Le spoofing est l’acte d’indiquer sur l’afficheur du destinataire un numéro de téléphone qui n’est pas celui de l’appelant. Cette usurpation du numéro de téléphone est effectuée volontairement à des fins personnelles (canular) ou professionnels (téléprospection). Vous avez sûrement été victime d’une arnaque au faux conseiller bancaire, qui devient malheureusement une pratique de plus en plus répandue. Ils utilisent l’usurpation des numéros de téléphone pour arriver à tromper leurs interlocuteurs.
Cette pratique est illégale est la première personne qui en souffre est la victime à qui on utilise le numéro de téléphone pour pratiquer ces appels intempestifs.
Que faire si vous êtes victimes de spoofing ?
Contactez votre opérateur téléphonique, il lui sera possible d’agir selon les cas.
Si le problème persiste, il est conseillé de porter plainte pour usurpation d’identité.
Que dit la loi ?
La loi Naegelen vise à combattre les pratiques abusives du démarchage téléphonique. Plusieurs dispositifs sont mis en place dans cette loi, pour lutter contre les appels frauduleux, notamment grâce au mécanisme d’authentification du numéro (MAN). Il y a déjà des dispositifs de cette nouvelle loi qui sont mis en place par certains opérateurs comme la possibilité de bloquer des appels malveillants.
Néanmoins d’autres mesures ont mis plus de temps, notamment l’interruption d’un appel ou d’un message si le dispositif d’authentification en vigueur ne permet pas de confirmer l’authenticité de l’appel ou du message.
Cet encadrement devient nécessaire au regarde de la quantité de victimes régulièrement frappés par des démarches frauduleuses. Certaines victimes décrivent un sentiment de harcèlement.
Le cas du faux conseiller bancaire
Il faut rester vigilant car derrières ces démarchages peuvent aussi se cacher des escrocs. Depuis quelques années, des cas de spoofing téléphonique ont entraîné des conséquences désastreuses pour certains particuliers, dans des cas d’arnaques au faux banquier. A Toulouse, un sexagénaire a été dépouillé de 5 700 euros. Il pensait échanger avec sa banque dont le numéro avait été usurpé et suivant les indications du faux conseiller a divulgué ses données bancaires et a même confié sa carte bancaire.
Un autre cas à Bandol ou une femme a littéralement vidé ses comptes, pensant placer ses économies sur un compte sécurisé.
Les escrocs jouent sur la confiance : un numéro en 06 ou carrément enregistré dans votre répertoire… Difficile pour les usagers de percevoir l’arnaque qui s’annonce.
La question s’est posée de savoir si les personnes concernées ont commis une faute grave, une négligence grave qui lui serait reprochée si elle communique ses données ?
Dans un arrêt du 28 mars 2018, la Cour de cassation estime que la communication de données personnelles à la réception d’un courriel qui pouvait être jugé suspect par un utilisateur normal est constitutif d’une négligence grave. Il y a donc une appréciation in abstracto (on se réfère à l’utilisateur lambda et non pas in concreto c’est-à-dire pas au cas par cas).
Cependant la Cour de cassation ajoute une condition à la responsabilité du client dans son arrêt du 12 novembre 2020, en retenant qu’il faut non seulement prouver la négligence grave mais aussi prouver que l’opération n’a pas été affectée par une déficience technique. Dans l’arrêt précité, la Cour a estiméqu’il y avait une déficience technique dans le fait que le Code « 3d Secure » puisse être intercepté par un tiers.
La Cour apporte donc une double condition pour engager la responsabilité du client.
Comment savoir si j’ai commis une négligence grave ?
Un utilisateur normal a le devoir de prendre toutes les mesures raisonnables permettant de préserver la sécurité des dispositifs de sécurité personnalisés de l’instrument de paiement utilisé et doit également veiller au fait d’être suffisamment diligent pour informer le prestataire de services de paiement de la perte, du vol ou du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées.
Le Tribunal judiciaire d’Anvers, le 29 juin 2022, considère que le client qui a donné ses codes secrets au fraudeur a donné son accord pour les transactions. Ce qui a pour conséquence de faire de ces transactions des opérations de paiement autorisées.
L’article L. 133-23 du Code Monétaire et Financier : c’est sur le prestataire de services de paiement (PSP) du payeur, généralement son banquier, qu’il revient de démontrer l’existence de d’une faute lourde.
L’alinéa 2 de l’article précise que : « L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. »
Autrement dit, la seule preuve de l’utilisation des identifiants du client ne saurait suffire pour que le professionnel soit déchargé de toute responsabilité.
Est-ce que la somme peut m’être remboursée ?
La Cour de cassation affirme dans son arrêt du 30 août 2023, n° 22-11.707, pour la première fois que l’absence de preuve de l’authentification forte mise en oeuvre par le banquier oblige ce dernier à rembourser le client victime d’une fraude bancaire.
En l’espèce, un homme avait communiqué à un tiers, qu’il pensait être un employé de la société Caisse régionale de crédit agricole mutuel Centre France, auprès de laquelle il avait ouvert un compte, le code à six chiffres, dénommé « 3D Secure », par la suite un virement, non réalisé par lui, avait été effectué. Le client a demandé à la banque de lui rembourser la somme qui avait été prélevée à ce titre et de réparer son préjudice.
La banque qui refuse de rembourser son client victime de fraude bancaire doit avant toute chose prouver que l’opération en cause était exempte de défaillance technique.
La banque doit prouver avoir eu recours au système d’authentification forte.
Le dispositif d’authentification repose sur un double contrôle : qui combine plusieurs techniques de contrôle. Il y a 3 types de techniques et deux doivent être combinées :
- 1ère méthode : un élément que seul le client connaît
- Mot de passe, code, question personnelle
- 2ème méthode : un élément que seul le client possède
- Téléphone, CB
- 3ème méthode : une caractéristique du client
- Recours aux données biométriques ; vocale, faciale…
Le montant et les modalités du remboursement varient en fonction de la situation. Cependant notons que le remboursement est automatique et incontestable du client de la Banque, lorsqu’aucune authentification forte n’avait été mise en place.
Restez vigilants, n’échangez qu’avec votre conseiller habituel et personne d’autre même si le numéro vous est familier.