Cabinet POLITANO AVOCATS
Droit civil – Droit des contrats – Droit des affaires – Droit bancaire
Me Jean Baptiste POLITANO
Article rédigé par : Benjamin POLITANO, Elève avocat
VIREMENT FRAUDULEUX – FAUX CONSEILLER BANCAIRE – ABSENCE DE FAUTE DU TITULAIRE DU COMPTE – AUTORISATION DE REMBOURSEMENT DES SOMMES PERDUES – « L’UTILISATION DU SPOOFING »
La Cour de cassation – Chambre commerciale 23 octobre 2024 / n° 23-16.267 a statué de la manière suivant : « aucune négligence grave au sens de l’article L. 133-19 du code monétaire et financier ne peut être imputée au titulaire d’un compte qui, contacté téléphoniquement par une personne se faisant passer pour un préposé de sa banque dont le numéro s’affichait, utilise à sa demande le dispositif de sécurité personnalisé pour supprimer puis réinscrire des bénéficiaires de virements dans le but d’éviter des opérations malveillantes ».
ARRÊT DE LA COUR DE CASSATION, CHAMBRE COMMERCIALE, FINANCIÈRE ET ÉCONOMIQUE, DU 23 OCTOBRE 2024
La société BNP Paribas, société anonyme, dont le siège est [Adresse 2], [Localité 3], a formé le pourvoi n° H < 23-16.267 contre l’arrêt rendu le 28 mars 2023 par la cour d’appel de Versailles (13e chambre), dans le litige l’opposant à M. [U] [J], domicilié [Adresse 1], [Localité 4], défendeur à la cassation.
La demanderesse invoque, à l’appui de son pourvoi, un moyen de cassation.
Le dossier a été communiqué au procureur général.
Sur le rapport de M. Calloch, conseiller, les observations de la SCP Rocheteau, Uzan-Sarano et Goulet, avocat de la société BNP Paribas, de la SARL Meier-Bourdeau, Lécuyer et associés, avocat de M. [J], et l’avis de Mme Guinamant, avocat général référendaire, après débats en l’audience publique du 10 septembre 2024 où étaient présents M. Vigneau, président, M. Calloch, conseiller rapporteur, Mme Vaissette conseille doyen, M. Riffaud, Mme Guillou, M. Bedouet, Mme Schmidt, M. Chazalette, Mme Gouarin, conseillers, Mmes Brahic-Lambrey, Champ, M. Boutié, Mmes Coricon, Buquant, conseillers référendaires, Mme Guinamant, avocat général référendaire, et Mme Labat, greffier de chambre,
la chambre commerciale, financière et économique de la Cour de cassation, composée, en application de l’article R. 431-5 du code de l’organisation judiciaire, des président et conseillers précités, après en avoir délibéré conformément à la loi, a rendu le présent arrêt.
Faits et procédure
- Selon l’arrêt attaqué (Versailles, 28 mars 2023), le 31 mai 2019, M. [J] a constaté que plusieurs virements frauduleux avaient été réalisés pour un montant de 54 500 euros sur son compte ouvert dans les livres de la société BNP Paribas (la banque).
- M. [J] a alerté la banque le jour même, soutenant avoir été contacté par téléphone par une personne se faisant passer pour une préposée de l’établissement lui demandant d’ajouter, grâce à ses données personnelles de sécurité, cinq personnes sur la liste des bénéficiaires de virements.
- M. [J] a assigné la banque en remboursement de ces sommes.
Examen du moyen
Enoncé du moyen
- La banque fait grief à l’arrêt de la condamner à payer à M. [J] la somme de 54 500 euros avec intérêts au taux légal à compter du 10 octobre 2019 ainsi que la somme de 1 500 euros à titre de dommages et intérêts pour préjudice moral avec intérêts au taux légal alors :
« 1°/ que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’une négligence grave de sa part ; que commet une négligence grave, le payeur qui valide à distance et sans la vérifier, une opération dont il n’est pas l’auteur ; qu’en l’espèce, la cour d’appel a relevé que suivant ses déclarations, M. [J] avait été contacté par téléphone par une personne se présentant comme l’assistante de sa conseillère bancaire, qui lui avait expliqué qu’il avait été nécessaire de supprimer des bénéficiaires de virement pour déjouer une attaque informatique et qu’il fallait désormais les réenregistrer, et qu’il était alors resté en ligne avec cette personne et avait reçu sur son téléphone mobile des messages l’invitant à valider des ajouts de bénéficiaires, ce qu’il avait fait en saisissant son code confidentiel ; qu’en retenant que M. [J] n’avait pas été gravement négligent, quand celui-ci avait validé des opérations dont il n’était pas l’auteur sans en vérifier toutes les données, la cour d’appel, qui n’a pas tiré les conséquences légales de ses constatations, a violé l’article L. 133-19 du code monétaire et financier ;
2°/ que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’une négligence grave de sa part ; que commet une négligence grave, le payeur qui, à la demande d’une personne qui l’a contacté par téléphone en se présentant comme son conseiller bancaire, valide à distance et sans la vérifier une opération dont il n’est pas l’auteur en dépit d’indices permettant à un utilisateur normalement attentif de douter de l’identité de son interlocuteur ; qu’en l’espèce, la cour d’appel a relevé que suivant ses déclarations, M. [J] avait été contacté par téléphone par une personne se présentant comme l’assistante de sa conseillère bancaire, qui lui avait expliqué qu’il avait été nécessaire de supprimer des bénéficiaires de virement pour déjouer une attaque informatique et qu’il fallait désormais les réenregistrer, qu’il était alors resté en ligne avec cette personne et avait reçu sur son téléphone mobile des messages l’invitant à valider des ajouts de bénéficiaires, ce qu’il avait fait en saisissant son code confidentiel, et qu’il lui avait enfin été expliqué qu’il n’aurai[t] plus accès à [son] compte et qu[‘il] allai[t] recevoir par la poste un nouvel identifiant de compte et un nouveau mot de passe » ; qu’en retenant que M. [J] n’avait pas été gravement négligent quand l’identité de son interlocutrice, qui prétendait être non pas sa conseillère bancaire mais l’assistante de celle-ci, l’objet de l’appel, qui tendait à réenregistrer des bénéficiaires de virement, ce qui pouvait pourtant se faire sans intervention d’un employé de la banque et ne présentait au surplus aucune urgence dans la mesure où M. [J] n’aurait plus accès à son compte en ligne pendant plusieurs jours, et les explications qui lui avaient été fournies, suivant lesquelles l’attaque informatique dont il aurait été victime avait pu être déjouée par la suppression des bénéficiaires de virement qu’il lui fallait réenregistrer avant que l’accès en ligne à son compte soit bloqué et qu’un nouvel identifiant et un nouveau mot de passe lui soient adressés par voie postale, constituaient des indices permettant à un utilisateur normalement attentif de suspecter une fraude, la cour d’appel, qui n’a pas tiré les conséquences légales de ses constatations, a violé l’article L. 133-19 du code monétaire et financier ;
3°/ que même de bonne foi, le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’une négligence grave de sa part ; qu’en se fondant, pour écarter toute négligence grave de M. [J], sur la circonstance inopérante que « l’utilisation du « spoofing », soit littéralement une usurpation d’identité, a mis M. [J] en confiance et a diminué sa vigilance », la cour d’appel a privé sa décision de base légale au regard de l’article L. 133-19 du code monétaire et financier.
Réponse de la Cour
- Après avoir exactement énoncé qu’il incombe au prestataire de services de paiement de rapporter la preuve d’une négligence grave de son client, l’arrêt constate que le numéro d’appel apparaissant sur le téléphone portable de M. [J] s’était affiché comme étant celui de Mme [Y], sa conseillère BNP et retient qu’il croyait être en relation avec une salariée de la banque lors du réenregistrement et nouvelle validation qu’elle sollicitait de bénéficiaires de virement sur son compte qu’il connaissait et qu’il a cru valider l’opération litigieuse sur son application dont la banque assurait qu’il s’agissait d’une opération sécurisée. Il ajoute que le mode opératoire par l’utilisation du « spoofing » a mis M. [J] en confiance et a diminué sa vigilance, inférieure, face à un appel téléphonique émanant prétendument de sa banque pour lui faire part du piratage de son compte, à celle d’une personne réceptionnant un courriel, laquelle aurait pu disposer de davantage de temps pour s’apercevoir d’éventuelles anomalies révélatrices de son origine frauduleuse.
- De ces constatations et appréciations, la cour d’appel a pu déduire que la négligence grave de M. [J] n’était pas caractérisée.
- Le moyen n’est donc pas fondé.
PAR CES MOTIFS, la Cour :
REJETTE le pourvoi ;
Condamne la société BNP Paribas aux dépens ;
En application de l’article 700 du code de procédure civile, rejette la demande formée par la société BNP Paribas et la condamne à payer à M. [J] la somme de 3 000 euros ;
Ainsi fait et jugé par la Cour de cassation, chambre commerciale, financière et économique, et prononcé par le président en son audience publique du vingt-trois octobre deux mille vingt-quatre.
Explication de l’arrêt par le cabinet.
L’article L 133-19 du Code monétaire et financier impose que :
I. – En cas d’opération de paiement non autorisée consécutive à la perte ou au vol de l’instrument de paiement, le payeur supporte, avant l’information prévue à l’article L. 133-17, les pertes liées à l’utilisation de cet instrument, dans la limite d’un plafond de 50 €.
Toutefois, la responsabilité du payeur n’est pas engagée en cas :
- – d’opération de paiement non autorisée effectuée sans utilisation des données de sécurité personnalisées ;
- – de perte ou de vol d’un instrument de paiement ne pouvant être détecté par le payeur avant le paiement ;
- – de perte due à des actes ou à une carence d’un salarié, d’un agent ou d’une succursale d’un prestataire de services de paiement ou d’une entité vers laquelle ses activités ont été externalisées.
II. – La responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées.
Elle n’est pas engagée non plus en cas de contrefaçon de l’instrument de paiement si, au moment de l’opération de paiement non autorisée, le payeur était en possession de son instrument.
III. – Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si le prestataire de services de paiement ne fournit pas de moyens appropriés permettant l’information aux fins de blocage de l’instrument de paiement prévue à l’article L. 133-17.
IV. – Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17.
V. – Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L. 133-44.
VI. – Lorsque le bénéficiaire ou son prestataire de services de paiement n’accepte pas une authentification forte du payeur prévue à l’article L. 133-44, il rembourse le préjudice financier causé au prestataire de services de paiement du payeur.
L’indemnisation ne sera pas supportée par la banque si le payeur à savoir le titulaire de la carte a commis une négligence grave ou bien a adopté un comportement frauduleux.
Manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés, l’utilisateur d’un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu’il soit, ou non, avisé des risques d’hameçonnage. ● Com. 28 mars 2018, no 16-20.018.
C’est une appréciation in concreto des juges du fond.
Ainsi, s’il existe un motif légitime de penser que l’utilisateur avait conscience que le courriel était frauduleux alors la demande de remboursement sera refusé par la banque Com. 25 oct. 2017, no 16-11.644 P: D. 2017. 2465
Le plus souvent la jurisprudence va écarter la demande de remboursement lorsque la correspondance présente de sérieuses anomalies et laisse penser qu’il s’agit d’une fraude commise par un tiers. Le cas d’un Phishing.
La jurisprudence conduit à admettre que, même en présence d’une action frauduleuse d’un tiers par une tentative d’hameçonnage, le défaut de vigilance du titulaire de la carte peut être sanctionné s’il ne prend pas des mesures suffisantes pour contrer cette action.
D’une part, tout utilisateur d’internet doit être conscient des risques qu’il y a à répondre à des sollicitations provenant de tiers dont l’identité réelle est impossible à vérifier sur le net, alors qu’il est toujours possible, en cas de doute, de contacter la société (s’il s’agit d’un opérateur téléphonique ou bien d’une banque) ou l’administration qui aurait prétendument adressé le courriel afin d’obtenir, par un autre mode de communication que le net, la confirmation ou l’infirmation de la demande reçue par courriel.
D’autre part, il existe des solutions techniques de sécurité qui permettent de limiter les risques d’hameçonnage, solutions qui peuvent être activées dans la plupart des navigateurs internet ou qui sont disponibles auprès de sociétés spécialisées dans la vente de services de sécurité informatique au grand public. Dès lors, il est opportun de considérer qu’une tentative de phishing n’exclut pas nécessairement la négligence grave de l’utilisateur. La solution contraire conduirait à déresponsabiliser celui-ci et à faire peser sur les banques le coût de fraudes dont la réalisation suppose, le plus souvent, une certaine naïveté des victimes.
Attention, le présent arrêt Cour de cassation – Chambre commerciale 23 octobre 2024 / n° 23-16.267 ne constitue pas un revirement de jurisprudence mais rappelle uniquement qu’en cas de fraude complexe la négligence ne sera pas prise en compte et le remboursement de la victime sera effectif.
La banque est de plein droit responsable en cas de virement non autorisé, sauf preuve d’une négligence grave ou d’un comportement frauduleux de la part du titulaire du compte (art. L.133-18 et L.133-19 CMF).
Le présent arrêt rappelle que la charge de la preuve de la négligence incombe à la banque (Com. 21 novembre 2018, n°17-18.888) et extrait de l’arrêt : « Après avoir exactement énoncé qu’il incombe au prestataire de services de paiement de rapporter la preuve d’une négligence grave de son client)
Outre cet arrêt : La banque qui se prévaut de la faute lourde de sa cliente, au sens de l’art. L. 132-3 [ancien] C. mon. fin., doit être en mesure d’en apporter la preuve; l’utilisation par un tiers de la carte avec composition du code confidentiel étant à elle seule insusceptible de constituer la preuve d’une telle faute. ● Com. 2 oct. 2007, no 05-19.899 P: R. 2007,
Pour finir ce commentaire, l’arrêt prend en considération que l’action frauduleuse est complexe et que l’utilisateur était dans une situation nouvelle à savoir un appel téléphonique d’une fausse conseillère connaissant parfaitement son dossier. Qu’il est difficile de demander l’identité d’une personne derrière son téléphone sachant que la victime devait valider un bénéficiaire de virement sur son compte.
Il ne s’agit pas d’un cas de Phishing, mais de l’utilisation du spoofing. Cela a entraîné une diminution de sa vigilance et n’avait pas le temps pour s’apercevoir d’éventuelles anomalies comme le prévoit la jurisprudence.
La situation est différente et la Cour protège la victime au détriment de la banque.