1,3 million, c’est le nombre de ménages métropolitains ayant déclaré avoir été victimes d’une escroquerie bancaire au cours de l’année 2020.
Depuis un certain nombre d’années, les arnaques et fraudes en tous genres à la carte bleu et aux comptes bancaires ne cessent de progresser, tant par la quantité que par la qualité des manœuvres mises en place par les cybercriminels pour y parvenir.
Le but est simple pour ces malfrats, parvenir, par tous moyens, à se faire communiquer volontairement par les victimes des codes secrets et autres informations confidentielles leur permettant ainsi de subtiliser des fonds, parfois sous les yeux des victimes qui ne s’apercevront que plus tardivement de la supercherie.
Pour obtenir ces précieuses informations confidentielles, tous les moyens sont bons et l’on se trouve aujourd’hui face à de véritables processus d’escroquerie, s’apparentant à des recettes de cuisines suivies minutieusement par les auteurs.
L’une des méthodes les plus récentes et qui fait des ravages ces temps-ci, la méthode dite du « spoofing ». Tirée du verbe « To spoof » qui signifie « parodier quelqu’un », elle vise pour les cybercriminels à usurper l’identité des établissements bancaires en vue de subtiliser les données bancaires des clients.
Au fil des affaires et des plaintes, un schéma limpide apparait. Du début à la fin de l’opération, il s’agit d’un jeu de rôle dans lequel le cybercriminel endosse la casquette du conseiller bancaire bienveillant et à l’écoute de son client victime de fraude.
1) La victime reçoit un appel du service fraude ou de son conseiller bancaire, en tous cas en apparence étant donné que le numéro qui s’affiche est le numéro habituel et connu de la banque.
2) Le « faux conseiller » commence par instaurer un sentiment de grand stress chez la victime, en lui annonçant qu’une fraude a été réalisée ou est en cours de réalisation sur son compte bancaire. De cette manière, la victime perd ses moyens et bien trop souvent ses réflexes de sécurité.
3) Une fois l’anxiété installée chez le client, le cybercriminel communique un certain nombre d’informations personnelles à celui-ci afin qu’il ait l’impression qu’il s’agit bien d’un employé de la banque qui lui parle (identifiant, numéro de téléphone, derniers numéros de carte bleu ou encore date de naissance et adresse postale) et qu’il se sente ainsi en confiance, accompagné et rassuré.
4) L’étape qui suit consiste à rassurer le client en lui proposant des solutions immédiates (blocage de virements frauduleux, opposition de la carte bancaire, sécurisation du compte), qui nécessitent des validations de la part des victimes.
5) Pour ce faire, des SMS et parfois des notifications sécurisées sont envoyées simultanément à la victime, une nouvelle fois en provenance apparente de l’établissement bancaire dont l’identité est usurpée. En validant les opérations de « sécurisation » annoncées à la demande de l’interlocuteur ou en lui communiquant des codes instantanés, la victime permet en réalité au cybercriminel de subtiliser les fonds en toute légalité apparente.
Car oui, le problème est bien là pour les victimes. Le fait de communiquer ces codes de validation les empêchera très souvent, trop souvent, d’être remboursé à la suite de la fraude.
L'article 1937 du Code civil prévoit que « Le dépositaire ne doit restituer la chose déposée qu'à celui qui la lui a confiée, ou à celui au nom duquel le dépôt a été fait, ou à celui qui a été indiqué pour le recevoir ».
Le Code monétaire et financier, notamment dans ses articles L. 133-17 à L.133-18, L133-19, L.133-23 et L.133-24, dans leur rédaction résultant de la transposition par l'ordonnance 2017-1252 du 9 août 2017 de la directive UE 2015/2366 du 25 novembre 2015 relative aux services de paiement, prévoit les règles applicables en matière d’utilisation -frauduleuse- des moyens de paiement.
Il ressort notamment de ces dispositions légales que, par principe, seules les opérations frauduleuses réalisées sur le compte d’un client n’ayant pas été autorisées par ce dernier et n’ayant pas été la conséquence d’une négligence grave de sa part peuvent faire l’objet d’un remboursement par l’établissement bancaire dépositaire du compte bancaire.
La charge de la preuve de la régularité de l’autorisation de l’opération pèse sur l’établissement bancaire.
Il est malheureusement d’usage que les banques refusent le remboursement de sommes dérobées à leurs clients en leur reprochant, dans la majorité des cas, une négligence grave en ce qu’ils auraient communiqué volontairement leurs codes secrets ou autres identifiants.
Cette systématisation du refus de remboursement par les banques avait d’ailleurs fait l’objet d’une plainte déposée par l’UFC-Que Choisir à l’encontre de 12 banques, laquelle a donné lieu à la mise en place de nouvelles mesures dans la loi pour la protection du pouvoir d’achat du 16 aout 2022, avec notamment des pénalités appliquées en cas de remboursement tardif d’un consommateur victime d’une fraude.
Dans la lignée de cette victoire pour les consommateurs, la jurisprudence a elle aussi évolué.
Par un arrêt du 28 mars 2023, la Cour d’appel de Versailles infirmait la décision rendue par les juges du fond et faisait droit à la demande d’un particulier victime de fraude par technique de spoofing » et dont les comptes avaient été piratés à hauteur de la somme colossale de 54 500 euros. De façon non surprenante, l’établissement bancaire refusait de procéder au remboursement de la cliente, invoquant des imprudences et négligences graves de cette dernière qui avait procédé à la validation des opérations par authentification sécurisée dans son espace personnel.
Pour rejeter la négligence et imprudence grave du client, la Cour d’appel de Versailles a retenu ici que c’est la croyance légitime du client qui était celle de recevoir un appel de sa banque, corroboré par l’affichage du numéro de sa conseillère préalablement enregistré sur son téléphone et la mention du nom de celle-ci qui l’a conduit à être suffisamment en confiance pour valider les opérations litigieuses sur son application sécurisée.
Les juges semblent ici prendre en considération le caractère particulièrement abouti de la technique du spoofing, qui vient tout simplement paralyser la méfiance des clients qui ne sont finalement matériellement plus en mesure de distinguer le vrai du faux en pareille situation.
Il serait souhaitable que l’ensemble des juridictions s’ancrent dans cette volonté d’évolution de la justice en matière de fraude bancaire. En effet, face à des techniques toujours plus sophistiquées, les règles applicables et autres usages bancaires ne peuvent quant à eux rester figés dans le temps.
Il en va de la sécurité juridique qui doit être assurée aux justiciables.
Evidemment, la première chose à faire est d’être toujours plus prudent dans l’utilisation de ses moyens de paiement et face aux multiples tentatives quotidiennes d’hameçonnage.
Mais si toutefois vous vous trouviez dans une situation telle que votre compte en banque a fait l’objet d’une fraude et que la banque refusait de vous rembourser, n’hésitez pas à nous contacter.
Du fait de son expertise, le cabinet LEXSTONE AVOCATS situé à Puget-sur-Argens et à Rocbaron vous assistera tout au long de la procédure afin qu’elle soit la moins couteuse et la moins longue possible.
Si vous souhaitez étudier de près votre dossier et obtenir l'indemnisation de vos préjudices, faire appel à votre avocat reste la meilleure option.
Français