Agefi Luxembourg - mai 2024

Mai 2024 47 AGEFI Luxembourg Informatique / Sécurité Par Stéphane ASENCIO, Avocat associé au sein du cabinet Redlink avocats L ’environnement bancaire est aujourd’hui l’une des cibles privilégiées des délinquants. Les tentatives d’escroquerie aux opérations bancaires se présentent à chacun, sans cesse voire quotidien- nement sur l’ensemble de nos outils de communication. L’actualité fait cependant appa- raitre des techniques de trom- perie aux opérations bancaires qui empruntent les contours les plus classiques d’escroquerie par usurpation d’identité. C’est ce que révèlent les fraudes au faux conseil- ler bancaire (ainsi que celles proches du faux courtier en prêt) qualifiée de « phénomène de 2023» par Cybermalveillance .gouv.fr dans son rapport publié le 5 mars 2024. Ces fraudes (connues sous la dénomination de «spoofing») correspondent à la manœuvre par laquelle, le dé- linquant se fera passer pour un conseiller (ou autre qualité) de la banque de la victime, tentant de lui faire effectuer des opérations préjudicia- bles sur son compte. A l’appui de cette manœuvre, l’auteur usera le plus souvent en premier lieu de divers moyens de phishing (hameçonnage), email, smishing (sms provenant d’un numéro inconnu) ou sa ver- sion spoofing (sms provenant d’un numéro connu)… Dans un second temps, le délinquant passera à l’attaque par le contact téléphonique direct («vi- shing»). Enfin, le cyberdéliquant pourra aussi tenter de récupérer la CB de sa victime en dépêchant un coursier complice. Là où la manœuvre est d’une redoutable perver- sité, c’est lorsque l’escroc appelle avec le numéro de téléphone de la banque. Si les prétextes utilisés sont variés, ils ont tous vocation à effrayer le client en invoquant un problème quelconque dont il se- rait victime. Il lui sera alors notamment demandé des codes de confirmation et/ou la validation d’opérations destinées à résoudre le (faux) inci- dent voire de rendre sa CB qui aurait été piratée. Bien que les établissements bancaires aient pris la mesure de cette fraude en alertant leur clien- tèle, cette technique frauduleuse qui mise sur la surprise faite à la victime, est d’une redoutable efficacité. Les toutes dernières mesures instaurées notam- ment par les pouvoirs publics ne règlent malheu- reusement pas tout. Par exemple un récent décret n° 2022- 1313 du 13 octobre 2022 d’application de la loi n° 2020 -901 du 24 juillet 2020 visant à encadrer le démarchage télé- phonique et à lutter contre les appels frauduleux, en application en France depuis le 1 er mars 2023, enjoint aux opérateurs téléphoniques de mettre en place un système d’authentification des numéros avec une coupure obligatoire des appels non authentifiés. Toutefois, cette mesure effi- cace contre les usurpations de numéros de téléphone à 10 chiffres ne s’applique qu’aux appels émis du ter- ritoire français et non à ceux venant de l’étranger. Or la plupart des fraudes par vi- shing proviennent de l’étranger. Contre le spoofing, les réponses apportées de- meurent identiques à celles opposées aux autres manœuvres frauduleuses : vigilance et dili- gence : - D’abord en termes préventifs pour éviter l’ac- complissement du détournement ; - Ensuite dans les mesures réparatrices en cas de détournement accompli. Dans un objectif de prévention , les établisse- ments bancaires multiplient les messages d’infor- mation et d’alertes auprès du public. Il convient de les appréhender et d’en suivre les consignes. Le bon sens doit aussi prévaloir. Ce qu’il faut savoir : - Ce qu’un vrai banquier ne fera pas : - Requérir vos données confidentielles même aux fins de protection de votre compte ; - Envoyer un coursier en se montrant insistant pour récupérer une carte bancaire piratée. - Que les fraudes surviennent en majorité les veilles de week-end, jours fériés : Les délinquants ont pour usage d’agir les ven- dredis, les veilles de jours fériés ou en période de vacances (l’été) afin de rendre plus compli- qué ou tardif le contact avec le vrai profession- nel et limiter l’efficacité de la procédure de «recall» (v. infra ). Ce qu’il faut faire : agir rapidement en contactant son banquier au moindre soupçon. En agissant rapidement, les chances de récupérer l’argent détourné augmentent. La procédure de «recall» notamment ne peut être efficacement en- gagée que dans les heures suivant l’opération frauduleuse. Cette dernière permet de récupérer auprès de la banque du compte crédité, tout ou partie de l’argent indument prélevé. Ce qu’il ne faut pas faire : ne pas donner suite à l’appel d’une voix inconnue : Si la voix du prétendu banquier est méconnais- sable ou suspecte, il est préférable de raccrocher et appeler l’agence pour vérifier la véracité de l’appel. Une fois le délit accompli, sa victime en recher- chera fort logiquement réparation, d’abord contre ses auteurs (après dépôt de plainte que les banques demandent systématiquement au client victime d’effectuer) mais aussi contre son établis- sement bancaire. Il sera ici principalement repro- ché au professionnel, un manquement dans ses obligations de vigilance et de diligence. En retour, pour justifier un refus d’indemnisa- tion de son client, le professionnel reprochera également à ce dernier un défaut de vigilance et de diligence. Ces deux paramètres sont au cœur des règles de réparation qu’elles relèvent (du moins pour la France) du droit commun de la responsabilité professionnelle ou de dispositions spéciales. En effet, lorsque la responsabilité du banquier est recherchée en raison d’une opération de paie- ment non exécutée oumal exécutée, les règles ap- plicables, assez similaires d’un pays de l’Union Européenne à l’autre puisqu’issues des directives 2007/64/CE du 13 novembre 2007 et (UE) 2015/2366 du 25 novembre 2015, prévalent sur le droit commun (1) . En France, ce régime spécial est sis aux articles L. 133-18 à L. 133-24 du Code Monétaire et Finan- cier (CMF). Il repose sur un principe d’indemnisation automa- tique et des exceptions de non-indemnisation (2) : Le principe d’indemnisation du client victime d’une opération de paiement non autorisée , est visé à l’article L. 133-18 CMF. Les exceptions au principe , plus intéressantes à présenter, s’appliquent. - En présence d’instruments de paiement dotés de données de sécurité personnalisées (articles L. 133-19 et L. 133-20 CMF) ; - Et en cas de paiement non autorisés oumal exé- cutés (articles L. 133-23 et L. 133-24 CMF). En application de ces textes (essentiellement L. 133-19-IV et L. 133-23CMF), le banquier est fondé à refuser le paiement des sommes réclamées par son client lorsque (i) Il n’y a pas de déficience dans son système technique de paiement et (ii) le client a commis des négligences graves per- mettant la réalisation de la fraude. (i) Il appartiendra, ici, à la Banque de démontrer que l’ordre de paiement litigieux n’a pu être donné que par le client, ce compte tenu de l’uti- lisation d’un processus de paiement avec authen- tification forte soit un dispositif de vérification d’identité destiné à renforcer la sécurité des opé- rations en ligne. Ce processus procure en effet un haut niveau de sécurité permettant d’établir avec suffisamment de certitude que le client est à l’ori- gine de l’opération de paiement. (ii) Quant à la négligence grave, les juges l’appré- cient au regard de l’attitude que devrait ou aurait dû avoir un client normalement vigilant dans la situation litigieuse, ce par exemple au regard « d’indices permettant à un utilisateur normalement attentif de douter de (la) provenance (du courrier), peu important qu’il soit avisé ou non des risques d’hame- çonnage» (3) . En effet, si les cas d’escroquerie aux opérations bancaire étaient, il y a encore quelques années, peu connues et publicisées, les banques communiquent, aujourd’hui, exhaustivement à ce sujet auprès de leur clientèle. C’est pourquoi les juridictions sont plus enclines à sanctionner les naïvetés «coupables». Pour certains juges, « Il n’est ainsi même plus besoin d’une information spécifique de la banque pour infor- mer ses clients que les données de sécurité ne doivent jamais être remises par téléphone ou suite à une de- mande par courriel. » (4) Au surplus, la bonne foi est un argument de moins en moins retenu par les juges pour atté- nuer la responsabilité du client lésé. Les juridic- tions se montrent, du moins pour certaines, plus sévères, attendant des clients de banques de plus grandes vigilances et diligences pour la préser- vation de leurs intérêts. Toutefois onmanque en- core aujourd’hui de suffisamment de recul sur la manière dont les juridictions françaises vont trai- ter les contentieux opposant les clients à leur banque en matière spécifique de spoofing. Mais dans la mesure où notamment en cas de «vishing et/ou sms spoofing» le client a été trompé par une forte et efficace apparence de vé- racité, la commission d’une négligence grave de sa part se discutera plus âprement dans les pré- toires. Le spoofing fera, sans nul doute, encore parler de lui en 2024 même sans la palme de phéno- mène de l’année. En attendant, face à la fraude au faux conseiller bancaire, demeurons vigilants et diligents ! 1) V. Chambre commerciale de la Cour de cassation du 27 mars 2024, pourvoi n° 22-21.200 dans la suite des décisions de la CJUE du 2 septembre 2021, aff. C-337/20, CRCAM, pts 42 et 45 et du 16 mars 2023, aff.C-351/21 BEOBANK, pt 37. 2) Là où le droit commun pour ouvrir l’indemnisation au client requiert de celui-ci, la preuve d’un manquement du banquier à ses obligations notamment de vigilance et d’un lien de causalité entre ledit manquement et le préjudice subi par le client. 3) Chambre commerciale de la Cour de cassation du 28 mars 2018, pourvoi n°16-20.018. 4) Cour d’appel de Rennes, 28 mars 2023, n°22-04.257 Face aux faux conseillers bancaires (spoofing) : demeurons vigilants et diligents (l’exemple français) P wC Luxembourg pre- sent the agenda of this year’s PwC Cy- bersecurity & Privacy Day, taking place on 5 June 2024 at PwC’s Luxembourg’s Crystal Park premises. The agenda of the day includes many presentations as well as interactive workshops sessions. Furthermore, the top five innovative solu- tions selected for this year’s Cybersecurity & Privacy Solution of the Year Award will compete during the Pitching Contest. The mission of the PwC Cyber- security and Privacy Day is to help all businesses stay as se- cure as possible in a complex and dynamic digital society. This year’s main theme will be: ‘The AI paradox: A blessing or a curse?”. The significant impact of Arti- ficial Intelligence (AI) on re- shaping cybersecurity is clear, yet ensuring the protection of AI systems is essential to avoid negative consequences. The increasing use of AI is driven by the availability of powerful and cost-effective computer chips, making it fea- sible for organisations of vari- ous scales to adopt. This trend is further propelled by the ex- ponential expansion of digital data. As AI applications be- come increasingly integrated into everyday activities, their importance in cybersecurity grows significantly. Besides, AI and privacy of data are deeply intertwined con- cepts in today’s digital land- scape. As AI technologies become increasingly prevalent in various aspects of our lives, the handling and protection of personal data have become critical concerns. To address these concerns, it’s crucial to implement robust privacy safe- guards and regulations. By im- plementing robust privacy measures and upholding ethi- cal standards, we can harness the power of AI while safe- guarding the privacy and dig- nity of individuals. The event intends to offer com- prehensive perspectives on both the benefits and the chal- lenges posed byAI in the realm of cybersecurity and privacy. In fact, in PwC’s 27th Annual Global CEO Survey - Thriving in an age of continuous rein- vention - the results showed that CEOs in this year’s survey reflect similar concerns over the potentially significant, un- intended consequences that could emerge from the surge of generative AI. It turns out from the survey that when it comes to genera- tive AI, CEOs are most con- cerned about cybersecurity risk—and over half agree that it is likely to increase the spread of misinformation in their company. Koen Maris, Advisory Partner and Cybersecurity & Privacy Leader at PwC Luxembourg, says: “This year’s event theme seems especially relevant. Cy- bersecurity and data protection are paramount to keep our pri- vacy safeguarded in a world fuelled by Artificial Intelli- gence. We’ve curated a rich agenda that directly addresses this theme, featuring excellent speakers and workshops. As always, the pitching competi- tion is a highlight of our event, and I’m excited to announce that this year, we have a di- verse range of solutions being presented! It’s shaping up to be an exceptional event, and I can’t wait to see you there”. PwC Cybersecurity & Privacy Day 2024 Participants on the day will benefit from internationally renowned speakers, shedding light on challenges we are fac- ing in today’s sophisticated digital world. This year, we are very excited with the expertise of our speakers who were carefully selected with the topic of “The AI paradox: A blessing or a curse?” Some speaker highlights in- clude: - Geoff White , Investigative Journalist, Speaker andAuthor - Mika Lauhde , Senior Fellow, FIET, Private Law of Faculty of Law, Maastricht University - Donia El Kateb , Senior IT-Se- curity Engineer, European In- vestment Bank (EIB) - Stan Scharnigg , Co-founder – Operations/Finance/Sales, Chunk Works - Herwig Hofmann , Professor of European and Transnational Public Law, Head of the De- partment of Law, University of Luxembourg, FDEF - Nico Sienaert , Sr. GTM Lead Security, Microsoft - And many others… PwC Cybersecurity & Privacy Day agenda: https://lc.cx/_8OWQM PwC Cybersecurity & Privacy Day 2024 - 5 June 2024 “TheAI paradox: Ablessing or a curse?”