Pour la Cour de cassation, au regard des circonstances dans lesquelles l’escroquerie a eu lieu, aucune négligence grave ne peut être imputée au client piégé par un faux conseiller bancaire ayant usurpé le numéro de la banque.
Le titulaire d’un compte bancaire supporte les pertes occasionnées par des opérations de paiement non autorisées par lui, notamment s’il n’a pas satisfait par négligence grave à l’obligation de prendre toute mesure raisonnable pour préserver la sécurité du dispositif de sécurité personnalisé mis à sa disposition (C. mon. fin. art. L 133-19).
Piégé au téléphone par un faux conseiller bancaire lui ayant demandé de supprimer cinq personnes de sa liste de bénéficiaires de virements puis de les y réinscrire en renseignant son code confidentiel, le titulaire d’un compte valide ainsi en réalité des virements frauduleux.
La Cour de cassation juge qu’il résulte des éléments suivants que n’était pas caractérisée sa négligence grave : l’escroc l’avait contacté par téléphone en usurpant l’identité de sa conseillère bancaire, le numéro d’appel qui s’était affiché sur son portable étant celui de cette dernière ; le client avait ainsi cru être en relation avec une salariée de la banque lors du réenregistrement et de la validation des bénéficiaires de virements qu’il connaissait ; il avait cru valider l’opération litigieuse sur son application dont la banque assurait qu’il s’agissait d’une opération sécurisée. Le mode opératoire par l’utilisation du « spoofing » (usurpation du numéro de la banque) avait mis le client en confiance et avait diminué sa vigilance, inférieure, face à un appel téléphonique émanant prétendument de sa banque pour lui faire part du piratage de son compte, à celle d’une personne réceptionnant un courriel, laquelle aurait pu disposer de davantage de temps pour s’apercevoir d’éventuelles anomalies révélatrices de son origine frauduleuse.
Par suite, la banque devait être condamnée à rembourser son client.
A noter :
Les opérations de paiement (en l’espèce, des virements frauduleux) effectuées par les faux conseillers bancaires constituent des opérations de paiement non autorisées que la banque doit donc rembourser au client dès lors qu’elle a été informée de la fraude (C. mon. fin. art. L 133-18). Pour s’opposer à un tel remboursement, les banques invoquent fréquemment la négligence grave de leur client dans la conservation des données de sécurité personnalisées, ce qui lui permet de laisser à la charge de ce client toutes les pertes occasionnées (art. L 133-19 précité). Après avoir rappelé qu’il appartient à la banque de prouver cette négligence grave, la décision commentée donne pour la première fois des indications sur la manière dont elle doit être appréciée dans le contexte de « spoofing » téléphonique (c’est-à-dire dans un cas d’usurpation du numéro de téléphone de la banque).
Cet arrêt devrait permettre aux victimes d’une fraude au conseiller bancaire d’obtenir le remboursement des sommes indûment versées sans que leur soit systématiquement opposée leur négligence grave. Mais il ne peut pas, à notre avis, être interprété comme imposant dans tous les cas aux banques une obligation de remboursement : tout dépendra des circonstances propres à chaque cas d’espèce et, notamment, de la technique employée par les escrocs afin d’obtenir la communication des données de sécurité personnalisées du client. En l’espèce, le numéro était celui de la banque et le client n’avait pas procédé directement aux virements mais avait utilisé ses données de sécurité pour réenregistrer des bénéficiaires qu’il connaissait.
Depuis le 1er octobre 2024, les opérateurs téléphoniques ont l’obligation de vérifier l’authenticité des numéros d’appel et de couper ceux qui ne peuvent être validés (Loi 2020-901 du 24-7-2020 art. 10). Ce dispositif devrait permettre de réduire les cas de « spoofing ».
Par ailleurs, un règlement européen prévoit des mesures afin d’atténuer ces fraudes, notamment en rendant obligatoire, pour tous les virements, un système de vérification de la correspondance entre le numéro Iban du bénéficiaire et son nom (Règl. UE 260/2012 du 14-3-2012 art. 5 quater issu du règl. UE 2024/886 du 13-3-2024, applicable à compter du 9 octobre 2025 aux prestataires de services de paiement situés dans un Etat membre de l’UE dont la monnaie est l’euro et à compter du 9 juillet 2027 aux prestataires situés dans un Etat membre dont la monnaie n’est pas l’euro).
Cass. com. 23-10-2024 n° 23-16.267 FS-B, Sté BNP Paribas c/ J.
L’@ctualité en ligne, www .efl.fr 18/11/2024
