Le « spoofing », ou usurpation d’identité, est une technique où un escroc se fait passer pour un conseiller bancaire ou une personne d’un prétendu service anti-fraude d’une banque, contactant la victime par téléphone pour lui soustraire des informations sensibles ou détourner des fonds.

Par un arrêt du 23 octobre 2024 (n°23-16.267), la Chambre Commerciale de la Cour de Cassation a rendu une décision intéressante en la matière. Pour la Haute Juridiction, une personne qui contribue indirectement à se faire escroquer en suivant les consignes d’un faux conseiller bancaire ne commet pas de négligence grave et n’a pas à être privée du remboursement par sa banque.

Analyse de cet arrêt.

Les faits

Le client d’une banque a été contacté par une personne se faisant passer pour son conseiller bancaire. Celui-ci l’a alors informé que des mouvements suspects avaient été détectés sur son compte.

Après lui avoir suggéré qu'une vérification urgente était nécessaire, l'escroc a persuadé la victime de supprimer cinq bénéficiaires de virements enregistrés sur son compte, puis de les réinscrire, tout en fournissant son code confidentiel.

Trompée par cette mise en scène et notamment par le fait que le numéro de téléphone affiché correspondait à celui de son véritable conseiller bancaire, la victime a suivi les instructions données, ne suspectant pas la fraude.

Deux jours plus tard, le client a constaté que plusieurs virements frauduleux avaient été réalisés depuis son compte bancaire, pour un montant de 54.500 €.

Il a alors alerté sa banque et a demandé le remboursement des sommes prélevées, ce qu’elle a refusé.

Le client a donc assigné la banque en remboursement. La Cour d’Appel de Versailles a condamné la banque au remboursement qui a formé un pourvoi.

Les règles de remboursement en cas d'opération de paiement non autorisée

En cas d'opération de paiement non autorisée signalée par le client, la banque doit procéder immédiatement au remboursement (Article L. 133-18 du Code monétaire et financier).

Toutefois, la banque ne sera pas tenue de rembourser le client si les pertes occasionnées par des opérations de paiement non autorisées résultent d’un « agissement frauduleux de sa part » ou s’il s’est rendu coupable d’une « négligence grave » dans son obligation de préserver la sécurité de ses données personnalisées ou de l’informer sans tarder de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données (Article L. 133-19 du Code monétaire et financier).

La notion de « négligence grave » revêt une importance cruciale dans les cas de spoofing, où la victime valide une opération au bénéfice de l’escroc, voire en lui remettant des données personnelles d’identification. La caractérisation d’une telle négligence dépendra des circonstances de fait qu’il appartiendra aux tribunaux de caractériser.

Dans l’espèce, la banque argue – classiquement – que commet une négligence grave, le payeur qui, à la demande d'une personne qui l'a contacté par téléphone en se présentant comme son conseiller bancaire, valide à distance et sans la vérifier une opération dont il n'est pas l'auteur en dépit d'indices permettant à un utilisateur normalement attentif de douter de l'identité de son interlocuteur.

La décision de la Haute Juridiction

La Cour de cassation rappelle tout d’abord que c’est à la banque de rapporter la preuve que son client a commis une négligence grave.

Ensuite, pour la Haute Juridiction, la Cour d’Appel de Versailles a pu justement déduire que la négligence grave du client n'était pas caractérisée, notamment en raison des éléments suivants :

• Le numéro d'appel apparaissant sur le téléphone portable du client s'était affiché comme étant celui de son conseiller habituel, le client croyant ainsi être en relation avec un salarié de la banque. La victime a donc cru valider l'opération litigieuse sur son application, dont la banque assurait qu'il s'agissait d'une opération sécurisée.
• Le mode opératoire par l'utilisation du spoofing a mis le client en confiance et a diminué sa vigilance, inférieure, face à un appel téléphonique émanant prétendument de sa banque pour lui faire part du piratage de son compte, à celle d'une personne réceptionnant un courriel, laquelle aurait pu disposer de davantage de temps pour s'apercevoir d'éventuelles anomalies révélatrices de son origine frauduleuse.

Eu égard aux circonstances dans lesquelles l’escroquerie a eu lieu, il ne peut être reproché au client d’avoir commis une négligence grave.

Ainsi, la Cour de cassation rejette le pourvoi de la banque, qui devra donc rembourser le client victime de l’arnaque.

 

Je reste à votre disposition pour toute information complémentaire, ou pour vous assister dans la défense de vos intérêts dans le cadre d'escroquerie bancaire. Vous pouvez prendre attache avec moi en cliquant ici.