Cet article appartient au dossier de l'Institut national de la consommation "Les arnaques bancaires et financières".
L'Institut national de la consommation vous décrypte cette fraude, vous informe sur vos recours et les précautions à prendre.
1 - Qu'est-ce que l'hameçonnage ?
2 - Quels sont vos recours en cas d'hameçonnage ?
3 - Quelles précautions devez-vous prendre pour éviter l'hameçonnage ?
Le phishing ou hameçonnage consiste à collecter vos données personnelles dans le but d'usurper votre identité et/ou de vous voler de l'argent.
Pour détourner votre vigilance, le pirate se fait passer pour un organisme ou une société connue (Trésor public, administration, sécurité sociale, fournisseur d'électricité, opérateur téléphonique, banque, site de e-commerce, réseau social...) et vous envoie un faux message (mail avec l'en-tête et le logo de l'organisme, SMS, appel téléphonique...).
Ce message est souvent alarmiste (par exemple, "on tente de pirater vos données bancaires"...) ou prétend que vous allez recevoir un remboursement ou un gain (par exemple "votre caisse d'assurance maladie vous informe que vous avez un remboursement de frais à recevoir. Nous vous demandons de mettre à jour vos données pour que votre remboursement soit effectué dans les plus brefs délais").
Ces messages vous incitent à cliquer sur un lien. La page associée au lien vous propose de saisir vos données personnelles (identifiants, mots de passe...) et/ou vos données bancaires, ce qui permet ainsi au fraudeur d'initier un paiement (achats frauduleux...) ou de pirater votre compte.
Dans un communiqué de presse du 15 octobre 2020, l'Autorité de contrôle prudentiel et de résolution (ACPR) a alerté et mis en garde le public contre des escrocs qui envoient des courriels frauduleux en usurpant l'identité de l'ACPR, afin d'obtenir des victimes le versement de fonds (paiement d'amendes....) ou la collecte de données personnelles. Les fraudeurs utilisent les noms et logos de l'ACPR et envoient des mails à partir d'adresses à l'apparence officielle. L'ACPR demande de ne pas répondre à ses sollicitations. |
1 - Si vous avez communiqué des éléments sur vos moyens de paiement ou si vous constatez des débits frauduleux sur votre compte :
> Pour vous aider dans vos démarches, consultez la lettre type de l'INC "Vous contestez un achat à distance réglé par carte bancaire".
2 - Si vous êtes victime d’une usurpation de votre boite mail ou d’un autre compte, changez immédiatement vos mots de passe.
3 - Si vous avez reçu un message douteux sans y répondre :
Enfin, pour être conseillé en cas d’hameçonnage, contactez le service "Info Escroqueries" au 0 805 805 817 (appel gratuit du lundi au vendredi de 9h à 18h30).
> Pour en savoir plus, visionnez les vidéos de Signal Spam : "Qu'est-ce que Signal Spam ?" , Le réflexe Signal spam", "Stop phishing".
Il faut savoir que, concernant le phishing, les banques refusent parfois le remboursement, prévu à l'article L. 133-19 II du code monétaire et financier, en prétextant la négligence grave du consommateur.
Selon l'article L. 133-16 du Code monétaire et financier, dès qu'il reçoit un instrument de paiement, l'utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses "données de sécurité personnalisées". Il utilise l'instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation "qui doivent être objectives, non discriminatoires et proportionnées".
La Cour de cassation estime que répondre à un mail d'hameçonnage peut être une négligence grave du consommateur, mais la banque doit apporter la preuve de cette négligence.
La chambre commerciale de la Cour de cassation, dans un arrêt du 28 mars 2018 (Cass.com. 28 mars 2018, n°16-20.018) s'est montrée sévère envers la victime d'un hameçonnage en jugeant qu'a manqué par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés, la personne qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel contenant des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu'elle soit, ou non, avisée des risques d'hameçonnage.
D'autres décisions vont dans ce sens.
La Cour de cassation, dans un arrêt du 1er juillet 2020 (Cass. com. 1er juillet 2020, n°18-21.487) a considéré qu'une juridiction du fond ne peut condamner une banque à rembourser à son client la moitié des sommes détournées de son compte par un tiers après avoir retenu qu'il avait commis une négligence grave en répondant à un courriel présentant de sérieuses anomalies tenant tant à la forme qu'au contenu du message qu'il comportait.
Pour retenir la négligence grave, les juges du fond vérifient , au cas par cas, si la victime d'un phishing pouvait avoir conscience ou non de caractère frauduleux du courriel reçu (faute d'orthographe, adresse mail différente...) l'invitant à communiquer ses données personnelles. Si la négligence grave peut être caractérisée, la banque n'aura pas à rembourser les paiements frauduleux.
Si vous avez un doute, contactez directement l’organisme pour lui faire confirmer qu’il est bien à l’origine du message. Consultez le site de la société qui est censée vous avoir envoyé le mail. Certaines publient sur leur site des informations concernant les cas de phishing les concernant.
Pour en savoir plus :
> Voir les vidéos Consomag "Que faire pour ne pas être victime d'hameçonnage ?"," Escroquerie sur internet : comment ne pas se faire avoir ? " et Comment réagir face à un mail de phishing" avec Cybermalveillance.gouv.fr.
Corinne Lamoussière-Pouvreau
Juriste à l'Institut national de la consommation