Depuis quelques temps, les banques utilisent un système de double authentification pour valider les opérations de paiement. Si ce nouveau mécanisme se veut plus sécurisant pour les clients, c’est sans compter sur l’ingéniosité des escrocs, qui mettent en place des arnaques bancaires de plus en plus poussées.
Cette pratique, nommée « spoofing », consiste à usurper l’identité d’un tiers de confiance (tel qu’une banque ou une société fiable) pour contacter les victimes et leur faire valider des opérations frauduleuses. C’est de cette arnaque qu’a été victime Madame H, et plusieurs milliers d’autres consommateurs.
Un matin, Madame H reçoit un SMS réclamant le paiement de frais de douanes d’un colis. Attendant une livraison ce jour-là, elle ne se méfie pas et entre ses coordonnées bancaires pour payer en ligne. Quelques heures plus tard, un conseiller de sa banque l’appelle et lui demande si elle est à l’origine d’un virement de 2 400 euros pour FedEx. Il lui explique qu’il s’agit d’une arnaque et qu’il va l’aider à faire opposition. Il prétend être le remplaçant de la conseillère bancaire de Madame H, dont il connaît le nom. Il dispose également de son identité, son adresse et son lieu de naissance. Dans ce climat de confiance, Madame H. ne se méfie pas. Malheureusement, elle apprendra par la suite qu’il s’agissait en réalité d’un faux conseiller.
L’arnaqueur demande à Madame H son identifiant bancaire, lui explique qu’il faut changer de mot de passe pour plus de sécurité et lui en donne un nouveau. L’escroc dispose à présent de l’identifiant et du mot de passe de Madame H, ce qui lui permet de se connecter à son compte. Il lui demande ensuite de lui donner sa carte clé personnelle. Il s’agit d’un code unique pour protéger les opérations importantes. Il arrive par cela à s’inscrire en bénéficiaire, afin de se transférer de l’argent.
Le conseiller effectue plusieurs opérations qu’il libelle du nom d’« assurance », et demande à Madame H de les confirmer. Une fois ces manipulations effectuées, il explique qu’il ne faut pas retourner sur l’application dans les 48 prochaines heures, afin de finaliser l’opposition.
Après cet appel, Madame H est prise d’un doute et contacte sa banque. Elle se rends compte de la fraude et fait véritablement opposition. La majorité des virements sont interceptés, sauf un virement instantané de 850 euros. Le service fraude de sa banque refuse de la rembourser.
La loi se montre très protectrice des victimes dans ces situations. Les banques sont tenues d’une obligation de remboursement en cas de fraude avérée, aux termes de l’article L.133-18 du code monétaire et financier. Pour s’exonérer de responsabilité, les banques tentent souvent de prouver que l’utilisateur a été négligent ou a commis une faute grave (article L.133-23 du Code monétaire et financier). La preuve de cette négligence est souvent le point litigieux. Il faut démontrer que l’arnaque était si poussée qu’un consommateur standard ne l’aurait pas décelée. Récemment, une décision de la Cour d’appel de Versailles rendue le 28/03/2023, dans laquelle la victime de fraude était dans la même situation que Madame H, a établi qu’une victime de spoofing ayant validé des opérations sur une application bancaire sécurisée, n’était pas considérée comme négligente, car l’usurpation d’identité met le client en confiance et diminue sa vigilance.
Dans le cas de Madame H, la négligence grave ne peut donc pas être caractérisée, et elle est en droit de demander à sa banque de la rembourser du montant illégalement perçu par l’escroc.
En résumé, il est très important de rester méfiant pour éviter ces situations. Ne cliquez pas immédiatement sur les liens qui vous sont communiqués par message ou courriel, examinez leur source. Si vous avez un doute, vous pouvez appeler l’organisme concerné. Gardez à l’esprit que même dans le cas d’un appel, votre banque ne vous demandera jamais de communiquer votre mot de passe ou des codes reçus par SMS, et encore moins de valider des opérations à distance.