La notion de « spoofing »
Le « spoofing », ou usurpation d’identité, est une technique frauduleuse où un escroc se fait passer pour une personne ou une entité de confiance afin de tromper sa victime. Dans le contexte bancaire, cela peut se manifester par un faux conseiller bancaire ou une personne d’un prétendu service anti-fraude d’une banque qui contacte la victime par téléphone.
Bien souvent, ce faux conseiller alerte le client sur une opération qui lui semble frauduleuse sur son compte. Il demande alors à la victime d’agir sur son téléphone ou de lui transmettre des informations confidentielles (par exemple un code de validation reçu par SMS).
Le piège se referme alors sur la victime, qui, en croyant échapper à une opération frauduleuse, effectue involontairement un paiement au profit de l’escroc ou lui transmet toutes les informations nécessaires pour que ce dernier puisse effectuer lui-même une transaction à son bénéfice.
Le dépôt d’une plainte.
Lorsqu’une personne réalise qu’elle a été victime d’une arnaque au faux conseiller, il est crucial de réagir rapidement, notamment en :
- Faisant sans délai opposition de la carte bancaire utilisée ;
- Alertant la banque de l’ensemble des paiements et/ou virements frauduleux dans les conditions ci-après décrites ;
- Conservant les preuves (numéros de téléphone, messages ou mails reçus, ordres de virement, relevés de paiements, etc.).
Il appartiendra ensuite à la victime de déposer une plainte auprès des autorités compétentes.
Parmi les différentes infractions du Code pénal, le spoofing relève de l’escroquerie.
Rappelons qu’aux termes de l’article 313-1 du Code pénal, « l’escroquerie est le fait, soit par l’usage d’un faux nom ou d’une fausse qualité, soit par l’abus d’une qualité vraie, soit par l’emploi de manœuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d’un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge ».
Ce délit est puni de cinq ans d’emprisonnement et de 375 000 € d’amende.
Bien souvent, l’escroc agit depuis l’étranger, limitant malheureusement les succès d’une telle plainte, néanmoins nécessaire.
Le recours contre la banque.
En parallèle de la plainte pénale, le client victime pourra se retourner contre sa banque.
Ainsi, il devra signaler, sans tarder, à sa banque, l’opération de paiement non autorisée, au plus tard dans les treize mois suivants la date de débit sous peine de forclusion [1].
Dans ce cadre, la banque devra rembourser au client le montant de l’opération non autorisée [2].
Une limite existe néanmoins en la matière.
En effet, la banque ne sera pas tenue de rembourser le client si les pertes occasionnées par des opérations de paiement non autorisées résultent d’un « agissement frauduleux de sa part » ou s’il s’est rendu coupable d’une « négligence grave » dans son obligation de préserver la sécurité de ses données personnalisées ou de l’informer sans tarder de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données [3].
La notion de « négligence grave » est centrale dans le spoofing, où la victime valide une opération au bénéfice de l’escroc, voire en lui remettant des données personnelles d’identification. La caractérisation d’une telle négligence dépendra des circonstances de fait qu’il appartiendra aux tribunaux de caractériser.
Des affaires récentes permettent d’esquisser les premiers critères retenus par les juges pour les cas particuliers de l’arnaque au faux conseiller bancaire.
Dans un jugement du 31 janvier 2024 [4], le Tribunal judiciaire de Paris retient pour écarter toute négligence grave que le numéro d’appel s’affichait comme étant celui de la banque et que les victimes pouvaient ainsi légitimement croire qu’elles étaient en communication avec un vrai conseiller. En outre, le Tribunal précise que le faux conseiller qui connaissait déjà « tout de leur situation bancaire s’est présenté comme voulant les protéger contre les opérations litigieuses en cours ».
En revanche, dans un arrêt du 23 avril 2024 [5], la Cour d’appel de Versailles retient pour caractériser la négligence grave du client que celui-ci n’allègue ni ne justifie que l’escroc aurait utilisé le numéro de téléphone de la banque ni qu’il se serait présenté comme son interlocuteur habituel ou son représentant. La victime ne démontre pas davantage que cette personne connaissait des informations personnelles, empêchant ainsi tout remboursement de la part de la banque.
Pour se faire rembourser par sa banque, la victime devra donc démontrer qu’elle n’a pas commis une négligence grave, notamment si l’escroc a utilisé un numéro pouvant être rattaché à sa banque ou si le degré d’information dont il dispose pouvait la mettre en confiance.
