Fraudes par virement bancaire

[susu51300]

Je tiens à précisé une chose tout de même, lors des virements. Ma banque ma seulement demandé un code pour ajouter le bénéficiaire. Ce qui a été rentrer par les "hackers" pour ajouter le bénéficiaire. Mais aucun code pour que les virements s'effectuent. Donc les 2 virements n'ont pas nécessité de code et donc SA, c'est un manquement grave a la sécurité !

Aucun code n'a été demandé pour effectuer les virements, a partir de la. Il n'y a pas de réel négligence de ma part. Mais belle et bien un manquement à la sécurité qui est bien plus grave que mon manque de négligence.

 

[Triaslau]

Je tiens à précisé une chose tout de même, lors des virements. Ma banque ma seulement demandé un code pour ajouter le bénéficiaire. Ce qui a été rentrer par les "hackers" pour ajouter le bénéficiaire. Mais aucun code pour que les virements s'effectuent. Donc les 2 virements n'ont pas nécessité de code et donc SA, c'est un manquement grave a la sécurité !

Aucun code n'a été demandé pour effectuer les virements, a partir de la. Il n'y a pas de réel négligence de ma part. Mais belle et bien un manquement à la sécurité qui est bien plus grave que mon manque de négligence.

Effectivement et çà doit être le cœur de votre défense. L'opération n'a pas été réalisée par vous et la banque avait l'obligation de vérifier que vous en étiez à l'initiative avant de la réaliser. Il ne faut pas confondre les fraudes où le client a bien fait lui-même le virement à destination d'un escroc, qui sera rarement indemnisé, avec le piratage total du compte et la réalisation d'une opération par un tiers.

Je ne présage pas du tout de la réaction de la banque, car il y a beaucoup trop de paramètres inconnus, mais il faut savoir que plus de 80% des fraudes de ce type sont remboursées (et que ce taux est encore jugé insuffisant eu égard à la loi) bien qu'il ne faut pas se leurrer, ce sont les autres clients qui en supportent le coût. A l'inverse, le montant moyen de ce type de fraude est inférieur à 1000 euros, le montant inhabituel de votre préjudice peut amener la banque a vouloir se battre un peu plus;

Comme vous l'a très justement dit un autre membre, personne ne peut vous répondre avec certitude sur l'issue de ce conflit et, vu le montant, il pourrait être utile de contacter un avocat ou une association de consommateur (L'UFC avait tenté une action contre les banques sur ce thème il y a quelques années, on peut penser qu'ils ont les billes pour vous aider) pour essayer de ne pas tomber dans les 20%.

 

[jmi12]

Je tiens à précisé une chose tout de même, lors des virements. Ma banque ma seulement demandé un code pour ajouter le bénéficiaire. Ce qui a été rentrer par les "hackers" pour ajouter le bénéficiaire. Mais aucun code pour que les virements s'effectuent. Donc les 2 virements n'ont pas nécessité de code et donc SA, c'est un manquement grave a la sécurité !

Aucun code n'a été demandé pour effectuer les virements, a partir de la. Il n'y a pas de réel négligence de ma part. Mais belle et bien un manquement à la sécurité qui est bien plus grave que mon manque de négligence.

La négligence grave risque d'être invoquée du fait que vous avez communiqué vos identifiants de connexion dans le cadre de l'opération de phishing et que vous avez fourni le certicode ayant permis l'ajout d'un compte externe.
Si aucun code d'authentification n'a été adressé par la banque pour effectuer les virements, la banque n'a pas respecté le code monétaire qui dispose, en son article L133-19-V, que " Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l'opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n'exige une authentification forte du payeur prévue à l'article L. 133-44 [lien réservé abonné]."
La banque vous a-t-elle informé, par écrit, de cette situation ? Il se pourrait aussi que votre ligne téléphonique ait été détournée et que les codes d'authentification aient été reçus sur un n° communiqué par le fraudeur.
Si la BP a bien omis d'effectuer une authentification forte, (ce qui reste à vérifier, étant précisé, comme cela a déjà été dit qu'il appartient à la banque d'établir cette circonstance et non à vous, pour valider les virements, elle devrait vous rembourser et il est bien possible qu'elle le fasse. Pour information, dans le cas de Toto_3 que j'ai aidé, 2 débits CB avaient été effectués dont 1 sans authentification. La banque postale a donc remboursé le débit non autorisé effectué sans authentification forte.
Cela pourrait être votre cas. C'est ce que je vous souhaite. Essayez d'obtenir la preuve du défaut d'authentification forte. Dans cette hypothèse, votre défense serait facilitée, en invoquant l'article L133-19-V précité.
Avez-vous regardé si votre ligne téléphonique n'a pas été détournée ?
Cdt

 

[susu51300]

Je ne sait pas comment savoir si ma ligne a été détourné mais en tout cas de mon côté. Pour prouver que il y a eu un manque d'identification. Est-ce possible de demander à mon opérateur mobile la liste des message reçu. Pour bien montrer que je n'ai pas reçu ces codes d'authentification ?

 

[jmi12]

Oui, il serait utile de demander à votre opérateur si les appels de votre ligne n'ont pas été transférés à la date des fraudes et la liste des messages reçus toujours aux mêmes dates, en expliquant la situation et en fournissant les dates des fraudes, si possible par mail ou autre support matériel, afin de se ménager des preuves, si besoin.

 

[baboune]

Si aucun code d'authentification n'a été adressé par la banque pour effectuer les virements, la banque n'a pas respecté le code monétaire qui dispose, en son article L133-19-V, que " Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l'opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n'exige une authentification forte du payeur prévue à l'article L. 133-44 [lien réservé abonné]."

Cette procédure ne concerne t'elle pas les paiements initiés par exemple sur les sites marchands via des prestataires de paiement ?

pour ma part, mes 3 banques ne m'ont jamais envoyé un code par SMS ou une question secrète pour un virement que j'ordonne sur un de mes comptes vers un tiers...
je me connecte à mon espace client, j'initie le virement et je valide avec mon code personnel ou pas selon la banque.

le contrôle d'authentification se fait à la connection sur mon espace personnel avec mon numéro client et mon code secret.
après je fais ce que je veux.

 

[baboune]

dimanche 12 avril, j'ai reçu un email frauduleux de ma banque me demandant de mettre à jour mes coordonnées.

dans cette mise à jour, il y avait votre numéro client et votre code secret ? ou d'autre éléments ?

car si vous avez saisi votre n° client et votre code secret c'est suffisant pour que les escrocs aillent ensuite sur le site de LBP, initient l'ajout du nouveau bénéficiaire (d'où le certicode reçu par SMS) et ensuite procèdent, via votre espace client, aux deux virements vers le Luxembourg.
pas besoin de pirater un téléphone pour cela......

si demain quelqu'un me donne son identifiant client et son code secret dans une banque, je peux faire ce que je veux après sur ses comptes. et pas de certicode ou authentification forte pour cela.

Cdt

 

[susu51300]

Car si vous avez saisi votre n° client et votre code secret c'est suffisant pour que les escrocs aillent ensuite sur le site de LBP, initient l'ajout du nouveau bénéficiaire (d'où le certicode reçu par SMS) et ensuite procèdent, via votre espace client, aux deux virements vers le Luxembourg.
Pas besoin de pirater un téléphone pour cela......

Certe, mais dans ce cas le certicode devient inutile. Car pour faire des virements d'une tel somme. Il semble essentiel de mettre en place une grande sécurité. L'ajout simplement du bénéficiaire par certicode est une chose. Ils ont du forcement avoir accès a mon code sinon ils n'auraient pas pu ajouter leurs compte. Ensuite même s’ils ont réussi, le manque de sécurité au niveau des deux virements est énorme !
Aucun moyen d'authentification fort est utilisé, ils ont simplement fait les virements. Ce qui n'est pas normal pour des virements de cette somme, ils se doivent d'être sécurisés par appelle téléphonique ou autre.

 

[baboune]

moi j'ai un certicode par sms lorsque je rajoute un bénéficiaire à ma liste et il y a 24 heurs de carence avant de pouvoir faire un virement.
une fois ce délai de carence dépassé je peux virer les fonds par le portail internet de ma banque.
par contre sur une de mes deux banques je suis limité en montant journalier...3000 €
après dire qu'il n'est pas normal de ne pas sécuriser un virement de 3000 € par un appel téléphonique ou un certicode, oui surement, peut être,mais si la loi ne le prévoit pas les banques ne seront pas en faute.

je ne défend pas les banques ni n'accable personne, c'est juste aussi un coup de pas de chance que d'avoir répondu à ce mail.
mais vous n'êtes pas le premier et ne serez pas le dernier à qui cela arrive.

le pas de chance c'est que cela tombe au moment où vous avez cette somme sur votre compte.

Cdt

 

[jmi12]

Cette procédure ne concerne t'elle pas les paiements initiés par exemple sur les sites marchands via des prestataires de paiement ?

pour ma part, mes 3 banques ne m'ont jamais envoyé un code par SMS ou une question secrète pour un virement que j'ordonne sur un de mes comptes vers un tiers...
je me connecte à mon espace client, j'initie le virement et je valide avec mon code personnel ou pas selon la banque.

le contrôle d'authentification se fait à la connection sur mon espace personnel avec mon numéro client et mon code secret.
après je fais ce que je veux.

L'authentification forte concerne tous les paiements en ligne et notamment les virements vers des comptes externes. Chez ING et FORTUNEO, à chaque virement externe, un code 3D Secure est envoyé pour valider l'opération. Si l'authentification forte n'est pas appliquée, la banque prend le risque de devoir payer en cas de fraude.

 

[jmi12]

dans cette mise à jour, il y avait votre numéro client et votre code secret ? ou d'autre éléments ?

car si vous avez saisi votre n° client et votre code secret c'est suffisant pour que les escrocs aillent ensuite sur le site de LBP, initient l'ajout du nouveau bénéficiaire (d'où le certicode reçu par SMS) et ensuite procèdent, via votre espace client, aux deux virements vers le Luxembourg.
pas besoin de pirater un téléphone pour cela......

si demain quelqu'un me donne son identifiant client et son code secret dans une banque, je peux faire ce que je veux après sur ses comptes. et pas de certicode ou authentification forte pour cela.

Cdt

Normalement, l'ajout de comptes externes est une opération sensible pour laquelle un code 3D Secure est envoyé. Un 2eme code est envoyé ensuite pour faire les virements. C'est ainsi que cela fonctionne chez ING et FORTUNEO, à ma grande satisfaction.

 

[jmi12]

dans cette mise à jour, il y avait votre numéro client et votre code secret ? ou d'autre éléments ?

car si vous avez saisi votre n° client et votre code secret c'est suffisant pour que les escrocs aillent ensuite sur le site de LBP, initient l'ajout du nouveau bénéficiaire (d'où le certicode reçu par SMS) et ensuite procèdent, via votre espace client, aux deux virements vers le Luxembourg.
pas besoin de pirater un téléphone pour cela......

si demain quelqu'un me donne son identifiant client et son code secret dans une banque, je peux faire ce que je veux après sur ses comptes. et pas de certicode ou authentification forte pour cela.

Cdt

Sauf qu'en vertu de l'article L133-19-V du CMF, si l'authentification forte n'a pas été mise en oeuvre pour le ou les virements et si le payeur conteste avoir réalisé l'opération, la banque devra rembourser.

 

[Anonyme]

A la caisse d'epargne on reçoit un code lorsqu'on se connecte à son espace client, puis un autre lorsqu'on ajoute un compte externe, puis (après 24h d'attente) on peut effectuer un virement mais là encore après avoir reçu un code. Si elle prend toutes ces dispositions c'est parce que la loi l'y oblige.
Si vous arrivez à prouver que vous n'avez pas reçu de code avant que le virement n'ait lieu (et ce sera facile si la procédure n'est pas implantée dans votre banque) vous serez remboursé.

Informez-vous sur les techniques de phishing afin que cela ne vous arrive plus, et informez vos proches pour qu'ils ne tombent pas dans le panneau. Lorsqu'on reçoit un mail douteux la première chose à faire s'il comporte un lien est de le survoler à la souris et de voir en bas de l'écran vers quoi il pointe avant de cliquer dessus. En général ce sont des sites bidons.

 

[C6BIEN]

A partir du moment où votre réponse au mail a donné toutes les informations nécessaires pour que les pirates se connecte à votre place, il leur reste à récupérer la sécurisation par SMS (copie SIM par SWAP opérateur téléphonique ou alors par technique du contre appel du fraudeur qui se fait passer pour qq un d'autre genre banquier ou contrôle d'opération à qui vous donnez le code - si si ça existe)
c'est vous qui êtes reconnu comme initiateur (accès internet + sécurisation)
=> pas de remboursement sauf à lutter juridiquement à l'issue incertaine

 

[jmi12]

A partir du moment où votre réponse au mail a donné toutes les informations nécessaires pour que les pirates se connecte à votre place, il leur reste à récupérer la sécurisation par SMS (copie SIM par SWAP opérateur téléphonique ou alors par technique du contre appel du fraudeur qui se fait passer pour qq un d'autre genre banquier ou contrôle d'opération à qui vous donnez le code - si si ça existe)
c'est vous qui êtes reconnu comme initiateur (accès internet + sécurisation)
=> pas de remboursement sauf à lutter juridiquement à l'issue incertaine

Ne pas oublier l'article L133-19-V qui impose le remboursement des opérations non autorisées qui n'ont pas fait l'objet d'une authentification forte. D'ailleurs, La Poste connaît cette disposition et dans l'affaire de phishing ayant visé notre ami Toto_35, elle a remboursé spontanément une opération qui n'avait pas fait l'objet d'une authentification forte. Dans la présente affaire, il reste à savoir s'il y a eu authentification forte ou pas. Dans tous les cas, c'est à la banque de prouver qu'elle a respecté les règles et pas au client ( article L133-23 du CMF).

 

[Axiles]

Je n'ai pas vu ce conseil dans les messages mais la priorité me semble de consulter un avocat, qui sera surement plus utile que des posteurs anonymes sur un forum, d'aussi grande qualité que soit le forum. Prenez donc mes remarques qui suivent avec la même prudence que les autres retours et prenez conseil auprès d'un expert en complément

Sur le fond, ma compréhension est que vous avez transmis aux fraudeurs les informations nécessaires pour accéder à vos comptes, ainsi que le SMS de validation d'ajout d'un nouveau bénéficiaire. Aussi difficile que soit la situation pour vous, je suis très peu confiant sur l'issue d'une démarche judiciaire en la matière puisque ces deux actions, aussi bons soient les fraudeurs, vous engagent lourdement. Je reste dubitatif sur le fait que votre ligne téléphonique ait été piratée. A votre place, je me préparerais à ne jamais récupérer l'argent.

Par prudence, avez-vous bien changé depuis tous vos identifiants etc ?

Si vous voulez des conseils plus adaptés, je ne peux que vous encoruager à partager les éléments reçus (anonymisés), comme la copie d'écran du mail ou du SMS

Soyez bien assurée que je compatis à vos difficultés en tout cas.

 

[jmi12]

Comme Axiles, je réitère mon conseil de consulter avec toutes les pièces du dossier, une association de consommateur, ou un avocat, si vous le pouvez, notamment si vous avez une assurance juridique.
Vous avez obtenu, me semble-t-il, l'information utile, pour orienter vos recherches et consulter utilement.
Comme je vous l'avais dit, les discussions d'un forum peuvent vous aider, mais l'efficacité de votre défense commande d'étudier le dossier avec un spécialiste.

 

[Bibibenate]

Bonjour,

1 : vous n’avez pas reçu un email frauduleux de votre banque mais un email d’un fraudeur se faisant passer pour votre banque, ce n’est pas la même chose.

2: la Banque ne rembourse que si sa propre négligence est engagée (par ex un virement fait par un conseiller suite à une demande par email sans contre-appel au client pour vérifier son identité) et là ce n’est clairement pas le cas.
Vous avez autorisé des opérations pour lesquelles vous n’étiez pas à l’initiative.
Vous ne pretez pas attention à un message reçu vous informant de la création d’un nv bénéficiaire que vous n’avez pas fait et vous le validez !
Que faut-il de plus ?

en fait la Banque pourrait légitimement se demander si vous n’êtes pas à l’origine de cette fraude et n’en bénéficiez pas.

 

[agra07]

Bonjour,
Je n'ai pas tout compris,

Le 7 avril environ, j'ai fait un prêt a ma banque (LBP) pour un achat moto de 7000 euros.
J'ai dû garder l'argent sur mon compte le temps de recevoir un chéquier pour pouvoir payer ma nouvelle moto.

L'argent est donc sur votre compte et vous n'attendez qu'un chéquier pour payer.

Le problème étant que dimanche 12 avril, j'ai reçu un email frauduleux de ma banque me demandant de mettre à jour mes coordonnées.

Un mail que vous avez cru être de votre banque.
Qu'avez-vous fait exactement en recevant ce mail ? Avez vous cliqué sur un lien ?
Si vous avez cliqué sur un lien, vers quoi pointait ce lien ? un site internet ?
Quels renseignements avez vous donnés (nom, adresse, numéro de téléphone, identifiant, code secret) ?

Suite a sa, le même jour, j'ai reçu un message sur mon téléphone m'informant l'ajout d'un bénéficiaire a mon nom.

Le bénéficiaire a été ajouté le dimanche ?

Je n'ai pas prêté attention

Est-ce que vous avez d'autres comptes bancaires à votre nom ?

J'ai ensuite reçu un message me demandant de rentrer le certicode de validation pour confirmer le virement

Quel jour, quelle heure ?
Avant de valider un virement, ne faut-il pas un certicode pour valider le nouveau bénéficiaire ?
Une demande vous est adressée pour un virement: qu'avez-vous fait ?

Je n'avais pas compris donc je suis allé sur ma banque plus tard

Quel jour, quelle heure ? Quand vous dites "sur ma banque", je suppose qu'il s'agit du site internet de votre banque.

Et j'ai pu y voir 2 virements de 3000 euros vers une autre banque au Luxembourg

A la Banque postale, on ne peut virer que 3000€ par jour mais on peut programmer plusieurs virements à l'avance. Quand vous dites "voir", ces virements étaient-ils programmés ou bien déjà réalisés tous les deux ?

Je suis immédiatement partit à mon bureau de poste et de la. J'ai appris que c'était un mail auquel je n'aurai pas dû répondre.

Quel jour, quelle heure ?

Vous voudrez bien m'excuser pour la précision de ces questions, mais dans le cadre d'une procédure, je pense que les éléments factuels sont déterminants devant un juge.

 

[jmi12]

Bonjour,

1 : vous n’avez pas reçu un email frauduleux de votre banque mais un email d’un fraudeur se faisant passer pour votre banque, ce n’est pas la même chose.

2: la Banque ne rembourse que si sa propre négligence est engagée (par ex un virement fait par un conseiller suite à une demande par email sans contre-appel au client pour vérifier son identité) et là ce n’est clairement pas le cas.
Vous avez autorisé des opérations pour lesquelles vous n’étiez pas à l’initiative.
Vous ne pretez pas attention à un message reçu vous informant de la création d’un nv bénéficiaire que vous n’avez pas fait et vous le validez !
Que faut-il de plus ?

en fait la Banque pourrait légitimement se demander si vous n’êtes pas à l’origine de cette fraude et n’en bénéficiez pas.

Sur le point 1, vous avez raison, puisqu’il s’agit de phishing, les mails reçus et les sites vers lesquels ils renvoient imitant, en général, très bien, ceux de la banque.

Sur le point 2, la problématique n’est pas aussi simple.

Ce qui est sûr, c’est que la règlementation du code monétaire et financier qui transpose en droit interne les directives européennes sur les moyens de paiement est particulièrement protectrice du consommateur, ce qui n’est pas une mauvaise chose en soi, quand on voit la multiplication et la sophistication des fraudes aux moyens de paiement, mais comme toujours dans les systèmes bienveillants, certains aigrefins professionnels en profitent pour commettre leurs forfaits, sachant qu’au final, la fraude est payée par le consommateur.

Il ne faudrait pas en conclure que toutes les victimes de phishing ou toutes les personnes se présentant comme telles, sont des escrocs, bien au contraire. La plupart des victimes sont des gens de bonne foi, parfois insouciants, mais aussi, je pense, souvent peu au fait des techniques de piratages et ayant une maîtrise réduite voire inexistante de l’outil informatique. C’est gens-là doivent être protégés et défendus, dans la mesure bien sûr où leur vigilance minimale relative à la préservation des données personnalisées de sécurité (identifiant, mot de passe, code d’authentification forte, …) est respectée. C’est ainsi que la jurisprudence de la cour de cassation considère qu’il y a négligence grave permettant de refuser le remboursement des sommes détournées, si l'utilisateur d'un service de paiement communique les données personnelles de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance.

Le client a donc des obligations et notamment celles de préserver la sécurité de ses données de sécurité personnalisées (article L 133-16 du CMF).
Mais la banque a, lorsque le client conteste avoir autorisé une opération de paiement exécutée, d’autres obligations et elle supporte notamment, en vertu de l’article L133-23 du CMF, la charge de prouver que « l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre ». L’article L133-23 rajoute même : « L'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d'initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l'utilisateur de services de paiement. »

La justice ne fait qu’appliquer cette législation.

La banque, est, en outre, dans le cadre des conventions de compte, soumise à la responsabilité contractuelle et elle doit, le cas échéant, répondre des manquements à ses obligations, ce qui permet à la partie lésée, d’obtenir une indemnisation sur le fondement de l’article 1231-1 du code civil. La jurisprudence bancaire fait application de cette disposition, comme du CMF.

Pour porter un jugement éclairé sur une fraude bancaire, il faut avoir une connaissance précise des faits ayant conduit à sa réalisation, ce qui est clairement impossible, dans le cadre de discussions de forums, quelle que soit par ailleurs la qualité des intervenants. On peut donner des pistes, fournir des informations juridiques utiles à la victime, mais au final, si elle n’a pas de compétence juridique affirmée, elle doit consulter, comme cela a été dit, plusieurs fois.