Dans un monde de plus en plus connecté, le spoofing et l’usurpation d’identité sont devenus des préoccupations majeures pour les consommateurs et les institutions financières. Mais quèsaco ?

Malheureusement, nous en entendons de plus en plus parler et le déploiement des techniques digitales ne va pas aller dans le sens de meilleures pratiques…

Ces pratiques frauduleuses, où des individus se font passer pour des conseillers bancaires afin d’escroquer des victimes, ont des conséquences parfois dévastatrices, financières certes, mais morales aussi. Car oui, cela peut paraître étonnant dans un domaine où l’on ne parle que de chiffres, mais l’affect est bien là et les victimes ont très souvent honte d’avoir été ainsi dupées.

Souvent désorientées et vulnérables, et la banque étant souvent aux abonnés absents pour l’accompagner dans leurs démarches, elles doivent en plus assumer bien souvent des pertes financières importantes.

 

Au cours des dernières années, plusieurs décisions judiciaires ont marqué le paysage juridique en matière de spoofing.

La dernière décision rendue en la matière par la Cour de cassation le 23 octobre 2024 (Cass. com., 23 oct. 2024, n°23-16.267), a été favorable à la victime de ce type de fraude. Dans cette espèce, une personne avait été contactée par un faux conseiller bancaire, lui faisant ainsi faire diverses opérations pour éviter de soi-disant débits frauduleux sur son compte bancaire. La personne s’est alors ensuite rendue compte que plusieurs virements frauduleux avaient été réalisés, pour un montant de 54 .500 euros sur son compte.

La victime a alerté sa banque (BNP Paribas) le jour-même, indiquant avoir été contacté par une personne qui s’était fait passer pour un préposé de l’établissement lui demandant d’ajouter, grâce à ses données personnelles de sécurité, cinq personnes sur la liste des bénéficiaires de virements. La banque a refusé de rembourser son client, invoquant sa "négligence grave".

La Cour de cassation a fait droit aux demandes d’indemnisation de la victime, considérant qu’une négligence grave ne pouvait lui être reprochée dans la mesure où sa vigilance était nécessairement moindre face à une personne se faisant passer pour un préposé de l’établissement bancaire au sein duquel elle avait ses comptes.

Les tribunaux de première instance rendent pour leur part des décisions qui fluctuent en la matière. Elles sont le résultat d’une étude au cas par cas des faits de l’espèce, et il est difficile d’établir une ligne claire et définie mais il en ressort plusieurs décisions favorables aux victimes de fraude bancaire.

Ainsi, une décision du Tribunal judiciaire de Paris le 15 janvier 2025 [1] peut être soulignée.

Ce jugement concernait précisément une victime d’une escroquerie de type spoofing, suite à un appel reçu par une personne se faisant passer pour une préposée de la banque au sein de laquelle elle avait ses comptes bancaires.

Quels sont les faits exacts en l’espèce ?

Un matin, la victime a pris connaissance d’un SMS qui lui avait été envoyé la veille au soir, l’informant que l’usage de sa carte bancaire était restreint du fait d’une suspicion de fraude, et que sa banque ferait le nécessaire pour protéger les fonds sur son compte sans action nécessaire de sa part.

Dans la matinée, la victime a ensuite reçu un appel téléphonique d’une jeune femme (et oui, le fraudeur n’est pas toujours un homme), se présentant comme employée de la BNP Paribas, appartenant au ‘service opposition sur carte bancaire’, et dont le numéro téléphonique était bien, après recherches internet, le numéro de téléphone officiel de la banque. L’interlocutrice a signalé à la victime la survenance de prétendus paiements suspects sur son compte et confirmé que l’usage de sa carte bancaire était de ce fait restreint. Elle a ensuite invité la victime à modifier son code d’accès à son compte en ligne.

La victime a immédiatement adressé à son conseiller bancaire un email l’informant de la situation, demeuré sans réponse.

Le lendemain, la victime a reçu un nouveau SMS lui confirmant la restriction de sa carte bancaire.

Le jour encore suivant, elle a reçu un énième SMS lui indiquant cette fois l’activation de sa clé digitale.

La victime a cru légitimement que tous ces SMS étaient des échanges avec son établissement bancaire, et n’y a pas vu alors de raison de s’inquiéter, pensant même au contraire que les choses étaient donc prises en main.

Or, ne parvenant plus à se connecter à son espace sécurisé en ligne, la victime a contacté près d’une semaine plus tard sa banque, qui l’a informée de plusieurs opérations effectuées au débit de son compte, pour un montant de 14.312,19 euros.

Ne parvenant pas à obtenir gain de cause auprès de sa banque pour se voir indemnisée du montant ainsi détourné, la victime a donc demandé aux juges la condamnation de la BNP Paribas au titre de son obligation de remboursement.

Il faut noter qu’il n’est jamais nécessaire en réalité de donner trop de détails sur la façon dont s’est réalisé le spoofing, ni sur les éléments qu’une personne victime a pu être amenée à transmettre au fraudeur. En effet, la charge de la preuve incombe à la banque : c’est à elle qu’il appartient de prouver que les opérations litigieuses ont fait l’objet d’une authentification forte, dûment enregistrée et comptabilisée et qu’elle n’a pas été par ailleurs affectée par une déficience technique ou autre. Les juges à cet égard considèrent d’ailleurs que l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement, à savoir l’utilisation des identifiants du client et l’absence de déficience technique ou autre, notamment par le biais de la production d’un relevé de ses connexions, ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur.

Il n’est donc pas évident techniquement pour un établissement bancaire de pouvoir le démontrer. C’est d’ailleurs au vu des dernières décisions favorables aux victimes que les banques multiplient désormais des messages d’alerte et de mise en garde de leurs clients contre d’éventuelles fraudes de tiers malveillants.

En l’espèce, toutefois, le tribunal, au vu des indications données par la victime elle-même, a jugé que la communication à un tiers de données personnelles sécurisées comme le code d’activation d’une clé digitale, ce en dépit des campagnes d’information, constituait une négligence grave.

Mais, les juges ont distingué les opérations litigieuses selon leur date : selon qu’elles ont été réalisées avant ou après que la victime ait informé la banque de la situation.

Ainsi, si le tribunal n’a pas entendu faire droit à la demande de remboursement du débit réalisé avant cette alerte, il a en revanche, du fait de l’absence de réponse de la banque suite au message d’alerte adressé par la victime, jugé que les opérations frauduleuses réalisées après l’envoi de ce mail relevaient bien de la responsabilité de l’établissement bancaire.

La BNP Paribas a donc été condamnée à lui rembourser la somme de 11.067,19 euros, outre une somme de 2.000 euros au titre des frais de procédure avancés par la demanderesse pour faire valoir ses droits [2].

Vous l’aurez compris, les circonstances exactes de la fraude, comptent et les faits de l’espèce sont scrupuleusement étudiées par les juges.

 

[1] Tribunal judiciaire de Paris, 9ᵉ chambre 2ᵉ section, 15 janvier 2025, n° 23/14615.

[2] Article 700 du CPC.

 

 

 

Audinot & Associés
Barreau de Paris
Audinot Avocat
www.audinot-avocat.com