La juridiction a estimé que le
client qui se fait piéger au téléphone par un faux conseiller ne peut se voir
reprocher par sa banque d’avoir commis une négligence grave.
Dans une décision rendue mercredi
23 octobre par la chambre commerciale, financière et économique de la Cour de
cassation, la juridiction a confirmé l’obligation pour une banque de rembourser
son client victime de spoofing téléphonique.
Cette pratique, dont le terme
traduit signifie « usurpation d’identité », consiste pour un arnaqueur
à contacter sa victime en se faisant passer pour une autre personne, le plus
couramment son conseiller bancaire, en faisant apparaître un numéro de
téléphone différent afin de crédibiliser son arnaque. En gagnant la confiance
de sa victime, l’escroc la convainc de lui communiquer ses données personnelles
de sécurité, comme son code de carte bancaire ou le mot de passe de son espace
internet. Il est ensuite en mesure de lui soutirer de l’argent en effectuant des
virements.
Dans le cas précis visé par
cette décision, un client de BNP Paribas a reçu un appel téléphonique d’un arnaqueur
se faisant passer pour sa conseillère bancaire, le téléphone de la victime
affichant le numéro de la banque. Cette fausse conseillère lui a fait croire
que des mouvements frauduleux avaient été effectués. Prétendant mener une
vérification, l’arnaqueur a demandé à la victime de supprimer cinq personnes de
sa liste de bénéficiaires de virements, puis de les y réinscrire en renseignant
son code confidentiel.
La banque accusait son client
de négligence
Induite en erreur, la victime
a suivi les instructions qui lui était données. Mais deux jours plus tard, le
client a réalisé avoir été victime d’une escroquerie, son compte ayant été
débité de plusieurs virements frauduleux pour un montant total de 54 500 euros.
Il a demandé à sa banque le remboursement des sommes prélevées, comme le permet
l’article L133-18
du code monétaire et financier, qui dispose qu’ « en cas
d'opération de paiement non autorisée signalée par l'utilisateur […], le
prestataire de services de paiement du payeur rembourse au payeur le montant de
l'opération non autorisée immédiatement après avoir pris connaissance de
l'opération ou après en avoir été informé, et en tout état de cause au plus
tard à la fin du premier jour ouvrable suivant, sauf s'il a de bonnes raisons
de soupçonner une fraude de l'utilisateur du service de paiement et s'il
communique ces raisons par écrit à la Banque de France ».
Mais la banque a refusé de
rembourser son client et avancé l’article L133-19
du même code qui indique que « le payeur supporte toutes les pertes
occasionnées par des opérations de paiement non autorisées […] s'il n'a pas
satisfait intentionnellement ou par négligence grave aux obligations »,
principalement celle de prendre toutes les mesures raisonnables pour préserver
la sécurité de ses données de sécurité personnalisées.
Dans un premier temps
confortée en première instance par le tribunal de commerce de Pontoise, la banque
a été condamnée en appel à procéder au remboursement, estimant que le client n’avait
pas commis de négligence grave. La banque a ensuite formé un pourvoi en
cassation.
« L’utilisation du « spoofing »
a mis [la victime] en confiance »
Dans sa
décision, la Cour de cassation a rappelé « qu'il incombe au
prestataire de services de paiement de rapporter la preuve d'une négligence
grave de son client ». En somme, la juridiction a estimé que le numéro
d’appel apparu sur le téléphone portable du plaignant étant bien celui de sa
conseillère BNP a en toute logique pu duper la victime en faisant croire qu’elle était
en communication avec une salariée de la banque lors de l’opération. La plus haute juridiction de l'ordre judiciaire français a également
jugé que « le mode opératoire par l'utilisation du « spoofing » a mis [la
victime] en confiance et a diminué sa vigilance, inférieure […] à celle d'une
personne réceptionnant un courriel, laquelle aurait pu disposer de davantage de
temps pour s'apercevoir d'éventuelles anomalies révélatrices de son origine
frauduleuse ».
La Cour de cassation a ainsi rejeté
la demande de BNP Paribas et l’a condamné à payer 3 000 euros à la victime
au titre du remboursement des frais de justice, en plus du remboursement des 54 500
euros volés par l’arnaqueur – sans compter les intérêts au taux légal à compter
du 10 octobre 2019, date de réception par la banque de la mise en demeure du
client.
Ce n’est pas la première fois
que la Cour de cassation rend une décision au sujet du spoofing. Le 30 août
2023, elle avait annulé un jugement du tribunal judiciaire de Clermont-Ferrand.
En réponse à un appel téléphonique et à un message, la victime avait transmis à un tiers, qu'elle croyait être un employé de sa banque, le code à six chiffres destiné à valider les paiements en ligne depuis son compte.. Un paiement non
sollicité avait ensuite été effectué. La banque avait considéré que son client
avait commis une négligence grave en communiquant volontairement son code de
sécurité. La Cour de cassation avait alors estimé que le système d’authentification
forte requis par la loi n’était pas présent.
Alexis
Duvauchelle