CAZOTTES - DAUTREVAUX
Avocats Montpellier / Lodève

04 67 02 26 00

POINT ACTU :  PHISHING- SPOOFING

LA CYBER-CRIMINALITE BANCAIRE, UN PHENOMENE RAVAGEUR

Les escroqueries bancaires ne cessent de se diversifier et de se sophistiquer afin de déjouer les garde-fous mis en place par les banques, notamment via les codes à usage unique envoyés par SMS et utilisés lors de chaque opération sur le compte bancaire de leur client.

Le montant total de l’escroquerie des titulaires de comptes bancaires, via des opérations frauduleuses par virement, a plus que triplé en 4 ans, passant de 98 millions d’euros en 2018 à 313 millions d’euros en 2022.

Aujourd’hui, ce type d’escroquerie représente plus du quart des montants de fraude.   

L’escroquerie via le SMS se multiplie, du fait du nombre de personnes détentrices de Mobile et de la difficulté à déceler un SMS frauduleux

 

  • QUELS SONT LES DIFFERENTS TYPES D’ESCROQUERIE AU VIREMENT BANCAIRE ?

 

  • Le SPOOFING est une technique d’usurpation d’identité par courriel ou téléphone/SMS. Le cybercriminel se fait passer pour la Banque du client et tente de rentrer en communication avec lui via l’envoi de faux courriels ou sms alertant ce dernier d’une prétendue opération frauduleuse sur son compte bancaire, l’incitant à agir vite.

         L’escroc hacke parfois l’adresse email ou le numéro de téléphone de la Banque.

        Par ce moyen habile et des techniques de persuasion anxiogènes efficaces, l'escroc se fait remettre par le client affolé communication de ses coordonnées personnelles bancaires. Une fois accès au compte bancaire, l’escroc fait effectuer des virements vers des comptes lui appartenant  en manipulant sa victime afin que cette dernière valide les codes à usage unique envoyés sur son smartphone,.

 

  • Le PHISHING et le SMISHING, appelé hameçonnage, consiste à soutirer les identifiants, mots de passe ou autres informations confidentielles par l’envoi de courriels (Phishing) ou de SMS (Smishing) frauduleux. Le client reçoit un e-mail ou un SMS anxiogène l’invitant à saisir ses coordonnés bancaires sur un site imitant celui de la banque. Une fois saisies, le client peut être redirigé vers le site officiel de sa banque lui indiquant que son mot de passe est erroné. Le client ne peut donc jamais se rendre compte qu’il était sur un site frauduleux.

        Le but étant de prendre possession du compte du client afin d’effectuer des virements bancaires frauduleux.

 

  • EN PRATIQUE, l’escroquerie  commence bien en amont et en PLUSIEURS ETAPES, notamment en cas de fraude au faux-conseiller bancaire.  Par exemple :

1ere étape :   lors d’une opération bancaire par carte bancaire  régulièrement effectuée par le client avec son téléphone portable pour un achat en ligne sur un site marchand :

  • L’escroc parvient, en s’introduisant dans le système informatique, à récolter des informations utiles pour la prochaine étape de ses manœuvres frauduleuses : numéro de téléphone, nom de son titulaire, identité de sa banque, etc.

2ème étape :   l’escroc envoie un mail ou un SMS  sur le téléphone portable de sa future victime en usurpant l’identité d’un tiers, par exemple, celle du transporteur du colis récemment acheté ; il lui demande de payer via un site une somme très modique, prétextant par exemple la régularisation de droits de douane, pour permettre la livraison!

  • Si la victime paye, l’escroc a alors accès à différentes informations personnelles et bancaires qu’il va utiliser.
  • Parfois, il parvient à infecter d’un virus le téléphone portable de sa victime

Dernière étape : le  faux-conseiller bancaire : Le contact direct par appel téléphonique ;

L’escroc se fait passer pour le conseiller bancaire. Il met en confiance sa victime en lui fournissant différentes informations personnelles puis lui fait croire que suite à son achat, son compte bancaire a été piraté et que des sommes importantes ont été détournées !

Il  se fait généralement rappeler sur un nouveau numéro de téléphone et, par un discours alarmant et anxiogène, au motif de devoir résoudre de toute urgence le problème, parvient à récupérer de sa victime des informations essentielles lui faisant valider les opérations frauduleuses, la victime  lui communiquant ou en validant elle-même en confiance, les codes reçus par SMS, via le téléphone portable.

 

  • JE SUIS VICTIME, QUE FAIRE ? 
  •  
  •   Modifier immédiatement les identifiants, codes secrets, via le site de la banque
  •   Prévenir son banquier afin qu’il bloque le compte et faire opposition à la carte bancaire
  •   Déposer plainte auprès de la police ou gendarmerie la plus proche
  •   Se rapprocher de la Plateforme PERCEVAL mise en place par le Ministère de l’intérieur en cas de fraude à la carte bancaire

 

  • ET APRES ?

Il est malheureusement illusoire d’espérer que les escrocs seront rapidement interpellés et surtout solvables pour vous rembourser des sommes détournées.

Votre recours contre votre banquier :

L’article L.133-18 du code monétaire et financier énonce le principe du remboursement du titulaire de la carte :

"En cas d'opération de paiement non autorisée signalée par l'utilisateur dans les conditions prévues à l'article L.133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l'opération non autorisée immédiatement après avoir pris connaissance de l'opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s'il a de bonnes raisons de soupçonner une fraude de l'utilisateur du service de paiement et s'il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu".

L’article L133-23 du même code précise que : pour être remboursé, le client doit signaler la fraude à sa banque au plus tard 13 mois après la date du débit.

Les banques conditionnent fréquemment le remboursement à un dépôt de plainte préalable.

 

  • COMMENT OBTENIR UN REMBOURSEMENT PAR LA BANQUE ?      L’AIDE PRECIEUSE DE L’AVOCAT

1 - Que dit la Loi :

  * Le principe:

L’article L. 133-19 II du Code monétaire et financier indique que : "la responsabilité du payeur n'est pas engagée si l'opération de paiement non autorisée a été effectuée en détournant, à l'insu du payeur, l'instrument de paiement ou les données qui lui sont liées. Elle n'est pas engagée non plus en cas de contrefaçon de l'instrument de paiement si, au moment de l'opération de paiement non autorisée, le payeur était en possession de son instrument".

    *  L’obligation de sécurité de la Banque :

L’article L 561-6 du Code monétaire et financier prévoit que le banquier est tenu à un devoir de vigilance constante dans la tenue du compte de son client. La banque a des obligations de sécurité et doit effectuer un examen attentif des opérations bancaires effectuées.

Si elle faillit à ses obligations de sécurité, elle peut voir sa responsabilité engagée pour manquement à son obligation, sauf faute grave de son client.

 

    * L' Exception

L’article L133-16 du Code Financier et Monétaire dispose en effet que « l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées ».

Et l'article L133-18 susvisé exclut tout remboursement en cas de fraude ou de négligence grave de l'utilisateur, c'est à dire du client.

 

2 - En pratique

 A la suite d’un phishing, la banque malheureusement refuse bien souvent d’indemniser la victime en invoquant sa négligence grave au visa de  l’article L133-16 du Code Financier et Monétaire

 

- L'aide précieuse de l’Avocat

La Banque doit rapporter la preuve que le client, lors de l'opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations.

La jurisprudence est constante à ce propos depuis un arrêt de la chambre commerciale de la Cour de Cassation du 18 janvier 2017 n°15-18.102.  Et "cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés".

La Banque doit ainsi prouver que son client, en recevant le sms litigieux, avait conscience de son caractère frauduleux et qu'en communiquant son nom, son numéro de carte et la date d'expiration, elle avait  commis un manquement à ses obligations. (Cour de Cassation 25 octobre 2017 pourvoi 16-11.644)

Tout dépend évidemment du cas d’espèce, selon le type de manœuvres frauduleuses utilisées, le profil de la victime (jeune, vulnérable, fragilisée par tel ou tel évènement, ..), d'où l'importance de l'Avocat qui connait les arguments utiles pour la victime afin d'obtenir remboursement des sommes escroquées.

 

Le 28 mars 2023, la Cour d’Appel de Versailles a ainsi condamné la banque BNP Paribas à rembourser la somme de 54 000 euros à un client victime de virement frauduleux par la méthode du spoofing.

   Dans cette affaire, les escrocs se faisant passer pour la conseillère habituelle de la banque BNP Paribas du client, ont utilisé un numéro d’appel identique à cette dernière afin d’échanger avec le client. Les SMS d’authentification des opérations bancaires apparaissaient sur le même fil de conversation que celui utilisé par le client avec sa banque..

  La Cour d’Appel a rejeté la présomption de culpabilité que la loi n’a jamais instituée.

 Les juges ont estimé que la méthode de spoofing utilisée avait placé le client en confiance en diminuant sa vigilance et que ce  dernier n’avait pas commis de négligences graves

 

L’idée selon laquelle les systèmes de sécurité des banques seraient infaillibles a donc été contestée et la bonne foi du client confirmée.

 

Le Cabinet d'Avocat CAZOTTES-DAUTREVAUX  a obtenu  pour des clients le remboursement de l’intégralité des sommes détournées, et ce dès le stade amiable qu'il convient de privilégier :

1- Intervention directe auprès de la banque, en démontrant :

       -  l’absence de négligences graves du client au regard de la nature des manœuvres frauduleuses employées

       - le défaut de sécurité du système bancaire, notamment lors de la première étape de l’escroquerie consistant pour l’escroc à obtenir les informations bancaires du client

2- Saisine du Médiateur de l’établissement bancaire concernée

3- Le dernier recours, reste toujours la saisine du Tribunal compétent

 

Nous vous conseillons, assistons et accompagnons dans vos litiges de fraude au virement bancaire, à la carte bleue et au faux-conseiller bancaire, dès la prise de connaissance de l’escroquerie.