La responsabilité bancaire en cas de fraude par spoofing : vers une protection renforcée des victimes.

Par Sylvie Noachovitch, Avocat.

4464 lectures 1re Parution: 4.5  /5

Explorer : # fraude bancaire # responsabilité bancaire # protection des clients # spoofing

Ce que vous allez lire ici :

La Cour de cassation a renforcé la protection des clients bancaires face aux fraudes par «spoofing», affirmant que les banques doivent prouver une négligence grave de leur part pour ne pas rembourser. Cette décision marque une avancée significative dans la jurisprudence sur la responsabilité bancaire concernant les escroqueries numériques.
Description rédigée par l'IA du Village

Une décision de la Cour d’appel de Versailles, en date du 28 mars 2023 a marqué un tournant dans le domaine de la responsabilité bancaire en cas de fraude, en redéfinissant les contours de la notion de « négligence grave » imputable aux clients victimes de pratiques frauduleuses, comme le « spoofing ».
L’arrêt rendu par la chambre commerciale de la Cour de cassation en date du 23 octobre 2024 (pourvoi n° 23-16.267) a rejeté le pourvoi formé par la Banque BNP Paribas contre cet arrêt de la Cour d’appel de Versailles.

-

Cet arrêt de rejet de la Cour de cassation a repris les arguments de la cour d’appel et de l’avocate de la victime.

Cet arrêt a non seulement établi des critères précis pour évaluer la responsabilité des banques face aux escroqueries sophistiquées, mais a aussi affirmé la protection accrue des clients, en cas d’usurpation de l’identité d’un conseiller bancaire pour obtenir l’exécution de transactions frauduleuses.

Ce résultat consacre un précédent significatif dans la jurisprudence française en matière de droit bancaire.

I. Le renforcement de la charge de la preuve de la négligence grave.

L’arrêt récent de la haute juridiction clarifie de manière significative la notion de « négligence grave » et renforce la protection des clients en cas de fraude.

Dans cette affaire, Monsieur D., client de BNP Paribas depuis plus de 20 ans, a subi des transactions non autorisées résultant d’une tromperie par « spoofing » : un escroc, usurpant le numéro de téléphone de son conseiller bancaire, l’a convaincu d’ajouter des bénéficiaires frauduleux dans le cadre d’une prétendue cyberattaque.

Le 29 mai 2019, il a reçu vers 17 heures un appel téléphonique de sa conseillère bancaire. Il avait enregistré son numéro de téléphone et le nom de sa conseillère était affiché.

Une interlocutrice s’est présentée comme étant l’assistante de sa conseillère.

Elle informait Monsieur D. d’une attaque de son compte courant.

Elle lui indiquait que pour contre-attaquer, elle devait supprimer certains bénéficiaires. Tout en restant en ligne, il recevait de ce même numéro BNP des messages, lui demandant de valider les bénéficiaires qu’il connaissait.

Il validait chaque message avec son code secret.

Elle lui indiquait alors qu’il n’aurait plus accès à son compte et qu’il recevrait par la poste un nouvel identifiant et un nouveau mot de passe. Deux jours plus tard, il découvre en se connectant sur son compte plusieurs prélèvements. Le 31 mai 2019, en rappelant le même numéro de sa conseillère, il lui fait part de son étonnement et elle lui confirme les prélèvements frauduleux.

Au total, il y a eu des prélèvements à hauteur de 59 500 €, et la banque n’a pu bloquer que la somme de 5 000 €, ce qui fait un préjudice financier de
54 500 €.

L’avocat a mis en demeure la banque de rembourser son client dès le 7 octobre 2019.

La banque n’ayant rien voulu entendre, elle a été assignée devant le Tribunal de commerce de Pontoise dans l’année qui suivait l’escroquerie.

Par jugement en date du 3 novembre 2021, le Tribunal de commerce de Pontoise a déclaré Monsieur D. mal fondé en ses demandes et l’a condamné au paiement de la somme de 800 € au titre de l’article 700 du Code de procédure civile.

Monsieur D. a donc formé appel contre cette décision dans la mesure où il a estimé ne pas avoir commis de négligence grave et a été dupé du fait de la défaillance du système de sécurité de la banque.

Il a soutenu devant la Cour d’appel de Versailles que la BNP aurait donc dû immédiatement l’indemniser en vertu de l’article L133-19 du Code monétaire et financier.

L’affichage du numéro de téléphone de sa conseillère bancaire suffisait à le mettre en confiance, et aucune négligence ne pouvait lui être reprochée.

La treizième chambre de la Cour d’appel de Versailles, par arrêt en date du 28 mars 2023 a infirmé la décision de première instance et a condamné la société BNP Paribas à verser à Monsieur Laurent D. la somme de 54 500 € avec intérêts au taux légal à compter du 10 octobre 2019, ainsi que la somme de 1 500 € à titre de dommages intérêts pour préjudice moral avec intérêts au taux légal à compter de l’arrêt.

La BNP a aussi été condamnée à verser à Monsieur Laurent D. la somme de 6 000 € en application des dispositions de l’article 700 du Code de procédure civile ainsi que les dépens de première instance et d’appel.

La Cour de cassation, par arrêt en date du 23 octobre 2024 (pourvoi numéro H23-16.267) a rejeté le pourvoi formé par la BNP Paribas et l’a condamnée aux dépens.

Ces deux arrêts rendus par la cour d’appel et la Cour de cassation consacrent ainsi l’obligation pour la banque de démontrer la négligence grave du client, en plaçant la charge de cette preuve sur le prestataire de services de paiement.

En reconnaissant la spécificité du « spoofing » par rapport aux fraudes par courriel, la Cour de cassation considère que les appels téléphoniques usurpant un numéro connu diminuent le discernement de la victime, lui laissant peu d’opportunité de détecter la fraude.

Le client, pensant parler avec un représentant légitime de la banque, ne peut pas être facilement accusé de manque de vigilance.

Dans le cas d’espèce, la Cour de cassation a estimé qu’il n’y avait pas de négligence grave du client de la banque à partir du moment où c’est le numéro de la banque qui est apparu.

Lorsqu’il a validé les opérations avec son code secret, le client pensait en toute bonne foi être en relation avec un salarié de la banque.

En effet, la Cour de cassation a estimé que la vigilance d’une personne qui reçoit un appel qui émane de sa banque est moindre que celle d’une personne qui reçoit un mail. Cette dernière dispose de davantage de temps pour en prendre connaissance et en découvrir son origine frauduleuse.

Cela aurait été différent s’il avait réceptionné un courriel qui lui aurait donné davantage de temps pour s’apercevoir des anomalies d’origine frauduleuse.

Cette décision marque un tournant en matière de jurisprudence, réaffirmant que les établissements bancaires doivent faire preuve de rigueur dans la protection de leurs clients et, en cas de litige, prouver avec clarté une faute grave du client.

Dans une affaire similaire, la Cour d’appel de Paris (pôle 5 chambre six) a infirmé un jugement rendu par le Tribunal de commerce de Paris et a condamné la BNP Paribas à payer à une société de transport la somme de 98 000 € au titre du remboursement des fonds qui lui ont été débités le 23 juillet 2019, avec intérêts au taux légal, à compter du 8 janvier 2020, au paiement de la somme de 4 000 € au titre de l’article 700 du Code de procédure civile ainsi que les entiers dépens.

Dans le cas d’espèce, la société a été appelée au téléphone le 23 juillet 2019 par une personne se faisant passer pour un technicien de cette banque.

Ce dernier, alléguant un bug informatique a demandé à une salariée de la société de procéder à diverses manipulations à la suite desquelles cinq virements furent réalisés.

Trois virements vers des numéros de compte suspects ont été rejetés par la société BNP Paribas et deux ont été débités vers l’Allemagne pour un montant total de 98 000 €.

Le 23 juillet 2019, la société a déposé plainte pour escroquerie et a demandé également à la banque le remboursement des virements débités.

Face au refus de la banque, la société de transport l’a assignée dans l’année qui suivait devant le Tribunal de commerce de Paris.

Le Tribunal de commerce de Paris par jugement en date du 23 septembre 2021 a débouté la société de ses demandes et l’a condamnée au paiement de la somme de 2 000 € au titre de l’article 700 du Code de procédure civile.

Un appel a été formé l’appel contre cette décision et soutenant que la société de transport n’avait en aucun cas commis de négligence grave.

La circonstance que l’escroc ait pu usurper un numéro de téléphone de la société BNP Paribas, et qu’il annonçât le code qui s’affichait à l’écran de la salariée de l’entreprise était de nature à persuader celle-ci qu’elle était en relation avec un technicien de la banque.

Il en est de même de la connaissance par son interlocuteur des opérations réalisées peu auparavant, ces faits ne pouvant que la conforter dans la croyance qu’un incident informatique était survenu.

La Cour d’appel de Paris, dans son arrêt du 7 février 2024, a ainsi estimé qu’on ne pouvait considérer que la société de transport avait commis une négligence grave exonérant la société BNP Paribas de son obligation de remboursement.

La société BNP Paribas a formé un pourvoi en cassation contre cet arrêt qui est toujours en cours.

II. L’impact de l’arrêt de la Cour de cassation sur la responsabilité bancaire.

Cette décision de la Cour de cassation a pour effet de renforcer les droits des clients victimes de fraude bancaire face aux escroqueries sophistiquées.

L’arrêt établit un précédent significatif dans la jurisprudence en matière de responsabilité bancaire, en appelant les institutions financières à une vigilance accrue face aux risques de fraude digitale.

La technique de « spoofing », qui repose sur la manipulation des informations d’identification pour tromper les clients, pose un défi majeur pour les banques, qui se doivent d’adapter leurs protocoles de sécurité en conséquence.

L’arrêt souligne l’importance de mettre en œuvre des mécanismes de sécurité performants pour détecter et prévenir les fraudes avant qu’elles n’aient lieu.

Ces décisions pourraient amener les banques à réévaluer leurs politiques de sécurisation des communications, notamment en ce qui concerne les informations échangées par téléphone et les vérifications d’identité.

À long terme, cet arrêt de la Cour de cassation pourrait inspirer une réforme du cadre juridique français, incitant à une protection renforcée des clients dans un environnement bancaire de plus en plus digitalisé, tout en contribuant à l’évolution des pratiques bancaires face aux techniques de fraude en constante évolution.

Après une mise en demeure adressée à la banque et en cas d’échec des négociations, il faut assigner devant le tribunal, la banque dans l’année qui suit l’escroquerie.

Sylvie Noachovitch
Avocat au Barreau de Paris

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article :
L’avez-vous apprécié ?

6 votes

L'auteur déclare ne pas avoir utilisé l'IA générative pour la rédaction de cet article.

Cet article est protégé par les droits d'auteur pour toute réutilisation ou diffusion (plus d'infos dans nos mentions légales).

"Ce que vous allez lire ici". La présentation de cet article et seulement celle-ci a été générée automatiquement par l'intelligence artificielle du Village de la Justice. Elle n'engage pas l'auteur et n'a vocation qu'à présenter les grandes lignes de l'article pour une meilleure appréhension de l'article par les lecteurs. Elle ne dispense pas d'une lecture complète.

Village de la justice et du Droit

Bienvenue sur le Village de la Justice.

Le 1er site de la communauté du droit: Avocats, juristes, fiscalistes, notaires, commissaires de Justice, magistrats, RH, paralegals, RH, étudiants... y trouvent services, informations, contacts et peuvent échanger et recruter. *

Aujourd'hui: 156 340 membres, 27875 articles, 127 257 messages sur les forums, 2 750 annonces d'emploi et stage... et 1 600 000 visites du site par mois en moyenne. *


FOCUS SUR...

• Assemblées Générales : les solutions 2025.

• Avocats, être visible sur le web : comment valoriser votre expertise ?




LES HABITANTS

Membres

PROFESSIONNELS DU DROIT

Solutions

Formateurs