Fraudes en matière bancaire : jurisprudence


La jurisprudence concernant les fraudes à la carte bancaire, notamment le phishing ou l'hameçonnage, a évolué au cours de ces dernières années.

 

L'hameçonnage ou "phishing" consiste à se faire remettre par les victimes contactées par des courriels non sollicités leurs données bancaires personnelles afin de les exploiter frauduleusement.

 

 

Le mail usurpe souvent l'identité d’un établissement bancaire ou d'un fournisseur de services ou d'un site marchand, en imitant sa page web, son logo, etc.

 

Il pourra aussi être demandé au destinataire, lors d'un appel téléphonique, sous couvert d’un problème technique ou d'une fraude en cours sur son compte, de transmettre ou mettre à jour ses identifiants, mots de passe, numéro de compte, etc.

 

Une fois que la victime trompée aura révélé ses identifiants personnels, le fraudeur pourra accéder à son compte bancaire et en détourner les fonds par l’intermédiaire de faux ordres de virement ou d'achats non autorisés.

 

Les décisions rendues étaient, dans un premier temps, favorables aux banques. Elles sont devenues plus favorables aux titulaires de carte bancaire.

 

 

1 - Fraudes bancaires : les décisions favorables aux banques

Phishing, opération de paiement non autorisée : caractérisation de la négligence grave

 

Le titulaire d'un compte a répondu à un mail d'hameçonnage. Des achats ont ensuite été effectués avec ses informations de carte bancaire. Il conteste avoir effectué ces achats et assigne sa banque et une autre caisse du groupe bancaire en remboursement d'opérations de paiement qu'il n'a pas autorisées.

 

La juridiction de proximité de Béthune condamne les établissements à rembourser le montant des opérations contestées. Les établissements bancaires forment un pourvoi devant la Cour de cassation.

 

La Cour de cassation reproche à la juridiction de proximité de n'avoir pas recherché si le fait pour le client de répondre à un mail d'hameçonnage ne résultait pas d'une négligence grave caractérisant un manquement à ses obligations de vigilance. Elle casse le jugement de proximité pour défaut de base légale.

 

La décision de la Cour de cassation s'inscrit dans une tendance jurisprudentielle assez sévère envers les clients des banques, transmettant volontairement leurs données bancaires, y compris en cas de phishing. La négligence grave est souvent caractérisée comme contrevenant à l'obligation "de prendre toute mesure raisonnable pour préserver la sécurité des données de sécurité personnalisées".

 

La Cour de cassation impose aux juges du fond de procéder systématiquement à un examen minutieux des faits, notamment lorsque l'escroquerie repose sur l’envoi de mails frauduleux, permettant de caractériser ou non la négligence grave de la personne. 

 

Il appartient à la banque de rapporter par tous moyens la preuve de la négligence fautive de l’utilisateur, qui peut être constituée par le simple fait de répondre à un mail de type phishing sollicitant la communication des données confidentielles permettant l'utilisation du service de paiement.

 

  • CA Metz 7 juillet 2022 n°21/01-492

En recevant un courriel étrange émanant d’un expéditeur suspect, le payeur aurait dû se méfier et ne pas donner suite à l’invitation à valider son numéro de mobile, et au besoin contacter personnellement sa banque.

En conséquence, la réponse à ce mail suspect constitue une première négligence grave.

Ce même payeur avait ensuite communiqué son identifiant et son code secret permettant l’accès au compte bancaire sur internet et aux opérations sur celui-ci et avait utilisé des codes à usage unique pour valider des opérations qu’il n’avait pas lui-même initiées.

De tels faits sont alors également constitutifs d’une négligence grave.

 

2 - Fraudes bancaires : les décisions favorables aux titulaires de carte bancaire

Phishing

 

Cass. com., 12 novembre 2020, n° 19-12-112

 

Une personne a reçu un courriel se présentant comme émanant d’un opérateur de téléphonie (SFR). Elle y a répondu en communiquant des données personnelles et bancaires (numéro de carte, nom…).

 

Elle a reçu deux messages sur son mobile lui communiquant un code 3dsecure destiné à valider des paiements sur internet. Elle prétend ne pas avoir validé les achats reçus sur son mobile avec son code 3dSecure. Elle a fait opposition à sa carte bancaire et a demandé à sa banque le remboursement de la somme qui a été prélevée sur son compte.

 

La banque a refusé de rembourser en invoquant la négligence grave de la cliente dans la conservation des dispositifs de sécurité personnalisés mis à sa disposition.

 

La Cour de cassation retient que le prestataire de service de paiement, qui entend faire supporter à l’utilisateur d’un instrument de paiement doté d’un dispositif de sécurité personnalisé les pertes occasionnées par une opération de paiement non autorisée rendue possible par un manquement de cet utilisateur (intentionnel ou par négligence grave), doit aussi prouver que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

 

Dans cet arrêt, la Cour de cassation a jugé que la banque ne rapportait pas la preuve d’une absence de déficience technique.

 

Fraude au faux conseiller bancaire avec spoofing téléphonique : absence de négligence grave du client 

 

Cass. com. 23 octobre 2024 pourvoi n°23-16.267

 

Concernant une opération authentifiée mais non autorisée par le client, la banque doit prouver la négligence grave du client (article L. 133-19 IV du code monétaire et financier).

 

En l’espèce, le client d’une banque (BNP Paribas) a été contacté par téléphone par une personne se présentant comme un conseiller bancaire, l’alertant d’une possible attaque informatique sur son compte.

A la demande de cette personne, le client a utilisé son code confidentiel pour supprimer puis réinscrire des bénéficiaires de virements.

Il a constaté par la suite que son compte avait été débité de plusieurs virements frauduleux pour un total de 54 500 euros.

 

Il a alerté sa banque et demandé le remboursement.

 

La banque a refusé au motif que le client avait commis une négligence grave (l’objet de l’appel téléphonique à savoir le réenregistrement de bénéficiaires de virement suite à une supposée attaque informatique qui ne nécessitait pas l’intervention d’un préposé de banque).

 

Pour la Cour de cassation, la banque doit apporter la preuve d’une négligence grave du client pour lever son obligation de remboursement.

La Cour estime que le client n’a pas commis de négligence grave.

Le numéro de téléphone affiché était bien celui de sa conseillère bancaire habituelle, donc le client pensait être dans une relation bancaire habituelle.

 

Cette décision renforce le droit des victimes.

 

 

> Pour en savoir plus sur les fraudes en matière bancaire, consultez notre dossier "Comment se protéger contre les arnaques bancaires et financières".

 

 

Corinne Lamoussière-Pouvreau

Juriste à l'Institut national de la consommation


Être averti d'une mise à jour
Cliquez ici pour ouvrir de nouveau le bandeau d’information et de réglage des cookies Haut de page