Bancaire & voies d’exécution - 07/06/2023
Dans un arrêt récent à la portée importante, la Cour d'appel de Versailles a fait droit aux demande d'une victime de "spoofing" ou fraude au faux conseiller bancaire et condamné sa banque à l'indemniser (Cour d'appel de Versailles, 13e chambre, 28 mars 2023, n° 21/07299)
Le "spoofing"est une fraude qui s'est considérablement développée ces derniers mois.
Il s'agit désormais d'un contentieux de masse.
Le procédé est généralement peu ou prou le même.
De faux conseillers bancaires, ou les pseudo assistants de conseillers bancaires, se font passer pour des employés d'une banque pour prendre contact avec un client de celle-ci.
Ce qui est généralement particulièrement troublant pour la victime est que le numéro de téléphone utilisé est souvent le même que celui de sa banque, de sorte que s'il a enregistré le numéro de sa banque parmi ses contacts, c'est bien le nom de sa banque qui s'affiche.
Parfois même, l'escroc dispose, via le piratage de données personnelles, ou de l'espace bancaire de la victime, de renseignements sur les comptes bancaires de cette victime.
Il va ainsi facilement mettre en confiance le client de la banque, de manière à le manipuler plus aisément.
Le faux conseiller bancaire va généralement prétexter l'existence de prétendus mouvement suspects sur les comptes bancaires de la victime pour créer un climat anxiogène et inciter la victime intervenir rapidement sur ces comptes bancaires.
Il va ensuite lui demander d'effectuer un certain nombre de manipulations censées mettre fin aux opérations frauduleuses en cours, qui prendront généralement la forme de virements bancaires effectués sur des comptes tiers, ou de validations d'opérations en partie menées par l'escroc à l'aide des données dont il dispose déjà.
Dans tous les cas, le résultat sera implacable pour la victime : ses comptes bancaires seront vidés, lessivés, siphonnés en quelques minutes.
La victime aura bout, par la suite prendre rapidement conscience de l'escroquerie, déposer une plainte et effectuer une procédure de rappel de fonds (ou "recall") auprès de sa banque, il n'en fera rien, elle ne récupérera pas les sommes escroquées.
Le phénomène est si préoccupant que, récemment, un parlementaire a alerté le gouvernement sur ces fraudes, qui portent atteinte aux économies des ménages et à la confiance qu'ils peuvent avoir dans les systèmes de sécurité mis en place par les banques.
Dans le contexte actuel, l'arrêt de la Cour d'appel de Versailles est extrêmement important pour toutes les victimes de spoofing.
En effet, ce type de fraude étant relativement récent, il existe actuellement peu de décisions de justice se prononçant à la matière.
Le premier enseignement de cet arrêt de la Cour d'appel de Versailles est qu'en première instance, la victime s'était vu refuser le remboursement des sommes détournées, de sorte qu'elle a été contrainte d'aller en appel pour faire valoir ses droits.
Cela confirme l'absence de consensus, pour le moment, des juges sur ces questions.
Le deuxième enseignement de cet arrêt de la Cour d'appel de Versailles est que, même si le client d'une banque est victime d'un spoofing, et que les escrocs ne sont pas identifiés (ce qui n'est quasiment jamais le cas tant il est difficile de retrouver les cybercriminels) il peut invoquer le code monétaire et financier afin de faire valoir ses droits auprès de son établissement bancaire.
Le troisième enseignement est que la négligence grave du client n'a pas été retenu dans le cas d'espèce, car la Cour a considéré qu'il ne pouvait pas être reproché au client un manquement de vigilance, face à l'astuce et à la ruse des escrocs.
La Cour d'appel va juger que :
"M. [U], lors de la plainte déposée dès le 3 juin 2019, s’est expliqué en ces termes sur le déroulé des événements ayant conduit aux virements litigieux : 'Mercredi dernier j’ai reçu un appel sur mon téléphone portable qui affichait la BNP Mme [B] [J] qui est ma conseillère. La femme au bout du fil se présente comme l’assistante de Mme [B]. Elle me signale qu’ils ont constaté une attaque de pirate sur mon compte courant. Ils auraient été obligés pour contrer l’attaque de supprimer des bénéficiaires. Elle souhaitait donc qu’on re-valide ces bénéficiaires. Tout en restant en ligne avec cette femme j’ai reçu des messages toujours émanant de ce numéro de la BNP où figurait à chaque fois de valider les bénéficiaires, qu’effectivement je connaissais. J’ai donc validé à chaque message avec mon code secret. La personne m’a dit ensuite que je n’aurai plus accès à mon compte et que j’allais recevoir par la poste un nouvel identifiant de compte et un nouveau mot de passe. Le vendredi je voulais vérifier que je n’avais plus accès à mon compte et j’ai pu voir l’application de mon téléphone portable en balayant à gauche la position de mon compte qui indiquait un prélèvement d’environ 30 000 euros. J’ai donc tout de suite appelé ma conseillère au même numéro pour lui faire part de la situation. Elle a donc consulté mon compte et a constaté qu’en plus du montant prélevé il y avait aussi des prélèvements à venir pour un montant d’environ 29 000 euros. J’ai donc subi un préjudice total de 59 500 euros (….)'
Sur question de l’agent de police judiciaire, il a précisé qu’ 'à la BNP, il n’avait jamais vu ce mode opératoire’ ; 'qu’il n’avait jamais vu les messages entrer dans les sms.' Il est constant que M. [U] a alerté son agence bancaire dès le 31 mai 2019 ; il a précisé dans le compte-rendu des faits effectué par courriel auprès de sa conseillère, transmis le 1er août 2019 au 'Pôle relations clients’ de la BNP Paribas, que pour valider les transactions litigieuses présentées comme concernant des bénéficiaires qu’il connaissait, 'la page d’accueil de son application BNP’ était 'apparue', lui demandant d’accéder à son compte ; qu’il avait alors entré son code personnel à six chiffres et que les coordonnées d’un de ses bénéficiaires s’étaient affichées à l’écran et qu’il avait validé comme demandé, cela successivement pour '4 à 5 bénéficiaires'. Il précisait dans ce courrier que le 30 mai était le jour de l’Ascension. La BNP Paribas n’a jamais discuté que M. [U] avait été victime d’une infraction qui a fait l’objet d’un classement sans suite faute pour les services enquêteurs d’avoir pu en
identifier les auteurs. Comme le relève la BNP Paribas, en page 2 de ses écritures,' les escrocs sont parvenus’ à lui faire croire que : — ' il lui fallait réaliser des opérations d’ajouts de bénéficiaires plutôt que de modifier ses codes d’accès ; — il lui fallait saisir ses identifiants télématiques confidentiels d’accès à son espace en ligne sur un faux site miroir de la Banque, afin qu’ils soient récupérés.'
L’appelant communique en outre des impressions d’écrans justifiant d’une part qu’il a reçu le 29 mai 2019 sur son téléphone portable plusieurs appels apparaissant sous le nom 'BNP Mme [B] [J]'et que sur son application intitulée
'mes comptes’ il a également reçu le même jour cinq demandes de validation de transaction ; sur son relevé de compte figurent cinq opérations débitrices par virements en date du 29 mai 2019, aucun autre virement que les virements litigieux n’apparaissant au débit du compte à cette date.
S’il ressort des déclarations effectuées par M. [U] et du mode opératoire de l’ajout d’un bénéficiaire de virement, tel qu’il est décrit par le guide d’utilisation communiqué par la BNP Paribas, que celui-ci a validé les virements litigieux 'par clé digitale’ en validant la notification reçue sur son smartphone à l’aide de son code secret personnel, il n’est pas pour autant caractérisé une négligence grave à son encontre dès lors qu’il croyait être en relation avec une salariée de la BNP Paribas, le numéro d’appel de son interlocutrice apparaissant comme étant celui de sa conseillère dont elle indiquait être l’assistante, et qu’il a cru valider la notification litigieuse sur son application bancaire dont la banque assure qu’il s’agit d’une application sécurisée ; le mode opératoire, par l’utilisation du 'spoofing', soit littéralement une usurpation d’identité, a mis M. [U] en confiance et a diminué sa vigilance, étant observé que face à un appel téléphonique évoquant de surcroît un piratage, la vigilance de la personne qui reçoit cet appel est moindre que celle d’une personne qui réceptionne un mail, laquelle dispose de davantage de temps pour en prendre connaissance et s’apercevoir d’éventuelles anomalies révélatrices de son origine frauduleuse.
En outre M. [U] n’a aucunement tardé dans la révélation de ces virements frauduleux à sa banque. Dans ces circonstances, quand bien même M. [U] a fait usage de son code confidentiel, étant observé qu’il n’est pas démontré qu’il l’a communiqué par téléphone, email, chat ou sur les réseaux sociaux comme le mettait en garde la BNP Paribas mais qu’il a indiqué l’avoir saisi sur son
application, il n’est pas caractérisé à son égard une négligence grave. La banque est donc tenue de restituer les fonds correspondant aux virements litigieux, seul l’un deux ayant pu être bloqué et recrédité sur le compte de M. [U] le 3 juin 2019."
En conséquences, la banque est condamnée à rembourser à la victime :
- la somme de 54.000 € au titre des montants détournés,
-la somme de 1.500 € à titre de dommages et intérêts pour le préjudice moral subi,
-la somme de 6.000 € au titre des frais de procédure.
Souhaitons que cet arrêt fasse jurisprudence.
Cela incitera peut être davantage les établissement bancaires à faire droit aux demandes de remboursement de leurs clients, ou à négocier des indemnités permettant de couvrir au moins en parties les pertes occasionnées.
Maître SALAGNON, Avocat associé au sein du cabinet BRG Avocats (Nantes-Paris), et responsable du département droit commercial/ droit bancaire vous conseille, vous assiste et vous accompagne depuis plus de 10 ans sur toute la France concernant vos litiges portant sur les fraudes et arnaques bancaires (Spoofing, Vishing, Phising, faux courtier en rachat de crédits...etc)
Pour le contacter, appelez-le au 02.40.89.00.70, ou prenez contact au moyen du formulaire de contact afin qu’une réponse vous soit apportée dans les meilleurs délais.