Cas pratique 4 – Spoofing
Problèmes de droit posés : ce contentieux nous amène à analyser trois points : le client peut-il demander le remboursement des débits relatifs aux virements non autorisés ? (I) La banque doit-elle lui verser des dommages-intérêts pour manquement à son obligation de vigilance ? (II) Quelles stratégies adopter en matière de fraudes ? (III)
- Le client peut-il demander le remboursement du montant pour les virements non autorisés ?
- Faits
Monsieur Dupont a subi une perte totale à hauteur de 7 500 euros pour les deux virements signalés comme non autorisés.
La chronologie des faits peut être ainsi reconstituée :
- Début septembre 2023 : réception par le client selon ses affirmations d’un courriel demandant le paiement d’une amende liée à une contravention.
- Lendemain : appel d’un faux conseiller clientèle du service fraude, selon les dires de Monsieur Dupont.
- 23 décembre 2023 : ajout d’un nouveau bénéficiaire en ligne, par authentification forte, prétendument pour régler l’amende.
- 24 décembre 2023 : 1er virement prétendument non autorisé, d’un montant de 4 500 euros, sans authentification forte.
- 30 décembre 2023 : 2e virement prétendument non autorisé, d’un montant de 3 000 euros, sans authentification forte.
- 2 janvier 2024 : le client contacte sa banque pour lui signaler que les virements n’étaient pas autorisés.
- 5 janvier 2024 : le client dépose une plainte auprès des services de police.
Nous n’avons pas d’éléments à propos du contenu de la plainte déposée. Généralement, en pratique, les banques demandent aux clients la communication du dépôt de plainte. Celle-ci offre un contenu assez crédible, dans la mesure où le client effectue des déclarations auprès d’un officier de police judiciaire.
L’ajout de l’IBAN sur la liste des bénéficiaires de confiance du client (dite aussi « liste blanche ») a été réalisé avec une authentification forte. Précisons que la liste de confiance est constituée par le client de la banque : avant tout premier virement au profit d’un bénéficiaire de confiance, le client doit demander l’enregistrement du compte du bénéficiaire dans cette liste et, afin de confirmer cette demande, la banque soumet la validation de l’ajout de ce nouveau compte bénéficiaire (IBAN) à une authentification forte.
L’authentification forte réalisée pour la validation de l’ajout d’IBAN s’appuie sur l’utilisation de deux éléments au moins appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît, exemple : un mot de passe), « possession » (quelque chose que seul l’utilisateur possède, exemple : son téléphone portable) et « inhérence » (quelque chose que l’utilisateur est, par exemple : caractéristiques biométriques).
En revanche, les deux virements litigieux ont été effectués après une simple connexion à son espace sécurisé de banque en ligne et usage de son identifiant personnel et mot de passe.
- Droit applicable
L’article L. 133-44 du Code monétaire et financier impose au prestataire de services de paiement de mettre en œuvre une authentification forte notamment pour les opérations de paiement électronique à distance exposées à des risques de fraude. Cette disposition a été adoptée conformément à la DSP 2[1].
Toutefois, la DSP 2 habilite la Commission à adopter des dérogations à l’obligation d’authentification forte par le biais de normes techniques de réglementation[2]. Ces dérogations sont souvent présentées comme des « exemptions ». Elles sont énoncées par le règlement délégué (UE) 2018/389 de la Commission du 27 novembre 2017[3]. Selon l’article 13 § 2 de ce texte, « les prestataires de services de paiement sont autorisés à ne pas appliquer l’authentification forte du client, sous réserve du respect des exigences générales en matière d’authentification, lorsque le payeur initie une opération de paiement et que le bénéficiaire figure dans une liste de bénéficiaires de confiance préalablement créée par le payeur ».
L’article L. 133-6 du Code monétaire et financier dispose qu’« une opération de paiement est autorisée si le payeur a donné son consentement à son exécution ».
L’article L. 133-18 du Code monétaire et financier pose le principe du remboursement par la banque des opérations de paiement non autorisées : « En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France.
Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu » (Quiquerez A., Droit bancaire, 3e éd., Gualino, coll. Mémentos, 2024, no 492).
Les dispositions de l’article L. 133-18 ne sont applicables qu’aux opérations non autorisées contestées, qu’il faut signaler « sans tarder (…) et au plus tard dans les treize mois suivant la date de débit ».
Dès lors, le PSP n’aura aucune obligation de remboursement à l’égard du payeur :
- s’il est capable de prouver que l’opération contestée était en réalité bien autorisée par ce dernier ;
- et/ou si le client a trop tardé à signaler l’opération contestée.
Si l’opération était bien non autorisée, par exception au principe de remboursement, l’article L. 133-19, IV, prévoit que « le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 ».
La négligence ou imprudence grave est un manquement à l’une des deux obligations légales suivantes :
- conserver les données à titre personnel et confidentiel (C. mon. fin., art. L. 133-16) ;
- signaler sans tarder à sa banque l’opération non autorisée (C. mon. fin., art. L. 133-17 : obligation d’informer le PSP « sans tarder » aux fins de bloquer l’instrument).
L’article L. 133-19, V, ajoute que « Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L. 133-44 ».
Les juges sont susceptibles de prendre en compte le contenu du procès-verbal de la plainte pénale, laquelle peut renfermer des aveux, ainsi que le refus du client de fournir une copie des courriels d’hameçonnage en dépit de la sommation de communication (CA Paris, 21 mars 2024, n° 22/13072).
Cette règle appelle les compléments suivants :
- dans un arrêt du 30 août 2023, la chambre commerciale a rendu une décision très favorable aux clients, même négligents, en cas de paiement à distance (Cass. com., 30 août 2023, n° 22-11707 : JCP E 2023, 1302, note Bonneau Th.) jugeant que « sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur ». En l’espèce, le titulaire avait, en réponse à un appel téléphonique et à un message, délibérément communiqué au fraudeur, qu’il pensait être un employé de sa banque, le code à six chiffres, dénommé « 3D Secure », destiné à valider les paiements par internet. Sollicitant le remboursement des sommes détournées par le tiers malhonnête, le client a vu sa demande rejetée, la banque estimant qu’en communiquant son code à une personne qu’il ne connaissait pas et qui « racontait une histoire peu crédible » il avait commis une négligence grave. Cette interprétation, qui avait été celle des juges du fond, est censurée par la Cour au motif que le juge aurait dû « rechercher, comme il lui incombait, si l’opération de paiement litigieuse avait été exécutée sans que la banque exige l’authentification forte du payeur ». Cette position s’appuie sur les termes de l’article L. 133-19, V du Code monétaire et financier. Comme l’écrit le Professeur Jean-François Riffard, « En d’autres termes, si le banquier ne met pas en place une authentification forte dans les cas où celle-ci est exigée par l’article L. 133-41, I du Code monétaire et financier, il ne pourra en aucune manière invoquer la négligence grave du titulaire, quel que soit le comportement de celui-ci. Cette décision a pour finalité première d’attirer l’attention des banquiers sur la nécessité d’imposer rapidement à tous leurs clients, pour les paiements à distance, l’authentification forte, à défaut de quoi ils s’exposent à devoir supporter l’intégralité des conséquences d’une fraude à la carte par internet. Et ce dans l’intérêt de tous » (Riffard J.-F., « Paiement par carte bancaire », Jurisclasseur Droit bancaire et financier, 14 janv. 2024, LexisNexis, fasc. 270).
- l’Observatoire sur la sécurité des moyens de paiement (OSMP) a indiqué en mai 2023 dans ses recommandations relatives aux modalités de remboursement des opérations de paiement frauduleuses que, dans les cas d’exemption à l’obligation d’authentification forte, « l’opération ne peut pas être considérée comme authentifiée de manière forte au sens de la réglementation, alors même que dans la plupart des cas l’absence d’authentification forte est autorisée ou tolérée » (recommandation n° 4). Ainsi, l’authentification forte réalisée pour valider l’ajout d’IBAN ne permet pas de caractériser l’opération subséquente comme authentifiée fortement et, dans ce cas de figure, l’établissement ne pourra pas opposer au payeur sa négligence grave afin de lui refuser le remboursement de l’opération contestée. Ces recommandations relèvent du droit doux mais, compte tenu de la composition de l’OSMP (C. mon. fin., art R. 142-22), elles jouissent d’une forte valeur en pratique et devraient être suivies par les banques du fait du risque de sanction de la part de l’ACPR ;
- dans le cadre du nouveau règlement européen relatif aux services de paiement (art. 60-2), ce point a été précisé : « lorsque le prestataire de services de paiement du payeur ne satisfait pas à l’obligation d’exiger une authentification forte du client prévue à l’article 85, le payeur ne supporte aucune perte financière éventuelle à moins qu’il ait agi frauduleusement. Il en va de même lorsque le prestataire de services de paiement du payeur ou du bénéficiaire applique une dérogation à l’utilisation de l’authentification forte du client. ». La logique derrière le principe « exemption = pas de négligence grave » est qu’en choisissant d’appliquer une exemption la banque choisit également d’en assumer le risque.
- L’invocabilité de la négligence grave du client peut toutefois resurgir dans la situation particulière où il n’a pas activé l’authentification forte, mais où il a donné les informations nécessaires à l’escroc pour le faire à sa place (TJ Paris, 3 juill. 2024, n° 23/08046 : activation sur un téléphone portable n’appartenant pas au client dans le contexte d’un chantage ; égal. TJ Paris, 27 mars 2024, n° 23/05448 : communication par une cliente, par ailleurs employée de banque, de sa clé digitale permettant un changement d’appareil de confiance).
- Dans un arrêt récent, la Cour de cassation a rendu un arrêt très favorable au client. Le client d’une banque a constaté que plusieurs virements frauduleux avaient été réalisés pour un montant de 54 500 euros sur son compte bancaire. Il a alerté la banque le jour même, soutenant avoir été contacté par téléphone par une personne se faisant passer pour une préposée de l’établissement lui demandant d’ajouter, grâce à ses données personnelles de sécurité, cinq personnes sur la liste des bénéficiaires de virements. La Cour de cassation a jugé qu’aucune négligence grave au sens de l’article L. 133-19 du Code monétaire et financier ne peut être imputée au titulaire d’un compte qui, contacté téléphoniquement par une personne se faisant passer pour un préposé de sa banque dont le numéro s’affichait, utilise à sa demande le dispositif de sécurité personnalisé pour supprimer puis réinscrire des bénéficiaires de virements dans le but d’éviter des opérations malveillantes (Cass. com., 23 octobre 2024, n° 23-16.267, confirmant l’arrêt de la cour d’appel de Versailles, 28 mars 2023, n° 21/07299). Un paramètre important dans cette affaire est que le numéro d’appel qui était apparu sur le téléphone du client était celui du conseiller de l’établissement bancaire. C’est la spécificité de la fraude téléphonique avec affichage du numéro du véritable conseiller clientèle qui peut expliquer une appréciation plus exigeante de la gravité de la négligence du comportement du client par rapport au phishing « classique », passant par une messagerie électronique.
L’article L. 133-23 du Code monétaire et financier fixe les règles de preuve applicables lorsque l’utilisateur conteste avoir donné son autorisation à une opération de paiement qui a été exécutée : « il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre ».
L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement ».
- Application et conclusion
Même s’il ressort des faits que le client a divulgué son mot de passe, la banque ne peut pas le démontrer. Elle ne peut pas non plus démontrer que ce n’est pas lui qui a effectué les opérations de virement contestées. En conséquence, les opérations de virement contestées sont réputées non autorisées.
Les explications de Monsieur Dupont sur les débits frauduleux sont évasives et ne permettent pas d’écarter qu’il aurait transmis à la personne tierce des informations lui donnant accès à son espace en ligne. La fraude en cause résulterait très certainement d’un hameçonnage (« phishing ») associé à un « spoofing ».
Plusieurs circonstances de l’espèce amènent à considérer que Monsieur Dupont a été négligent :
- Il a communiqué par téléphone ses identifiants personnels à un tiers ;
- il a tardé à réagir. S’il avait réagi dès la réalisation du virement du 24 décembre, ou dans les deux ou trois jours, le service en charge des fraudes de la banque aurait pu déjouer le virement frauduleux du 30 décembre. Néanmoins, il faut convenir que la période en cause est très particulière, puisque liée à des fêtes de fin d’année ;
- il a voulu régler sa contravention tardivement (réception du courriel début septembre selon ses affirmations et ajout du nouveau bénéficiaire le 23 décembre), alors que les délais de paiement des contraventions sont normalement limités (art. 529-9 du Code de la route : « L’amende forfaitaire doit être versée dans le délai de quarante-cinq jours à compter de la constatation de l’infraction ou l’envoi de l’avis de contravention »). Ce délai long aurait dû lui permettre de procéder à des vérifications quant à la réalité de la dette.
- Il ne souhaite pas transmettre le courriel qu’il aurait reçu, possiblement car il renferme des éléments de preuve sur sa négligence quant à la vérification de son authenticité. Ce comportement de mauvaise foi devrait selon nous présumer sa négligence.
Au minimum, Monsieur Dupont a commis une négligence légère. La question de sa négligence grave se pose.
Quoi qu’il en soit, les opérations contestées n’ayant pas été réalisées avec une authentification forte conformément à l’une des exemptions prévues en la matière, la banque ne peut pas refuser le remboursement au titre de la négligence grave de Monsieur Dupont.
En outre, il est difficile d’affirmer, en l’état des éléments factuels fournis, que Monsieur Dupont ait commis une fraude (exception au remboursement prévue à l’article L. 133-25, V). Cette situation pourrait toutefois certainement se rencontrer dans des espèces où le client est complice de l’escroc. Son refus de communiquer le courriel litigieux manifeste sans doute une crainte de révéler une négligence de sa part, mais pas forcément une fraude. Une telle fraude, caractérisée par des manœuvres et un élément intentionnel, doit être prouvée par tous moyens par la banque.
Dans ce litige, le remboursement du client doit intervenir le premier jour ouvrable suivant la demande du client. Tout délai supplémentaire obligerait la banque à verser à Monsieur Dupont des pénalités (C. mon. fin., art. L. 133-18, al. 3).
La solution aurait été différente si la banque avait exigé l’authentification forte. Dans ce cas, il
aurait incombé à la banque de déterminer si les virements litigieux avaient été autorisés par le client.
Cette analyse doit s’appuyer sur les différents paramètres associés aux opérations, l’existence d’une authentification forte n’étant pas suffisante en elle-même pour considérer que le virement a été autorisé. Après analyse du dossier et à défaut d’éléments suffisants pour justifier le caractère autorisé l’opération ou pour démontrer une négligence grave de l’utilisateur, la banque aurait été alors tenue de rembourser sans délai les opérations en cause (voir le tableau récapitulatif des recommandations de l’Observatoire de la sécurité des moyens de paiement, 15 mai 2023, p. 4).
Précisons que l’arrêt de la Cour de cassation du 23 octobre 2024 pourrait être mobilisé, mais les circonstances de l’espèce sont différentes. Dans cette affaire, les nouveaux bénéficiaires avaient été ajoutés par l’escroc, et non pas par le titulaire du compte. De plus, en l’espèce, le numéro du véritable conseiller clientèle ne s’affichait certainement pas, puisqu’il s’agit d’un soi-disant employé en charge des fraudes bancaires.
En conclusion, Monsieur Dupont dispose d’arguments sérieux pour pouvoir obtenir le remboursement des sommes débitées indûment, dans le cas d’espèce qui est très particulier (absence d’authentification forte au niveau des virements). En l’absence d’accord amiable avec la Banque Giron, il pourrait agir en remboursement contre sa banque, sous réserve d’éléments factuels non portés à notre connaissance, en particulier sur d’éventuels agissements frauduleux de sa part.
Même si le client a, selon nous, un droit au remboursement, nous nous demanderons également s’il peut solliciter des dommages-intérêts en invoquant le manquement de sa banque à l’obligation de vigilance.
- La banque est-elle responsable en raison de son obligation de vigilance ?
- Faits
La banque a ouvert un compte de dépôt et offre des moyens de paiement tels que des virements.
Monsieur Dupont a été victime de deux virements frauduleux.
Il serait utile de savoir, au vu de ses relevés de compte, si Monsieur Dupont a réalisé d’autres mouvements pour des montants similaires.
- Droit applicable
Sur le terrain du droit commun de la responsabilité contractuelle (C. civ., art. 1231-1), il doit être rappelé que la banque a une obligation de non-ingérence. Ainsi, le banquier qui exécute les ordres du client n’a pas de pouvoir d’appréciation sur les opérations commerciales ou d’investissement à l’origine des mouvements de fond. Comme la cour d’appel de Paris l’a rappelé dans une affaire similaire, « il en résulte qu’en application des principes de non-ingérence et de non-immixtion qui s’imposent à un établissement bancaire, La Banque Postale ne pouvait s’opposer à des virements émanant de sa cliente parfaitement authentifiés et dûment autorisés par cette dernière. Sa responsabilité ne peut donc être mise en cause » (CA Paris, 8 juin 2023, n° 21/18820). Toutefois, le principe de la non-ingérence du banquier dans les affaires de son client cède devant son obligation de vigilance portant sur la régularité apparente du fonctionnement d’un compte.
Ainsi, dans l’hypothèse d’un virement autorisé, le banquier demeure tenu de contrôler la régularité de l’ordre de virement, afin de déceler toute anomalie tant matérielle qu’intellectuelle susceptible de l’affecter. Il faut se demander si les virements non autorisés ne correspondraient pas au fonctionnement habituel du compte. Ainsi qu’il a été jugé dans une espèce similaire à cette affaire, « pour le banquier, non alerté par des éléments extérieurs tangibles, le simple caractère inhabituel d’une opération n’implique pas nécessairement qu’elle soit illicite ou frauduleuse » (TJ Paris, 20 mars 2024, n° 22/09215). Cette solution est bien ancrée en jurisprudence (pour un paiement par carte : Cass. com., 1er juill. 2003, n° 00-18650 ; pour des chèques : Cass. com., 9 févr. 2016, n° 14-22576 ; pour des virements : Cass. com., 4 nov. 2021, n° 19-23368).
Cependant, il ressort d’une décision européenne récente (CJUE, 16 mars 2023, Beobank, aff. C‑351/21), suivie par la Cour de cassation (Cass. com., 27 mars 2024, no 22-21200 : JCP E 2024, 1170, Mathey N. ; Resp. civ. et assur. 2024, 115, Bloch L. ; JCP E 2024, act. 327 ; JCP E 2024, 1212, Lasserre Capdeville J. ; Martinet F., « D’une vigilance à l’autre », Banque et droit, mai 2024, p. 7), que le régime de responsabilité pour les opérations non autorisées tel que prévu par les directives européennes « DSP » et transposé dans le CMF est exclusif de tout autre régime de responsabilité. Par conséquent, si l’on est dans le domaine des articles L. 133-18 et suivants, le client ne peut rechercher la responsabilité de la banque sur le fondement d’un manquement au devoir de vigilance.
Par ailleurs, les dispositions du Code monétaire et financier relatives aux obligations des banques en matière de lutte contre le blanchiment d’argent et le financement du terrorisme (LCB/FT), qui soumettent les établissements de crédit notamment à des obligations de vigilance et de déclaration des opérations suspectes, poursuivent un objectif d’intérêt général. Par conséquent, ces dispositions ne peuvent fonder, à les supposer violées, une créance de dommages-intérêts au profit du client de l’établissement assujetti aux obligations de LCB/FT (Cass. com., 21 sept. 2022, n° 21-12335 : JCP E 2022, 1383, obs. Lasserre Capdeville J.).
- Application
Dans la mesure où la jurisprudence considère que le régime de responsabilité des opérations non autorisées tel que déterminé par les DSP est exclusif, la responsabilité de la banque ne peut être recherchée au titre d’un manquement au devoir de vigilance. Peu importe la présence ou non d’anomalies apparentes.
En conclusion, la banque ne peut être tenue de verser des dommages-intérêts à son client pour manquement à l’obligation de vigilance, que celle-ci résulte du droit commun ou de la LCB/FT.
- Les stratégies
- Les stratégies préventives
- Mener des actions d’information et de sensibilisation auprès de la clientèle : avertissement sur les espaces personnels de banque en ligne, par courriel ou SMS, messages d’information systématique au pied des courriels adressés par les conseillers et sur les relevés de comptes, envoi postal de plaquettes d’information, affiches dans les agences. Cela permettra, en cas de contentieux judiciaire, de mettre en avant l’argument selon lequel la banque a sensibilisé particulièrement ses clients sur ce type de fraude avant sa réalisation.
- Mettre en place des plafonds efficaces et adaptés en fonction des fraudes antérieurement constatées par l’établissement ; tenir compte de l’évolution des fraudes pour adapter ces plafonds. Alerter les clients des risques en cas de demande d’augmentation des plafonds. Conserver la preuve écrite des demandes et acceptations liées aux plafonds.
- Mettre en place un délai de temporisation entre la création d’un nouvel IBAN de bénéficiaire et la réalisation de la première opération de paiement à destination de ce compte. Ce délai doit favoriser une action du client ou de la banque en cas de fraude.
- Généraliser l’authentification forte ou, sinon, l’exiger pour certains virements à risque, y compris quand ils sont sur la liste de bénéficiaires de confiance : premier virement après l’ajout d’IBAN, virement au-delà d’un certain montant, opération quand elle est demandée depuis un nouvel appareil enrôlé auprès de la banque.
- Adopter des politiques de remboursement homogènes (communes à toutes les agences voire à toutes les filiales du groupe bancaire).
- Prévenir les contrôles de l’ACPR en documentant les pratiques de remboursement.
- Les stratégies « réactives » en cas de demande de remboursement
- Vérifier les traces techniques associées à l’authentification forte effectuée et plus globalement aux opérations réalisées, afin de vérifier si c’est le client qui a autorisé ou non l’opération (voir recommandation n° 6 de l’Observatoire de la sécurité des moyens de paiement du 15 mai 2023). La banque est en mesure de déterminer si l’ajout de l’IBAN et les virements ont été réalisés avec des données de connexion (adresse IP – internet protocol) différentes des données de connexion habituelles du client et démontrant l’utilisation d’un nouvel appareil inconnu ou d’une connexion depuis l’étranger.
- Recenser l’ensemble des informations délivrées au client lors de la fraude (notifications sur application, SMS, courriel, etc.).
- Extraire tout élément de preuve de nature à démontrer que les opérations n’ont pas été affectées par une déficience technique (journaux d’incidents, écrans d’autorisation indiquant que les opérations se sont correctement déroulées, etc.).
- Mettre en place des formulaires de contestation pour demander d’autres informations sous forme d’un questionnaire. La banque peut analyser les formulaires de contestation et questionnaires associés.
- Demander la communication de la plainte afin de connaître le déroulement des faits, en particulier les éventuels aveux de négligence ou des indices, ainsi qu’une reproduction du courriel reçu. Demander la procédure forcée au juge si le client refuse. Le juge peut ordonner, à la requête de l’une des parties, la production de tous documents détenus par un tiers (CPC, art. 138).
- Déterminer si une communication de sensibilisation avait été réalisée à destination de la clientèle peu avant la fraude.
- En matière de virement, contacter la banque bénéficiaire afin de tenter de récupérer les fonds si les virements contestés étaient des virements SEPA.
- Organiser une médiation : en cas de litige avec sa banque (concrètement à la suite d’une réclamation puis d’un refus de remboursement ou de l’absence de réponse), le client a le droit de recourir à un médiateur (C. mon. fin., art. L. 316-1 et C. consom., art. L. 616-1).
- Déposer une plainte au pénal avec constitution de partie civile par la banque si des éléments de preuve et d’identification de l’escroc existent et si les enjeux économiques le justifient par rapport aux frais de conseil juridique et de représentation en justice.
- Les stratégies préventives
Deux perspectives d’évolution à propos du spoofing :
- loi n° 2020-901 du 24 juillet 2020 visant à encadrer le démarchage téléphonique et à lutter contre les appels frauduleux : les opérateurs de téléphonie doivent mettre en place un système d’authentification des numéros avec l’ARCEP et bloquer les appels/messages si l’authentification n’est pas conforme, ce qui de fait devrait limiter les « spoofing » (nouvel article L. 224-47-1 du Code de la consommation). Ce dispositif complète les actions de l’ARCEP, qui peut « peut saisir le président du tribunal judiciaire de Paris aux fins d’ordonner aux opérateurs, en référé, le blocage de l’accès aux numéros et services frauduleux ou abusifs et la retenue des recettes provenant du raccordement ou d’autres services » (art. L. 44-3 du Code des postes et des communications électroniques issu de l’article 28 de l’ordonnance n° 2011-1012 du 24 août 2011 relative aux communications électroniques) ;
- le projet de règlement européen relatif aux paiements introduit un régime de responsabilité intermédiaire pour les escroqueries avec faux conseiller bancaire. Dans ces cas, le texte considère que même si le client a bien autorisé les opérations, celles-ci ont été autorisées frauduleusement et, en conséquence, la banque doit en porter la responsabilité sauf à prouver la fraude ou la négligence grave du consommateur (article 59 de la proposition de règlement du Parlement européen et du Conseil concernant les services de paiement dans le marché intérieur et modifiant le règlement (UE) nº 1093/2010). De plus, la proposition de texte prévoit que, lorsque le PSP du payeur ne satisfait pas à l’obligation d’exiger une authentification forte du client prévue à l’article 85, le payeur ne supporte aucune perte financière éventuelle à moins qu’il ait agi frauduleusement. Il en va de même lorsque le PSP du payeur ou du bénéficiaire applique une dérogation à l’utilisation de l’authentification forte du client (art. 60 de la proposition de règlement du Parlement européen et du Conseil concernant les services de paiement dans le marché intérieur et modifiant le règlement européen nº 1093/2010).
[1] Art. 97 § 1, directive européenne du 25 novembre 2015 concernant les services de paiement dans le marché intérieur.
[2] Ibid., art. 98, § 2.
[3] Règlement délégué (UE) 2018/389 de la Commission du 27 novembre 2017 complétant la directive (UE) 2015/2366 du Parlement européen et du Conseil par des normes techniques de réglementation relatives à l’authentification forte du client et à des normes ouvertes communes et sécurisées de communication.