec leurs clients et collaborent avec ceux-ci pour prévenir la fraude. »

Elle ajoute que « les banques mènent des enquêtes approfondies sur les plaintes concernant des actes frauduleux et tous les faits pertinents sont pris en compte dans le cadre de ce processus afin d’assigner la responsabilité ».

Près de 40 000 $ détournés d’un compte personnel

Les détournements bancaires ne touchent pas que les clients commerciaux. Dans la foulée des articles sur les fraudes d’entreprises faisant affaire avec la Banque Nationale, un client des services pour particuliers a contacté La Presse au sujet d’un vol de près de 40 000 $ dont il a été victime début septembre.

« C’est un compte avec une marge de crédit, explique Michel Galipeau, de Gatineau. Le 12 septembre, j’ai voulu vérifier une transaction. J’étais censé avoir 10 000 $ ; j’étais négatif de 30 000 $ ! »

La Banque assure toutefois que la fraude n’a rien à voir avec celles qui ont touché ses clients commerciaux.

Deux paiements de 19 902 $ chacun sont allés à une entreprise de transfert d’argent d’Ottawa. « J’ai tout de suite contacté la sécurité de la banque et ils ont gelé mon compte », raconte le retraité.

Après l’appel de La Presse à son sujet mercredi, Michel Galipeau a rapidement reçu un appel de la première vice-présidente Geneviève Turbide-Potvin en personne. Cinq semaines après le signalement de la fraude, elle lui a annoncé qu’il serait entièrement remboursé.

« Elle m’a dit que le fait que vous les ayez contactés a précipité les choses, mais que c’était une question de temps, parce que la Banque venait de retracer les deux paiements », dit-il.

Le premier paiement a eu lieu le 7 septembre, puis un deuxième du même montant a pu sortir du compte sans que la Banque bloque la transaction quatre jours plus tard.

Les fraudes ont eu lieu avant que ne commence la vague de détournements qu’ont subie des dizaines de clients commerciaux de la Banque Nationale, à partir du 14 septembre.

Son cas n’a rien à voir avec ceux des clients commerciaux qui ont défrayé la chronique ces derniers jours, assure toutefois la première vice-présidente aux communications à la Nationale, Debby Cordeiro. « Il y a des fraudes avec tous les types de clients, et c’est le cas dans toutes les banques. »

Le texte a été modifié pour ajouter la réaction de l’Association des banquiers canadiens.