I. Le spoofing bancaire : de quoi s'agit-il exactement ?

Le spoofing bancaire est une escroquerie sophistiquée qui consiste, pour un individu malveillant, a usurper l'identité d'un conseiller bancaire ou d'un prétendu service anti-fraude. Le fraudeur compose un appel en faisant apparaitre sur l'écran de la victime le vrai numéro de téléphone de sa banque. Cette technique d'usurpation de l'identifiant de l'appelant est rendue possible par des failles dans les protocoles de téléphonie.

Une fois la confiance établie, le fraudeur alerte la victime d'une prétendue attaque en cours sur son compte. Il la guide pas a pas vers des manipulations sur son application bancaire, obtient des codes de validation ou provoque la remise d'une carte de paiement à un coursier complice, convainquant sa cible qu'elle agit dans son propre interet. Les sommes detournees peuvent atteindre plusieurs dizaines, voire centaines de milliers d'euros.

Cette escroquerie frappe aussi bien les particuliers que les professionnels et les entreprises. La jurisprudence la plus récente tient pleinement compte de cette réalité.

 

II. Le cadre légal : les obligations de la banque

Le droit bancaire français offre une protection forte aux victimes. Plusieurs textes du code monétaire et financier (CMF) forment l'ossature du dispositif :

 

L'article L.133-18 CMF pose le principe cardinal : en cas d'opération de paiement non autorisée, le prestataire de services de paiement est tenu de rembourser immédiatement le montant débité. Ce remboursement est de droit, sous réserve d'une faute prouvée du client.

 

L'article L.133-19 IV CMF définit l'unique exception : le client perd son droit au remboursement s'il a agi de manière frauduleuse ou s'il n'a pas satisfait intentionnellement ou par négligence grave à ses obligations de sécurité. Ces obligations sont précises : l'utilisateur doit prendre toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées et de notifier sans tarder toute perte ou utilisation non autorisée de son instrument de paiement. C'est le manquement à ces articles spécifiques qui peut constituer une négligence grave, et non la simple utilisation du moyen de paiement par un tiers.

 

Le CMF impose à la banque de mettre en œuvre une authentification forte chaque fois que le payeur accède à son compte en ligne, initie une opération électronique ou exécuté une opération à distance. Cette authentification forte repose sur au moins deux facteurs indépendants parmi la connaissance (ce que seul l'utilisateur sait), la possession (ce qu'il détient) et l'inhérence (ce qu'il est). Le défaut de mise en œuvre de ce dispositif engagé la responsabilité propre de la banque, indépendamment de toute question de négligence du client.

 

L'article L.133-23 CMF fixe la répartition de la charge de la preuve : c'est à la banque, et à elle seule, de prouver que son client a commis une négligence grave. Le client ne supporte aucune charge probatoire.

 

L'article L.133-24 CMF fixe le délai de signalement : la victime dispose de 13 mois à compter de la date de débit pour contester l'opération auprès de son établissement. Ce délai est impératif et son expiration éteint tout recours.

 

 

III. Un second fondement souvent ignoré : la faute propre de la banque

Au-delà de la question de la négligence grave du client, les victimes de spoofing disposent d'un second fondement autonome et souvent décisive : la responsabilité propre de l'établissement bancaire pour défaut d'authentification forte ou manquement à son devoir de vigilance.

L'article L.133-44 CMF impose à la banque de déclencher une authentification forte lors de toute connexion depuis un nouvel appareil ou de toute opération électronique initiée à distance. Si aucune alerte n'est envoyée au client lors d'une connexion inhabituelle, si aucun blocage n'est opéré lors d'une augmentation atypique des plafonds, la banque a manque à ses propres obligations légales.

Ce fondement est particulièrement puissant. Même à supposer qu'une imprudence puisse être reprochée au client, la défaillance du dispositif de sécurité bancaire rompt le lien de causalité entre le comportement de la victime et son préjudice. Si la banque avait correctement applique l'authentification forte, la fraude aurait pu être stoppée indépendamment de tout acte de la victime.

Par ailleurs, les juges vérifient in concreto que chaque étape du processus d'authentification a bien été respectée. Si la banque ne peut en apporter la preuve précise, sa responsabilité est engagée pour manquement à son devoir de vigilance, même en présence d'une authentification formellement initiée.

Face à une demande de remboursement, les établissements bancaires avancent systématiquement les mêmes arguments. Il est essentiel de les connaitre pour les anticiper.

 

IV. La stratégie judiciaire : les étapes à respecter

La procédure de remboursement suit un chemin balisé dont il convient de ne pas s'écarter.

La première étape est la contestation écrite immédiate auprès de la banque. Dès la découverte de la fraude, chaque opération doit être contestée par écrit. Ce signalement doit intervenir dans le délai de 13 mois prévu par l'article L.133-24 CMF. Tout document remis par la banque, notamment une proposition de geste commercial, doit être examiné avant toute signature.

La deuxième étape est le dépôt de plainte. Le dépôt de plainte auprès du commissariat ou de la gendarmerie, avec référence explicite au spoofing et à l'usurpation du numéro de téléphone de la banque, objective la réalité de la fraude et constitue un élément probatoire central.

La troisième étape est la mise en demeure formelle par courrier d'avocat. Si la banque refusé le remboursement, une mise en demeure circonstanciée visant les jurisprudences idoines.

La quatrième étape est le recours juridictionnel. En cas de refus persistant, une assignation en référé peut être envisagée pour obtenir un remboursement provisionnel rapide sur le fondement de l'article 835 alinéa 2 du Code de procédure civile, lorsque l'obligation de remboursement ne se heurte à aucune contestation sérieuse. Une action au fond permet d'obtenir le remboursement intégral ainsi que des dommages et intérêts en cas de résistance abusive.

 

Le cabinet 3EME ACTE intervient à chaque stade de la procédure. Nous analysons votre dossier au regard de la jurisprudence la plus récente, nous identifions les failles du dispositif de sécurité bancaire, nous rédigeons la mise en demeure et, si la voie amiable échoue, nous vous représentons en Justice.