Voici un arrêt intéressant rendu par la Cour de cassation (Chambre commerciale) le 23 octobre 2024 dans le domaine de la responsabilité bancaire et de la fraude, à l’avantage du client [1].

En substance, cet arrêt, concernant un cas de "spoofing" pose le principe selon lequel aucune négligence grave au sens de l’article L133-19 du Code monétaire et financier ne peut être imputée au titulaire d’un compte qui, contacté téléphoniquement par une personne se faisant passer pour un préposé de sa banque dont le numéro s’affichait, utilise à sa demande le dispositif de sécurité personnalisé pour supprimer puis réinscrire des bénéficiaires de virements dans le but d’éviter des opérations malveillantes.

 

C’est une bonne chose pour les clients des établissements bancaires, moins pour les banques.

Avec le développement des technologies, les fraudes se modernisent et changent de visage.

L’augmentation et la diversification des activités sur internet et à distance conduisent à une réelle prolifération des arnaques et méthodes de fraude en tout genre, et rien ne semble arrêter les fraudeurs dans leur façon d’"alpaguer" la victime.

Parmi ces fraudes, existe le "spoofing", escroquerie où des fraudeurs se font passer pour des conseillers bancaires en appelant directement la victime visée, méthode de plus en plus utilisée. Qui n’a jamais été contacté par quelqu’un se faisant passer pour un conseiller bancaire ? Ce type de procédé a pour but de de recueillir des informations confidentielles, telles que les données personnelles ou bancaires de la victime, et conduit parfois à des pertes financières lourdes pour l’intéressé.

La vigilance est de mise.

Toutefois, même en étant parfaitement conscient de l’existence de ce phénomène et en demeurant prudent, il reste possible de se faire avoir.

De façon générale, le scénario est souvent le même : une personne malintentionnée contacte la victime par téléphone directement, et se fait passer ouvertement pour un conseiller bancaire de l’établissement bancaire dans lequel la victime possède ses comptes.

Celui-ci prétend alors qu’est intervenue une fraude sur le compte bancaire en question, ou une opération suspecte, et que cela nécessite alors une vérification ou une annulation immédiate d’opération.

Le faux conseiller indique à la victime qu’il faut qu’il fournisse certaines informations, pourtant confidentielles, comme le numéro de la carte bancaire, le code secret, ou d’autres données critiques permettant au fraudeur d’accéder au compte bancaire de sa victime. Parfois même, le fraudeur demande au titulaire du compte de procéder à une opération de validation de paiement à distance, en prétendant que cette opération viserait au contraire à éviter qu’une prétendue opération financière frauduleuse ne se réalise...

La victime, qui a confiance en son établissement bancaire, se fait alors flouer.

Mais quid dans ce cas de la responsabilité de la banque ?

La victime peut-elle prétendre à un remboursement par son établissement bancaire ?

En droit, les principes sont les suivants : une banque a l’obligation de rembourser immédiatement ses clients lorsqu’ils sont victimes d’escroquerie [2]. Mais, cette obligation est levée si la banque parvient à démontrer que le client a commis une négligence grave [3].

Dans l’affaire présentée devant la Chambre commerciale de la Cour de cassation, une personne a constaté que plusieurs virements frauduleux avaient été réalisés pour un montant de 54 .500 euros sur son compte ouvert dans les livres de la société BNP Paribas.

Il a donc alerté la banque le jour-même, indiquant avoir été contacté par une personne qui s’était fait passer pour un préposé de l’établissement lui demandant d’ajouter, grâce à ses données personnelles de sécurité, cinq personnes sur la liste des bénéficiaires de virements.

La banque a toutefois refusé de rembourser son client, invoquant sa négligence.

La victime a assigné la banque en remboursement de ces sommes.

Le Tribunal de commerce de Pontoise, le 3 novembre 2021, l’a débouté de l’intégralité de ses demandes [4].

La victime a interjeté appel.

Aux termes d’un arrêt du 28 mars 2023 la Cour d’appel de Versailles a infirmé la décision rendue sauf en ce qu’elle avait débouté la victime de sa demande de dommages et intérêts pour résistance abusive. En revanche, statuant à nouveau, la cour a condamné la banque à rembourser à la victime les sommes objet de la fraude, soit 54.500 euros, et a également condamné la banque à devoir à la victime une somme de 1.500 euros à titre de dommages et intérêts pour le préjudice moral subi, outre 6.000 euros au titre de l’article 700 du Code de procédure civile (destiné à couvrir partiellement ou totalement les frais de procédure).

En appel, la victime, appelante, a expliqué avoir été victime des agissements frauduleux d’un tiers qui s’était fait passer au téléphone pour sa conseillère bancaire grâce à une faille de sécurité du système informatique de la BNP, expliquant que le mode opératoire utilisé par les escrocs est fortement répandu et que le "spoofing" explose dès lors que le canal téléphonique est encore très vulnérable, et a indiqué qu’en cas de fraude la banque doit rembourser son client, même si plusieurs banques refusent systématiquement de rembourser leurs clients et ne respectent pas la loi, se référant à la plainte déposée par l’UFC-Que choisir à l’encontre de douze banques dont la BNP Paribas.

Il a ainsi souligné qu’il avait été abusé, tout portant à croire à la réception de cet appel que son interlocuteur au téléphone était membre du personnel de la BNP Paribas dès lors que :

  • le nom de sa conseillère, dont il avait enregistré le numéro, s’affichait,
  • qu’il n’avait effectué aucun virement,
  • et que c’est le fraudeur qui avait créé les tiers destinataires et procédé aux détournements frauduleux.

Il a ajouté que ce n’était pas la première fois que la BNP Paribas connaissait de graves défauts de son système de sécurité et que compte tenu de la faille de sécurité de la hotline qui a permis l’escroquerie, aucune négligence ne pouvait dans ces circonstances, lui être reprochée.

Il estimait enfin qu’en tout état de cause, au regard de la directive UE qui considère que "la négligence grave devrait impliquer plus que de la simple négligence et comporter un défaut de vigilance caractérisé"" et de la jurisprudence nationale, aucune négligence grave ne peut lui être reprochée.

Sur ce point, la cour d’appel a jugé que s’il ressort effectivement des déclarations effectuées par la victime et du mode opératoire de l’ajout d’un bénéficiaire de virement, que celui-ci a validé les virements litigieux "par clé digitale" en validant la notification reçue sur son smartphone à l’aide de son code secret personnel, il n’était toutefois pas pour autant caractérisé une négligence grave à son encontre dès lors qu’il croyait être en relation avec une salariée de la BNP Paribas, le numéro d’appel de son interlocutrice apparaissant comme étant celui de sa conseillère dont elle indiquait être l’assistante, et qu’il avait donc cru valider la notification litigieuse sur son application bancaire dont la banque assurait qu’il s’agit d’une application sécurisée.

La cour a par ailleurs précisé que le mode opératoire du fraudeur, par l’utilisation du "spoofing", soit littéralement une usurpation d’identité, avait clairement mis la victime en confiance et a diminué dès lors sa vigilance, étant observé que face à un appel téléphonique évoquant de surcroît un piratage, la vigilance de la personne qui reçoit cet appel est moindre que celle d’une personne qui réceptionne un mail, laquelle dispose de davantage de temps pour en prendre connaissance et s’apercevoir d’éventuelles anomalies révélatrices de son origine frauduleuse.

En outre, la cour a relevé que la victime n’avait ensuite pas tardé à révéler ces virements frauduleux à sa banque, dès qu’il a été en mesure de les constater et a également porté plainte.

La cour a ainsi conclu que dans ces circonstances, quand bien même la victime avait-elle fait usage de son code confidentiel, il ne pouvait être caractérisé à son égard une négligence grave, et jugé que la banque devait donc restituer à la victime les fonds correspondant aux virements litigieux.

La banque a formé un pourvoi à l’encontre de cet arrêt.

Cela étant, la cour a rejeté le pourvoi, déclarant qu’après avoir exactement énoncé qu’il incombe au prestataire de services de paiement de rapporter la preuve d’une négligence grave de son client, l’arrêt attaqué constatait que le numéro d’appel apparaissant sur le téléphone portable de la victime s’était affiché comme étant celui de sa conseillère BNP et retenait qu’il croyait être en relation avec une salariée de la banque lors du réenregistrement et nouvelle validation qu’elle sollicitait de bénéficiaires de virement sur son compte qu’il connaissait et qu’il a cru valider l’opération litigieuse sur son application dont la banque assurait qu’il s’agissait d’une opération sécurisée ; que le mode opératoire par l’utilisation du « spoofing » a mis la victime en confiance et a diminué sa vigilance face à un appel téléphonique émanant prétendument de sa banque pour lui faire part du piratage de son compte, à celle d’une personne réceptionnant un courriel, laquelle aurait pu disposer de davantage de temps pour s’apercevoir d’éventuelles anomalies révélatrices de son origine frauduleuse ; que de ces constatations et appréciations, la cour d’appel avait pu déduire que la négligence grave de la victime n’était donc pas caractérisée.

Cette décision est favorable aux clients des établissements bancaires, face à la recrudescence des fraudes à distance et usurpation d’identité.

Attention toutefois, si vous deviez être victime de ce type de procédé, il vous faut impérativement prévenir immédiatement votre banque [5], avant de déposer plainte, et le cas échéant, de prendre contact avec un avocat pour qu’il vous accompagne dans cette démarche.

L’article L133-24 du Code monétaire et financier dispose que vous avez un délai de 13 mois pour contester une opération de paiement, au-delà duquel vous risquez de ne plus pouvoir le faire. Il est donc recommandé d’agir le plus rapidement possible pour maximiser vos chances de résoudre la situation.

 

 

Notes de l'article:

 

[1] Cass. com., 23 octobre 2024, n° 23-16.267.

[2] Article L133-18 du Code monétaire et financier.

[3] Article L133-19 du Code monétaire et financier.

[4] Tcom. Pontoise, 3 nov. 2021, n° 2020F00353.

[5] Selon l’article L133-17 du Code monétaire et financier.