Client vs banque : 1 - 0, mais le pirate rafle la mise
La Cour de cassation vient de rendre une décision importante dans le cadre d’une arnaque au faux conseiller bancaire, en faveur d’un client qui avait perdu 54 500 euros. La banque refusait de rembourser, affirmant que son client avait commis une « négligence grave ».
Les tentatives de fraudes bancaires se multiplient, avec parfois des conséquences dramatiques pour les clients quand les pirates arrivent à leur fin. Le ministère de l’Économie rappelle que « la réglementation prévoit une obligation de remboursement par la banque en cas de fraude ».
C’est quoi une « négligence grave »
Mais il existe des exceptions : « Le remboursement peut toutefois être refusé si l’utilisateur du compte est soupçonné de comportement frauduleux ou de négligence grave. La banque doit apporter la preuve de la fraude ou de la négligence ».
La notion de « négligence grave » est assez vague, et donc sujette à interprétation C’est celle qui nous intéresse aujourd’hui. Le ministère donne deux exemples tirés de textes européens et de la jurisprudence : « conservation des données utilisées pour autoriser une opération de paiement à côté de l’instrument de paiement, transmission à un tiers des données personnelles ».
L’arnaque au faux conseiller
La Cour de cassation a été saisie d’un dossier intéressant, car il correspond à une pratique répandue actuellement chez les escrocs : se faire passer pour un faux conseiller. La question posée à la Cour était la suivante : « Une personne qui contribue indirectement à se faire escroquer en suivant les consignes d’un faux conseiller bancaire commet-elle une négligence grave qui la prive du droit à être remboursée par sa banque ? ».
C’est la société BNP Paribas qui a formé le pourvoi contre l’arrêt rendu le 28 mars 2023 par la cour d’appel de Versailles. Cette dernière avait condamné la banque BNP Paribas à rembourser son client du montant des virements frauduleux effectués depuis son compte, pour un montant de 54 500 euros.
Le client affirme avoir alerté la banque le jour même, précisant « avoir été contacté par téléphone par une
personne se faisant passer pour une préposée de l’établissement lui demandant d’ajouter, grâce à
ses données personnelles de sécurité, cinq personnes sur la liste des bénéficiaires de virements ».
Spoofing téléphonique
Les circonstances de l’affaire sont importantes pour répondre et préciser la nature de la négligence. La Cour de cassation explique que le faux conseiller a utilisé plusieurs stratagèmes pour mettre sa victime en confiance et diminuer sa vigilance :
« L’escroc est parvenu à faire apparaître sur le téléphone portable du client un numéro d’appel identique à celui de sa vraie conseillère bancaire [on parle de spoofing téléphonique, ndlr]; la fausse salariée de banque qui se trouvait au bout du fil a assuré au client qu’en suivant ses consignes, il effectuait une opération sécurisée ».
Dans le détail de sa décision, la Cour explique que le client « avait été contacté par téléphone par une personne se présentant comme l’assistante de sa conseillère bancaire, qui lui avait expliqué qu’il avait été nécessaire de supprimer des bénéficiaires de virement pour déjouer une attaque informatique et qu’il fallait désormais les réenregistrer, et qu’il était alors resté en ligne avec cette personne et avait reçu sur son téléphone mobile des messages l’invitant à valider des ajouts de bénéficiaires ».
Le client « croyait être en relation avec une salariée de la banque »
La Cour rappelle que c’est à la banque d’apporter la preuve d’une négligence grave de son client. Mais, dans cette affaire, « il ne peut [lui] être reproché d’avoir commis une négligence grave », confirme la Cour de cassation.
Elle s’explique. Comme « le numéro d’appel apparaissant sur le téléphone portable de M. [J] s’était affiché comme étant celui de Mme [Y], sa conseillère BNP », le client « croyait être en relation avec une salariée de la banque », qui lui « assurait qu’il s’agissait d’une opération sécurisée ».
De plus, le spoofing a mis le client « en confiance et a diminué sa vigilance ». Ce n’est pour la Cour pas les mêmes circonstances qu’une « personne réceptionnant un courriel, laquelle aurait pu disposer de davantage de temps pour s’apercevoir d’éventuelles anomalies révélatrices de son origine frauduleuse ».
Au final, la Cour de cassation rejette la demande de la société BNP Paribas et la condamne à payer à son client la somme de 3 000 euros.