Fraude bancaire par « spoofing » téléphonique : absence de négligence grave de la victime.

Le salarié d’une société de transports est contacté par téléphone par une personne se faisant passer pour un technicien de la BNP Paribas qui, prétextant une panne informatique, lui demande d’effectuer des manipulations via le système de paiement en ligne pour permettre la réinscription d’opérations sur le compte de la société. Conséquemment, deux virements d’un montant global de 98 000 € sont exécutés. La société, soutenant ne pas les avoir autorisés, poursuit la banque en remboursement. Cette dernière invoque la négligence grave de la société pour tenter de s’exonérer de sa responsabilité.

La Haute Juridiction juge, pour les raisons suivantes, que la banque n’apportait pas la preuve, à laquelle elle était pourtant tenue, d’une négligence grave de la société dans la conservation et l’utilisation de ses données personnelles de sécurité :

- sur demande de l’escroc, le salarié s’était connecté au service de paiement en ligne à l’aide du dispositif de sécurité personnalisé et avait effectué diverses manipulations pour reconstituer les écritures, sans se méfier de son interlocuteur qui ne lui demandait pas de mot de passe ;

- la circonstance que l’escroc ait pu usurper le numéro de téléphone de la banque et annoncer le code qui s’affichait sur l’écran de l’utilisateur était de nature à persuader celui-ci qu’il était en relation avec un technicien ;

- la connaissance par son interlocuteur des opérations réalisées avant l’appel et de leur disparition pouvait conforter le salarié dans la croyance qu’un incident informatique était survenu ;

- l’historique des opérations révélait que le numéro d’abonné du titulaire de la carte de transfert sécurisé n’était pas attaché à la validation des tiers.

à noter : Les fraudes bancaires par téléphone, perpétrées par des personnes se faisant passer pour un employé de la banque de la victime (conseiller bancaire ou, comme en l’espèce, technicien), se sont multipliées ces dernières années.

Ces fraudes, appelées « spoofing téléphonique », donnent souvent lieu à des opérations de paiement non autorisées, que la banque doit en principe rembourser à son client immédiatement après en avoir eu connaissance (C. mon. fin. art. L 133-18). Elle peut toutefois s’exonérer, notamment en invoquant la négligence grave du client dans la conservation de ses données de sécurité personnalisées (art. L 133-19, IV). La charge de la preuve de cette négligence grave pèse sur la banque (jurisprudence constante).

L’arrêt commenté s’inscrit dans le droit fil d’une autre décision de la chambre commerciale de la Cour de cassation, où la négligence grave de la victime n’avait pas non plus été retenue et où la banque avait été condamnée à la rembourser, compte tenu des circonstances suivantes : l’escroc avait contacté le client par téléphone en usurpant l’identité et le numéro de sa conseillère bancaire ; le client avait cru valider l’opération litigieuse sur son application dont la banque assurait qu’il s’agissait d’une opération sécurisée ; le mode opératoire avait mis le client en confiance et avait diminué sa vigilance.

Cet arrêt ainsi que celui commenté se montrent favorables aux victimes. S’ils révèlent une tendance, à savoir que la négligence grave des victimes est difficile à établir, ils ne peuvent pas, à notre avis, être interprétés comme imposant systématiquement aux banques une obligation de remboursement. Tout dépend des circonstances propres à chaque espèce et, notamment, de la technique employée par les escrocs pour obtenir la communication des données de sécurité personnalisées du client.

Ce qui semble à tout le moins ressortir de cette jurisprudence, c’est que constitue une circonstance permettant d’écarter la négligence de la victime le fait que la fraude ait été commise par téléphone car la victime dispose alors d’un temps de réaction très court et est plus vulnérable, surtout quand le véritable numéro de la banque est utilisé. C’est d’ailleurs ce qu’avaient relevé les juges du fond dans l’arrêt d’appel qui avait conduit à la décision du 23 octobre 2024 précitée : « le mode opératoire par l’utilisation du « spoofing » a mis [la victime] en confiance et a diminué sa vigilance, inférieure face à un appel téléphonique émanant prétendument de sa banque pour lui faire part du piratage de son compte à celle d’une personne réceptionnant un courriel, laquelle aurait pu disposer de davantage de temps pour s’apercevoir d’éventuelles anomalies révélatrices de son origine frauduleuse ».

Cass. com. 12-6-2025 n° 24-13.777 F-B, Sté BNP Paribas c/ Sté H. transports

L’@ctualité en ligne, www .efl.fr 31/07/2025