Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Social Science Sécurité Numérique

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Arnaque au faux conseiller bancaire : pas de « négligence grave » de la victime, tranche la justice

Client vs banque : 1 - 0, mais le pirate rafle la mise

Arnaque au faux conseiller bancaire : pas de « négligence grave » de la victime, tranche la justice

La Cour de cassation vient de rendre une décision importante dans le cadre d’une arnaque au faux conseiller bancaire, en faveur d’un client qui avait perdu 54 500 euros. La banque refusait de rembourser, affirmant que son client avait commis une « négligence grave ».

Le 24 octobre à 11h27

Les tentatives de fraudes bancaires se multiplient, avec parfois des conséquences dramatiques pour les clients quand les pirates arrivent à leur fin. Le ministère de l’Économie rappelle que « la réglementation prévoit une obligation de remboursement par la banque en cas de fraude ».

C’est quoi une « négligence grave »

Mais il existe des exceptions : « Le remboursement peut toutefois être refusé si l'utilisateur du compte est soupçonné de comportement frauduleux ou de négligence grave. La banque doit apporter la preuve de la fraude ou de la négligence ».

La notion de « négligence grave » est assez vague, et donc sujette à interprétation C’est celle qui nous intéresse aujourd’hui. Le ministère donne deux exemples tirés de textes européens et de la jurisprudence : « conservation des données utilisées pour autoriser une opération de paiement à côté de l'instrument de paiement, transmission à un tiers des données personnelles ».

L’arnaque au faux conseiller

La Cour de cassation a été saisie d’un dossier intéressant, car il correspond à une pratique répandue actuellement chez les escrocs : se faire passer pour un faux conseiller. La question posée à la Cour était la suivante : « Une personne qui contribue indirectement à se faire escroquer en suivant les consignes d’un faux conseiller bancaire commet-elle une négligence grave qui la prive du droit à être remboursée par sa banque ? ».

C’est la société BNP Paribas qui a formé le pourvoi contre l'arrêt rendu le 28 mars 2023 par la cour d'appel de Versailles. Cette dernière avait condamné la banque BNP Paribas à rembourser son client du montant des virements frauduleux effectués depuis son compte, pour un montant de 54 500 euros.

Le client affirme avoir alerté la banque le jour même, précisant « avoir été contacté par téléphone par une
personne se faisant passer pour une préposée de l'établissement lui demandant d'ajouter, grâce à
ses données personnelles de sécurité, cinq personnes sur la liste des bénéficiaires de virements ».

Spoofing téléphonique

Les circonstances de l’affaire sont importantes pour répondre et préciser la nature de la négligence. La Cour de cassation explique que le faux conseiller a utilisé plusieurs stratagèmes pour mettre sa victime en confiance et diminuer sa vigilance :

« L’escroc est parvenu à faire apparaître sur le téléphone portable du client un numéro d’appel identique à celui de sa vraie conseillère bancaire [on parle de spoofing téléphonique, ndlr]; la fausse salariée de banque qui se trouvait au bout du fil a assuré au client qu’en suivant ses consignes, il effectuait une opération sécurisée ».

Dans le détail de sa décision, la Cour explique que le client « avait été contacté par téléphone par une personne se présentant comme l'assistante de sa conseillère bancaire, qui lui avait expliqué qu'il avait été nécessaire de supprimer des bénéficiaires de virement pour déjouer une attaque informatique et qu'il fallait désormais les réenregistrer, et qu'il était alors resté en ligne avec cette personne et avait reçu sur son téléphone mobile des messages l'invitant à valider des ajouts de bénéficiaires ».

Le client « croyait être en relation avec une salariée de la banque »

La Cour rappelle que c’est à la banque d’apporter la preuve d’une négligence grave de son client. Mais, dans cette affaire, « il ne peut [lui] être reproché d’avoir commis une négligence grave », confirme la Cour de cassation.

Elle s’explique. Comme « le numéro d'appel apparaissant sur le téléphone portable de M. [J] s'était affiché comme étant celui de Mme [Y], sa conseillère BNP », le client « croyait être en relation avec une salariée de la banque », qui lui « assurait qu'il s'agissait d'une opération sécurisée ».

De plus, le spoofing a mis le client « en confiance et a diminué sa vigilance ». Ce n’est pour la Cour pas les mêmes circonstances qu’une « personne réceptionnant un courriel, laquelle aurait pu disposer de davantage de temps pour s'apercevoir d'éventuelles anomalies révélatrices de son origine frauduleuse ».

Au final, la Cour de cassation rejette la demande de la société BNP Paribas et la condamne à payer à son client la somme de 3 000 euros.

Le 24 octobre à 11h27

Commentaires (20)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
« cinq personnes sur la liste des bénéficiaires de virements ».

Rien que ça aurait dû alerter le client.

La banque n’a pas besoin de vous pour bloquer une transaction frauduleuse.
D'un autre côté, la banque aurait pu s'apercevoir qu'il est étrange qu'on ajoute 5 bénéficiaires d'un coup et qu'on fait un ordre de virement dessus : ils ont tout ce qu'il faut pour temporiser le virement, appeler le client pour lui demander si c'est bien lui qui a fait les virements et dans quelles circonstances.
Surtout sur des sommes pareil.

Pour moi, la banque a fait office de négligence aussi.
Ils réduisent le nombre de conseillers dans leurs agences pour réduire les coûts, et c'est leur droit, mais il faut aussi payer les conséquences de ces choix.


J'espère que ça va inciter les banques à aller faire les gros yeux aux opérateurs pour qu'ils rendent impossible le spoofing de numéro. Ça me rend fou qu'on ai la possibilité de faire du spoofing de numéro de téléphone en 2024 alors qu'il "suffit" de s'assurer que le chemin suivi par l'appel soit cohérent, ou même envoyer une demande de confirmation auprès de l'opérateur titulaire du numéro que la ligne est bien utilisée pour cet appel.
La banque est aussi fautive on est d’accord
Bien d'accord...
Ca ne pose pas de problème à ma banque de temporiser mes virements, pour une somme moindre, vers un compte externe déjà enregistré et dont je suis le titulaire également... Obligé de les appeler pour débloquer le truc... J'adore !
Pour le spoofing, ce sont des failles inhérentes aux protocoles de communication 2G/3G, c'est insoluble en réalité, à part à supprimer les réseau 2G/3G (il me semble qu'il y a plus de contrôle en 4G, particulièrement sur l'itinérance).
Basculer intégralement vers de la téléphonie "IP" sécurisé serait LA solution mais ça freine des 4fers (interdire la vente de terminaux et forfait non 4G serait déjà le minimum politiquement...pusiqu'on sait déjà que ces protocoles sont troués).

Pour la banque, je confirme, dans mon cas pour des virements externes il est obligatoire d'attendre 24h ou 48h après l'ajout d'un bénéficiaire pour pouvoir faire un virement...
Tu es certain de ça ? Il me semblait que STIR/SHAKEN s'appliquait à toutes les générations de protocoles, non-voip inclus.

Pour information, la suppression de la 2G est effective dans un certain nombre de pays développés, en France c'est également imminent et la 3G va suivre. Il reste toutefois un énorme problème étant donné volte/vonr ne sont pas assez bien standardisés (les opérateurs whitelistent les terminaux pour différentes raisons) et ce sujet est une bombe à retardement.

Edit: effectivement il semblerait que cette suite se limite aux protocoles voip
Il me semble que c'est vraiment dû au fonctionnement même du fonctionnement 2G/3G, et que tu ne peux rien faire sans contraindre fortement les services fournis (typiquement interdire de se faire appeler par un pays étranger par exemple, ou interdire l'itinérance).

Veritasium avait fait une vidéo là-dessus, avec un expert Français spécialisé, ce qui m'avait étonné, justement, où ils peuvent même intercepter les appels... :
https://www.youtube.com/watch?v=wVyu7NB7W6Y&pp=ygUKdmVyaXRhc2l1bQ%3D%3D
Bah, je ne sais pas trop si la banque est fautive...

C'est quand même le but des virements de pouvoir ajouter qui tu veux et faire un virement ensuite. Et heureusement que les banques ne bloquent pas d'office de type de virement.

Après, je manque un peu de contexte:

Une dame au téléphone aurait indiqué avoir effacer 5 de ses bénéficiaires, et non seulement ferait rajouter 5 nouveaux bénéficiaires (pas certains que la dame ait du donner des bénéficiaires réels de la victime).

Puis la victime aurait fait des virements (5 ou plus) pour 55000 euros à ces bénéficiaires ?


Alors, certes, la banque aurait du bloquer et contrôler 5 virements de 10000 (ma banque m'a déjà appeler lorsque les montants atteignent un certain niveau).

Mais pourquoi avoir fait ces virements. Un conseiller pourra même me le demander en physique, jamais je ne ferai ça sans raison.
Je pense qu'il nous manque un peu d'info sur le contexte ici, car pour moi la négligence est là : c'est la victime qui a fait les virements (et pas seulement ajouter des bénéficiaires inconnus).

Ma compréhension de l'affaire, c'est que la personne n'a fait "que" valider par sms l'ajout de bénéficiaires, fait par le faux-conseiller, qui devait avoir accès à son compte. Et c'est ce faux-conseiller qui a lancer les virements. Enfin, c'est ma vision du truc.
Oui, c'est bien ça :
une personne se présentant comme l'assistante de sa conseillère bancaire, qui lui avait expliqué qu'il avait été nécessaire de supprimer des bénéficiaires de virement pour déjouer une attaque informatique et qu'il fallait désormais les réenregistrer, qu'il était alors resté en ligne avec cette personne et avait reçu sur son téléphone mobile des messages l'invitant à valider des ajouts de bénéficiaires, ce qu'il avait fait en saisissant son code confidentiel,
La responsabilité de faire qqchose contre le spoofing téléphonique n'incombe pas aux banques, mais à l'état: Il faudrait en fait commencer par l'interdire totalement, même si cela doit poser qq pb de cas d'usage (la volonté de planquer des numéros internes derrière celui d'un standard par exemple) justifiant le laxisme actuel.
Ca m'est arrivé d'envoyer chier des centres d'appelarnaque avec un rappel dans les 30s sous un autre numéro et la même personne pas contente de s'être vue conseiller de trouver un vrai boulot... lui répondre d'aller se faire enc... et, 3ème numéro 10s après avec cette réponse: "Commissariat du 18ème, bonjour, votre 3ème appel a permis de vous localiser merci encore!".
C'est oublier qu'au téléphone, en direct, on a pas forcément la même vigilance qu'à la lecture d'un mail au calme comme indiqué dans l'article. Surtout si le tel affiche le nom du conseiller bancaire, ce qui contribue à baisser celle-ci.

Il ne faut pas négliger justement notre capacité de réaction qui peut différer entre l'oral et la lecture.
D'ailleurs à ce sujet, j'ai fait la mise à jour de l'application Banxo de la Caisse d'Epargne sur Android. Elle impose d'avoir accès au téléphone pour vérifier les tentatives de spoofing. Au début, j'ai cliqué sur "Refuser" et j'ai eu un message m'expliquant les raisons de l'accès au téléphone (spoofing) et que l'appli ne se lancerait pas tant que je n'aurais pas dit oui.
Ah, enfin une réelle utilité aux applis bancaire !
Chez BoursoBank, il y a un délai de 24h avant de pouvoir virer sur un nouveau compte FR créditeur créé et 72h (3 jours) avant de pouvoir faire un virement sur un nouveau compte hors SEPA (cad hors € ; en devise) ou bien il faut les appeler et là ils vous redemandent les réponses à vos 3 questions «favorites » sans compter son code à 6 avant pour se logger + un code SMS pour valider le login… (téléphone + app en même temps).

Mais bon le client ici au téléphone, l'usurpatrice lui a fait créer des comptes de personnes qu'il ne connaissait pas ??
Personne ne vérifie l'intitulé du RIB, avec un peu d'intelligence sociale, tu pourrais lui faire ajouter un compte externe qui s'appelle du nom de son cousin alors qu'il correspond à une société Africaine que nul part ça ne générerait d'alerte...
Mais bon le client ici au téléphone, l'usurpatrice lui a fait créer des comptes de personnes qu'il ne connaissait pas ??


Au vu de la description de l'escroquerie, la personne a certainement listé des bénéficiaires que la victime connaissait (surtout si elle avait accès aux comptes pour faire l'opération) et donc trompé celle-ci par ce moyen. Il suffit au final de les redéclarer avec un IBAN différent pour n'y voir que du feu, l'intitulé du bénéficiaire étant libre.
Non, d'après l'arrêté (en lien dans l'article) le client n'a fait que valider la création des bénéficiaires sur son téléphone (par SMS ou sur l'appli). Ça n'est pas lui qui a fait les modifications ni les virements. (Ce qui veut dire que les usurpateurs avaient accès à son compte !).
Ben... C'est ce que j'ai écrit :p
Il n'y a peut-être même pas eu forcément besoin de lister des bénéficiaires connus. Ça dépend si les demandes de validation contiennent l'intitulé ou non, en effet…

Arnaque au faux conseiller bancaire : pas de « négligence grave » de la victime, tranche la justice

  • C’est quoi une « négligence grave »

  • L’arnaque au faux conseiller

  • Spoofing téléphonique

  • Le client « croyait être en relation avec une salariée de la banque »

Fermer