Bancaire & voies d’exécution - 10/05/2024
Par plusieurs décisions de justices, le Tribunal Judiciaire de Paris et la Cour d’appel de Paris viennent de condamner les banques à rembourser leurs clients victimes d’une fraude au faux conseiller bancaire. (Tribunal Judiciaire de Paris 18 janvier 2024) (Cour d'appel de Paris 7 février 2024)
La fraude au faux conseiller bancaire, également appelée fraude au spoofing est une technique utilisée dans le domaine de la cybercriminalité où un individu ou un groupe d'individus falsifie des informations dans le but de tromper des personnes, des systèmes informatiques ou des réseaux.
Le "spoofing" implique la falsification délibérée des informations d'identification telles que les adresses IP, les adresses e-mail, les numéros de téléphone, ou d'autres données, pour masquer la véritable identité ou l'origine de l'expéditeur.
Cette technique est souvent utilisée pour mener divers types d'attaques, notamment :
1. Le Phishing : Les assaillants envoient des e-mails ou des messages instantanés en se faisant passer pour des entités légitimes telles que des banques, des entreprises ou des institutions gouvernementales, dans le but de tromper les utilisateurs et de leur soutirer des informations sensibles telles que des mots de passe, des numéros de carte de crédit, etc.
2. La Fraude téléphonique : Les fraudeurs peuvent falsifier l'identifiant de l'appelant (numéro de téléphone) pour faire croire à la victime qu'un appel provient d'une source légitime, alors qu'en réalité, il peut s'agir d'une tentative de fraude ou d'arnaque.
En affichant l'authentique numéro de téléphone de la banque de la victime sur le smartphone de cette dernière, les escrocs parviennent à la mettre immédiatement en confiance.
Sauf que dans les faits, les escrocs utilisent des outils pour passer un appel en modifiant le numéro de téléphone qui est affiché chez le destinataire.
De tels logiciels, baptisés IPBX, permettent en effet de paramétrer ses appels, lorsqu'ils passent par Internet, et de joindre ainsi n'importe quel téléphone mobile.
Ces outils, destinés à modifier le numéro de téléphone apparaissant chez le destinataire, sont faciles d’utilisation.
Par exemple pour un professionnel appelant un client mais désirant n'afficher que le numéro de l'accueil de son entreprise et non son numéro direct.
Lorsque ces appels sont basés depuis la France et initiés par le réseau des opérateurs téléphoniques locaux, ces derniers peuvent techniquement vérifier la concordance entre le numéro affiché et le véritable numéro à l'origine de l'appel.
Mais dans de nombreux cas, les escrocs opèrent depuis des plateformes basées à l'étranger.
Parfois même, l’escroc accroit son emprise en apportant des gages de confiance : Il connait votre nom, votre prénom, votre date de naissance, votre code de carte bancaires (information qu’il a parfois récupéré par piratage informatique), parfois même vos dernières opérations bancaires.
L’escroc va même, parfois, jusqu’à insister pour ne pas obtenir communication des informations sensibles telles que le mot de passe de la victime, en lui demandant simplement de vérifier ses SMS et de valider les messages reçus…
Ces messages sont souvent des demandes d’autorisations, pour changer de numéro de téléphone comme appareil de confiance, ou autoriser de nouveaux bénéficiaires ou des virements..
Du côté des victimes potentielles, il est malheureusement impossible de se prémunir contre une telle escroquerie, si ce n'est en redoublant de vigilance.
Mais la prudence est également de mise en amont, en protégeant ses données personnelles.
Car pour mettre la victime en confiance, les escrocs utilisent des informations publiques, ou subtilisées et vendues par des hackers à l'origine de piratages ou de campagnes d’hameçonnage.
Ainsi, le faux conseiller bancaire n'hésitera pas à communiquer les nom, prénom, adresse et date de naissance de sa victime, mais aussi des informations plus personnelles comme un mot de passe.
Fréquemment, les escrocs n'hésitent pas à appeler au motif d'une prétendue tentative d'escroquerie visant le compte bancaire de la victime, se présentant comme à même de les aider à l'éviter.
Ce qui place les victimes dans un état de stress important, et annihile leur capacité de réflexion et leur esprit critique.
Au total, la Banque de France a dénombré 7,2 millions de transactions frauduleuses en 2022, pour un montant qui atteint 1,2 milliard d’euros, tous types d’arnaques confondus.
La Banque de France et l’Etat ont récemment décidé d’informer plus largement sur cette fraude au spoofing qui fait de nombreuses victimes.
Les médias se font également fréquemment l’écho de ces ménages qui se sont vus subtilisés parfois des dizaines de milliers d’euros, par l’intermédiaire de cette technique très élaborée, et qui connaît de nombreuses variantes.
(Par exemple, il arrive que l’escroc fasse passer un faux coursier pour récupérer votre carte bancaire, avant, prétend-il, qu’une nouvelle carte vous soit remise. En réalité, cela permet à l’escroc d’effectuer des paiements en ligne par internet avec votre carte).
Des textes de lois existent cependant pour protéger les victimes et leur permettre d’obtenir le remboursement des sommes détournées.
En particulier, les article L133-16, L133-17 et L133-18 du Code monétaire et financier prévoient une responsabilité de plein droit de la banque, en cas d’opération non autorisée dont a été victime le client payeur, sauf « négligence grave » de sa part.
De nombreuses victimes saisissent actuellement les Tribunaux.
Les premiers retours sont encourageants.
Ainsi, le Tribunal Judiciaire de Paris a pu jugement que :
(Tribunal Judiciaire de Paris 18 janvier 2024) :
« Il appartient au prestataire en vertu des articles L133-19 et L133-23 du code monétaire et financier de rapporter la preuve que l’utilisateur a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations.
L’utilisateur a pour obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs personnalisés et informer en conséquence sans délai de toute utilisation frauduleuse ou de ses données.
Mme [C] [W] a reçu un appel du numéro de la banque agence [Localité 7] le 21/03/2022 à 16h21 ; elle a tenté le même jour à 17h56 de rappeler le service fraude, de même à 18h06, comme le révèle son relevé de journal d’appels, en raison du mail reçu à 17h34 de ce service et de l’appel de 17h33 et n’a donc pas été négligente sur ce point.
Il n’apparait pas sur son téléphone de réception de clé digitale ce jour-là, dans le journal des SMS , mais seulement le 21/03/2022 un message de la SA BNP PARIBAS débutant par « l’accès à vos comptes en ligne … »
Elle a manifestement échangé avec son conseiller, selon le mail reçu de celui-ci le 22/03/2022 à 11h05 reproduit dans ses conclusions et dont l’envoi n’est pas contesté par la SA BNP PARIBAS, lequel lui a parlé de fraude, de l’appel du service fraude puis du fait qu’il ne travaille pas le lundi.
Elle a seulement reconnu avoir confirmé des informations sur son identité, données par son interlocuteur se présentant comme son conseiller, mais pas de code bancaire ni numéro de carte.
La SA BNP PARIBAS affirme qu’elle a donné ses coordonnées sur un site frauduleux puisqu’une connexion est démontrée avoir eu lieu le 18/03/2022 sur son espace personnel.
Or la SA BNP PARIBAS ne démontre pas que notamment un site à l’apparence de la BNP a été utilisé par les fraudeurs, cette affirmation étant hypothétique.
Le fait d’utiliser sa carte bancaire sur un site n’induit pas que le site était manifestement frauduleux, pour un utilisateur raisonnable. Si la connexion à son espace client le 18/03/2022 à partir d’un opérateur qui n’est pas celui de Mme [C] [W] est démontrée, il s’en déduit seulement que justement la fraude a consisté à se procurer ses coordonnées personnelles et bancaires, puis à utiliser un autre opérateur téléphonique que celui de Mme [C] [W].
La SA BNP PARIBAS affirme qu’elle a dû également communiquer le code d’authentification de clé digitale. Or le 21/03/2022 à 16h23 elle a reçu un mail pour confirmer l’activation de la clé digitale sur son appareil Samsung.
Mais sur le journal des SMS de Mme [C] [W] le 21/03/2022, il ne figure aucun code d’authentification, si bien que l’usurpation a porté y compris sur des données téléphoniques afin que la réception de ce code par SMS aboutisse sur un autre numéro que celui de Mme [C] [W].
Le seul fait ne pas avoir prêté attention au jour de l’appel par son conseiller, soit un lundi, jour de fermeture de l’agence, ne constitue pas une négligence grave , ni même de confirmer seulement des données qui lui sont exposées par celui qui se présente comme ce conseiller, étant rappelé que le numéro qui s’est affiché sur son téléphone était bien celui de son agence.
De plus le système de sécurité antifraude avait bien noté une opération atypique ou un risque puisque Mme [C] [W] avait reçu tout de suite un appel provenant bien du numéro de ce service.
Il n’est donc pas démontré par la SA BNP PARIBAS de négligence grave, aucune irrégularité manifestement apparente d’un site n’étant prouvée, ou de délai anormalement long de réaction de sa cliente après l’appel de ce service, dont il n’a pas été exposé d’ailleurs par la banque pourquoi sa cliente n’a pu le joindre le 21/03/2022 à 17h56 ou 18h06.
Il n’a pas été précisé si le médiateur de la Fédération de la Banque Française avait été saisi par Mme [C] [W].
Dans ces conditions, la SA BNP PARIBAS ne rapporte pas la preuve d’une négligence grave de Mme [C] [W] , les éléments soutenus par la SA BNP PARIBAS étant hypothétiques, alors que cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées, ont été effectivement utilisées.
Il convient donc de condamner la SA BNP PARIBAS à rembourser à Mme [C] [W] l’opération contestée, en déduisant la somme de 1500 euros que la banque assimile à un geste commercial, soit un solde de 4500 euros… »
De même, la Cour d’appel de Paris a jugé que :
(Cour d'appel de Paris, 7 février 2024)
« …La société [H] Transports nie avoir autorisé les virements litigieux. Il incombe donc à la société BNP Paribas de prouver que ces opérations ont été authentifiées, dûment enregistrées et comptabilisées et qu’elles n’ont pas été affectées par une déficience technique ou autre.
La banque ne verse aux débats aucune pièce afférente auxdites opérations, considérant que la validation des bénéficiaires et des virements grâce à la carte Transfert sécurisé vaut consentement à l’exécution des opérations de payement.
Or, l’utilisation de l’instrument de payement telle qu’enregistrée par le prestataire de services de payement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur.
En revanche, la société [H] Transports produit l’historique des opérations (ses pièces nos 5 et 16) qui révèle des anomalies lors de la validation de tiers bénéficiaires. Alors que normalement, pour chaque création de tiers bénéficiaire, sont indiqués le numéro d’abonné du mandataire, c’est-à-dire du titulaire de la carte Transfert sécurisé qui procède à la validation du tiers, la date de création et le nom du bénéficiaire, la création de quatre tiers le 23 juillet 2019 à 12 heures 7 et à 12 heures 13 ne mentionne aucun numéro de mandataire à l’origine de leur création, numéro destiné à assurer la traçabilité de chaque opération, et ne comporte non plus aucun nom de tiers bénéficiaire.
Ces anomalies ne sont ni discutées, ni expliquées par la société BNP Paribas. Dans ces circonstances, elle ne peut se prévaloir des stipulations de l’article 11.2 Validation des ordres et instructions / Convention de preuve des conditions générales BNP Net Évolution : « Le client reconnaît que la saisie : « ' Pour les fonctionnalités qui le permettent, des codes d’accès par chaque utilisateur permet son identification, « ' du mot de passe attaché au certificat électronique ou à la carte Transfert sécurisé de chaque utilisateur vaut signature électronique permettant son identification et son authentification.
« Le client reconnaît et accepte en conséquence que l’utilisation de ces modes d’authentification et la saisie du mot de passe associé prouvent le consentement de chaque utilisateur aux instructions et ordres émis, et garantissent l’intégrité de celles-ci jusqu’à leur traitement et, à ce titre, l’engagent pleinement, dans la limite des pouvoirs consentis à chaque utilisateur. « En conséquence, toute consultation, instruction ou ordre émis dans le cadre du service est réputée de façon irréfragable émaner du client lui-même ou de l’un des utilisateurs ».
Il n’est donc pas établi que les opérations de payement litigieuses aient été autorisées par la société [H] Transports.
Il résulte des textes rapportés ci-dessus que la banque est, en principe, tenue de rembourser à sa cliente les sommes virées sans son autorisation, sauf à démontrer que celle-ci a agi frauduleusement ou encore n’a pas satisfait à son obligation de préservation de la sécurité du dispositif de sécurité personnalisé, et ce, soit intentionnellement ou par négligence grave.
L’article L. 133-16 du code monétaire et financier dispose à cet égard :
« Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées.
« Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées. »
Sur les négligences de la société [H] Transport, la société BNP Paribas fait valoir que les conditions particulières BNP Net Évolution ne permettaient à [R] [Y] que de créer des ordres de virement mais en aucun cas de les valider.
Elle en déduit qu’il est vraisemblable que [R] [Y] a nécessairement réalisé personnellement les virements en utilisant la carte Transfert sécurisé et le code confidentiel de [W] [H]. Ainsi, conformément aux conditions générales BNP Net Évolution, les deux ordres télématiques ordonnés au moyen du processus d’authentification forte sont réputés avoir été autorisés par la société [H]
Transports.
Seul le défaut de vigilance et l’extrême imprudence de [R] [Y], qui s’est sans doute laissée berner par un escroc se faisant passer pour un salarié de la société BNP Paribas, expliquent la fraude. La société [H] Transports a commis une négligence grave en ce qu’elle a tout simplement validé, à la demande d’un tiers, les cinq ordres de virement par l’action d’une salariée qui n’aurait jamais dû disposer de la carte de [W] [H] en contradiction complète avec l’article VII des conditions de fonctionnement de la carte de transfert sécurisé.
La société [H] Transports réplique que le bordereau BNP Net Évolution mentionne expressément que [R] [Y] dispose d’une carte Transfert sécurisé, dispositif permettant de valider les payements. Le document d’ouverture du contrat BNP Net Évolution du 28 mars 2014 autorise [R] [Y] à effectuer des virements nationaux et européens, ainsi que la validation des remises pour le compte de la société [H] Transports.
L’appelante fait encore valoir que l’utilisation de l’instrument de payement ne suffit pas nécessairement en tant que telle à prouver que le payeur n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. [R] [Y] n’a donné aucun numéro de compte, aucun code confidentiel ou clef d’accès à l’interlocuteur qui se faisait passer pour un technicien de la société BNP Paribas. Aucun tiers bénéficiaire n’a été créé, de même qu’aucun virement n’a été effectué. Il n’y a aucun élément permettant de démontrer que la société [H] Transports n’aurait pas satisfait à ses obligations.
La société [H] Transports n’avait pas été sensibilisée par la société BNP Paribas au risque de fraude avant qu’elle ne fût elle-même victime d’escroquerie. Au contraire, la société BNP Paribas a manqué de vigilance au regard de la basse fréquence des virements effectués par la société [H] Transports à l’étranger. [W] [H] a réagi rapidement face à cette situation en portant plainte le jour même des faits. Les escrocs avaient les identifiants et le mot de passe de l’espace sécurisé de la société [H] Transports, non pas par défaut de vigilance de [W] [H] et par crédulité de [R] [Y], mais ils les avaient en leur possession avant d’appeler cette dernière.
En tout état de cause, la société BNP Paribas ne fournit aucune preuve de la négligence de [R] [Y] et de [W] [H]. Au regard des anomalies constatées précédemment, l’utilisation de l’instrument de payement telle qu’enregistrée par la société BNP Paribas ne suffit pas en tant que telle à prouver que la société [H] Transports n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Il appartient à la banque de fournir des éléments afin de prouver la fraude ou la négligence grave commise par sa cliente. Or, l’intimée ne produit aucune pièce en ce sens, les
documents contractuels et les guides et exemples d’utilisation du service BNP Net Évolution ne suffisant pas à établir les faits de négligence grave imputés à la société [H] Transports, consistant notamment à avoir laissé [R] [Y] utiliser la carte Transfert sécurisé de [W] [H].
Il ressort de l’audition de [W] [H] (pièce no 15 de l’appelante) que sa secrétaire a reçu un appel téléphonique d’un soi-disant employé de la société BNP Paribas l’avertissant d’une panne informatique qui avait fait disparaître les écritures du matin ; que, à la demande de l’escroc, [R] [Y] s’est connectée au compte bancaire ; que son interlocuteur a énuméré toutes les opérations effectuées afin de la mettre en confiance ; que [R] [Y] s’est aperçue que les écritures du matin avaient effectivement disparu ; qu’elle ne s’est pas méfiée de son interlocuteur qui ne lui demandait pas de mot de passe ; que l’escroc l’a invitée à se connecter au moyen de sa carte Transfert sécurisé afin de restituer les écritures ; qu’elle a renouvelé la création d’une signature électronique, son interlocuteur prétendant que la manœuvre n’avait pas réussi ; qu’elle a interrompu la conversation à midi.
L’audition de [R] [Y] confirme le déroulement des faits : appelée peu avant midi par un individu se présentant comme appartenant au service technique de la société BNP Paribas, elle s’est connectée avec le boîtier et la carte, mais sans le mot de passe, et a constaté que des écritures avaient disparu. L’escroc lui a alors demandé de se connecter et de se déconnecter à plusieurs reprises, puis de saisir la clef d’accès créée par le boîtier. Prétendant que cela ne fonctionnait pas, il lui a demandé d’essayer avec une autre clef d’accès qu’il lui a communiquée. Il lui a refait manipuler le boîtier à plusieurs reprises en l'« embrouillant », puis lui a demandé de confirmer que le code qu’il lui indiquait au téléphone s’affichait, ce qui était le cas. Il lui a fait appuyer sur un ou deux boutons du boîtier, lui a demandé d’attendre et de confirmer. [R] [Y] pense que c’est ce qui a créé une signature pour les virements. Elle a alors mis fin à la conversation. Elle précise que son interlocuteur utilisait les mêmes mots qu’un professionnel, de sorte qu’elle avait confiance.
Ainsi il ne ressort pas de l’enquête de gendarmerie que [R] [Y] ait utilisé la carte Transfert sécurisé de [W] [H]. L’historique des opérations révèle au contraire que le numéro d’abonné de ce dernier, non plus qu’aucun autre, n’est pas attaché à la validation des tiers frauduleux (pièces nos 5 et 16 de l’appelante).
La circonstance que l’escroc ait pu usurper un numéro de téléphone de la société BNP Paribas, et qu’il annonçât le code qui s’affichait à l’écran de [R] [Y], était de nature à persuader celle-ci qu’elle était en relation avec un technicien de la banque.
Il en est de même de la connaissance par son interlocuteur tant des opérations réalisées peu auparavant, ce qui n’est réputé connu que de [R] [Y], de la banque et des bénéficiaires, que de leur disparition, ces faits ne pouvant que la conforter dans la croyance qu’un incident informatique était survenu.
Compte tenu de ces éléments, il n’est pas démontré par la banque que la société [H] Transports ait commis une négligence grave exonérant la société BNP Paribas de son obligation de remboursement.
En conséquence, il y a lieu de condamner l’intimée à rembourser à la société [H] Transports la somme de 98 000 euros…»
Il conviendra de rester attentif aux orientations de la jurisprudence dans les prochains mois, et les prochaines années, concernant ces fraudes très actuelles.
Maître SALAGNON, Avocat associé au sein du cabinet BRG Avocats (Nantes-Paris), et responsable du département droit bancaire, droit commercial vous conseille, vous assiste et vous accompagne sur toute la France concernant vos litiges et arnaques bancaires.
Pour le contacter, appelez-le au 02.40.89.00.70, ou prenez contact au moyen du formulaire de contact afin qu’une réponse vous soit apportée dans les meilleurs délais.