Le « spoofing » : la nouvelle escroquerie bancaire

Qu'est-ce-que le spoofing ?

Le spoofing en anglais signifie " usurpation d'identité ". Cette escroquerie porte bien son nom puisqu'elle consiste à voler l'identité d'une source fiable comme la banque, l'assurance, ou tout autre entreprise en laquelle le client a confiance. Le spoofing peut être déguisé en mail ou en numéro de téléphone. Par exemple, l'escroc hack l'adresse mail ou le numéro de votre banque pour se faire passer pour celle-ci. Dans le cas des mails cela reste généralement un lien cliquable afin de voler vos données. Concernant l'appel téléphonique, il est plus difficile de savoir s'il s'agit réellement de votre banque puisque le numéro est le même.

Comment s'en protéger ?

Lorsqu'il s'agit de phishing (mail frauduleux) :

Si l'adresse électronique est identique à celle de votre banque, il faudra vérifier les fautes d'orthographes, la mise en page et l'objet du mail. Un objet trop incitateur est généralement fait pour que vous ayez un doute et cliquiez pour l'ouvrir. Par ailleurs, les mails suivants sont souvent signe d'arnaque :

- " Payer vos frais de douanes pour recevoir votre colis "

- " Une activité suspecte a été détectée sur votre compte bancaire, cliquez ici pour vous connecter "

- " Votre compte sera fermé si vous ne réglez pas cette somme "

Lorsqu'il s'agit d'un appel téléphonique :

Lors d'un spoofing, vous recevrez un appel de " votre banque ", il s'agira du même numéro de téléphone. Au bout du fil, l'escroc se fera passer pour un conseiller qui vous informe d'une activité suspecte sur votre compte. Afin de vérifier cela, il vous demandera vos données personnelles (identifiant et mot de passe). Pensant qu'il s'agit réellement de la banque, vous lui donnez. Ainsi, il a désormais accès à votre compte bancaire et effectue des virements sur un autre RIB.

L'élément le plus important à retenir en cas de demande d'identifiants : la banque a accès à vos comptes, elle ne va donc jamais vous demander vos identifiants, encore moins par téléphone ou par mail.

Généralement, lorsque vous demandez par la suite un remboursement à votre banque, celle-ci refuse car vous avez communiqué vos identifiants et que le virement a été effectué sur un autre RIB depuis votre compte (et non un achat sur internet par exemple).

Comment faire pour obtenir un remboursement ?

Sur les démarches à entreprendre

En vertu l'article L. 133-23 du Code monétaire et financier (CMF), pour être remboursé, vous devez signaler la fraude à votre banque au plus tard 13 mois après la date de débit. Toutefois, conformément à l'article L. 133-1-1 du CMF, ce délai est porté 70 jours si l'établissement du bénéficiaire du paiement se situe hors de l'Union européenne ou de l'Espace économique européen.

Par ailleurs, notons que dans certaines hypothèses posées par l'article L. 133-19 du CMF, votre banque peut refuser de vous rembourser l'intégralité de la somme et vous laissez prendre en charge une partie des pertes, à hauteur de 50 ? maximum.

Sur le dépôt de plainte préalable

Nous constatons que les banques conditionnent souvent le remboursement à un dépôt de plainte préalable. Or, les services de police sont débordés par ces dépôts de plainte et refusent parfois de prendre la plainte des victimes de fraudes bancaires.

En tout état de cause, la loi ne conditionne aucunement le remboursement à un dépôt de plainte préalable mais prévoit que la banque rembourse son client immédiatement après avoir pris connaissance de l'opération interdite.

Sur le droit au remboursement

Il est assez fréquent en pratique, qu'à la suite d'un phishing, la banque tente de contourner cette obligation en arguant la négligence grave du client sur le fondement de l'article L. 133-16 du CFM ? qui dispose que l'utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses "données de sécurité personnalisées".

Toutefois, nous rappelons que la charge de la preuve de l'existence de ces manquements repose sur l'établissement bancaire. Conformément à une jurisprudence constante sur la question (cf. en ce sens cass..com. 18 janv. 2017, no 15-18.102), c'est, en effet, au prestataire de paiement qu'il incombe, par application des art. L133-19-IV et L. 133-23 du CMF, de rapporter la preuve que l'utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait intentionnellement ou par négligence grave à ses obligations.

C'est à elle de prouver que vous auriez dû reconnaître la tentative de fraude et que vous avez fait preuve de négligence grave en transmettant vos données.

L'état de la jurisprudence en matière de phishing et spoofing

En matière de phishing, la jurisprudence estime que répondre à un mail d'hameçonnage peut être une négligence grave du client.

La chambre commerciale de la Cour de cassation, dans un arrêt du 28 mars 2018 (cass. com. 28 mars 2018, n°16-20.018) s'est montrée sévère envers la victime d'un hameçonnage en jugeant qu'a manqué par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés, l'utilisateur d'un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu'il soit, ou non, avisé des risques d'hameçonnage.

Aussi, pour retenir la négligence grave, les juges du fond vérifient, au cas par cas, si la victime d'un phishing ou spoofing pouvait avoir conscience ou non de caractère frauduleux du courriel reçu l'invitant à communiquer ses données personnelles (faute d'orthographe, adresse mail différente...). Auquel cas, la négligence grave peut être caractérisée et la banque n'aura pas à rembourser les paiements frauduleux.