Récemment, une nouvelle escroquerie fait son apparition : le « spoofing ». Qu’est-ce que le spoofing et quelles sont les solutions juridiques en cas de vol de données bancaires ?
En quoi consiste le spoofing et que dit la loi ?
Cette escroquerie consiste à voler l'identité d'une source fiable, telle qu'une banque ou toute autre société en laquelle les clients ont confiance. L'usurpation d'identité peut être déguisée en un e-mail ou un numéro de téléphone que les escrocs piratent afin de contacter leurs victimes et de leur extorquer leurs données bancaires.
Lors du spoofing, le client reçoit un appel téléphonique de sa banque présumée. L'escroc se présente comme conseiller et signale une activité suspecte sur le compte. Pour le vérifier, il demande les données personnelles du client (nom d'utilisateur et mot de passe). Pensant qu’il s’agit réellement de la banque, le client lui fournit les informations. L’escroc peut alors accéder au compte bancaire et transférer de l'argent vers un autre RIB.
En France, l’article 226-4-1 du Code pénal dispose que « le fait d'usurper l'identité d'un tiers en vue de porter atteinte à son honneur est puni d'un an d'emprisonnement et de 15.000 euros d'amende ».
Par ailleurs, la collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite décrite est encadrée par l’article 226-18 prévoyant qu’une telle pratique constitue un délit passible d’une peine d’emprisonnement de cinq ans et de 300.000 euros d’amende.
Enfin, au sens de l’article 313-1 : « l’escroquerie est le fait, soit par l’usage d’un faux nom ou d’une fausse qualité, soit par l’abus d’une qualité vraie, soit par l’emploi de manœuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d’un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge. » Ce délit est passible d’une peine d’emprisonnement de cinq ans et de 375.000 euros d’amende.
Comment obtenir le remboursement ?
Les démarches à entreprendre
L’utilisateur de services de paiement qui n’a pas autorisé une opération de paiement peut être indemnisé par le prestataire de services de paiement à condition de déclarer la fraude à la banque dans un délai de 13 mois (article L.133-24 du Code monétaire et financier). Toutefois, selon l'article L. 133-1-1, ce délai est porté à 70 jours si le bénéficiaire du versement est établi hors de l'Union européenne ou de l'Espace économique européen.
Conformément à l'article L. 133-18 du même code, la banque doit immédiatement établir le remboursement du montant débité et l'escompte éventuel. Il est à noter ici qu'aucune assurance spécifique n'est requise pour bénéficier de cette disposition légale. Néanmoins, dans certaines hypothèses posées par l’article L. 133-19 du CMF, la banque peut refuser de rembourser l'intégralité de la somme et de laisser le client prendre en charge une partie des pertes, à hauteur de 50 € maximum.
LIRE AUSSI >> Les cryptomonnaies sont-elles l'avenir de la finance ?
Une obligation de déposer plainte ?
Les banques conditionnent généralement les remboursements au dépôt d'une réclamation préalable. Cependant, la police est submergée par ces plaintes et refuse parfois de prendre en charge celles des victimes de fraude bancaire.
La loi ne prévoit pas de remboursement sur la base d'une plainte préalable, mais elle oblige les banques à rembourser leurs clients dès qu'elles ont connaissance d'une opération interdite.
Le droit au remboursement
Si en cas d’opération interdite, le principe est celui du droit au remboursement, des négligences graves commises par le client peuvent libérer l’établissement bancaire de son obligation de remboursement.
Il est donc fréquent qu'à la suite d'une pratique d'hameçonnage, les banques tentent de contourner cette obligation en alléguant une faute lourde du client au sens de l'article L. 133-16 du CMF - qui impose aux utilisateurs de services de paiement de prendre toutes les mesures raisonnables pour protéger leurs données de sécurité personnalisées.
Toutefois, il incombe aux établissements bancaires de prouver l'existence de ces irrégularités. Selon une jurisprudence constante en la matière (Cass. com. 18 janvier 2017, n° 15-18.102) et en application des articles L. 133-19-IV et L. 133-23 du CMF, la responsabilité du prestataire de paiement devrait être engagée à moins qu'il n'apporte la preuve que l'utilisateur qui n'a pas autorisé une opération de paiement a agi frauduleusement ou n'a pas satisfait volontairement ou par une négligence grave à ses obligations.
La preuve incombe donc à la banque de prouver que le client aurait dû reconnaître la tentative de fraude et qu’il a fait preuve d'une négligence grave en transmettant ses données.
L'état de la jurisprudence en matière de spoofing
En ce qui concerne l’hameçonnage, la jurisprudence a jugé que répondre à ce type de mail était une négligence grave de la part du client.
Dans son arrêt du 28 mars 2018 (Cass. com., n° 16-20.018), la chambre commerciale de la Cour de cassation a pris des mesures sévères à l'encontre de la victime de phishing, concluant qu'elle avait manqué par faute lourde à son obligation de prendre toutes les mesures raisonnables pour protéger la sécurité de ses dispositifs de sécurité personnalisés. En effet, l’utilisateur de services de paiement qui communique les données personnelles de ce dispositif en réponse à des e-mails contenant des indices permettant de suspecter leur origine, est conscient des risques de phishing.
Dans le même sens, la Cour de cassation a considéré par un arrêt du 1er juillet 2020 (Cass. com. 1er juillet 2020, n°18-21.487), que la banque n'était pas tenue de rembourser les sommes détournées du compte de son client par un tiers, dès lors que le client a lui-même commis une négligence grave en répondant à un courriel présentant de sérieuses anomalies, tenant tant à la forme qu'au contenu du message qu'il comportait.
Pour conclure à une faute lourde, le juge du fond vérifie ainsi au cas par cas si la victime de phishing ou de spoofing a connaissance du caractère frauduleux du courriel reçu l'invitant à transmettre ses données personnelles (fautes d'orthographes, différentes adresses électroniques…). Dans ce cas, la faute lourde peut être caractérisée et la banque n'aura pas à rembourser le paiement frauduleux.
LIRE AUSSI >> Quelles solutions juridiques lors d'une fraude bancaire ?
Le cabinet d'avocats Ziegler & Associés est spécialisé en Droit Bancaire, Droit de l'Informatique et du Numérique, notamment en cryptomonnaies et NFT.