Ces dernières années, les
moyens de paiement ont progressivement évolué vers une digitalisation
généralisée. Mais cette évolution charrie avec elle son lot de risques, tels
que l’exploitation de failles technologiques et la récupération de données
bancaires confidentielles par des escrocs du numérique. La Cour de cassation
vient donc de préciser les conditions de remboursements des victimes de fraudes
aux virements.
Le 15 janvier dernier, la Haute
juridiction a rendu deux décisions sur des cas d’escroquerie aux virements
bancaires, dans le cadre de ses pourvois n° 23-13.579 et 23-15.437. Elle a, en
premier lieu, rappelé que les banques sont tenues de rembourser leurs clients
victimes d’escroquerie, en vertu de l’article L 133-18 du Code monétaire et
financier. En revanche, la Cour de cassation a précisé que les banques « ne
sont pas tenues d’effectuer ce remboursement, même partiel » dans deux
cas : lorsque le client a opéré une « négligence grave »,
ou lorsqu’un virement a été réalisé « sur la base d’un identifiant
bancaire fourni » par le client, alors que le document ne correspondait
pas au destinataire souhaité. Les deux décisions de la Haute juridiction interviennent
moins d’une semaine après la généralisation des virements instantanés, prévue
par le règlement 2024/886 du Parlement européen et du Conseil de l’Union
européenne, adopté le 13 mars 2024.
Conformément à ce texte, les
banques ont pour obligation, depuis le 9 janvier 2025, de proposer des services
de virements instantanés sans que leur tarif excède celui des virements
classiques, qui sont gratuits. Les virements instantanés sont donc devenus
gratuits et permettent de transférer des fonds 7 jours sur 7, 24 heures sur 24
et en dix secondes, entre deux comptes bancaires de l’espace unique de paiement
en euro (la zone « SEPA », regroupant les pays de l’Union européenne,
l’Islande, la Norvège, la Suisse ou encore le Royaume-Unis). Le règlement 2024/886
entend ainsi harmoniser l’encadrement relatif aux virements instantanés,
généraliser ces opérations et fluidifier les transactions financières dans la
zone SEPA. En effet, avant l’adoption de cette mesure, les virements
instantanés peinaient à séduire. Selon une étude réalisée en 2023 par la Banque
de France, ils représentaient seulement 6,4% du nombre total des virements
effectués en France. L’étude observait néanmoins une augmentation de 46% des
montants transférés par ces types d’opérations.
Alors que les virements
instantanés sont, par essence, rapides et irréversibles, une telle mesure
européenne exige une vigilance d’autant plus accrue quant à leur sécurité. Dans
son enquête de 2023, antérieure à l’entrée en application du règlement 2024/886,
la Banque de France relevait une stabilité de la fraude bancaire, mais un
volume des transactions frauduleuses en hausse de 18%, touchant aussi bien les
professionnels que les particuliers. Aussi, la même année, plus de 400 000
personnes avaient été victimes de fraude aux moyens de paiement en France, selon
le ministère de l’Intérieur. Afin de protéger les utilisateurs d’éventuelles
fraudes aux virements, le règlement européen oblige les prestataires à fournir
un service gratuit de vérification de la concordance entre le nom du
destinataire et celui du titulaire de l’IBAN bénéficiaire. Mais avant l’entrée
en application du règlement, les fraudes bancaires se sont poursuivies et les
pourvois en cassation de banques refusant de rembourser leurs clients victimes
d’escroqueries, aussi.
Les escroqueries bancaires au
cheval de Troie
La Cour de cassation a
prononcé une première décision sur l’affaire de deux sociétés victimes d’une
escroquerie au cheval de Troie. Selon l’expertise, un courriel, comportant un
cheval de Troie, avait été envoyé par un fraudeur à leur service de
comptabilité. Il s’agit d’un logiciel permettant d’exploiter les failles d’un
système informatique et d’obtenir l’accès non autorisé à des informations
financières. Dans la majorité des cas, il est envoyé par courriel et est
téléchargeable à partir d’un fichier joint ou d’un lien. Si la victime
télécharge la pièce jointe ou clique sur le lien, l’escroc peut alors prendre
le contrôle du système informatique, collecter les identifiants bancaires de ses
victimes et effectuer des virements à son profit. Le courriel malveillant, envoyé
au service de comptabilité des deux sociétés, a donc été ouvert par un salarié,
permettant ainsi au fraudeur de prendre le contrôle de son ordinateur et d’ordonner
six virements bancaires.
Alors que la banque des deux
sociétés victimes a refusé tout remboursement, ces dernières ont saisi la
justice. La cour d’appel a ainsi condamné la banque à rembourser la moitié des
pertes aux deux sociétés, considérant que les torts étaient partagés. Selon le
tribunal, les victimes de fraude sont responsables d’une « négligence
grave », puisque « le courriel malveillant paraissait
manifestement trompeur, rédigé en langue anglaise sans raison ». Pour
autant, les juges ont relevé « le manquement de la banque à son
obligation de vigilance », constatant qu’elle n’avait pas tenu compte « des
alertes d’un organisme de surveillance des attaques informatiques » et
des « nombreuses tentatives de connexion le jour des faits ».
Après la formation d’un pourvoi
en cassation par ladite banque, la Haute juridiction a finalement censuré la précédente
décision de la cour d’appel. Elle a jugé que « la négligence grave du
client libère la banque de tout partage de responsabilité », en vertu
de l’article 133-19 du Code monétaire et financier. Celui-ci prévoit que « si
le client a commis une négligence grave qui l’a conduit à se faire escroquer,
l’obligation de remboursement qui pèse sur la banque est levée ». Pour
la Cour de cassation, les clients ont opéré une négligence grave puisqu’ils ont
« tenu compte d’un courriel manifestement frauduleux ». La banque
des deux sociétés victimes de virements frauduleux n’est donc plus tenue de les
rembourser partiellement.
Les cas de virements bancaires
à un mauvais destinataire
La Haute juridiction a
délivré une seconde décision, relative à l’affaire d’un couple qui désirait
acheter un véhicule sur internet. Les victimes ont procédé à deux virements
bancaires, à partir d’un IBAN envoyé par courriel : un premier virement effectué
à distance et un second, réalisé au guichet. Le couple s’est ensuite aperçu
qu’il avait ordonné ces transferts de fonds à destination d’un IBAN frauduleux.
Il avait, en réalité, été victime d’un piratage informatique. Dans l’un des
courriels échangés entre les acheteurs et le vendeur du véhicule, un escroc
avait réussi à substituer son propre IBAN à la place de celui du vendeur.
Le couple a décidé de saisir
la justice, après avoir essuyé le refus de remboursement de sa banque. Ainsi, la
cour d’appel a condamné la banque à rembourser une partie des sommes versées
par les victimes, jugeant également que les torts étaient partagés. Le tribunal
a rappelé, d’une part, que le Code monétaire et financier « prévoit
qu’une banque ne peut voir sa responsabilité engagée lorsque son client lui
fournit un mauvais IBAN », conformément à l’article L 133-21. Mais la
cour d’appel a considéré, d’autre part, « que la banque restait tenue à
une obligation de vigilance », puisque l’IBAN frauduleux transmis par le
couple comportait « des anomalies apparentes ». Après la
formation d’un pourvoi en cassation de la banque, la Haute juridiction a finalement
censuré la décision de la cour d’appel, en rappelant l’article L 133-21 du Code
monétaire et financier. De plus, pour la Cour de cassation, l’origine
frauduleuse de l’IBAN, issu d’un piratage informatique, et le manque de
considération des anomalies du document par la banque « ne sont pas des
circonstances envisagées par le Code monétaire et financier comme ouvrant la
possibilité d’un partage de responsabilité ».
Afin de se prémunir de tels
risques de fraudes aux virements bancaires, qu’ils soient instantanés ou non, le
ministère de l’Économie, des finances et de la souveraineté industrielle et
numérique a publié, le 18 novembre 2024, une série de recommandations. Il
préconise de s’informer sur les consignes de sécurité délivrées par les banques,
de réserver un seul mot de passe pour accéder à sa banque à distance et de ne
pas le noter sur un appareil connecté. Bercy déconseille de renseigner les
identifiants et mots de passe bancaires à partir d’un lien envoyé par courriel
ou par SMS et dont le destinataire prétend être un agent de banque. En effet, ces
méthodes frauduleuses, nommées « phishing » ou hameçonnage, sont
souvent utilisées par les escrocs du numérique qui espèrent collecter les
données bancaires de leurs victimes. Enfin, le ministère conseille de sécuriser
son matériel informatique en le mettant régulièrement à jour, en verrouillant
l’accès au profil utilisateur et en sécurisant les connexions WIFI.
Inès
Guiza