La fraude bancaire.
Il convient de préciser que l’authentification forte peut être contournée par des attaques contre les smartphones qui ont régulièrement lieu afin de voler les identifiants du compte bancaire, les données ou les codes reçus par SMS.
Il résulte également de la presse spécialisée du monde du numérique que les données bancaires (numéros et code de validation CVV) de plus de 46 000 cartes bancaires françaises sont proposées, gratuitement, sur le Dark web.
La législation applicable en cas de fraude bancaire.
En application de l’article L133-18 du Code Monétaire et Financier, en cas d’opération de paiement non autorisée signalée par l’utilisateur dans les treize mois suivant la date de débit, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l’opération non autorisée et, le cas échéant, rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu.
Régulièrement, l’établissement bancaire tente de refuser de rembourser en invoquant une opération autorisée par le client et dès lors une négligence grave de sa part.
Or, c’est suite à la fraude que le client a donné son autorisation.
La jurisprudence récente en matière de fraude aux « faux conseiller ».
Par jugement du 11 janvier 2024 le tribunal judiciaire de Paris (n°23-02421) et le tribunal judiciaire de Versailles par jugement du 22 mars 2024, ont jugé qu’il n’y avait pas de négligence grave dans des affaires de fraudes au « faux conseiller ».
De même, la Cour d’Appel de Douai dans un arrêt du 5 janvier 2023 (n° 21/04625) a jugé :
« le client a été rappelé par une personne qui connaissait son nom, son numéro de téléphone, sa banque et sa conseillère, usait d’une fausse qualité. Monsieur X soudainement alerté de la tentative de fraude bancaire dont il était victime, a pu être rassuré par le fraudeur, qui a réussi à tromper sa vigilance, en employant des manœuvres frauduleuses… Dès lors, il n’a pas eu conscience qu’il communiquait les codes au fraudeur, et non à un proposé des banques comme cela lui avait été indiqué… Étant rappelé que ces faits se sont déroulés dans un court laps de temps, ce qui est propice à la manipulation, en raison de l’état de panique, de la victime, sur lequel compte le fraudeur pour parvenir à ses fins ».
Il convient d’être extrêmement précis sur le déroulement des faits afin de contester la négligence grave.
Les décisions judiciaires en matière d’hameçonnage ("phishing").
Suite à la réception d’un email frauduleux, le client pense régler un achat et communique les éléments de sa carte bancaire.
Selon la jurisprudence, quelques erreurs liées à des fautes d’orthographe et l’emploi de quelques mots dans un sens inapproprié, tels que : « nous vous prions de bien vouloir confirmer votre attention dans un délai de 48 heures, tous les détails demandés afin d’ éviter tout dysfonctionnement lié à votre compte », ne sont pas suffisants pour que le payeur comprenne qu’il est face un acte de hameçonnage [1].
De même d’autres juridictions ont pu également considérer que des anomalies infimes n’avaient pas à être prises en considération comme : « l’absence de “Paribas”, après le terme, « services–client BNP » figurant sous "nouveau message" dans le cartouche supérieur » qui était d’autant plus difficile à discerner qu’il s’agissait de petits caractères figurant dans une entête qui n’est ni le titre, ni le contenu du message et à laquelle il n’existe pas de raison de prêter attention alors que le regard du lecteur se porte spontanément vers le message lui-même et non sur son cadre [2].
Ainsi, souvent, il s’agit des mêmes faits dans la mesure où une faute d’orthographe et /ou l’emploi d’un mot dans un sens inapproprié figure dans l’email frauduleux.
Cependant, on ne saurait oublier que les conseillers-clientèles font également des fautes d’orthographes…
De même, s’agissant de l’adresse mail du message frauduleux, l’erreur sera plus facilement excusable ou du moins compréhensive si l’adresse mail du message frauduleux comporte bien le nom de la banque comme pour sa véritable adresse.
À l’inverse, la jurisprudence relève la négligence grave pour un intitulé qui diffère :
- “Caisse Épargne” au lieu de “Caisse d’épargne”.
- en cas d’absence d’adresse mail de l’expéditeur au lieu de l’adresse habituelle de la banque,
- un contenu comportant des lettres majuscules en milieu de mots ou de phrases ainsi que des fautes d’orthographe ou une minuscule en début de phrase, des absence de ponctuation, ou d’accents [3].
Dès lors, quelques anomalies ne peuvent être invoquées à l’appui d’une négligence grave.
Par ailleurs, selon la jurisprudence, en cas d’hameçonnage, la banque doit prouver que les opérations ont été authentifiées, dûment enregistrées et comptabilisées et, surtout, non affectées par une déficience technique ou autre [4]. Ce qui n’est pas aisé.
Ainsi, il existe des moyens de se défendre en cas de négligence grave invoquée par la banque pour refuser de procéder au remboursement.