Récemment, les investisseurs ont été fréquemment exposés à des attaques de phishing axées sur les cryptomonnaies. Qu’est-ce qu’une attaque par hameçonnage ? Le phishing est un type de cyberattaque qui consiste à voler des données personnelles et qui est fréquemment utilisé par les fraudeurs. En d’autres termes, il s’agit de la saisie, de la transmission, du stockage ou de l’utilisation d’informations personnelles de personnes physiques ou morales par des personnes non autorisées à des fins de fraude ou d’autres délits. Les fraudeurs utilisent de nombreuses méthodes pour permettre aux attaques de phishing d’avoir lieu, et ils développent et diversifient ces méthodes chaque jour.
Par exemple : Clone Phishing Attack, Pharming Attack, Phishing Attack, Ice Identity Attack, Evil Twin Attack… Si certaines de ces attaques sont le fruit de l’ingénierie sociale, d’autres sont le produit de logiciels malveillants.
Afin de procéder plus concrètement, donnons un exemple de la méthode d’attaque par hameçonnage. Les investisseurs individuels sont constamment dirigés vers des sites frauduleux à l’aide d’e-mails qu’ils pensent être envoyés par le site web de la plateforme qu’ils préfèrent. Ainsi, les données personnelles telles que le nom d’utilisateur, le mot de passe, les identifiants de réseau ou la carte de crédit appartenant aux investisseurs individuels peuvent être obtenues par des personnes malveillantes et leurs actifs numériques peuvent être volés en effectuant des transferts importants à partir de leurs portefeuilles numériques sans le consentement des investisseurs individuels. Comme on peut le constater, l’acquisition, l’utilisation et l’enregistrement illicites de données à caractère personnel, ainsi que la violation de données à caractère personnel, comme le non-respect des obligations en matière de sécurité des données, sont en cause.
Les sanctions pour ces actes illégaux sont prévues à la fois par le code pénal turc et par la loi sur la protection des données à caractère personnel. Comme on le sait, conformément à la loi sur les données personnelles, les informations financières et économiques des personnes, les parts d’Internet, les mots de passe et les courriels des personnes et les informations sur les sites qu’elles visitent sont également considérés comme des données personnelles.
Dans le cadre de la KVKK, des amendes administratives sont prévues en cas de manquement à diverses obligations concernant la sécurité des données et d’autres obligations, tandis que des peines d’emprisonnement sont prévues dans le cadre du code pénal turc.
Délits
ARTICLE 18-
(1) La présente loi ;
a) prévue à l’article 10
de 5 000 livres turques à 100 000 livres turques pour ceux qui ne remplissent pas leur obligation d’information,
b) dans les conditions prévues à l’article 12
ceux qui ne respectent pas leurs obligations en matière de sécurité des données
de 15 000 livres turques à 1 000 000 livres turques,
c) ceux qui ne respectent pas les décisions prises par le conseil d’administration en vertu de l’article 15 25
000 livres turques jusqu’à 1.000.000 de livres turques
,
ç) prévue à l’article 16
De 20 000 livres turques à 1 000 000 de livres turques pour ceux qui agissent en violation de l’obligation d’enregistrement et de notification au registre des contrôleurs de données,
une amende administrative est imposée.
(2 ) Les amendes administratives prévues par le présent article sont imposées aux personnes physiques et aux entités juridiques privées qui sont responsables du traitement des données.
Enregistrement des données personnelles
Article 135-
(1 ) Quiconque enregistre illégalement des données à caractère personnel est passible d’une peine d’emprisonnement d’un à trois ans.
(2) Si les données à caractère personnel concernent les opinions politiques, philosophiques ou religieuses, les origines raciales, les tendances morales illégales, la vie sexuelle, l’état de santé ou l’appartenance syndicale des personnes, la peine à infliger en vertu du premier paragraphe est augmentée de moitié.
Transmission ou saisie illégale de données
Article 136-
(1) Toute personne qui donne, diffuse ou obtient illégalement des données à caractère personnel à une autre personne est passible d’une peine d’emprisonnement de deux à quatre ans.
(2 ) (Supplémentaire : 17/10/2019-7188/17 Art.) Si l’infraction a pour objet des déclarations et des images enregistrées en vertu des cinquième et sixième alinéas de l’article 236 du code de procédure pénale, la peine à infliger est augmentée d’une unité.
Circonstances atténuantes
Article 137-
(1 ) Les infractions définies dans les articles ci-dessus ;
Ne pas détruire les données
Article 138-
(1 ) Ceux qui sont obligés de détruire les données du système malgré l’expiration des délais fixés par la loi sont condamnés à une peine d’emprisonnement d’un an à deux ans s’ils ne remplissent pas leurs obligations.
( 2 ) (Supplémentaire : 21/2/2014-6526/5 Art.) Si l’objet de l’infraction est une donnée qui doit être éliminée ou détruite conformément aux dispositions de la loi de procédure pénale, la peine à infliger est multipliée par un.
Le nombre de victimes peut être réduit dans une certaine mesure en sensibilisant le public à la violation des données personnelles. En outre, il est utile que les utilisateurs soient plus prudents avec la nouvelle que le réseau Pi, qui permet le minage de crypto-monnaie par téléphone, provoque un vol de données personnelles d’environ 17 Go. Questions à prendre en compte dans la bourse de crypto-monnaie Notre article vous guidera dans une certaine mesure à ce stade.
Le problème le plus important qui se pose dans la pratique est sans aucun doute celui de la sécurité. L’acquisition et l’utilisation illicites de données personnelles constituent un risque sérieux pour les plateformes comme pour les investisseurs individuels. Les investisseurs individuels voudront bien sûr pouvoir effectuer des transactions sur une plateforme sécurisée. C’est pourquoi les plateformes doivent s’acquitter de leur obligation objective de diligence et prendre les mesures de sécurité nécessaires pour protéger leurs utilisateurs.
Parallèlement à cet objectif, il est très important qu’elles prennent toutes les mesures nécessaires pour assurer la sécurité du système de la plateforme, qu’elles identifient les erreurs et les lacunes du système et qu’elles rendent le système conforme aux derniers développements technologiques connus en éliminant ces erreurs et ces lacunes.
Par exemple, afin d’empêcher des tiers malveillants de nuire à la fois à leurs utilisateurs et à leurs propres systèmes, les plateformes devraient créer des mécanismes de sécurité pour empêcher ces personnes d’accéder à la plateforme, mettre à jour et renouveler constamment leurs systèmes, prendre les mesures nécessaires en cas de transaction irrégulière et informer immédiatement leurs utilisateurs à ce sujet.
Dans ce cas, les plates-formes, comme les banques, devraient être soumises à un devoir de diligence objectif en tant que condition de la responsabilité aggravée, et en contrepartie, elles devraient être responsables même des défauts mineurs. En effet, bien qu’il n’y ait pas de disposition spécifique aux plates-formes dans notre législation, nous sommes d’avis qu’il n’y a pas d’obstacle à parvenir à cette conclusion conformément aux dispositions générales du code des obligations turc.
Cependant, on ne peut évidemment pas attendre de la règle de l’honnêteté qu’elle impose la responsabilité à une seule partie au contrat. Afin de fournir un service de négociation sécurisé, les investisseurs individuels sont également tenus d’assumer leurs responsabilités maximales par rapport aux plateformes. Par exemple, ils devraient changer régulièrement le mot de passe qu’ils utilisent sur la plateforme, ne pas préférer les mots de passe qui peuvent être facilement décryptés par des tiers, ne pas ouvrir les courriels provenant de personnes qu’ils ne connaissent pas et préférer ne pas effectuer de transactions à partir d’endroits qu’ils ne connaissent pas ou d’endroits tels que les cybercafés qui sont utilisés en public, étant donné qu’il peut y avoir des faiblesses en matière de sécurité.
Même si les investisseurs individuels ont pris avec diligence toutes les précautions nécessaires pour éviter que leurs données personnelles ne tombent entre les mains de tiers, en cas de violation, les plateformes devraient être tenues de verser des indemnités conformément à l’article 49 et à l’article 112 du TCO en raison de la violation du contrat par un comportement contraire à l’obligation de diligence et de protection. À cet égard, si l’investisseur est responsable du vol de son compte numérique et de l’accès de ses informations personnelles à des tiers malveillants, cette faute peut être considérée comme une faute mutuelle conformément à l’article 52 du TCO. Dans ce cas, la plate-forme est tenue de prouver qu’elle n’a pas commis de faute en manquant à son obligation contractuelle conformément à l’article 112 du TCO, et elle est également tenue de prouver que l’investisseur a commis une faute conjointe.
Nous savons également que Trezor, un fabricant de portefeuilles de cryptomonnaies, a récemment mis en garde ses utilisateurs conformément à son devoir de diligence et de protection contre les attaques de crypto phishing.