La dernière décision rendue par la Cour de cassation du 23 octobre 2024 (Cass. com., 23 oct. 2024, n°23-16.267), et sur laquelle j’avais déjà rédigé un billet, a été favorable aux clients bancaires victimes de spoofing (« usurpation d’identité » en français), ce procédé qui consiste pour un fraudeur à contacter téléphoniquement une personne et à se faire passer pour son conseiller bancaire afin de lui faire réaliser des opérations bancaires à son profit ou de se faire remettre ses moyens de paiement.

Les juridictions de première instance sont également favorables aux victimes.

 

L’augmentation et la diversification des activités sur internet et à distance nécessitent de redoubler de vigilance, mais la Cour de cassation considère heureusement qu’il est légitime pour un client bancaire de baisser la garde lorsque la personne qu’il a au téléphone prétend être son conseiller bancaire.

Si certains juges du fond demeurent réticents à donner gain de cause aux victimes, notamment lorsqu’elles ont communiqué leurs codes secrets au fraudeur ou qu’elles ont remis leur carte bancaire à ce dernier, d’autres au contraire soulignent qu’en cas de contestation du client victime, c’est à la Banque qu’incombe la charge de la preuve d’une éventuelle négligence ou l’absence de faille technique.

Ainsi, la Cour d’appel de Riom a considéré dans un arrêt récent de la Chambre commerciale de la Cour du 11 septembre 2024 (n° 23/00835) que si le client victime nie avoir autorisé les débits frauduleux, c’est alors au prestataire, donc à l’établissement bancaire, qu’il appartient, en application des dispositions de l’article L133-23 du Code monétaire et financier, de rapporter la preuve que l’utilisateur a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations.

Ainsi la charge de la preuve incombe t-elle à la Banque, et la Cour ajoute par ailleurs que cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.

De la même façon, en cas d’utilisation d’un dispositif de sécurité personnalisé (profil sur application mobile sécurisée), il appartient au prestataire, donc à l’établissement bancaire, de prouver que l’opération en cause a été authentifiée, dument enregistrée et comptabilisée et qu’elle n’a pas été affectée d’une déficience technique ou autre.

Dans l’espèce soumise à la Cour d’appel de Riom, Monsieur avait reçu un appel d’un numéro 09 d’une femme se présentant comme employée de la Banque Populaire, banque dans les livres de laquelle la victime ainsi que son épouse avaient en effet plusieurs comptes.

Monsieur a passé le téléphone à son épouse et la fraudeuse a expliqué à celle-ci être du service ‘centre de vigilance des fraudes’. L’interlocutrice a confirmé à Madame les 4 derniers chiffres de sa carte bancaire puis lui a indiqué qu’une tentative de débit frauduleux de 900 euros était en cours sur son compte joint, mais qu’il était encore possible d’arrêter ce débit provenant manifestement de jeux en ligne, en se connectant à son application Cyber+ sur son téléphone mobile.

Madame s’est donc connectée. La fraudeuse lui a indiqué, pour la presser, que d’autres débits étaient en train d’arriver et qu’il fallait qu’elle fasse en urgence son code secret sur son application afin de les stopper. Dans la panique, Madame a fait à deux reprises son code, pour les deux montants. L’appel a ensuite pris fin.

Les époux se sont alors aperçus que deux virements avaient été réalisés concomitamment de leur Livret A et de leur LEP chacun de 4 000 euros sur leur compte joint (afin de permettre de disposer des fonds suffisants sur ce dernier compte), pour permettre de procéder aux virements frauduleux.

Les époux se sont rendus à leur agence et il leur a été confirmé que deux virements avaient été faits instantanément l’un de 3 990 euros au profit d’une première personne et l’autre de 4 300 euros au profit d’une seconde et débités de leur compte joint.

Madame n’avait pas communiqué son IBAN.

Ainsi, les deux virements ont été effectués avec le téléphone portable de Madame en se connectant à l’application Cyber+ et les opérations de virement ont été certifiées à l’aide du procédé Sécur’PAss.

Mais, les époux contestaient être à l’origine des opérations de paiement litigieuse.

Cela étant, dès lors que les époux disposaient d’un dispositif de sécurité personnalisé, la Cour a considéré qu’il appartenait alors au prestataire de prouver que l’opération en cause n’avait pas été affectée par une déficience technique.

Aussi, la Cour a jugé que, s’il était certain que Madame avait validé les deux virements en faisant à deux reprises son code confidentiel, pour autant il paraissait que cette escroquerie avait été rendue possible par des failles techniques lors de la réalisation des virements, et que dès lors, la Banque devait rembourser les victimes. Elle a donc confirmé les premiers juges, qui avaient déjà fait droit aux demandes des époux victimes.

Un autre arrêt récent du Tribunal judiciaire de Paris du 13 décembre 2024 a fait droit aux demandes de la victime [1].

Dans cette espèce, titulaire d’un compte ouvert dans les livres de la Société Générale, une cliente a reçu un appel téléphonique d’un interlocuteur se présentant comme un préposé de la Société Générale et travaillant au centre d’opposition de cet établissement.

Celui-ci lui a indiqué que l’établissement bancaire avait décelé des tentatives de fraude au paiement par carte bancaire qu’il convenait de stopper.

Le numéro de téléphone affiché était celui de la Société Générale.

Le même jour et à la suite d’un nouvel appel émanant de cet interlocuteur, la cliente a validé un code reçu par SMS de son correspondant et devant permettre l’annulation des opérations frauduleuses en cours.

Par la suite, la victime a constaté que son compte avait été débité de la somme de 11 000 euros correspondant à un paiement frauduleux.

Elle a alors contesté ce paiement et formé opposition à sa carte de paiement, mais la Société Générale a rejeté la contestation formée par la cliente en indiquant que celle-ci avait validé les opérations ayant donné lieu au débit de la somme contestée. Madame déposé plainte au commissariat de police.

Par lettres recommandées avec accusé de réception de son conseil, adressées à trois reprises, la victime a mis en demeure la Société Générale de lui rembourser la somme de 11 000 euros correspondant au détournement réalisé.

La Société Générale a maintenu sa position, laquelle a été de nouveau contestée par le conseil de Madame en vain.

C’est dans ce contexte que la victime a fait assigner la Société Générale en responsabilité et demandé au Tribunal, au visa des articles L133-18, L133-19 et L133-23 du Code monétaire et financier et de la directive (UE) 2015/2366 du 25 novembre 2015 concernant les services de paiement transposée en droit français par l’ordonnance du 9 août 2017, le remboursement de la somme détournée.

Le Tribunal a rappelé que : en application des dispositions des articles L.133-18, L133-19 II et IV et L133-24 du Code monétaire et financier, en cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France.

Le Tribunal a ajouté que la responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées, mais que le payeur supporte en revanche toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L133-16 et L133-17.

Le Tribunal rappelle encore que l’utilisateur de services de paiement signale, sans tarder, à son prestataire de services de paiement une opération de paiement non autorisée ou mal exécutée et au plus tard dans les treize mois suivant la date de débit sous peine de forclusion à moins que le prestataire de services de paiement ne lui ait pas fourni ou n’ait pas mis à sa disposition les informations relatives à cette opération de paiement conformément au chapitre IV du titre 1ᵉʳ du livre III.

Dans cette espèce, le Tribunal a constaté que la victime n’avait pas consenti à l’opération de paiement en litige, l’ayant contestée dès le 29 août 2022, soit le lendemain des faits constitutifs des manœuvres d’un tiers à l’origine de l’opération litigieuse.

La Société Générale fondait pour sa part son refus de remboursement de la somme correspondant au montant de l’opération sur l’existence d’une authentification forte donnée par la cliente au fraudeur et la négligence grave que celle-ci aurait commise en communiquant au fraudeur tout à la fois les données permettant l’accès à son espace bancaire en ligne et à sa carte de paiement. Ce faisant, la Société Générale produisait notamment aux débats un document qu’elle présentait comme un journal de connexion afférent au compte bancaire de Madame à la date des faits à l’origine du paiement contesté. Ce document faisait état de dix connexions intervenues entre 18h25 et 18h47, sans détails toutefois et aucun indice permettant de démontrer que la cliente aurait effectivement validé les débits réalisés.

Le Tribunal a donc jugé que la production par ce prestataire d’un journal informatique échoue cependant à démontrer l’existence de la négligence grave alléguée à partir du moment où il n’y figure aucun élément établissant que la cliente aurait effectivement validé les opérations contestées, et relève par ailleurs que le numéro d’appel apparaissant sur le téléphone portable de Madame s’est affiché comme étant celui du centre d’opposition de la Société Générale, laissant croire à celle-ci qu’elle était en relation avec un préposé de cet établissement et qu’elle a pensé faire annuler l’opération frauduleuse en cours en procédant à la saisie du code prétendument confidentiel communiqué par message SMS sur sa ligne téléphonique servant à l’authentification habituelle de ses paiements. L’usurpation du numéro de téléphone du centre d’opposition de la Société Générale a, de la sorte, mis la victime en confiance et a diminué sa vigilance, inférieure, face à un appel téléphonique émanant prétendument de sa banque pour lui faire part du piratage de son compte. Par suite, le Tribunal a conclu que la Société Générale ne démontrait pas l’existence d’une négligence grave de Madame à l’origine de la fraude dont celle-ci se dit avoir été la victime, abstraction faite de ce qu’aucune déficience technique, au demeurant non alléguée en l’espèce, n’a affecté l’opération litigieuse. Le Tribunal a donc fait droit aux demandes de la victime et condamné par ailleurs la Société Générale à devoir lui verser une somme de 2 000 euros au titre des frais de procédure (article 700 du Code de procédure civile).

Encore, dans un arrêt de la Cour d’appel de Reims [2], la juridiction a fait droit aux demandes de la victime, confirmant alors les termes de la première décision rendue par les juges dans cette affaire.

Dans cette espèce, une personne avait été contactée par un fraudeur se prétendant conseiller de sa banque et lui indiquant que des paiements frauduleux à destination du Sénégal avaient été ordonnés pour 7 000 euros, mais temporairement bloqués. Le fraudeur a alors indiqué à Madame de réduire le plafond de paiement, sur communication par ses soins d’un code d’activation qu’elle allait recevoir par SMS.

En croyant légitimement transmettre à son conseiller bancaire les informations lui permettant de faire échec à un paiement frauduleux, Madame a en réalité transmis à ce tiers fraudeur les clés d’authentification pour la validation des paiements.

En première instance, le Tribunal a jugé que Madame n’avait pas commis de négligence grave dans la gestion de ses identifiants personnels au sens des articles L133-16 et L133-17 du Code monétaire et financier.

La Banque a interjeté appel. La Cour rappelle que c’est à la Banque qu’il incombe de prouver la négligence grave de la victime : « La Cour de cassation (...) considère comme constant le fait qu’il appartient à la banque de démontrer la faute de son client et non l’inverse. (...) Il est inexact de soutenir, comme le fait la banque appelante que la démonstration de la faute de Madame par divulgation de ses identifiants et codes personnels relèveraient de la ’preuve impossible’. (...) Cependant, en l’état lacunaire des productions de la SA BNP Paribas, force est de constater que l’appelante n’apporte pas la preuve dont elle a la charge ».

La Cour ajoute :

« La SA BNP Paribas soutient encore que Madame aurait commis une troisième négligence en divulguant au fraudeur les données relatives à sa carte bancaire, en ce compris ses numéros, sa date d’expiration et le cryptogramme visuel inscrit au dos de celle-ci.

La SA BNP Paribas expose que les trois opérations de paiement réalisées avec la carte bancaire de Madame ’impliquaient nécessairement la connaissance et la saisie des informations confidentielles de l’instrument de paiement sur les sites marchands. Sans celle-ci, aucun paiement en ligne n’aurait pu être effectué.’

Toutefois, la SA BNP Paribas procède par le même raisonnement que précédemment et n’apporte aucune preuve de ce que les données de la carte bancaire de Madame aient été divulguées par cette dernière plutôt que captées frauduleusement par hameçonnage par le fraudeur sur le site de la BNP ou un autre site marchand sur lequel Madame aurait acheté ».

Ainsi donc le doute bénéficie à la "partie faible" soit à la victime.

Les victimes de fraude bancaire ne doivent donc pas demeurer dans le silence et doivent, face au refus de leur établissement bancaire de procéder au remboursement des sommes détournées, faire valoir leurs droits.

Ce d’autant que ce type d’escroquerie ne semble aller qu’en s’empirant à l’aulne de l’évolution digitale et informatique.

Virginie Audinot, Avocat Barreau de Paris Audinot Avocat www.audinot-avocat.com

 

 

Notes de l'article:

[1] Tribunal judiciaire de Paris, 9ème ch. 2° section, 13 déc. 2024, n° 23/11939.

[2] Cour d’appel de Reims, 1ʳᵉ ch., 15 oct. 2024, n° 23/01261.