Phishing: les victimes ne sont pas toujours remboursées par les banques

Avec l’augmentation des payements numériques et l’avènement de l’Intelligence artificielle, les victimes de phishing sont de plus en plus nombreuses. Et toutes ne récupèrent pas les sommes perdues.

Le phishing est l’escroquerie des temps moderne. Via des faux e-mails, des messages sur facebook ou whatsapp ou encore via sms, des escrocs tentent de soutirer des données bancaires à leur victime pour ensuite les utiliser pour effectuer des achats en ligne. Pour y parvenir, les escrocs se font souvent passer pour quelqu’un d’autre. Soit un ami, quelqu’un de votre famille, mais aussi votre banque ou encore votre fournisseur d’énergie. Une technique florissante puisque pas moins de 25 millions ont ainsi été détourné en 2021 pour la Belgique. Selon le Moniteur de sécurité, ce n’est pas moins de 40,1% des Belges qui ont été victimes de tentative d’hameçonnage en 2021.

Est-on systématiquement remboursé ?

Normalement, en cas de phishing, on peut être remboursé par l’organisme de paiement (qui est le plus souvent une banque). En effet, comme le stipule le site de SPF Finances, «les règles applicables en cas de phishing sont identiques à celles applicables en cas de perte ou de vol d’un instrument de paiement (carte bancaire, une application mobile de paiement, homebanking)». Des règles qui sont reprises dans les articles VII.38 à VII.45 du Code de droit économique. Elles disent, grosso modo, que comme le paiement n’a pas été autorisé, il n’aurait pas dû être effectué.

Mais si la victime de phishing a des droits, elle a aussi des devoirs. Elle est ainsi tenue à trois obligations si elle veut prouver sa bonne foi ou plutôt son manque de responsabilité.

Elle doit :

–        utiliser l’instrument de paiement conformément aux conditions contractuelles

–        prendre toutes les mesures raisonnables afin de préserver la sécurité de l’instrument de paiement et de ses données de sécurité personnalisées

–        en informer et notifier sans délai la perte ou le vol à la banque et/ou le tiers désigné (Card Stop par exemple).

Soit trois conditions qui peuvent être particulièrement piégeuses pour peu qu’on n’y prenne pas garde. Ce sont surtout les deux derniers points qui peuvent prêter à discussion et réserver de mauvaises surprises. Ainsi qu’est-ce qu’une mesure raisonnable pour préserver la sécurité de ses données ? Et à combien de temps estime-t-on le « sans délai » ?

Sans délai = tout de suite

Commençons par répondre à la temporalité du “sans délai”. La réponse est théoriquement simple puisqu’on pourrait la résumer par “au plus tôt, au mieux”. Plus tôt, vous prévenez votre banque, plus les chances de récupérer les fonds volés sont élevées.

Donc dès que vous vous rendez compte que vous avez été victime de phishing, vous devez immédiatement contacter votre banque ou le tiers désigné par celle-ci et faire bloquer les instruments de paiement. Attention cependant, et ceci n’est pas un détail, Card Stop ne bloque que les cartes et pas, par exemple, les applications bancaires. Il est donc impératif d’aussi prévenir votre banque pour vérifier que celles-ci soient aussi bloquées. Car la fraude peut être large et toucher tous vos moyens de paiements.

Pour éviter toutes discussions ultérieures, il est également vivement conseillé de garder une preuve que la notification/signalement a été fait (mail, capture d’écran, sms). Tout comme il est utile d’établir procès-verbal au bureau de police le plus proche et de transmettre le numéro du PV à votre banque et à votre éventuel assureur. Une chose encore trop rare puisque seuls 6,6% des victimes de phishing l’ont signalé à la police.

Deux cas

Le fait que l’escroquerie soit notifiée rapidement va surtout avoir un impact non négligeable sur la suite. Soit sur un éventuel remboursement.

En effet, le Code de droit économique établit une distinction selon que l’opération non autorisée a eu lieu avant ou après la notification d’une utilisation non autorisée de l’instrument de paiement.

–        L’opération de paiement non autorisée a eu lieu après la notification : la banque doit rembourser immédiatement au payeur le montant. C’était en effet à elle d’empêcher l’utilisation de l’instrument de paiement après la notification.

–        L’opération de paiement non autorisée a eu lieu avant la notification : vous payez généralement une franchise de 50 euros. On notera qu’il existe 3 exceptions qui peuvent faire sauter cette franchise: si la victime ne pouvait pas détecter la fraude, la faute est due à une carence de la banque ou du système ou s’il n’y a pas d’identification assez fortes.

Négligence grave et mesure nécessaire

Le délai trop long avant de notifier la fraude n’est pas le seul point qui peut faire que vous ne récupériez pas vos pertes en cas de phishing. Une négligence grave peut aussi faire que la note sera pour le seul payeur.

En effet, si les pertes financières résultent du fait que le payeur «n’a pas satisfait, intentionnellement ou à la suite d’une négligence grave, à une ou plusieurs des obligations liées à l’utilisation d’un instrument de paiement », ce sera à lui de payer.

Concrètement, si la personne a fait preuve d’un « degré significatif d’imprudence », par exemple en transmettant elle-même son numéro d’identification ou son code, elle peut oublier tout remboursement. Et, autant le savoir, une autre forme de « négligence grave » est d’inscrire ses codes sur le mode de paiement ou sur un document que l’on porte sur soi et facilement reconnaissables.

Par contre une présomption de comportement négligent n’est pas suffisante pour refuser un remboursement. C’est toujours à la banque de prouver qu’il y a bien eu négligence et de motiver sa décision. C’est donc à elle de démontrer qu’au moment des faits, vous saviez ou auriez dû savoir qu’il s’agissait d’une arnaque.

Enfin vous pouvez toujours contester la décision de la banque ou de l’établissement de paiement. On notera cependant qu’un peu plus d’un tiers de plainte aboutissent.

Forme de phishing, smishing, vishing, code QR

Les escrocs derrière le phishing sont particulièrement retors et créatifs. Tout le monde est susceptible de se faire avoir. Néanmoins voici quelques pistes pour ne pas se faire avoir.

–        Par e-mail : soit en demandant des données soit en infectant votre appareil via un malware via une pièce jointe.

–        Par SMS, WhatsApp ou Facebook Messenger : c’est le “smishing” qui contient soit une mise en garde ou une offre disponible en cliquant sur un lien ou un numéro de téléphone.

–        Le vishing, soit le phishing par téléphone ou message vocal. Pour signaler un problème sur votre pc ou de la part d’un organisme officiel pour vous permettre de toucher une prime ou encore de votre banque. Or jamais une instance officielle ne vous téléphonera pour vous demander votre numéro de compte. Un indice est le ton pressant et le fait que les tentatives d’escroquerie ont souvent lieu le week-end ou le vendredi soir pour éviter toute vérification auprès de la banque.

– Le spoofing est également de plus en plus utilisé. Soit une technique qui consiste à imiter une adresse électronique existante pour mieux tromper le destinataire.  

–        Par code QR. Il faut se méfier d’une demande de paiement en ligne pour laquelle vous scannez un code QR car il peut mener un environnement de paiement frauduleux. En cas d’achat en ligne le transfert manuel est toujours préférable.

–        Le grand classique. La demande d’un « ami » via les réseaux sociaux ou par mail : une connaissance ou un proche a besoin d’argent rapidement et vous demande de faire un paiement.  C’est d’autant plus pervers que certains vont jusqu’à imiter la voix du proche. 

9 astuces pour voir s’il s’agit de phishing