JUSTICE

La Cour de cassation confirme que les banques doivent rembourser les victimes de spoofing téléphonique

La Cour de cassation confirme que les banques doivent rembourser les victimes de spoofing téléphonique
Publié le 24/10/2024 à 17:44

La juridiction a estimé que le client qui se fait piéger au téléphone par un faux conseiller ne peut se voir reprocher par sa banque d’avoir commis une négligence grave.

Dans une décision rendue mercredi 23 octobre par la chambre commerciale, financière et économique de la Cour de cassation, la juridiction a confirmé l’obligation pour une banque de rembourser son client victime de spoofing téléphonique.

Cette pratique, dont le terme traduit signifie « usurpation d’identité », consiste pour un arnaqueur à contacter sa victime en se faisant passer pour une autre personne, le plus couramment son conseiller bancaire, en faisant apparaître un numéro de téléphone différent afin de crédibiliser son arnaque. En gagnant la confiance de sa victime, l’escroc la convainc de lui communiquer ses données personnelles de sécurité, comme son code de carte bancaire ou le mot de passe de son espace internet. Il est ensuite en mesure de lui soutirer de l’argent en effectuant des virements.

Dans le cas précis visé par cette décision, un client de BNP Paribas a reçu un appel téléphonique d’un arnaqueur se faisant passer pour sa conseillère bancaire, le téléphone de la victime affichant le numéro de la banque. Cette fausse conseillère lui a fait croire que des mouvements frauduleux avaient été effectués. Prétendant mener une vérification, l’arnaqueur a demandé à la victime de supprimer cinq personnes de sa liste de bénéficiaires de virements, puis de les y réinscrire en renseignant son code confidentiel.

La banque accusait son client de négligence

Induite en erreur, la victime a suivi les instructions qui lui était données. Mais deux jours plus tard, le client a réalisé avoir été victime d’une escroquerie, son compte ayant été débité de plusieurs virements frauduleux pour un montant total de 54 500 euros. Il a demandé à sa banque le remboursement des sommes prélevées, comme le permet l’article L133-18 du code monétaire et financier, qui dispose qu’ « en cas d'opération de paiement non autorisée signalée par l'utilisateur […], le prestataire de services de paiement du payeur rembourse au payeur le montant de l'opération non autorisée immédiatement après avoir pris connaissance de l'opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s'il a de bonnes raisons de soupçonner une fraude de l'utilisateur du service de paiement et s'il communique ces raisons par écrit à la Banque de France ».

Mais la banque a refusé de rembourser son client et avancé l’article L133-19 du même code qui indique que « le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées […] s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations », principalement celle de prendre toutes les mesures raisonnables pour préserver la sécurité de ses données de sécurité personnalisées.

Dans un premier temps confortée en première instance par le tribunal de commerce de Pontoise, la banque a été condamnée en appel à procéder au remboursement, estimant que le client n’avait pas commis de négligence grave. La banque a ensuite formé un pourvoi en cassation.

« L’utilisation du « spoofing » a mis [la victime] en confiance »

Dans sa décision, la Cour de cassation a rappelé « qu'il incombe au prestataire de services de paiement de rapporter la preuve d'une négligence grave de son client ». En somme, la juridiction a estimé que le numéro d’appel apparu sur le téléphone portable du plaignant étant bien celui de sa conseillère BNP a en toute logique pu duper la victime en faisant croire qu’elle était en communication avec une salariée de la banque lors de l’opération. La plus haute juridiction de l'ordre judiciaire français a également jugé que « le mode opératoire par l'utilisation du « spoofing » a mis [la victime] en confiance et a diminué sa vigilance, inférieure […] à celle d'une personne réceptionnant un courriel, laquelle aurait pu disposer de davantage de temps pour s'apercevoir d'éventuelles anomalies révélatrices de son origine frauduleuse ».

La Cour de cassation a ainsi rejeté la demande de BNP Paribas et l’a condamné à payer 3 000 euros à la victime au titre du remboursement des frais de justice, en plus du remboursement des 54 500 euros volés par l’arnaqueur – sans compter les intérêts au taux légal à compter du 10 octobre 2019, date de réception par la banque de la mise en demeure du client.

Ce n’est pas la première fois que la Cour de cassation rend une décision au sujet du spoofing. Le 30 août 2023, elle avait annulé un jugement du tribunal judiciaire de Clermont-Ferrand. En réponse à un appel téléphonique et à un message, la victime avait transmis à un tiers, qu'elle croyait être un employé de sa banque, le code à six chiffres destiné à valider les paiements en ligne depuis son compte.. Un paiement non sollicité avait ensuite été effectué. La banque avait considéré que son client avait commis une négligence grave en communiquant volontairement son code de sécurité. La Cour de cassation avait alors estimé que le système d’authentification forte requis par la loi n’était pas présent.

Alexis Duvauchelle

0 commentaire
Poster

Nos derniers articles