Usurpation d’identité : Escroquerie par Spoofing
l’UFC-Que Choisir Paris obtient gain de cause auprès du CIC
Préambule : Obtenir gain de cause auprès des banques dans les litiges par spoofing (usurpation d’identité) est particulièrement difficile car les banques font valoir une négligence grave du client même avec la décision récente de la Cour d’Appel de Versailles (CA Versailles 28 mars 2023, n°21-07.299), laquelle a pu condamner une banque à rembourser la victime d’un spoofing.
Faits : Notre adhérente, Madame Z., a été victime d’une fraude bancaire par spoofing c’est-à-dire avec usurpation d’identité. Le 9 août 2023, elle reçoit un appel d’une personne se présentant comme membre du service fraude du CIC. Celle-ci l’informe que des transactions suspectes liées à sa carte bancaire ont été repérées pour un montant élevé. Elle se propose de l’accompagner dans la procédure de régularisation. Tout en la prévenant que cela peut être surprenant, elle demande à Madame Z. de valider ces transactions sur son application bancaire. Paniquée, Madame Z. s’exécute car cette personne est en possession de ses informations bancaires et personnelles et s’exprime comme un conseiller bancaire peut le faire.
Très rapidement après, Madame Z. s’aperçoit de la présence de débits récents pour un montant de 2 479,20€. Elle contacte sa banque pour bloquer sa carte bancaire et par courriel fait une réclamation afin d’obtenir le remboursement du montant de la fraude tel que le prévoit l’article 133-18 du Code monétaire et financier. Sa banque lui oppose une fin de non-recevoir. En mettant en avant la validation par authentification forte réalisée par sa cliente la banque s’exonère de toute responsabilité dès lors « qu’aucun dysfonctionnement technique quant à l’enregistrement n’a été constaté ». Elle reproche également à Madame Z. une négligence grave pour n’avoir pas satisfait à ses obligations de préservation de ses données de sécurité personnelles et confidentielles.
Problématique : Devant de telles fraudes, force est de d’envisager qu’une faille de sécurité dans la base de données des banques permet la fuite des données bancaires des clients et donc la réalisation de fraudes.
Cet argument n’est plus de mise depuis le l’instauration du GPD (Règlement Général sur la Protection des données) en avril 2016. Son article 32 évoque les mesures et règles de sécurité à mettre en place pour la collecte, le traitement et le stockage des données. Il semble donc que la banque n’a pas respecté les règles en matière de sécurisation des données personnelles de ses clients. De surcroît, l’Observatoire de la sécurité des moyens de paiement a publié le 16 mai 2023 des recommandations à l’attention des banques et de ses clients sur les « Modalités de remboursement des opérations de paiement frauduleuses » dans lequel il indique explicitement que le paiement par authentification forte n’est pas un motif valable de refus de remboursement.
La banque ne peut donc invoquer le manquement grave d’une obligation de la part d’un de ses clients dès lors qu’elle n’a pas honoré ses propres obligations.
Par ailleurs, la négligence grave rapprochée à la cliente reste à prouver. Quand les éléments de la fraude ne présentent pas d’anomalies (numéro de téléphone de la banque, discours similaire à celui d’un conseiller bancaire et utilisation des données du client), la vigilance est certes amoindrie mais il n’y a pas faute de négligence. En outre, le CIC a publié, le 22 septembre sur son application bancaire, une alerte à propos d’une arnaque provenant d’un « bureau anti-fraude », soit plus d’un mois après les faits.
Enfin, une plainte a été déposée par l’UFC contre plusieurs établissements bancaires, à la suite de leurs refus injustifiés de rembourser des fraudes bancaires dont leurs clients ont été victimes.
Au regard des éléments exposés par Madame Z., des dispositions du Code monétaire et financier ainsi que de la récente jurisprudence, l’UFC a mis en demeure le CIC de procéder au remboursement intégral de la somme de 2 479,20 €.
Issue : La somme demandée a finalement été créditée sur le compte de Madame Z.
Si ces remboursements sont encore exceptionnels, l’UFC espère qu’ils seront de plus en plus fréquents, notamment pour des montants de quelques milliers d’euros.