Le « spoofing » : la nouvelle escroquerie bancaire.

Récemment, de nombreux clients ont subi une escroquerie appelée « le spoofing ».
Avec les avancées technologiques, les hackers ne manquent pas d’imagination pour trouver de nouvelles arnaques bancaires. Dans cet article, nous détaillerons ce qu’est le spoofing, comment l’éviter, et quel est le recours juridique possible en cas de vol de données bancaires.

Qu’est-ce-que le spoofing ?

Le spoofing en anglais signifie « usurpation d’identité ». Cette escroquerie porte bien son nom puisqu’elle consiste à voler l’identité d’une source fiable comme la banque, l’assurance, ou tout autre entreprise en laquelle le client a confiance. Le spoofing peut être déguisé en mail ou en numéro de téléphone. Par exemple, l’escroc hack l’adresse mail ou le numéro de votre banque pour se faire passer pour celle-ci. Dans le cas des mails cela reste généralement un lien cliquable afin de voler vos données. Concernant l’appel téléphonique, il est plus difficile de savoir s’il s’agit réellement de votre banque puisque le numéro est le même.

Comment s’en protéger ?

Lorsqu’il s’agit de phishing (mail frauduleux).

Si l’adresse électronique est identique à celle de votre banque, il faudra vérifier les fautes d’orthographes, la mise en page et l’objet du mail. Un objet trop incitateur est généralement fait pour que vous ayez un doute et cliquiez pour l’ouvrir. Par ailleurs, les mails suivants sont souvent signe d’arnaque :
- « Payer vos frais de douanes pour recevoir votre colis » ;
- « Une activité suspecte a été détectée sur votre compte bancaire, cliquez ici pour vous connecter » ;
- « Votre compte sera fermé si vous ne réglez pas cette somme ».

Lorsqu’il s’agit d’un appel téléphonique.

Lors d’un spoofing, vous recevrez un appel de « votre banque », il s’agira du même numéro de téléphone. Au bout du fil, l’escroc se fera passer pour un conseiller qui vous informe d’une activité suspecte sur votre compte. Afin de vérifier cela, il vous demandera vos données personnelles (identifiant et mot de passe). Pensant qu’il s’agit réellement de la banque, vous lui donnez. Ainsi, il a désormais accès à votre compte bancaire et effectue des virements sur un autre RIB.

L’élément le plus important à retenir en cas de demande d’identifiants : la banque a accès à vos comptes, elle ne va donc jamais vous demander vos identifiants, encore moins par téléphone ou par mail.

Généralement, lorsque vous demandez par la suite un remboursement à votre banque, celle-ci refuse car vous avez communiqué vos identifiants et que le virement a été effectué sur un autre RIB depuis votre compte (et non un achat sur internet par exemple).

Comment faire pour obtenir un remboursement ?

Sur les démarches à entreprendre.

En vertu l’article L133-23 du Code monétaire et financier (CMF), pour être remboursé, vous devez signaler la fraude à votre banque au plus tard 13 mois après la date de débit. Toutefois, conformément à l’article L133-1-1 du CMF, ce délai est porté 70 jours si l’établissement du bénéficiaire du paiement se situe hors de l’Union européenne ou de l’Espace économique européen.

Par ailleurs, notons que dans certaines hypothèses posées par l’article L133-19 du CMF, votre banque peut refuser de vous rembourser l’intégralité de la somme et vous laissez prendre en charge une partie des pertes, à hauteur de 50 euros maximum.

Sur le dépôt de plainte préalable.

Nous constatons que les banques conditionnent souvent le remboursement à un dépôt de plainte préalable. Or, les services de police sont débordés par ces dépôts de plainte et refusent parfois de prendre la plainte des victimes de fraudes bancaires.

En tout état de cause, la loi ne conditionne aucunement le remboursement à un dépôt de plainte préalable mais prévoit que la banque rembourse son client immédiatement après avoir pris connaissance de l’opération interdite.

Sur le droit au remboursement.

Il est assez fréquent en pratique, qu’à la suite d’un phishing, la banque tente de contourner cette obligation en arguant la négligence grave du client sur le fondement de l’article L133-16 du CFM - qui dispose que l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses « données de sécurité personnalisées ».

Toutefois, nous rappelons que la charge de la preuve de l’existence de ces manquements repose sur l’établissement bancaire. Conformément à une jurisprudence constante sur la question [1], c’est, en effet, au prestataire de paiement qu’il incombe, par application des art. L133-19-IV et L133-23 du CMF, de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations.

C’est à elle de prouver que vous auriez dû reconnaître la tentative de fraude et que vous avez fait preuve de négligence grave en transmettant vos données.

Sur l’état de la jurisprudence en matière de phishing et spoofing.

En matière de phishing, la jurisprudence estime que répondre à un mail d’hameçonnage peut être une négligence grave du client.

La chambre commerciale de la Cour de cassation, dans un arrêt du 28 mars 2018 [2] s’est montrée sévère envers la victime d’un hameçonnage en jugeant qu’a manqué par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés, l’utilisateur d’un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu’il soit, ou non, avisé des risques d’hameçonnage.

Aussi, pour retenir la négligence grave, les juges du fond vérifient, au cas par cas, si la victime d’un phishing ou spoofing pouvait avoir conscience ou non de caractère frauduleux du courriel reçu l’invitant à communiquer ses données personnelles (faute d’orthographe, adresse mail différente...). Auquel cas, la négligence grave peut être caractérisée et la banque n’aura pas à rembourser les paiements frauduleux.

Jocelyn Ziegler
Avocat Associé
https://www.ziegler-associes.com/

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article :
L’avez-vous apprécié ?

4 votes

Notes de l'article:

[1Cf. en ce sens cass..com. 18 janv. 2017, no 15-18.102.

[2Cass. com. 28 mars 2018, n°16-20.018.

Bienvenue sur le Village de la Justice.

Le 1er site de la communauté du droit, certifié 4e site Pro en France: Avocats, juristes, fiscalistes, notaires, huissiers, magistrats, RH, paralegals, étudiants... y trouvent services, informations, contacts et peuvent échanger et recruter. *

Aujourd'hui: 149 290 membres, 23255 articles, 126 585 messages sur les forums, 4 240 annonces d'emploi et stage... et 2 000 000 de visites du site par mois en moyenne. *


FOCUS SUR >

[Dernières tendances de l'emploi dans le Droit] +78% d'annonces d'emploi et stages au 1er semestre 2022 !

A LIRE AUSSI >

Pourquoi publier sur Le Village de la Justice ?




LES HABITANTS

Membres

PROFESSIONNELS DU DROIT

Solutions

Formateurs