[ 12 novembre 2024 ]

Droit de la responsabilité civile

Spoofing

Le spoofing ? Une technique d’escroquerie consistant à contacter une personne par téléphone en se faisant passer pour un conseiller bancaire. En gagnant la confiance de sa victime, l’escroc la convainc de lui communiquer ses données personnelles de sécurité, comme son code de carte bancaire, ou son code de virement. Ainsi est-il ensuite en mesure de lui soutirer de l’argent en effectuant un, voire même plusieurs virements. Redoutable et dangereux - les sommes débitées à l’insu de la personne l’étant souvent pour un montant important -, ce procédé est en pleine expansion en sorte qu’Adhémar, après en avoir été lui-même victime, avait appelé son cousin à la plus grande vigilance. Malheureusement, ses précautions n’auront pas suffi. La semaine dernière, conformément à la stratégie habituelle, Désiré a été contacté par téléphone par une personne se faisant passer pour son conseiller bancaire. Ce faux conseiller l’a persuadé que son compte enregistrait des mouvements possiblement frauduleux. Prétendant mener une vérification, il a demandé à Désiré de supprimer cinq personnes de sa liste de bénéficiaires de virements, puis de les y réinscrire en renseignant son code confidentiel, que l’escroc a ainsi pu récupérer. Certain d’être en relation avec son interlocuteur habituel, pour la raison principale que le numéro qui s’était affiché sur son téléphone était identique à celui de son véritable conseiller bancaire, Désiré a naïvement suivi les instructions qui lui ont été données, le faux conseiller l’ayant par ailleurs assuré qu’en suivant ses consignes, il effectuerait une opération sécurisée. Or deux jours après cet échange, Désiré a constaté que son compte avait été débité de plusieurs virements, effectués à son insu et pour un montant élevé. Il a immédiatement alerté sa banque de cette escroquerie. Celle-ci lui a alors injustement reproché d’avoir fait preuve d’une désinvolture notoire en ayant accepté de suivre ainsi les consignes d’un anonyme. Outré, Désiré a tenté d’expliquer au responsable de l’établissement bancaire que tout avait été mis en œuvre par l’escroc pour le mettre en confiance et qu’à sa place, n’importe qui aurait été pareillement induit en erreur. Il s’est permis d’ajouter n’avoir jamais été mis en garde par l’établissement contre cette pratique pourtant répandue, précisant même à son conseiller bancaire que seul son cousin avait pris la peine de l’en avertir. Malgré ces arguments, balayés par la banque, Désiré n’a pu obtenir le remboursement des sommes frauduleusement prélevées, le responsable de l’établissement bancaire persistant à s’y opposer. Il ressent depuis un fort sentiment d’injustice, ayant l’impression d’être une deuxième fois victime de cette escroquerie. En outre, il n’a pas d’autre choix que d’être remboursé du montant des sommes débitées, sans lesquelles il serait tout simplement incapable d’assumer ses frais de rentrée. Pour toutes ces raisons, et face au refus persistant de sa banque de le rembourser, Désiré prévoit de saisir la justice. Adhémar l’en a toutefois dissuadé, craignant que le juge saisi se range à l’argument de la banque, qui lui semble pertinent, tiré du comportement particulièrement négligent de son cousin. À l’inverse insensible aux reproches de l’établissement, comme au pessimisme de son compère, Désiré reste confiant sur l’issue du procès, présumant que les juges sont au fait de cette pratique trompeuse et difficilement détectable par le client. En sorte d’être pleinement rassuré, il vous demande toutefois d’estimer ses chances d’obtenir avec succès le remboursement du montant débité à son insu.

■■■

■ Sélection des faits : Désiré a reçu l’appel téléphonique d’un faux conseiller bancaire. Ce dernier l’a persuadé que son compte enregistrait des mouvements possiblement frauduleux. Prétendant mener une vérification, ce faux conseiller a demandé à Désiré de supprimer cinq personnes de sa liste de bénéficiaires de virements, puis de les y réinscrire en renseignant son code confidentiel. Induit en erreur, notamment par le fait que le numéro qui s’affichait sur son téléphone était identique à celui de son véritable conseiller bancaire, Désiré a suivi les instructions qui lui était données. Deux jours plus tard, il a réalisé avoir été victime d’une escroquerie, son compte ayant été débité à son insu de plusieurs virements. Il a demandé à sa banque le remboursement des sommes prélevées. La banque a refusé de le rembourser, lui reprochant la négligence de son comportement.

■ Qualification des faits : Le client d’une banque a été contacté par téléphone par une personne se faisant passer pour un préposé de l’établissement lui demandant d’ajouter, pour prévenir un prétendu piratage de son compte, cinq personnes sur la liste des bénéficiaires de virements, grâce à ses données personnelles de sécurité. Ce client a, par la suite, constaté que plusieurs virements frauduleux avaient été réalisés pour un certain montant sur son compte bancaire. Il en a alerté la banque le jour même, et demandé à l’établissement le remboursement des sommes frauduleusement prélevées. La banque s’y oppose, excipant de la négligence grave commise par son client. 

■ Problème de droit : Le client d’une banque qui contribue indirectement à se faire escroquer en suivant les consignes d’un faux conseiller bancaire commet-il une négligence grave qui le prive de son droit à remboursement ?

■ Majeure : Une banque a l’obligation de rembourser immédiatement ses clients lorsqu’ils sont victimes d’une escroquerie (C. monét. fin., art. L 133-18). Cette obligation est toutefois levée si la banque parvient à prouver que son client a commis une négligence grave (C. monét. fin., art. L 133-19). Conformément au droit commun de la preuve, c’est à la banque de rapporter la preuve que son client a commis une négligence d’une gravité suffisante pour le priver de son droit à remboursement. De façon générale, la difficulté pour la banque d’établir l’existence d’une faute de négligence imputable à son client tient au degré de gravité de la faute, son seuil exact étant délicat à déterminer, dépendant des circonstances propres à chaque espèce. La gravité de la négligence du client repose en effet sur une appréciation circonstancielle, in concreto. En particulier, en matière de spoofing téléphonique, la difficulté est accrue par la nouveauté de cette pratique, qui rend d’autant plus incertains les contours de la faute de négligence susceptible d’être reprochée au client victime de cette récente technique d’escroquerie bancaire. Cependant, la difficulté de déceler le stratagème mis en place par l’escroc associée à la nouveauté du procédé devrait conduire les juges à une certaine clémence à l’endroit du client victime de spoofing, ce qui renforcerait la tâche probatoire des établissements bancaires. C’est le sens d’une décision récemment rendue par la chambre commerciale de la Cour de cassation : après avoir apporté les précisions nécessaires sur les éléments d’appréciation de la faute du client victime de cette pratique, elle a maintenu son droit à remboursement, en l’absence de négligence grave de sa part (Com. 23 oct. 2024, n° 23-16.267). Dans cette optique, la Cour a convoqué la méthode du faisceau d’indices pour établir dans quelle mesure il peut être reproché au client d’avoir commis une négligence grave. Le juge doit en conséquence procéder à une analyse circonstancielle propre à déterminer si au regard de l’ensemble des circonstances dans lesquelles l’escroquerie a eu lieu, une faute de négligence peut, en raison de sa gravité, être imputée au client, ou a contrario, être exclue, en l’absence de gravité suffisante. Dans l’affaire qui lui était soumise et qui s’était déroulée dans des circonstances proches de celles relatées, elle avait écarté la commission d’une négligence grave du client au regard de plusieurs éléments convergeant vers son absence de faute :

Le numéro d'appel apparaissant sur le téléphone portable du client s'était affiché comme étant celui de sa conseillère bancaire en sorte que ce dernier a légitimement cru être en relation avec une salariée de la banque lors du réenregistrement de ses données avant de valider l'opération litigieuse sur son application dont la banque assurait qu'il s'agissait d'une opération sécurisée ;

Le mode opératoire par l'utilisation du « spoofing » a mis le client en confiance et diminué sa vigilance, face à un appel téléphonique émanant prétendument de sa banque pour lui faire part du piratage de son compte ; dans ce cas, l’attention du client est inférieure à celle d'une personne réceptionnant un courriel, qui dispose alors de davantage de temps pour s'apercevoir d'éventuelles anomalies révélatrices de son origine frauduleuse.

Au regard de ces circonstances, la Cour de cassation a rejeté le pourvoi formé par la banque contre la décision de la cour d’appel qui, après avoir exactement énoncé qu'il incombe au prestataire de services de paiement de rapporter la preuve d'une négligence grave de son client, a pu déduire qu’aucune négligence grave au sens de l'article L. 133-19 du Code monétaire et financier ne pouvait être imputée au titulaire du compte débité qui, alors qu’il était en contact téléphonique avec une personne se faisant passer pour son conseiller bancaire, dont le numéro de mobile s'affichait, a utilisé à sa demande le dispositif de sécurité personnalisé pour supprimer puis réinscrire des bénéficiaires de virements dans le but, prétendu par l’escroc, d'éviter des opérations malveillantes.

Il en ressort que le client qui se fait piéger au téléphone par un faux conseiller bancaire ne peut se voir reprocher par sa banque d’avoir commis une négligence grave. Il a donc le droit d’être remboursé par sa banque des virements frauduleux.

■ Mineure : Le faux conseiller bancaire de Désiré ayant recouru à des manœuvres frauduleuses comparables à celles rapportées dans la décision précitée, et dans des circonstances voisines, il est fort probable qu’aucune négligence grave ne lui sera reprochée, et que les règles légales de remboursement du client en cas d’escroquerie bancaire trouveront à s’appliquer, principalement l’obligation de remboursement immédiat du client victime de virements frauduleux.

■ Conclusion : La banque devra rembourser Désiré du montant des sommes frauduleusement prélevées.

Sur la méthodologie du cas pratique : V. vidéo Dalloz