FICHE PRATIQUE
Qu’est ce que le spoofing et la fraude aux faux conseillers ?
Le spoofing téléphonique, escroquerie de plus en plus fréquente, visant à détourner les nouveaux dispositifs de sécurité des paiements et en particulier l’authentification forte mise en place par les banques . L’escroc se fait passer pour un conseiller bancaire et pour tromper la vigilance de ses futures victimes leur fait croire qu’elles sont réellement en contact avec leur banque en leur demandant de confirmer des informations personnelles (nom, adresse) ou bancaires (numéros de compte ou de carte bancaire, identifiant, mot de passe, etc.) – qu’ils ont collectées sur internet ou achetées sur le « Darkweb ». Mise en confiance et manipulée par un discours qui se veut rassurant mais qui incite à réagir rapidement, la victime pense déjouer une fraude à la carte bancaire ou au virement. Elle communique alors un identifiant personnel et le code confidentiel reçu par SMS ou recourt au dispositif sécurisé de son application bancaire pour valider, en réalité, une véritable opération de paiement initiée par l’escroc.
En pratique cette arnaque peut se manifester soit par le biais d’un appel téléphonique, soit suite à la réception d’un SMS.
1. Que dit la loi en matière de fraude bancaire?
L’article L.133-18 du code monétaire et financier énonce le principe du remboursement du titulaire de la carte bancaire.
L’article L.133-19 II du code monétaire et financier précise encore que : « La responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées ». Autrement dit, si les opérations frauduleuses sont la conséquence d’une négligence grave du client, votre banque refusera de vous rembourser l’arnaque.
Au regard des ces dispositions, une banque peut elle considérer que vous avez été négligeant si vous avez communiqué le code à un faux conseiller ? De même, la banque peut elle estimée que vous avez été négligeant après avoir validé une opération via l’application suite à un échange téléphonique avec un faux conseiller ?
2. La banque doit-elle vous rembourser en cas de fraude aux faux conseillers bancaires, de spoofing ou d'opérations frauduleuses ?
En pratique, les décisions sont disparates. C’est ainsi que des juges ont pu retenir l’existence d’une négligence du client lorsque ce dernier communique son dispositif de sécurité en réponse à un courriel qui contient « des indices permettant à un utilisateur normalement attentif de douter de sa provenance ».
Cependant depuis l’année 2023, une tendance émerge en faveur des clients. Plus précisément, deux décisions ont été rendues en faveur des clients dans le cadre de spoofing :
Dans un arrêt en date du 28 mars 2023, la Cour d’appel de Versailles a estimé que « le mode opératoire, par l’utilisation du spoofing, soit littéralement une usurpation d’identité, a mis M. [U] en confiance et a diminué sa vigilance, étant observé que face à un appel téléphonique évoquant de surcroît un piratage, la vigilance de la personne qui reçoit cet appel est moindre que celle d’une personne qui réceptionne un mail, laquelle dispose de davantage de temps pour en prendre connaissance et s’apercevoir d’éventuelles anomalies révélatrices de son origine frauduleuse. Dans ces circonstances, quand bien même M. [U] a fait usage de son code confidentiel, étant observé qu’il n’est pas démontré qu’il l’a communiqué par téléphone, email, chat ou sur les réseaux sociaux comme le mettait en garde la BNP Paribas mais qu’il a indiqué l’avoir saisi sur son application, il n’est pas caractérisé à son égard une négligence grave».
Dans un jugement du 31 janvier 2024, le Tribunal judiciaire de Paris retient pour écarter toute négligence grave que le numéro d’appel s’affichait comme étant celui de la banque et que les victimes pouvaient ainsi légitimement croire qu’elles étaient en communication avec un vrai conseiller. En outre, le Tribunal précise que le faux conseiller qui connaissait déjà « tout de leur situation bancaire s’est présenté comme voulant les protéger contre les opérations litigieuses en cours ».
Dans un arrêt en date du 7 février 2024 la Cour d’appel de Paris a estimé que « La circonstance que l’escroc ait pu usurper un numéro de téléphone de la société BNP Paribas, et qu’il annonçât le code qui s’affichait à l’écran de [R] [Y], était de nature à persuader celle-ci qu’elle était en relation avec un technicien de la banque. Il en est de même de la connaissance par son interlocuteur tant des opérations réalisées peu auparavant, ce qui n’est réputé connu que de [R] [Y], de la banque et des bénéficiaires, que de leur disparition, ces faits ne pouvant que la conforter dans la croyance qu’un incident informatique était survenu. Compte tenu de ces éléments, il n’est pas démontré par la banque que la société [H] Transports ait commis une négligence grave exonérant la société BNP Paribas de son obligation de remboursement. En conséquence, il y a lieu de condamner l’intimée à rembourser à la société [H] Transports la somme de 98 000 euros avec intérêts au taux légal à compter du 8 janvier 2020, date de réception de la mise en demeure ».
3. Comment réagir en cas d'opérations frauduleuses sur son compte bancaire ?
En cas de réalisation d’opérations frauduleuse, le client doit :
- Informer sa banque dans les plus brefs délais, de l’utilisation non autorisée de sa CB ou d’opérations frauduleuses (art. 133-17 du Code monétaire et financier) ; le client d’une banque dispose d’un délai de 13 mois pour signaler la fraude à sa banque (art. L. 133-24 du Code monétaire et financier).
- Faire opposition à la carte bancaire
- Demander un remboursement auprès de la banque.
- Déposer plainte pour escroquerie