Jean-Claude LEMALLE

Jean-Claude LEMALLE : une expérience de juge-consulaire

Banque responsabilité : faux conseiller (spoofing)

Table des matières

⇒ Banque responsabilité : faux conseiller (spoofing) – Cour de cassation, chambre commerciale du 23/10/2024, n° 23-16267

1. – Les faits

Selon l’arrêt attaqué (Versailles, 28 mars 2023), le 31 mai 2019, M. [J] a constaté que plusieurs virements frauduleux avaient été réalisés pour un montant de 54 500 euros sur son compte ouvert dans les livres de la société BNP Paribas (la banque).

M. [J] a alerté la banque le jour même, soutenant avoir été contacté par téléphone par une personne se faisant passer pour une préposée de l’établissement lui demandant d’ajouter, grâce à ses données personnelles de sécurité, cinq personnes sur la liste des bénéficiaires de virements.

M. [J] a assigné la banque en remboursement de ces sommes.

2. – Motivation de l’arrêt

 » Après avoir exactement énoncé qu’il incombe au prestataire de services de paiement de rapporter la preuve d’une négligence grave de son client, l’arrêt constate que le numéro d’appel apparaissant sur le téléphone portable de M. [J] s’était affiché comme étant celui de Mme [Y], sa conseillère BNP et retient qu’il croyait être en relation avec une salariée de la banque lors du réenregistrement et nouvelle validation qu’elle sollicitait de bénéficiaires de virement sur son compte qu’il connaissait et qu’il a cru valider l’opération litigieuse sur son application dont la banque assurait qu’il s’agissait d’une opération sécurisée. Il ajoute que le mode opératoire par l’utilisation du « spoofing » a mis M. [J] en confiance et a diminué sa vigilance, inférieure, face à un appel téléphonique émanant prétendument de sa banque pour lui faire part du piratage de son compte, à celle d’une personne réceptionnant un courriel, laquelle aurait pu disposer de davantage de temps pour s’apercevoir d’éventuelles anomalies révélatrices de son origine frauduleuse.

De ces constatations et appréciations, la cour d’appel a pu déduire que la négligence grave de M. [J] n’était pas caractérisée.

Le moyen n’est donc pas fondé « .

3. – Notes

Les contestations entre un prestataire de service de paiement (la banque) et son client utilisateur d’un service de paiement sont régies par les articles L. 133-18 et 133-19 du Code monétaire et financier.

Le premier de ces articles prévoit que lorsqu’une opération de paiement est « non-autorisée », c’est-à-dire lorsque le payeur n’a pas donné son consentement ,  » le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée « .

Le second de ces articles précise que :  » le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées … s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 « , ce dernier article se rapportant à l’obligation à la charge de l’utilisateur d’un service de paiement de préserver la sécurité de ses données de sécurité personnalisées.

En l’espèce, le caractère  » non autorisé  » de l’opération de paiement ne pouvait être discuté, l’ordre de paiement ayant été initié non par la victime mais par le fraudeur après qu’il ait été en possession des données personnelles de sécurité de la victime.

La discussion s’est donc portée sur la négligence grave de l’utilisateur. 

La négligence peut être définie ainsi : la communication des données personnelles du dispositif de sécurité en réponse à un courriel contenant des indices permettant à un utilisateur normalement attentif de douter de sa provenance, ou l’oubli d’une carte bancaire dans un véhicule avec le code confidentiel dans la boîte à gants, ou simplement le fait de laisser la carte bancaire dans un endroit où se trouvait aussi l’indication écrite du numéro de code confidentiel (il s’agit ici d’exemples).

Dans le présent litige, la Cour de cassation relève que :

  • le numéro d’appel apparaissant sur le téléphone portable de l’utilisateur était celui de la banque,
  • l’usage d’un appel téléphonique, et non d’un courriel, par les fraudeurs mettait l’utilisateur sous pression et ne lui laissait pas le temps de s’apercevoir d’éventuelles anomalies.

Il en résulte que le caractère de gravité de la négligence ne peut pas être retenu dans les cas où les fraudeurs ont mis en place des moyens techniques suffisamment trompeurs pour qu’un utilisateur normalement averti, mais sous pression psychologique soit induit en erreur.

 

Print Friendly, PDF & Email
@media print { @page { margin: 5mm !important; } }