La fraude au conseiller bancaire et au Phishing

La fraude au faux conseiller bancaire appelée encore « vishing » qui résulte de la contraction de « voice » et « phishing », est signifie en français hameçonnage par la voix.

Ce type d’arnaque consiste à inciter les utilisateurs à partager des informations personnelles ou bancaires, par le biais d’appels téléphoniques ou de messages vocaux en se faisant passer pour son conseiller bancaire.

Il est de plus en plus fréquent que des escrocs se fassent passer pour des conseillers de banque et contactent les clients pour signaler des mouvements frauduleux sur leur compte bancaire. Ils demandent alors au client de procéder à une validation de paiement, souvent via un code reçu par SMS ou un lien envoyé par la banque, en prétendant que cela permettra d’empêcher les opérations frauduleuses en cours sur son compte. Malheureusement, il s’agit d’une tromperie, et les victimes se retrouvent involontairement à effectuer des paiements atteignant souvent plusieurs milliers d’euros, vers des sites marchands ou vers un compte à l’étranger.

Les escrocs sont de plus en plus habiles, disposant de nombreuses informations sur leurs cibles. Ils récupèrent les données personnelles des personnes qu’ils ciblent sur les réseaux sociaux et sur le darknet, l’Internet clandestin. Ils peuvent également usurper les informations des banques, y compris le nom de l’agence, du conseiller et même le numéro de téléphone, qu’ils parviennent à afficher comme étant celui de l’établissement bancaire en utilisant des centres d’appels étrangers.

La victime pense qu’il s’agit de son conseiller bancaire qui l’informe d’une tentative de fraude sur son compte alors qu’il s’agit d’obtenir des confirmations de paiement. Cette escroquerie est en recrudescence depuis l’été dernier et rapporte beaucoup aux escrocs. Les victimes sont souvent trompées par des arguments fallacieux et font confiance à ces faux conseillers, qui semblent tout savoir d’elles. Les consommateurs doivent donc rester vigilants et ne jamais divulguer leurs informations personnelles ou bancaires à des personnes inconnues.

Reste à savoir qu’elle est la législation applicable en matière d’opérations de paiement non autorisées.

1°) Rappel du droit applicable aux opérations de paiement non autorisées

Le Code monétaire et financier dispose selon l’article L. 133-24 du Code monétaire et financier que l’utilisateur de services de paiement qui constate l’existence, notamment par la consultation d’un relevé de compte, d’une opération de paiement non autorisée doit en signaler l’existence à son prestataire de services de paiement (PSP). Ce signalement doit être fait « sans tarder », et, au plus tard, dans les 13 mois suivant la date de débit sous peine de forclusion. Ce long délai sera, d’ailleurs, plus facilement admis en matière de paiement en ligne opéré indûment par un tiers.

Lorsque ce signalement est réalisé, l’article L. 133-18 du même code prévoit que la banque doit vous rembourser le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant. La banque est ainsi tenue de rétablir le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu.

Cependant cette règle connaît plusieurs limites. En effet, selon l’article L. 133-19 du Code monétaire et financier : « le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent des agissements frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 », c’est-à-dire, respectivement, au fait de devoir prendre toutes les mesures raisonnables permettant de préserver la sécurité des dispositifs de sécurité personnalisés de l’instrument de paiement utilisé, et au fait d’être suffisamment diligent pour informer le prestataire de services de paiement de la perte, du vol ou du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées. Le payeur lourdement fautif devra donc supporter les pertes résultant de la fraude.

Il en résulte que selon l’article L. 133-23 du Code monétaire et financier, c’est à votre banque, qu’il revient de démontrer l’existence de cette faute lourde. L’alinéa 2 de l’article précise d’ailleurs sur ce point que : « L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. » En d’autres termes, la seule preuve de l’utilisation des identifiants du client ne saurait suffire pour que le professionnel soit déchargé de toute responsabilité et cela à toute son importance.

De plus, l’alinéa 1er de l’article L. 133-23 impose également à la banque de démontrer, pour échapper à l’engagement de sa responsabilité, que l’opération en question a été « authentifiée, dûment enregistrée et comptabilisée, et qu’elle n’a pas été affectée d’une déficience technique ou autre ».

Ainsi la banque doit prouver que l’opération a été normalement passée et qu’ainsi on peut penser que l’ordre émane bien du payeur ou de l’utilisateur. Cette règle a déjà donné lieu à une jurisprudence remarquée. Celle-ci est cependant restée sans réelle incidence, la majorité des décisions n’y faisant plus référence aujourd’hui. Ainsi en général l’opération de virement au débit du compte a été authentifiée par la Banque grâce aux identifiants et code secret du titulaire du compte ainsi qu’au code à usage unique envoyé par SMS, et qu’elle a été dûment enregistrée et comptabilisée par la banque, et n’a pas été affectée par une déficience technique ou autre.

Bien souvent, les banques se retrouvent dans une situation difficile pour parvenir à échapper à l’engagement de leur responsabilité en présence d’opérations contestées par le payeur, hormis aveux de celui-ci notamment lors de son dépôt de plainte qui peut être très mal rédigé et se retourner contre lui.

Les tribunaux parviennent dans certains à caractériser une négligence grave de la part du payeur lorsque l’intéressé vient à transmettre des données confidentielles après avoir été trompé par un mail, c’est-à-dire en cas de phishing. L’attitude du titulaire du compte est donc examinée en détail par les Juges au moment des faits.

2°) Sur la recherche d’une négligence grave commise par le payeur

La seule question qui se pose dans chaque litige : est-ce que le titulaire du compte à commis une négligence grave ? On rappelle que selon l’article L. 133-16 du Code monétaire et financier que dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement doit prendre toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées. Il est dans l’obligation d’utiliser l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées.

Or, pour le Tribunal, manque à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l’utilisateur d’un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel « qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu’il soit, ou non, avisé des risques d’hameçonnage ».

On sait que les juges ont tendance, aujourd’hui, à retenir la négligence grave du client qui répond à un mail constituant en réalité un acte de phishing. Pour mémoire, ce dernier, dit aussi « hameçonnage », consiste à se faire remettre par les victimes contactées par des courriels non sollicités leurs données bancaires personnelles afin de les exploiter frauduleusement. Le message du délinquant prendra souvent l’habillage, plus ou moins bien réalisé, d’une page internet d’un établissement de crédit. Il sera en général demandé au destinataire, sous couvert d’un problème technique ou d’une rénovation totale du site, de mettre à jour ses identifiants, mots de passe, numéro de compte, etc. Une fois que la victime trompée aura révélé ses identifiants personnels, le fraudeur pourra accéder à son compte bancaire et en détourner les fonds par l’intermédiaire de faux ordres de virement.

Dès lors, pour pouvoir prononcer l’absence de négligence, les juges du fond doivent constater, en fonction du contexte, que la victime du phishing ne pouvait pas avoir conscience du caractère frauduleux du message reçu.

La victime devra prouver que le courriel pouvait laisser penser qu’il provenait de l’expéditeur annoncé (banque, opérateur téléphonique, etc.). Or, cette preuve sera impossible à rapporter en cas « d’anomalie apparente » entourant le message reçu.

Quelles sont ces anomalies apparentes :

– caractère invraisemblable du contenu,

– présentation grossière,

– adresse internet étrangère de l’expéditeur,

– pas le nom exact de la banque

– adresse email inhabituelle et suspecte de la banque,

–  fautes d’orthographe,

Dans ces cas, la victime ne parviendra logiquement pas à prouver la légitimité de son erreur ; sa négligence grave sera alors certainement retenue par les juges.

En recevant un courriel étrange émanant d’un expéditeur suspect, le titulaire du compte aurait du, pour les juges, se méfier et ne pas donner suite à l’invitation à valider son numéro de mobile, et au besoin contacter personnellement sa banque. En conséquence, la réponse à un mail suspect constitue une première négligence grave au sens de l’article L. 313-19, IV, du Code monétaire et financier.

Ensuite vous ne devez jamais communiquer vos identifiants et code secret permettant l’accès au compte bancaire sur internet et aux opérations sur celui-ci en utilisant des codes à usage unique pour valider des opérations que vous n’avez-vous-même jamais initiées.

Ces circonstances ressortent en général de la lecture de la plainte pénale déposée concomitamment au signalement fait à sa banque. C’est pourquoi, il faut toujours contester avoir autorisé les opérations de paiement litigieuses ou communiqué à un tiers quelques données personnelles que ce soient dans la plainte sinon la banque l’utilisera contre vous.

La banque est alors fondée à se prévaloir de l’article L. 133-19, IV, du Code monétaire et financier. La victime n’ayant pas satisfait par négligence grave aux obligations mentionnées à l’article L. 133-16 du Code monétaire et financier.

3°) La banque doit prouver la négligence grave de son client

Fort heureusement, la jurisprudence de la Cour de cassation retient que la preuve que l’utilisateur a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations ne peut se déduire du seul fait que l’instrument de paiement et les données personnelles qui lui sont liées ont effectivement été utilisées.

De nombreuses jurisprudences retiennent que l’existence d’une négligence doit être prouvée concrètement, et ne peut dès lors être déduite de considérations générales abstraites sur la sécurité d’un outil de paiement.

Ces décisions illustrent par ailleurs la résistance abusive de la banque qui refuse d’assurer le remboursement des opérations non autorisées par ses clients alors même qu’elle ne dispose d’aucun élément de preuve lui permettant de se dédouaner de cette obligation.

Il est ainsi nécessaire de demander à la banque de communiquer les adresses IP de connexion à son serveur pour établir que la victime est totalement étrangère aux opérations litigieuses puisqu’elle ne s’est pas connectée sur le site internet de sa banque à la même heure.

Plus encore, le seul fait que la victime ait reçu un appel téléphonique malveillant juste avant que son compte ne soit débité ne peut suffire à en déduire que ce dernier a transmis ses données de sécurité à l’auteur de la fraude au cours de cet appel, ce qu’au demeurant il conteste.

La banque doit être en mesure de produire au débat un élément objectif démontrant de façon certaine que la victime est à l’origine de la fuite de ses données de sécurité personnalisées. A défaut elle sera considérée comme défaillante dans la démonstration de la négligence grave qu’il allègue à l’égard son client.

4°) La restitution des fonds est possible même en cas de communication des codes au faux conseiller bancaire compte tenu de la manœuvre frauduleuse employée

Au surplus, même dans l’hypothèse non démontrée que le titulaire du compte a bien communiqué au fraudeur les codes reçus par SMS, le Tribunal peut considérer que le partage de ceux-ci ne saurait être qualifiée de négligence grave au sens de l’article L.133-23 du code monétaire et financier.

En effet, en étant appelé par une personne qui, connait votre nom, votre numéro de téléphone, votre banque et votre conseillère, use d’une fausse qualité, et vous alerte soudainement d’une tentative de fraude bancaire dont vous êtes actuellement victime, vous rassure et tromper votre vigilance en employant des manœuvres frauduleuses.

En outre, le SMS reçu, contenant le code à saisir pour la modification du plafond de votre carte bancaire, n’indique pas le montant du plafond qui aurait été appliqué après saisie de ce code, de sorte qu’en venant d’apprendre que votre plafond allait être baissé par sécurité, vous pouviez légitimement croire à la véracité des déclarations téléphoniques du fraudeur.

Dès lors, dans ce cas, la victime n’a pas conscience qu’elle communique ses codes au fraudeur, et non à un préposé de sa banque comme cela le lui a été indiqué, et ce quand bien même elle a été alertée précédemment d’une tentative de fraude, étant rappelé que ces faits se déroulent en général dans un court laps de temps, ce qui est propice à la manipulation en raison de l’état de panique de la victime, sur lequel compte le fraudeur pour parvenir à ses fins.

En conséquence, je ne peux que vous conseiller de faire appel à un avocat en droit bancaire si vous êtes victimes d’une fraude au conseiller bancaire afin d’obtenir de votre banque la restitution des sommes prélevées frauduleusement sur votre compte.