La nouvelle ère des escroqueries bancaires : le "spoofing" par SMS et la fraude par échange de cartes SIM

Comment reconnaître une tentative de fraude et les possibilités de récupérer l'argent volé en Italie

Dans le domaine des escroqueries bancaires, la pratique du "phishing" est désormais bien connue. L'une des façons de procéder est l'acquisition illicite de données d'accès et de mots de passe personnels par l'envoi de courriels avec lesquels les fraudeurs, se faisant passer pour une banque ou une société connue, volent les informations d'identification nécessaires pour accéder à la home banking de la victime afin de transférer tout ou partie de l'argent se trouvant sur le compte. Dans la plupart des cas, l'auteur de l'escroquerie est inconnu, ce qui empêche la victime d'obtenir la restitution des fonds détournés.

Adiconsum a tiré la sonnette d'alarme après une série d'escroqueries en Sardaigne au cours des derniers mois, en particulier pour les utilisateurs de la BPER, mieux connue sur l'île sous le nom de Banco di Sardegna (qui avait également intégré la Banco di Sassari).

Au fil du temps, les fraudeurs ont développé des stratégies différentes de celle décrite ci-dessus, également mises en œuvre par le biais de sms classiques (smishing) ou d'appels vocaux (vishing). Récemment, de nouvelles techniques ont été mises en œuvre pour tromper encore plus sournoisement les victimes sans méfiance.

La première, appelée SMS Spoofing, consiste toujours à envoyer des messages texte, mais contrairement au smishing, dans lequel le message provient d'un numéro inconnu, l'escroc envoie le SMS "piège" en faisant croire qu'il a été envoyé par un expéditeur certifié (comme provenant de son propre établissement de crédit ou de véritables sociétés de services). De cette manière, le message apparaît sur le smartphone du destinataire dans le chat de l'expéditeur, avec d'autres messages réellement reçus, trompant ainsi le destinataire. Le message communique donc un prétendu problème qui ne peut être résolu que par le biais d'un lien joint. Ainsi, dès que le destinataire clique sur le lien inséré, il est transféré sur la page d'un faux site, apparemment identique à celui de la banque que le fraudeur a remplacée. Ce faisant, le client, croyant se trouver sur le site de sa propre banque, introduit ses données d'accès, ce qui permet à l'escroc de les voler et de les utiliser immédiatement pour effectuer des virements en sa faveur.

Il peut également arriver qu'une fois que le fraudeur a obtenu les données du client via le lien, il le contacte par téléphone en se faisant passer pour un fonctionnaire de la même banque et lui demande des informations supplémentaires, telles que des mots de passe temporaires pour autoriser les paiements.

Une autre nouveauté parmi les techniques frauduleuses est la fraude dite "Sim Swap", par laquelle l'escroc, se substituant à la victime, demande à un centre téléphonique un duplicata de la carte Sim au nom de cette dernière. Une fois la carte SIM insérée dans le téléphone portable de la victime, l'imposteur est en mesure d'obtenir les clés d'accès au home banking de la victime sans méfiance et d'effectuer des paiements en sa faveur.

Dans ce cas, d'ailleurs, la personne spoliée se rendra compte trop tard de la fraude, car elle ne remarquera d'abord qu'un dysfonctionnement soudain de son propre compte téléphonique. Ce n'est qu'après s'être rendu au centre téléphonique de son opérateur que l'escroc se rendra compte de la duplication de sa carte SIM. L'escroc disposera donc d'un temps considérable pour effectuer toutes les opérations nécessaires pour vider le compte de la victime.

Habituellement, dans les cas classiques de phishing, la responsabilité est attribuée à la victime, car elle est coupable d'une faute "grave", consistant à avoir fourni ses données d'accès à l'escroc, de sorte que l'établissement de crédit reste étranger à l'affaire.

Le seul moyen de récupérer les sommes volées serait donc d'identifier le fraudeur, une opération qui est loin d'être simple.

Cependant, en ce qui concerne les formes de fraude les plus récentes, connues sous le nom de SMS Spoofing et Sim Swap Fraud, plusieurs décisions, tant de l'autorité judiciaire que de l'arbitre bancaire et financier (ABF), ont reconnu un profil de culpabilité "semi-objective" de la part de l'institution bancaire (conformément à l'article 10 du décret législatif 11/2010), avec la condamnation au remboursement de la somme soustraite à la victime par l'escroc.

Plus précisément, dans ce type de procédure, outre la responsabilité contractuelle découlant de la relation avec l'utilisateur, il incombe à l'institution bancaire de prouver la négligence de l'utilisateur, c'est-à-dire de démontrer que la victime a agi dans l'intention de nuire ou par négligence grave en fournissant ses informations d'identification ou ses données personnelles.

Il incombe également à la banque de prouver qu'il n'y a pas eu de dysfonctionnement du logiciel, qu'elle n'a pas reçu de rapports d'opérations suspectes et anormales et, surtout, qu'elle dispose d'un système de sécurité "solide", capable de protéger les opérations, les comptes et les données personnelles de ses titulaires de compte.

Dans les cas susmentionnés, les modalités frauduleuses spécifiques, plus difficiles à reconnaître avec la diligence normale due à l'utilisateur, peuvent donc permettre à la victime de s'exonérer de la culpabilité "grave" requise pour imputer la responsabilité de ce qui s'est passé ; en effet, l'établissement de crédit, ne fournissant pas la preuve du comportement négligent du titulaire du compte et de la sécurité réelle de ses systèmes, sera tenu pour responsable du vol de l'argent sur le compte courant, avec la condamnation qui s'ensuit au remboursement des sommes en cause.

C'est précisément la Cour de cassation qui, dans son arrêt 10638/2016, a considéré qu'"un établissement qui exerce une activité de type financier ou, en général, de crédit (.... ) est responsable, en tant que titulaire du traitement de données à caractère personnel, des dommages résultant du fait qu'il n'a pas empêché des tiers de s'introduire illégalement dans le système informatique du client en capturant ses codes d'accès et les instructions de virement illicites qui en découlent, à moins qu'il ne prouve que le fait dommageable ne lui est pas imputable parce qu'il résulte d'une négligence, d'une erreur (ou d'un dol) de l'intéressé ou d'un cas de force majeure ".

Si vous êtes ou pensez être victime de phishing, vous pouvez contacter notre cabinet pour obtenir des conseils ; nos avocats, présents dans toute l'Italie et à l'étranger, pourront vous aider en évaluant la meilleure stratégie pour récupérer les sommes qui vous ont été volées.