Phishing et banque en ligne : la cible privilégiée des escrocs

Internet Pratique : De plus en plus de personnes sont victimes de « phishing ». On parle aussi de « hameçonnage ». Sur un plan juridique, comment de tels agissements sont-ils qualifiés et réprimés ?

Maître Frédéric Guénin : En effet, les médias se font régulièrement l’écho de personnes qui ont hélas donné suite à des courriers électroniques leur ayant demandé de mettre à jour leurs informations bancaires ou de se connecter à leur compte au prétexte fallacieux d’un problème de sécurité et qui se sont retrouvées dépossédées de tout ou partie de leurs avoirs.

Cette pratique, qui emprunte la technique du « spam » en ce qu’il s’agit le plus souvent d’envois massifs de courriers électroniques à des milliers de personnes, constitue a minima une escroquerie au plan pénal.

Le Code pénal dispose que l'escroquerie est notamment le fait, par l'usage d'un faux nom ou l'emploi de manœuvres frauduleuses, de tromper une personne et de la déterminer ainsi, à son préjudice, à remettre des fonds, des valeurs ou un bien quelconque.

Or, ces courriers électroniques contrefont les marques des banques (dénominations, logos), utilisent tout aussi faussement leurs noms commerciaux et leur charte graphique (codes couleurs, police et taille de caractères…). Ils font ainsi croire à leur destinataire que c’est bien leur banque qui leur écrit, ce qui constitue la tromperie.

Les manœuvres frauduleuses sont, elles, constituées par le fait de prétexter une mise à jour des données de connexion du client de la banque par exemple.

Les victimes sont dirigées vers un faux site ressemblant à celui de leur banque. En croyant accéder à leur compte bancaire en ligne, elles remettent ainsi aux escrocs leurs codes confidentiels. Ces codes confidentiels sont ensuite utilisés pour opérer des transferts de fonds. Ils sont également vendus à des réseaux mafieux.

Pour mémoire, l'escroquerie est punie de cinq ans d'emprisonnement et de 375.000 euros d'amende. Mais il est souvent difficile de poursuivre les auteurs de ces agissements délictueux qui prennent la précaution d’opérer à partir de l’étranger et, le plus souvent, hors de l’Union Européenne.

Quelques réflexes simples peuvent éviter de tels déboires :
- Vérifier l’adresse électronique de l’émetteur ainsi que l’adresse du site web. On s’aperçoit souvent au premier regard que l’émetteur ne peut être qu’un escroc.
- Vérifier sur le site web de sa banque si une alerte n’a pas été émise pour informer la clientèle de l’existence d’une campagne de phishing orchestrée par des escrocs.
- En cas de doute, contacter son conseiller clientèle avant toute opération en ligne et lui faire suivre tout courrier électronique douteux.

Mais, à ma connaissance, les banques françaises n’envoient jamais de tels courriers électroniques à leurs clients, mais des courriers classiques adressés par voie postale. Et ce, précisément pour éviter toute confusion entre de « vrais » et de « faux » courriers électroniques de leur part. Ainsi, il est prudent de considérer, par principe, tout courrier électronique envoyé par sa banque comme étant un faux.

Si l’un de nos lecteurs se laisse prendre à un tel stratagème, nous lui recommandons d’informer immédiatement sa banque et de déposer plainte. Il faudra conserver le courrier électronique reçu et, si possible, imprimer les pages du faux site web bancaire. Ces éléments seront utiles pour l’enquête.

Frédéric Guénin, avocat

Article publié pour la première fois dans la revue Internet Pratique, n°128, février 2012