Victimes de spoofing : Ne vous laissez pas abuser
(une seconde fois) par les Banques !
Le mois d’octobre 2024 s’est avéré riche d’enseignements en matière de lutte contre la fraude aux moyens de paiement et de protection du consommateur.
Ce mois, a d’abord été consacré au Cybermoi/s, évènement européen au cours duquel une campagne nationale de sensibilisation des Français aux fraudes aux moyens de paiement a été lancée à l’initiative du Ministère de l’Economie, des Finances et de l’Industrie (i.), de la Banque de France (ii.), de la Fédération bancaire française (iii.), ainsi que l’Observatoire de la sécurité des moyens de paiement (iv.).
Cette campagne part d’un constat partagé par la majorité des acteurs du secteur comme des usagers : l’imagination des escrocs est sans limite. Si le montant total de la fraude au paiement demeure inférieur à 1,2 milliards d’euros en France, les arnaques aux faux conseillers bancaires quant à elles progressent pour représenter un montant total de 379 millions d’euros en 2023.
Ce procédé prend désormais majoritairement la forme d’un « Spoofing », technique qui consiste à déguiser une communication provenant d’une source inconnue en communication provenant d’une source connue et fiable. Si cette usurpation d’identité peut s’appliquer aux courriels ainsi qu’aux sites web, elle est aujourd’hui fréquemment réalisée par le biais d’appels téléphoniques frauduleux.
Par ce procédé, les escrocs usurpent, par exemple, le numéro de téléphone d’un conseiller bancaire ou celui du service d’opposition d’un établissement bancaire afin d’indiquer à la victime que l’accès à son espace client ou ses instruments de paiement ont été piratés.
Trompant la vigilance de la victime à l’aide de l’usurpation du numéro de téléphone tout en lui communiquant des informations confidentielles que seule détient la banque en principe, les escrocs parviennent à faire croire à la victime qu’elle se trouve dans une situation d’urgence créant chez elle une angoisse légitime. La victime est ensuite incitée à réaliser plusieurs opérations bancaires (ajouts de bénéficiaires, validation d’opérations par l’envoi d’un lien de paiement, remise d’instruments de paiement…). C’est ainsi que fin septembre 2024, un ancien juge antiterroriste et son épouse, avocat au Barreau de Paris ont été escroqués pour un butin avoisinant les 200.000 euros après avoir effectué des opérations et remis aux escrocs leurs instruments de paiement.
Bien qu’assurés, les établissements bancaires refusent systématiquement tout remboursement.
Ils se bornent, au mieux, à renvoyer leurs clients vers l’opérateur téléphonique au motif que ce dernier n’aurait pas veillé, ni averti son client, utilisateur final, comme il est légalement tenu de le faire, de l’authentification des numéros de téléphone (IV- de l’article L.44 du code des postes et des télécommunications).
Les établissements bancaires se réfugient par ailleurs, derrière les dispositions de l’article L.133-19 du code monétaire et financier en indiquant que la validation d’opérations au moyen d’une authentification forte (ajouts de nouveaux bénéficiaires, composition de codes confidentiels permettant de valider des paiements) par la victime, ou la remise à des tiers de ces mêmes instruments de paiement constituent autant de négligences graves de la part du payeur exonérant ainsi légalement la banque de son obligation de remboursement (L.133-18 et L.133-19 du code monétaire et financier, v. également Cass. com., 28 mars 2018, Mme Y. c. Crédit Mutuel, n°16-20.018).
Pourtant, cette position de l’établissement bancaire à laquelle se heurtent, chaque année, plusieurs centaines de victimes de telles escroqueries s’avère radicalement contraire à la jurisprudence des tribunaux judiciaires qui impose aux établissements bancaires de rapporter la preuve de la négligence grave du client, laquelle ne peut se déduire du seul fait que les données de sécurité personnalisées ou l’instrument de paiement ont été utilisés (Cass. com., 18 janv. 2017, n° 15-18.102).
C’est d’ailleurs au cours de ce même Cybermoi/s que tout en faisant application d’une jurisprudence traditionnelle en la matière, la chambre commerciale de la cour de cassation est venue préciser qu’aucune négligence grave, au sens de l’article L.131-19 du code monétaire et financier, faisant ainsi obstacle à l’obligation de remboursement du client par la banque, ne pouvait être retenue contre le client victime d’escroquerie par technique dite de « spoofing » (Cass. com., 23 octobre 2024, M. J. c. Bnp Paribas, n°23-16.267).
Si les faits sont banals, la parfaite compréhension de la décision impose qu’ils soient toutefois restitués.
Un client de la banque avait fait l’objet d’une escroquerie au moyen de la technique dite de « Spoofing ». Le numéro de l’établissement bancaire ayant été usurpé par les escrocs, ces derniers avaient réussi à tromper la vigilance du client afin que celui-ci ajoute, grâce à ses données personnalisées de sécurité cinq personnes sur la liste des bénéficiaires de virements. Cette opération effectuée, le client constatait la réalisation, depuis son compte bancaire, de plusieurs virements frauduleux pour un montant de 54.500,00 euros.
La banque refusait alors de rembourser les sommes irrégulièrement débitées au motif que l’enregistrement par le client des bénéficiaires frauduleux des virements constatés constituait la négligence grave requise par les dispositions de l’article L.133-19 du code monétaire et financier. Démuni, le client a alors assigné la banque en justice.
Par une décision du 28 mars 2023, la Cour d’appel de Versailles condamnait la banque, sur le fondement des dispositions législatives précitées, à rembourser au client les sommes irrégulièrement détournées au motif que : « le mode opératoire par l’utilisation du « spoofing » a mis M. [J] en confiance et a diminué sa vigilance, inférieure, face à un appel téléphonique émanant prétendument de sa banque pour lui faire part du piratage de son compte, à celle d’une personne réceptionnant un courriel, laquelle aurait pu disposer de davantage de temps pour s’apercevoir d’éventuelles anomalies révélatrices de son origine frauduleuse » ajoutant que « la négligence grave de M. [J.] n’était pas caractérisée » (CA Versailles, 28 mars 2023, M. J. c. Bnp Paribas, n°21/07299).
Le pourvoi formé par Bnp Paribas à l’encontre de cet arrêt sera rejeté par la Cour de cassation, laquelle valide le raisonnement tenu par le juge d’appel aux motifs que : « Après avoir exactement énoncé qu’il incombe au prestataire de services de paiement de rapporter la preuve d’une négligence grave de son client (…). De ces constatations et appréciations [ie. l’escroquerie par « Spoofing »], la cour d’appel a pu déduire que la négligence grave de M. [J] n’était pas caractérisée ». (Cass. com., 23 octobre 2024, M. J. c. Bnp Paribas, n°23-16.267).
En considérant que la Cour d’appel avait pu déduire de ses constatations et appréciations que la négligence grave du client n’était en l’occurrence pas caractérisée, la Cour de cassation adopte ainsi implicitement, mais nécessairement les motifs avancés par le juge d’appel pour éclairer ainsi les juridictions du fonds sur l’interprétation des contours de l’obligation de remboursement faite aux banques des sommes irrégulièrement débitées au préjudice de leurs clients victime d’escroqueries à l’aide de la technique dite de « spoofing ».
Il en résulte que si la victime d’une escroquerie au moyen de la technique de « spoofing » peut être amenée à commettre des négligences, à l’image de la validation de plusieurs opérations au moyen de l’authentification forte, voire de la remise de ses instruments de paiements, ces négligences ne peuvent désormais être analysées comme des négligences graves au sens de l’article L.133-19 du code monétaire et financier justifiant l’absence de remboursement, par la banque, des sommes irrégulièrement débitées.
Une telle solution revêt assurément une portée de principe d’une part, l’abstract adossé à la décision par le service de documentation de la Cour de cassation insiste bien sur le fait que l’utilisation du « Spoofing » par l’escroc exclue la négligence grave du client.
Les termes portés dans l’abstract sont les suivants : « BANQUE – Paiement – Instrument de paiement – Utilisation frauduleuse par un tiers – Responsabilité du titulaire – Négligence grave – Exclusion – Cas – Utilisation du « spoofing ».
D’autre part, le bref commentaire de cette décision réalisé par la chambre commerciale de la Cour de cassation à l’occasion du communiqué de presse accompagnant la décision ne laisse aucune place au doute quant à la portée principielle de la décision rendue. Il est ainsi affirmé que : « Aucune négligence grave au sens de l’article L. 133-19 du code monétaire et financier ne peut être imputée au titulaire d’un compte qui, contacté téléphoniquement par une personne se faisant passer pour un préposé de sa banque dont le numéro s’affichait, utilise à sa demande le dispositif de sécurité personnalisé pour supprimer puis réinscrire des bénéficiaires de virements dans le but d’éviter des opérations malveillantes ».
Loin d’être une solution d’espèce, la décision rendue par la Cour de cassation semble donc avoir pour objectif de fixer la jurisprudence en la matière tout en introduisant, se faisant, une différence de qualification juridique entre les escroqueries effectuées à l’aide d’un appel téléphonique de celles réalisées à l’aide d’un autre moyen.
Pour les escroqueries réalisées à l’aide d’un autre moyen (courriel, envoi d’un lien digital etc…), le fait d’ajouter de nouveaux bénéficiaires, de valider les opérations et/ou de remettre son instrument de paiement, de le laisser à disposition d’un tiers, ou plus généralement de communiquer des données personnalisées de sécurité à un tiers caractérisent aux yeux des banques, comme des tribunaux judiciaires autant de négligences graves commises par le client faisant ainsi obstacle à l’obligation de remboursement (v. par exemple : Cass. com., 25 octobre 2017, Mme Y. c. Crédit Mutuel, n°16-11.644).
En toute hypothèses, il convient de rester vigilent et d’appliquer des règles de prudence minimale afin de toujours et en cas de doutes :
- Se souvenir qu’aucun préposé de la banque ne vous demandera jamais de lui communiquer aucune donnée de sécurité personnalisée par téléphone afin de valider ou d’annuler une opération ;
- Toujours vérifier ce qui vous est indiqué en vous rendant directement sur votre espace personnalisé,
- De ne jamais rien faire dans la précipitation ni l’urgence, le délai de forclusion pour adresser réclamation à la banque en cas de débit non autorisé de votre compte bancaire étant de treize mois suivant la date de débit (L.133-24 du code monétaire et financier).
