Commentaire d’arrêt : Cour de cassation, Chambre commerciale, 23 octobre 2024, n° 586 FS-B
L’arrêt de la Cour de cassation du 23 octobre 2024 était particulièrement attendu car il vient clarifier la responsabilité des banques en cas de fraude par spoofing. Cet arrêt fait suite à la décision de la cour d’appel de Versailles du 28 mars 2023, qui avait condamné la banque BNP Paribas à rembourser les sommes versées lors de virements frauduleux effectués à la suite de cette fraude sophistiquée.
Genèse de la décision : Rappel de la responsabilité bancaire en cas de Spoofing
Le spoofing téléphonique est une technique de fraude qui consiste à usurper l’identité d’une banque, en falsifiant le numéro de téléphone affiché sur le terminal de la victime. Dans ce mode opératoire, le fraudeur contacte le titulaire du compte, se fait passer pour un employé de la banque, et pousse la victime à accomplir des actions précises, comme valider des transactions ou ajouter des bénéficiaires de virements, tout en utilisant ses dispositifs de sécurité personnalisés. Cette tromperie repose sur la confiance que la victime place dans l’apparente légitimité de l’appel téléphonique.
Dans de telles affaires, les tribunaux de première instance et les cours d’appel refusaient souvent de tenir les banques responsables. Ils considéraient que, même trompé, le titulaire du compte avait commis une négligence. Selon eux, l’article L. 133-19 du Code monétaire et financier, qui exonère les banques de toute responsabilité en cas de négligence grave de la part du client, devait s’appliquer. Ainsi, les pertes subies étaient attribuées à la négligence du client (victime), ce qui déchargeait les banques de leur obligation de remboursement.
Pourtant un arrêt de la cour d’appel de Versailles en mars 2023 avait marqué un tournant. Celle-ci avait rejeté l’argument de la négligence et jugé que la responsabilité devait incomber à la banque, étant donné la complexité de la fraude par spoofing diminuait considérablement la vigilance de la victime.
Cette approche plus protectrice des droits des consommateurs avait suscité une grande attente dans la profession, et la Cour de cassation était donc appelée à se prononcer sur l’arrêt de la Cour d’appel de Versailles.
Sur les faits
Le litige portait sur une fraude bancaire subie par M. [J] le 31 mai 2019, lorsque plusieurs virements frauduleux avaient été effectués pour un montant de 54 500 euros à partir de son compte bancaire chez BNP Paribas.
L’origine de cette fraude reposait sur une usurpation d’identité (spoofing) : M. [J] avait été contacté par une personne prétendant être une employée de la banque et utilisant un numéro de téléphone correspondant à celui de sa conseillère bancaire. À la demande de l’escroc, M. [J] avait validé, via son dispositif de sécurité personnalisé, des ajouts de bénéficiaires sur son compte, croyant déjouer une attaque informatique.
M. [J] avait demandé le remboursement des sommes à la banque, qui avait refusé, invoquant une négligence grave de la part de son client, selon les dispositions de l’article L. 133-19 du Code monétaire et financier.
La procédure
Comme indiqué précédemment, la cour d’appel de Versailles, dans son arrêt du 28 mars 2023, avait condamné BNP Paribas à rembourser les sommes frauduleusement débitées, en rejetant l’argument de la banque relatif à la négligence grave de M. [J].
Pour cela, la Cour d’appel de Versailles considérait que :
« (…) dès lors qu’il croyait être en relation avec une salariée de la BNP Paribas, le numéro d’appel de son interlocutrice apparaissant comme étant celui de sa conseillère dont elle indiquait être l’assistante, et qu’il a cru valider la notification litigieuse sur son application bancaire dont la banque assure qu’il s’agit d’une application sécurisée ; le mode opératoire, par l’utilisation du ‘spoofing’, soit littéralement une usurpation d’identité, a mis M. [U] en confiance et a diminué sa vigilance, étant observé que face à un appel téléphonique évoquant de surcroît un piratage, la vigilance de la personne qui reçoit cet appel est moindre que celle d’une personne qui réceptionne un mail, laquelle dispose de davantage de temps pour en prendre connaissance et s’apercevoir d’éventuelles anomalies révélatrices de son origine frauduleuse. » (Cour d’appel de Versailles, 13ème Chambre, Arrêt du 28 mars 2023, Répertoire général nº 21/07299).
Problème juridique
La question juridique était de savoir si M. [J] avait commis une négligence grave en validant des opérations frauduleuses via son dispositif de sécurité, ce qui aurait exonéré BNP Paribas de sa responsabilité de remboursement, conformément à l’article L. 133-19 du Code monétaire et financier. Plus spécifiquement, le litige portait sur la possibilité d’appliquer cette exonération dans un cas de fraude par spoofing.
Solution
La Cour de cassation rejette le pourvoi de la banque, confirmant l’appréciation des juges du fond. Elle rappelle qu’il appartient au prestataire de services de paiement de prouver la négligence grave de son client, ce que BNP Paribas n’a pas réussi à démontrer.
Pour cela, la Cour de cassation met en avant plusieurs éléments :
Le numéro d’appel apparaissant sur le téléphone de M. [J] correspondait à celui de sa conseillère bancaire, créant ainsi un contexte de confiance légitime. Il a donc suivi les instructions, pensant qu’il validait une opération sécurisée sur son compte. Cette technique du spoofing a trompé M. [J], réduisant sa vigilance et le convaincant d’agir rapidement, contrairement à une fraude par courriel, où la victime pourrait prendre plus de temps pour repérer les indices de fraude.
Commentaire d’arrêt
Sur la responsabilité de plein droit de la banque en matière de Spoofing
Pour rappel, la responsabilité de la banque est de plein droit en cas de virement non autorisé, sauf preuve d’une négligence grave ou d’un comportement frauduleux de la part du titulaire du compte (art. L.133-18 et L.133-19 CMF).
En principe, la charge de la preuve de la négligence incombe à la banque (Com. 21 novembre 2018, n°17-18.888 et Com. 26 juin 2019, n°18-12.581).
En l’espèce, BNP Paribas invoquait la négligence grave de M. [J], en arguant que ce dernier avait communiqué ses données de sécurité et validé des ajouts de bénéficiaires sans vérifier l’authenticité de l’appel.
Toutefois, la Cour a ainsi estimé que la négligence grave n’était pas caractérisée, dans la mesure où M. [J] croyait sincèrement qu’il interagissait avec un agent de sa banque, et ce, en raison du mode opératoire. Ce stratagème a eu pour effet de réduire considérablement la vigilance de la victime. Dès lors, M.[J] n’a pas commis de négligence grave.
Sur la vigilance amoindrie
En principe, le titulaire d’un compte a une obligation de vigilance, mais cette obligation n’est pas absolue. L’arrêt révèle en effet que la vigilance du payeur doit être appréciée en fonction des circonstances.
En l’espèce, la fraude a été rendue possible par un dispositif trompeur particulièrement sophistiqué : L’usurpation du numéro de téléphone de la banque. L’argument de la banque, affirmant que la victime aurait dû vérifier l’identité de son interlocuteur, ne pouvait pas être retenu. En effet, l’appel semblait suffisamment crédible pour tromper la victime, et on voit mal comment elle aurait pu effecuter un contrôle. De plus, le caractère d’urgence créé par l’escroc, ainsi que la connaissance de certaines informations personnelles, ont accentué cette baisse de vigilance.
Sur ce point, la cour attire l’attention sur le fait que M. [J] était dans une situation différente d’une personne recevant un courriel. Dans le cas d’un courriel, la victime aurait eu plus de temps pour analyser les détails et repérer d’éventuelles anomalies. Or, la victime n’a pas eu le temps de réfléchir.
Dans ce contexte, il est difficile d’imaginer une autre réaction de la part de M. [J], et donc de caractériser une faute de négligence.
Sur les circonstances nécessaires mais non exclusives ?
Il semble que ce soient les circonstances spécifiques de la fraude qui détermineront si la victime a été négligente ou non. Cela soulève plusieurs questions, notamment celle de savoir si les circonstances évoquées par la Cour de cassation sont exclusives ou non.
En pratique, les circonstances peuvent être différentes. Ce sera notamment le cas si le numéro de téléphone n’est pas celui d’une banque ou encore si l’escroc possède des informations personnelles de la victime. Par exemple, si l’escroc a déjà initié plusieurs virements frauduleux d’un faible montant et en informe sa victime, afin de l’induire à effectuer des virements pour soi-disant bloquer le compte. Dans ce cas, la détention d’informations personnelles telles qu’un relevé d’opérations de comptes bancaires peut-elle créer un climat de confiance suffisant pour amoindrir la vigilance de la victime ?
En outre, le cas d’espèce concerne l’ajout de bénéficiaires et des virements frauduleux, mais le spoofing peut aussi se produire via une demande de validation de paiement par carte bancaire. Il arrive que les escrocs utilisent les numéros d’une carte et appellent la victime pour obtenir la validation de ces paiements. Dans ce cas, la validation de ces paiements constitue-t-elle une négligence grave ?
De même, ce type d’escroquerie s’accompagne parfois d’une demande de remise de carte bancaire. L’escroc fournit à la victime une prétendue « enveloppe sécurisée » et lui demande de couper sa carte en deux, puis de la remettre à un faux livreur qui viendra la récupérer. Dans ce cas, la remise de la carte bancaire à un escroc, sous la croyance qu’il s’agissait d’une injonction d’un conseiller bancaire, constitue-t-elle une faute de négligence grave ?
Les circonstances sont donc multiples, mais il semble néanmoins possible d’établir des conditions essentielles :
Usurpation crédible : Le numéro d’appel affiché sur le téléphone de M. [J] correspondait à celui de sa conseillère bancaire, renforçant ainsi la crédibilité de l’appel. Il croyait sincèrement être en contact avec un employé de la banque.
Contexte de sécurité apparent : M. [J.] croyait que l’opération avait été réalisée via l’application de la banque, qu’il percevait comme sécurisée. Ce contexte technique l’a conforté dans l’idée qu’il suivait une procédure fiable.
Situation d’urgence : L’escroc a exercé une pression en insistant sur l’urgence de l’opération, convainquant ainsi M. [J.] de l’importance d’agir rapidement pour éviter un prétendu danger ou préjudice financier imminent.
Questions et conséquences ?
Questions en vrac :
Il s’agit tout d’abord de savoir comment les juridictions de première instance et les cours d’appel suivront la présente décision et pourront l’appliquer. En effet, quelle est la limite entre une vigilance amoindrie par des techniques de fraude et une véritable négligence ?
Les tribunaux devront évaluer le comportement du client en fonction de ce qu’un utilisateur raisonnablement prudent aurait fait dans des circonstances similaires. La frontière semble reposer essentiellement sur les circonstances spécifiques à chaque affaire.
Si l’apparence crédible de l’appel téléphonique, et le contexte de sécurité permettent d’écarter la négligence grave, on pourrait supposer qu’il en serait autrement en cas d’anomalies apparentes.
En effet, si des anomalies évidentes sont présentes (demande de code confidentiel à l’oral), la banque pourrait légitimement invoquer une négligence.
On pourrait également se demander si un professionnel, en tant que personne avertie, pourrait bénéficier de cette décision. Celui-ci ne doit-il pas être plus vigilant, ou à tout moins, effectuer des vérifications complémentaires ?
De plus, si la question du consentement n’a pas été abordée, les circonstances révèlent un vice de consentement évident. En effet, lors de la validation des opérations, la victime n’a jamais consenti à effectuer de paiements. Au contraire, elle pensait sécuriser son compte au moment de la validation des opérations. Si la nullité de l’opération n’a aucune incidence sur la responsabilité de la banque, cela permet néanmoins de mieux comprendre la volonté de la victime : elle croyait sincèrement qu’elle sécurisait son compte. Dès lors elle n’a donc pas commis de faute de négligence.
Pour rappel, en responsabilité civile on distingue la faute d’imprudence de la faute de négligence par l’appréhension du risque. Il s’avère que dans le cas d’espèce, la victime n’a commis ni faute d’imprudence, ni faute de négligence étant donné qu’elle a immédiatement réagit face à ce qu’elle croyait un risque.
Enfin, concernant les banques, cette décision risque de les fragiliser. Elles pourraient faire face à une nouvelle menace : celle de personnes malveillantes simulant une escroquerie. En effet, le fait que la négligence grave soit difficile à prouver pourrait théoriquement ouvrir la porte à des abus. Un client malintentionné pourrait feindre avoir été victime d’une fraude pour obtenir un remboursement, alors que le virement aurait en réalité été effectué au profit d’un complice.
Conclusion
Si l’arrêt protège les clients dans des situations complexes de fraude, il ne doit pas être perçu comme une exonération totale de leur vigilance. De leur côté, les banques devront faire face aux risques d’abus et améliorer leurs dispositifs pour éviter les fraudes tout en prouvant la négligence grave lorsque nécessaire.
++++ Il convient de préciser que la loi Naegelen, en vigueur depuis le 1er octobre 2024, devrait réduire considérablement les litiges liés à l’usurpation d’identité par le biais des numéros de téléphone.
