[ 1 juillet 2025 ]

Droit des obligations

Spoofing téléphonique : de la difficulté de prouver la négligence grave du client

Com. 12 juin 2025, n° 24-13.777

Au cœur de l’arrêt rapporté, le « spoofing » téléphonique » est en constante augmentation. Cette technique d’escroquerie bancaire consiste à contacter une personne par téléphone en se faisant passer pour un agent bancaire, généralement après être parvenu à usurper le numéro de la banque. En gagnant la confiance de sa victime, l’escroc la convainc de lui communiquer ses données personnelles de sécurité, comme son code de carte bancaire. Ainsi est-il ensuite en mesure de lui soutirer de l’argent en effectuant des virements frauduleux. Dangereux - les sommes débitées à l’insu de la personne l’étant souvent pour un montant important -, le spoofing est en outre d’une redoutable efficacité car en comparaison des fraudes commises par courriel, la victime dispose d’un temps de réaction réduit pour déceler cette usurpation d’identité. Face à l’ampleur du phénomène, la chambre commerciale de la Cour de cassation avait marqué l’année dernière sa volonté de protéger les clients victimes de spoofing en préservant, dans le cadre des opérations de paiement non autorisées, leur droit à remboursement des sommes frauduleusement prélevées. Dans cette optique, elle en avait appelé à la méthode du faisceau d’indices et considéré que seule la convergence d’indices probants d’une faute grave de négligence rend possible la levée de l’irresponsabilité du client prévue par les dispositions du Code monétaire et financier pour les opérations de paiement non autorisées (Com. 23 oct. 2024, n° 23-16.267). La décision du 12 juin 2025 s’inscrit dans cette même tendance protectrice des victimes de spoofing, confirmant la rigueur exigée des banques pour établir la négligence grave de leurs clients.

À l’origine du pourvoi, un salarié d’une société de transport contacté par téléphone par une personne se présentant comme un technicien de la banque de la société qui l’emploie. L’escroc lui indique que plusieurs opérations bancaires n’ont pas été enregistrées en raison d’une panne informatique et qu’il convient de renouveler ces opérations. Mis en confiance par son interlocuteur qui ne lui demande pas de mot de passe, le salarié répond à ses demandes de créer une signature électronique et de se connecter à plusieurs reprises à son espace de paiement sécurisé à l’aide d’un boîtier que l’escroc lui demande de manipuler à plusieurs reprises jusqu’à obtenir le code d’accès escompté. Des virements sont ultérieurement effectués vers des comptes domiciliés en Allemagne, pour un montant de 98 000 €. Soutenant ne pas avoir autorisé ces paiements, la société de transport se retourne vers sa banque, qui refuse de lui rembourser les sommes prélevées par cette fraude. Pour justifier ce refus, l’établissement bancaire invoque la négligence grave, au sens de l’article L. 133-19, IV, du Code monétaire et financier, imputable à sa cliente ayant communiqué des données personnelles de sécurité en réponse à un appel téléphonique suspect, dont un interlocuteur normalement attentif aurait douté de la provenance. Face à ce refus, la cliente assigne sa banque en remboursement. En cause d’appel, la cour exclut la commission d’une négligence grave par la société cliente, condamnant ainsi la banque à lui rembourser la somme de 98 000 €. Pour maintenir son droit à remboursement, les juges s’appuient sur plusieurs éléments démontrant l’absence de gravité suffisante dans le comportement de la cliente, constitutif d’une faute (simple) de négligence mais non d’une négligence grave au sens du droit spécial. Premier élément, et le plus important, l’affichage du numéro de téléphone de la banque sur l’écran de la cliente, ayant ainsi légitimement cru être en relation directe avec un technicien de la banque ; deuxième élément, la correspondance du code indiqué au téléphone par le pirate avec celui affiché sur son écran, ayant conforté la victime dans sa croyance que son interlocuteur était une personne accréditée par la banque ; troisième élément, la connaissance par l’escroc de l’historique des opérations bancaires passées par la société ; quatrième et dernier élément, l’absence de divulgation du mot de passe pendant l’opération, seule la manipulation d’un boîtier de sécurité dédié aux virements internationaux ayant permis la fraude. Le pourvoi formé par la banque est rejeté par la chambre commerciale, qui confirme ainsi l’absence d’une négligence grave du client. Concernant la caractérisation de cette faute, elle maintient l’exigence de recourir à la méthode du faisceau d’indices, seule à même d’établir dans quelle mesure il peut être reproché au client d’avoir commis une faute de négligence d’une telle gravité. Le juge doit procéder à une analyse in concreto propre à déterminer si, au regard de l’ensemble des circonstances dans lesquelles l’escroquerie a eu lieu, une faute de négligence peut, en raison de sa gravité, être imputée au client, ou a contrario, être exclue, en l’absence de gravité suffisante. La réunion d’indices pluriels et significatifs est alors indispensable, une faute grave ne pouvant s’inférer d’un seul élément, même probant. La rigueur généralement requise dans la démonstration d’une négligence grave du client confronté à une opération non autorisée est renforcée en matière de spoofing, qui a la particularité de rendre la victime particulièrement manipulable. En effet, le mode opératoire utilisé a pour effet, par l’usurpation du numéro de la banque, de diminuer fortement la vigilance du client, alerté par un appel téléphonique l’informant du piratage de son compte ; dans ce cas, l’attention du client est jugée « inférieure à celle d'une personne réceptionnant un courriel, qui dispose alors de davantage de temps pour s'apercevoir d'éventuelles anomalies révélatrices de son origine frauduleuse » (Com. 23 oct. 2024, préc., pt n° 5), outre le fait que ces anomalies peuvent être facilement décelables. 

Se confirme donc, en matière d’arnaque téléphonique, la difficulté pour les banques, déjà observée dans le contexte des opérations de paiement non autorisées, d’établir l’existence d’une faute grave de négligence imputable à son client. Cette difficulté tient au degré de gravité de la faute, son seuil exact étant délicat à déterminer, dépendant des circonstances propres à chaque espèce. La gravité de la négligence du client repose en effet sur la méthode du faisceau d’indices : seule une pluralité d’indices concordants permet d’établir la faute. Or en matière de spoofing téléphonique, la difficulté pour la banque de rapporter cette preuve est renforcée par l’efficacité du stratagème mis en œuvre par l’escroc, rendant l’usurpation d’identité ainsi réalisée très difficilement décelable par le client.