Piratage des comptes bancaires, comment se défendre ?

www4.halton.gov.uk

Les modes de piratages informatiques se multiplient et se diversifient.

On connaissait le piratage de la carte bancaire, on peut aussi mentionner celui d’une ligne téléphonique ou l’intrusion dans un système informatique pour « bloquer », moyennant paiement d’une rançon, les données et fichiers d’une entreprise.

Nous évoquerons ici le cas particulier du piratage de messagerie informatique permettant d’intercepter les communications du client avec sa banque et de donner ainsi de faux ordres de virement.

Le procédé consiste à s’introduire dans la messagerie d’une entreprise, particulièrement celle du chargé d’effectuer les divers paiements (fournisseurs, URSSAF, etc).

Puis lorsque l’entreprise transmet par messagerie internet un ordre de virement à sa banque pour paiement, le pirate l’intercepte et lui substitue un ordre de paiement mais au profit d’un compte ouvert pour l’occasion.

Le pirate utilise les mêmes termes que la demande de virement véritable, les formules échangées dans le mail adressé à la banque, les noms des interlocuteurs, etc.

Le temps de se rendre compte de la supercherie, il est trop tard pour bloquer le paiement frauduleusement obtenu.

Quels recours peut alors envisager l’entreprise ?

Bien évidemment il faut se tourner vers la banque.

Le Code Monétaire et Financier prévoit que si l’utilisateur de service de paiement nie avoir autorisé une opération (et en l’espèce l’entreprise n’a jamais autorisé de payer le pirate !), la banque doit prouver que l’opération a été dument authentifiée par elle, ou bien prouver qu’il y a eu fraude ou négligence grave commise par l’utilisateur (article L 133-25).

La banque aura toujours des difficultés à prouver qu’elle a authentifié l’opération, sauf cas particulier que nous verrons ci-dessous.

Le plus souvent, elle invoquera la négligence de l’utilisateur, qui n’a pas sécurisé sa messagerie ou n’a pas demandé à utiliser un système sécurisé d’authentification avec sa banque.

Là aussi, une parade peut exister : vérifier son contrat d’ouverture de compte.

Si le contrat ne prévoit pas que les ordres de virement ou autres transactions doivent se faire par un système spécifique et sécurisé, ou être doublé de confirmation, la banque ne pourra pas ajouter une condition qui ne figure pas dans le contrat.

Si un système d’authentification a été mis en place entre la banque et son client, elle pourra prouver qu’elle a par ce biais authentifié l’ordre de paiement.

Ce qu’il faut aussi savoir, c’est que la banque est tenue par les obligations de l’article 1937 du Code Civil, relatif au dépôt.

Dépositaire des fonds du client, la banque doit restituer les fonds à celui qui les a déposés ou « à celui qui a été indiqué pour le recevoir ».

Ainsi en payant l’ordre de virement au pirate, la banque manque à son obligation de dépositaire

Enfin, l’article L 133-19 V du Code Monétaire et Financier prévoit que

« V. – Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L. 133-44. »

En conséquence, si la banque n’exige pas une authentification forte, elle engage sa responsabilité.

La notion d’authentification forte est définie par le même code notamment pour « exécuter une opération par le biais de communication à distance susceptible de comporter un risque de fraude en matière de paiement », et l’ordre de virement par internet entre dans cette définition.

On voit que face à un piratage, il existe donc des solutions.

Le poids qui pèse sur les banques pourrait paraître lourd, mais il s’agit sans doute de les inciter à plus de vigilance et surtout à s’équiper et équiper leurs clients de parades, de systèmes sécurisés, et de moyens d’authentification efficace.

Pour tout renseignement complémentaire, rapprochez-vous de notre cabinet, plus précisément de https://lhoiry-velasco-avocats.com/contact/.

Scroll to top