Depuis plusieurs années, un mode opératoire frauduleux sévit avec une intensité croissante : celui du faux conseiller bancaire (aussi appelé le "spoofing"). Les victimes, particuliers ou entreprises, reçoivent un appel téléphonique émanant en apparence de leur établissement bancaire, le plus souvent plus précisément du service anti-fraude de leur banque.
Au bout du fil, un escroc, se présentant comme un agent de sécurité ou un gestionnaire de compte, les inquiète en faisant référence au sms reçu plus tôt et les alarme sur l’existence de débits en cours et d’opérations suspectes sur leur compte bancaire. Le fraudeur les persuade alors d’agir dans l’urgence afin de protéger leurs comptes, et les incite à réaliser avec lui plusieurs manipulations.
C’est lors de cette conversation téléphonique que les pertes financières se produisent : virements vers de faux comptes, communication de codes de sécurité ou installation d’applications frauduleuses, augmentation des plafonds, piratage de l’interface prétendument sécurisée, l’interlocuteur de la victime vide purement et simplement les comptes bancaires de cette dernière.
Le sms appât n’est donc, vous l’aurez compris, que la première étape de la fraude. Contrairement à une idée reçue, il ne provoque pas, à lui seul, la perte financière. Il constitue un élément de mise en scène destiné à légitimer l’appel à venir. Comprendre ce mécanisme est fondamental pour déconstruire les arguments souvent avancés par les banques lorsqu’elles refusent d’indemniser les victimes, et pour replacer l’escroquerie dans toute sa complexité, technique et psychologique.
Qu’est-ce qu’un sms appât (smishing) ?
Un « sms appât » est un message texte envoyé massivement ou ciblé qui cherche à provoquer une réaction immédiate : cliquer sur un lien, rappeler, saisir un code.
Le sms frauduleux (smishing) est volontairement succinct et anxiogène. Il annonce un colis qui « ne rentre pas dans la boîte aux lettres », une livraison impossible à « reprogrammer », une carte vitale à recommander, un blocage de carte, une contravention à régler…
Son objectif est d’initier un contact qui permettra à l’escroc (souvent même un autre), souvent par téléphone, d’usurper par la suite l’identité d’un conseiller bancaire (spoofing vocal) et d’obtenir des actions (virements, révocation d’authentification, fourniture d’identifiants ou codes OTP). Il prépare le terrain pour l’appel téléphonique qui suivra.
Dans certains cas, le sms contient un lien vers un faux site bancaire pour un paiement minime, mais le plus souvent, il n’entraîne aucune transaction directe (comme le fameux « Bonjour, vous êtes chez vous ? »)
L’appel du faux conseiller : véritable cœur de la fraude.
C’est au moment de l’appel, et non à la réception du sms, que la fraude se déploie réellement. L’escroc, usurpant même parfois le numéro officiel de la banque grâce à la technique du spoofing, renforçant encore la crédibilité de l’appel, se présente comme un conseiller ou un agent du service de sécurité. Il se réfère explicitement au sms reçu le jour-même ou la veille, ce qui paraît donc logique à la victime.
Au fil de l’échange, la victime est invitée à réaliser plusieurs opérations pour, prétendument, mettre ses fonds à l’abri ou bloquer les mouvements suspects. En réalité, c’est au débit de son compte que les transactions passeront.
C’est donc à cette étape que les pertes financières se produisent. Le sms, simple vecteur psychologique, devient ainsi la clé d’entrée d’un scénario d’ingénierie sociale particulièrement élaboré.
L’impact sur les victimes.
Les conséquences pour les victimes sont dramatiques : pertes parfois colossales, sentiment de culpabilité, stress intense. Mais au-delà du préjudice personnel, les victimes doivent affronter une seconde épreuve : la réticence, voire le refus automatique, des banques à indemniser. Celles-ci invoquent fréquemment la négligence grave de l’utilisateur, au sens du Code monétaire et financier, en arguant qu’il n’aurait jamais dû « se faire avoir ».
Cette analyse occulte pourtant l’essentiel : les victimes ne sont pas tombées dans un simple piège électronique, mais dans une escroquerie fondée sur une usurpation d’identité et une manipulation psychologique. L’authentification forte imposée par la directive PSD2, si elle garantit la sécurité technique, ne prémunit pas contre l’exploitation de la confiance humaine.
Les recours juridiques.
La contestation bancaire.
Le client doit signaler immédiatement les opérations non autorisées [1]. Selon le Code monétaire et financier, la banque est tenue de rembourser, sauf fraude ou négligence grave. La charge de la preuve repose sur cette dernière [2].
La mise en demeure et le médiateur.
En cas de refus, une mise en demeure rappelant les textes est nécessaire. La saisine du médiateur bancaire peut aussi constituer une étape amiable, même si son avis n’est pas contraignant.
L’action judiciaire.
Si le litige persiste, ce qui est le plus souvent le cas soyons honnête, l’action en justice permet de démontrer que la victime n’a pas été imprudente mais manipulée par un scénario frauduleux. La jurisprudence, de plus en plus consciente de la sophistication de ces arnaques, tend à rappeler que la simple transmission d’un code ne suffit pas à caractériser une négligence grave, que le sécuri’pass ne peut permettre à la banque de s’exonérer de son obligation de remboursement, et que la négligence grave ne peut être invoquée dans un contexte de fraude tel que le spoofing.
La plainte pénale.
Enfin, le dépôt de plainte pour escroquerie et usurpation d’identité est essentiel, tant pour préserver les droits de la victime que pour espérer identifier les auteurs, souvent organisés en réseaux. Attention, il n’est pas nécessaire d’être trop précis. Il faut contester être à l’origine des opérations en question et rappeler la pression psychologique subie.
Prévenir et responsabiliser.
Les établissements bancaires doivent renforcer leurs campagnes de prévention : insister sur le fait qu’aucun conseiller ne demande jamais un code par téléphone, former leurs équipes à identifier rapidement ces scénarios et coopérer avec les opérateurs pour bloquer les campagnes de smishing. La responsabilité ne peut être reportée uniquement sur le client : la lutte doit être partagée et proactive.
Elle est bien trop souvent absente une fois la fraude révélée, et inerte à accompagner son client.
Elle refuse toute exposition de son image et se retranche donc derrière la négligence grave pour ne jamais indemniser le client.
Conclusion.
Le sms appât est une mise en scène préparatoire. Il n’entraîne pas directement la perte, mais crée le contexte psychologique qui permet à l’escroc, quelques minutes, quelques heures, quelques jours plus tard, de se faire passer pour un conseiller bancaire.
C’est dans cet échange téléphonique que le mal prend forme, lorsque la victime, trompée par l’urgence et la crédibilité apparente de son interlocuteur, agit contre ses propres intérêts.
Face à cette mécanique redoutable, l’information du public, la vigilance des banques et l’action déterminée des avocats constituent les trois piliers d’une protection efficace.
