Fiscalité

Fraude bancaire : la Cour de cassation jette le trouble !

Dans son arrêt du 23 octobre 2024 (n° H 23-16.267) la chambre commerciale, dans une affaire de spoofing (usurpation), rend la banque responsable des détournements commis sur le compte en banque du client non pas à son insu mais par fausse croyance.

En mai 2019, un client de la banque BNP Paribas a constaté que cinq virements frauduleux pour un total de 59 500 € avaient été réalisés sur son compte bancaire. Il a prévenu aussitôt sa conseillère et celle-ci a pu obtenir de recréditer le compte de 5 000 €. Ce client a déposé plainte et réclamé à sa banque le remboursement des autres débits effectués contre son gré.

Ce monsieur a été victime d’une arnaque appelée « spoofing » -en l’occurrence par téléphone mais ce procédé est plus courant par email ou par sms- qui consiste à usurper le nom et la qualité de son conseiller bancaire, souvent en utilisant le même numéro de téléphone que l’agence.

En l’espèce, son interlocutrice a signalé à ce monsieur que sa banque avait constaté « une attaque de pirate sur son compte courant » et qu’elle a dû pour contrer l'attaque supprimer ses bénéficiaires de virement. Elle souhaitait donc qu’il re-valide ces bénéficiaires (en fait, des désignations exactes mais les numéros de compte des escrocs).

Bien d’autres affaires de ce type sont en cours devant les tribunaux.

La banque refuse le remboursement des 59 500 € détournés en raison des « imprudences et négligences graves » commises par le client qui n’a pas respecté les consignes de sécurité rappelées régulièrement. Il est vrai que toutes les banques, sur leur site, mettent en garde contre les faux conseillers bancaires ; qui plus est, toutes ont mis en place des procédures d’authentification pour les virements.

La preuve incombe à la banque

Finalement, le client se décide à assigner la banque (outre une plainte au pénal classée sans suite faute d’identifier les escrocs). Il invoque :

- l’obligation de rembourser immédiatement le client victime d’une escroquerie (art. L.133-18 du code monétaire et financier),

- l’absence de négligence grave de sa part permettant à la banque de s’exonérer de toute responsabilité (art. L133-19-IV du code monétaire et financier),

- l’obligation de la banque de prouver la négligence du client (Com. 21 novembre 2018, n°17-18.888 et Com. 26 juin 2019, n° 18-12.581).

Le client échoue en première instance, il fait donc appel.

La banque a expliqué que la fraude n’est pas possible à l’insu du client car celui-ci doit nécessairement avoir un rôle pour permettre ces virements. L'ajout de nouveaux bénéficiaires de virements et la validation des virements ne sont pas le fait de la banque mais bien du client. La banque invoque ainsi un arrêt de la Cour de cassation qui exonère la banque du fait de « la négligence grave [du client qui a répondu] à un courriel présentant de sérieuses anomalies tenant tant à la forme qu'au contenu du message qu'il comportait » (Com. 1er juillet 2020, 18-21.487).

Mais en appel, le client gagne (Versailles 28 mars 2023, n° 21/07299). La banque se pourvoit.

L’importance des circonstances

La question posée à la Cour de cassation est la suivante : qu’entend-on par « négligence », qui plus est « grave » ? Un client de bonne foi, abusé par des subterfuges sophistiqués (site miroir de la banque, détournement d’une ligne téléphonique), est-il négligent ? Ce monsieur, mis en confiance et en même temps mis en situation de stress du fait d’une opération de piratage, peut-il être considéré comme fautif alors que ces réflexes sont induits par les circonstances et non par un manque d’attention ?

La Cour de cassation a décidé de rejeter le recours de la banque car celle-ci ne prouve pas une négligence grave. Les magistrats prennent soin d’énoncer les circonstances justifiant non pas une négligence, c’est-à-dire un manque d’attention, mais une manipulation du client. Un erreur que la Cour caractérise ainsi : il « croyait être en relation » avec la banque, il « a cru valider l'opération litigieuse », il a été « mis en confiance », le mode opératoire « a diminué sa vigilance ». Bref, ce n’est pas la faute du client, il a été abusé par des manipulateurs astucieux.

JDE