Fraude au faux conseiller bancaire : la protection des clients professionnels (Cass. com., 12 juin 2025, n° 24-13.777)
Fraude au président, opérations autorisées et responsabilité des établissements bancaires : la protection contre la fraude bancaire étendue aux clients professionnels
Un récent arrêt de la Cour de cassation a jugé que ne commet pas de négligence grave dans la conservation et l'utilisation de ses données personnelles de sécurité une société dont la salariée effectue des opérations sur le service de paiement en ligne pour reconstituer des écritures, à la demande d'une personne qui, par téléphone, se faisant passer pour un technicien de la banque dont il a usurpé le numéro, lui donne des informations de nature à conforter la thèse d'une panne informatique.
Les escrocs sont très imaginatifs quand il s'agit d'élaborer une fraude sophistiquée pour ne pas éveiller les soupçons. Les manipulations psychologiques, et notamment la fraude dite « au président », occupent désormais une place centrale dans le contentieux bancaire.
Dans cet arrêt important rendu le 12 juin 2025, la Cour de cassation est venue :
-
étendre le régime des opérations non autorisées au bénéfice des clients non-professionnels (une société en l'espèce),
-
rappeler la charge de la preuve de la négligence grave,
-
et surtout, renforcer l’étendue du devoir de vigilance du banquier lorsqu’un ordre de paiement présente des anomalies apparentes.
Ces décisions marquent une étape essentielle dans la compréhension des droits des victimes… mais aussi de leurs limites.
1. Les faits : une fraude bancaire par usurpation téléphonique crédible
Dans l’affaire soumise à la Cour de cassation, un client avait été contacté par téléphone par une personne se présentant comme un technicien de la banque BNP.
Plusieurs éléments rendaient la fraude particulièrement crédible :
-
le numéro affiché correspondait à celui de la banque ;
-
l’interlocuteur disposait d’informations précises sur le compte (écriture bancaire sur le compte du jour) ;
-
le discours tenait un propos cohérent avec les procédures de sécurité bancaire.
Le fraudeur a alors demandé à la salariée de procéder à deux virements pour un montant de 98.000 euros vers l'Allemagne, prétextant un bug. La salariée a réalisé les opérations à l'aide du système de paiement à distance.
Des opérations frauduleuses ont ensuite été exécutées. La banque a refusé le remboursement en invoquant une négligence grave du client.
2. La qualification juridique : une opération de paiement non autorisée
La Cour de cassation rappelle que, conformément aux articles L.133-6 et L.133-7 du Code monétaire et financier, une opération de paiement n’est autorisée que si le payeur a réellement consenti à son exécution.
En cas de fraude par spoofing :
-
le client n’a pas l’intention de payer un tiers,
-
il agit sous manipulation,
-
et il croit généralement accomplir une opération de sécurisation.
La Haute juridiction confirme ainsi que ce type de fraude relève de la catégorie des opérations de paiement non autorisées, ouvrant droit, en principe, au remboursement prévu par l’article L.133-18 CMF.
3. Authentification forte et preuve du consentement : un rappel essentiel
La banque soutenait que les opérations avaient été validées par authentification forte et qu’aucune défaillance technique n’était caractérisée.
La Cour de cassation rappelle cependant une règle constante, issue de l’article L.133-23 du Code monétaire et financier :
l’utilisation des données de sécurité personnalisées ne suffit pas, en tant que telle, à prouver que l’opération a été autorisée ou que le client a commis une négligence grave.
L’authentification forte constitue une exigence technique, mais ne crée aucune présomption automatique de consentement ou de faute.
4. L’appréciation de la négligence grave : une analyse concrète et contextualisée
La négligence grave, au sens de l’article L.133-19, IV du code monétaire et financier, suppose un comportement d’une particulière gravité, excédant la simple imprudence.
La Cour de cassation insiste sur une appréciation in concreto, tenant compte :
-
du degré de sophistication de la fraude,
-
du contexte psychologique (urgence, pression, crédibilité de l’appel),
-
de l’utilisation du numéro réel de la banque,
-
et du temps de réaction très limité laissé à la victime.
En l’espèce, la Cour juge que :
- le client pouvait légitimement croire être en relation avec sa banque du fait du contact depuis le numéro de sa banque,
- et que son comportement ne révélait pas une indifférence caractérisée aux règles de prudence.
La négligence grave est donc écartée. A noter que si le fraudeur n'utilise pas le numéro de téléphone de la banque, l'absence de négligence grave devra être appréciée plus précisément (urgence et pression du fraudeur, numéro masqué ou pas, etc.)
5. Portée de l’arrêt : un renforcement de la protection des victimes
Par cet arrêt du 12 juin 2025, la Cour de cassation :
-
rappelle que la charge de la preuve de la négligence grave pèse exclusivement sur la banque,
-
refuse de faire de l’authentification forte un instrument de transfert du risque vers le client,
-
étend le régime protecteur des opérations non autorisées aux clients professionnels.
Cette décision s’inscrit dans une jurisprudence désormais bien établie visant à adapter le droit des services de paiement aux techniques modernes d’ingénierie sociale.
6. Enseignements pratiques pour les victimes de fraude bancaire
Cet arrêt offre des arguments solides aux victimes confrontées à un refus de remboursement fondé sur une prétendue négligence grave.
Il rappelle notamment que :
-
suivre les instructions d’un faux conseiller crédible qui appelle depuis le numéro de téléphone de la banque n’est pas, en soi, fautif ;
-
la bonne foi du client et la sophistication de la fraude doivent être prises en compte ;
-
chaque situation doit être analysée précisément au regard de ses circonstances propres.
Conclusion
L’arrêt de la Cour de cassation du 12 juin 2025 marque une étape importante dans la protection des utilisateurs de services de paiement face aux fraudes par spoofing.
Il rappelle que la lutte contre la fraude ne peut se faire au prix d’un renversement excessif du risque sur le client, et que les banques doivent assumer pleinement leur rôle dans la sécurisation des paiements.
Vous êtes victime d’une fraude bancaire, d'un spoofing ou de paiements non autorisés ? Maître Gauriat vous propose une première analyse gratuite de 10 minutes pour évaluer vos chances de remboursement. Ne restez pas sans réponse face à votre banque : faites valoir vos droits dès maintenant. Contactez le cabinet au 01.40.06.19.19 ou prenez rendes-vous directement sur thomas-gauriat-avocat.fr.
Pas de contribution, soyez le premier