JUSTICE

Fraude au virement bancaire : la Cour de cassation précise les conditions de remboursement des victimes

Fraude au virement bancaire : la Cour de cassation précise les conditions de remboursement des victimes
Publié le 23/01/2025 à 12:00

Ces dernières années, les moyens de paiement ont progressivement évolué vers une digitalisation généralisée. Mais cette évolution charrie avec elle son lot de risques, tels que l’exploitation de failles technologiques et la récupération de données bancaires confidentielles par des escrocs du numérique. La Cour de cassation vient donc de préciser les conditions de remboursements des victimes de fraudes aux virements.

Le 15 janvier dernier, la Haute juridiction a rendu deux décisions sur des cas d’escroquerie aux virements bancaires, dans le cadre de ses pourvois n° 23-13.579 et 23-15.437. Elle a, en premier lieu, rappelé que les banques sont tenues de rembourser leurs clients victimes d’escroquerie, en vertu de l’article L 133-18 du Code monétaire et financier. En revanche, la Cour de cassation a précisé que les banques « ne sont pas tenues d’effectuer ce remboursement, même partiel » dans deux cas : lorsque le client a opéré une « négligence grave », ou lorsqu’un virement a été réalisé « sur la base d’un identifiant bancaire fourni » par le client, alors que le document ne correspondait pas au destinataire souhaité. Les deux décisions de la Haute juridiction interviennent moins d’une semaine après la généralisation des virements instantanés, prévue par le règlement 2024/886 du Parlement européen et du Conseil de l’Union européenne, adopté le 13 mars 2024.

Conformément à ce texte, les banques ont pour obligation, depuis le 9 janvier 2025, de proposer des services de virements instantanés sans que leur tarif excède celui des virements classiques, qui sont gratuits. Les virements instantanés sont donc devenus gratuits et permettent de transférer des fonds 7 jours sur 7, 24 heures sur 24 et en dix secondes, entre deux comptes bancaires de l’espace unique de paiement en euro (la zone « SEPA », regroupant les pays de l’Union européenne, l’Islande, la Norvège, la Suisse ou encore le Royaume-Unis). Le règlement 2024/886 entend ainsi harmoniser l’encadrement relatif aux virements instantanés, généraliser ces opérations et fluidifier les transactions financières dans la zone SEPA. En effet, avant l’adoption de cette mesure, les virements instantanés peinaient à séduire. Selon une étude réalisée en 2023 par la Banque de France, ils représentaient seulement 6,4% du nombre total des virements effectués en France. L’étude observait néanmoins une augmentation de 46% des montants transférés par ces types d’opérations.

Alors que les virements instantanés sont, par essence, rapides et irréversibles, une telle mesure européenne exige une vigilance d’autant plus accrue quant à leur sécurité. Dans son enquête de 2023, antérieure à l’entrée en application du règlement 2024/886, la Banque de France relevait une stabilité de la fraude bancaire, mais un volume des transactions frauduleuses en hausse de 18%, touchant aussi bien les professionnels que les particuliers. Aussi, la même année, plus de 400 000 personnes avaient été victimes de fraude aux moyens de paiement en France, selon le ministère de l’Intérieur. Afin de protéger les utilisateurs d’éventuelles fraudes aux virements, le règlement européen oblige les prestataires à fournir un service gratuit de vérification de la concordance entre le nom du destinataire et celui du titulaire de l’IBAN bénéficiaire. Mais avant l’entrée en application du règlement, les fraudes bancaires se sont poursuivies et les pourvois en cassation de banques refusant de rembourser leurs clients victimes d’escroqueries, aussi.

Les escroqueries bancaires au cheval de Troie

La Cour de cassation a prononcé une première décision sur l’affaire de deux sociétés victimes d’une escroquerie au cheval de Troie. Selon l’expertise, un courriel, comportant un cheval de Troie, avait été envoyé par un fraudeur à leur service de comptabilité. Il s’agit d’un logiciel permettant d’exploiter les failles d’un système informatique et d’obtenir l’accès non autorisé à des informations financières. Dans la majorité des cas, il est envoyé par courriel et est téléchargeable à partir d’un fichier joint ou d’un lien. Si la victime télécharge la pièce jointe ou clique sur le lien, l’escroc peut alors prendre le contrôle du système informatique, collecter les identifiants bancaires de ses victimes et effectuer des virements à son profit. Le courriel malveillant, envoyé au service de comptabilité des deux sociétés, a donc été ouvert par un salarié, permettant ainsi au fraudeur de prendre le contrôle de son ordinateur et d’ordonner six virements bancaires.

Alors que la banque des deux sociétés victimes a refusé tout remboursement, ces dernières ont saisi la justice. La cour d’appel a ainsi condamné la banque à rembourser la moitié des pertes aux deux sociétés, considérant que les torts étaient partagés. Selon le tribunal, les victimes de fraude sont responsables d’une « négligence grave », puisque « le courriel malveillant paraissait manifestement trompeur, rédigé en langue anglaise sans raison ». Pour autant, les juges ont relevé « le manquement de la banque à son obligation de vigilance », constatant qu’elle n’avait pas tenu compte « des alertes d’un organisme de surveillance des attaques informatiques » et des « nombreuses tentatives de connexion le jour des faits ».

Après la formation d’un pourvoi en cassation par ladite banque, la Haute juridiction a finalement censuré la précédente décision de la cour d’appel. Elle a jugé que « la négligence grave du client libère la banque de tout partage de responsabilité », en vertu de l’article 133-19 du Code monétaire et financier. Celui-ci prévoit que « si le client a commis une négligence grave qui l’a conduit à se faire escroquer, l’obligation de remboursement qui pèse sur la banque est levée ». Pour la Cour de cassation, les clients ont opéré une négligence grave puisqu’ils ont « tenu compte d’un courriel manifestement frauduleux ». La banque des deux sociétés victimes de virements frauduleux n’est donc plus tenue de les rembourser partiellement.

Les cas de virements bancaires à un mauvais destinataire

La Haute juridiction a délivré une seconde décision, relative à l’affaire d’un couple qui désirait acheter un véhicule sur internet. Les victimes ont procédé à deux virements bancaires, à partir d’un IBAN envoyé par courriel : un premier virement effectué à distance et un second, réalisé au guichet. Le couple s’est ensuite aperçu qu’il avait ordonné ces transferts de fonds à destination d’un IBAN frauduleux. Il avait, en réalité, été victime d’un piratage informatique. Dans l’un des courriels échangés entre les acheteurs et le vendeur du véhicule, un escroc avait réussi à substituer son propre IBAN à la place de celui du vendeur.

Le couple a décidé de saisir la justice, après avoir essuyé le refus de remboursement de sa banque. Ainsi, la cour d’appel a condamné la banque à rembourser une partie des sommes versées par les victimes, jugeant également que les torts étaient partagés. Le tribunal a rappelé, d’une part, que le Code monétaire et financier « prévoit qu’une banque ne peut voir sa responsabilité engagée lorsque son client lui fournit un mauvais IBAN », conformément à l’article L 133-21. Mais la cour d’appel a considéré, d’autre part, « que la banque restait tenue à une obligation de vigilance », puisque l’IBAN frauduleux transmis par le couple comportait « des anomalies apparentes ». Après la formation d’un pourvoi en cassation de la banque, la Haute juridiction a finalement censuré la décision de la cour d’appel, en rappelant l’article L 133-21 du Code monétaire et financier. De plus, pour la Cour de cassation, l’origine frauduleuse de l’IBAN, issu d’un piratage informatique, et le manque de considération des anomalies du document par la banque « ne sont pas des circonstances envisagées par le Code monétaire et financier comme ouvrant la possibilité d’un partage de responsabilité ».

Afin de se prémunir de tels risques de fraudes aux virements bancaires, qu’ils soient instantanés ou non, le ministère de l’Économie, des finances et de la souveraineté industrielle et numérique a publié, le 18 novembre 2024, une série de recommandations. Il préconise de s’informer sur les consignes de sécurité délivrées par les banques, de réserver un seul mot de passe pour accéder à sa banque à distance et de ne pas le noter sur un appareil connecté. Bercy déconseille de renseigner les identifiants et mots de passe bancaires à partir d’un lien envoyé par courriel ou par SMS et dont le destinataire prétend être un agent de banque. En effet, ces méthodes frauduleuses, nommées « phishing » ou hameçonnage, sont souvent utilisées par les escrocs du numérique qui espèrent collecter les données bancaires de leurs victimes. Enfin, le ministère conseille de sécuriser son matériel informatique en le mettant régulièrement à jour, en verrouillant l’accès au profil utilisateur et en sécurisant les connexions WIFI.

Inès Guiza

0 commentaire
Poster

Nos derniers articles