L’arnaque au faux conseiller bancaire en passe de disparaître ?

Connaissez-vous le « spoofing » ? Traduit en bon français par « usurpation d’identité », ce joli mot anglais désigne une technique d’escroquerie consistant à contacter le client d’une banque en se faisant passer pour un conseiller bancaire afin de lui faire réaliser des opérations frauduleuses. Un des modes opératoires parmi les plus prisés chez les escrocs.

Prétextant une urgence en matière de sécurité informatique, l’escroc met en confiance le client et lui demande d’effectuer directement en ligne des opérations frauduleuses en utilisant ses codes et mots de passe confidentiels. Pour refuser de rembourser le client de ses pertes, les banques invoquent souvent la négligence grave du client telle que prévue à l’article L133-19 du Code monétaire et financier. C’est à la banque de prouver la négligence grave du client.

La Cour de cassation prend en compte les conditions qui ont pu tromper la vigilance du client. Dans une nouvelle affaire, jugée le 23 octobre 2024, le client a été contacté par téléphone par une personne se présentant comme l’assistante de son conseiller bancaire. Le numéro de téléphone affiché sur son téléphone était identique à celui du véritable conseiller bancaire.

Notion de négligence grave

Prétextant le piratage de son compte, l’escroc convainc le client de la nécessité urgente de supprimer cinq bénéficiaires habituels de virements et de les réinscrire. Assisté au téléphone par le faux conseiller, le client exécute les opérations via l’application mobile de la banque en utilisant ses codes confidentiels. Il reçoit alors sur son téléphone des messages l’invitant à valider les ajouts de bénéficiaires. Pour finir, l’escroc lui explique qu’il n’aurait plus accès à son compte et qu’il recevrait par la poste un nouvel identifiant de compte et un nouveau mot de passe.

Deux jours plus tard, le client constate que son compte a été débité de plusieurs virements frauduleux pour 54 400 € et en demande le remboursement à la banque. Laquelle refuse, soutenant que plusieurs indices permettaient à un utilisateur normalement attentif de suspecter une fraude.

La banque est condamnée en appel et la Cour de cassation confirme le jugement en estimant que le client n’avait pas commis de négligence grave. Elle retient en particulier l’identité du numéro de téléphone affiché avec celui du conseiller bancaire et l’utilisation de l’application sur mobile que la banque assurait être sécurisée.

En conclusion, la Cour de cassation précise que la technique du « spoofing » a mis le client en confiance et diminué sa vigilance, cette vigilance étant « inférieure à celle d’une personne réceptionnant un courriel, laquelle aurait pu disposer de davantage de temps pour s’apercevoir d’éventuelles anomalies révélatrices de son origine frauduleuse ».

Mise en place d’un Mécanisme d’Authentification des Numéros

Au sujet du spoofing, l’UFC Que Choisir rappelle de son côté que depuis le 1er octobre 2024, en vertu de la loi Naegelen du 24 juillet 2020, « les opérateurs téléphoniques français doivent désormais bloquer automatiquement les appels dont le numéro ne peut être authentifié », permettant ainsi de lutter plus efficacement contre l’usurpation de numéros de téléphone et les arnaques bancaires.

Pour l’instant, seuls les appels émis vers ou depuis des lignes fixes sont concernés, « mais des extensions à d’autres réseaux (mobiles, réseaux d’entreprise) sont prévues pour les prochaines étapes », précise l’association de consommateurs qui rappelle que les fraudes par manipulation, incluant outre spoofing d’autres techniques telles que le phishing et les spams, ont représenté un coût de 379 M€ en 2023, selon l’Observatoire de la sécurité des moyens de paiement.