D'Alverny
Victime d’une arnaque par « spoofing » : remboursement intégral par la banque du titulaire du compte
Publié le 19/11/2024
Copier le lien
Le 23 octobre 2024, la Cour de cassation a estimé qu’aucune négligence grave ne pouvait être imputée au titulaire d’un compte bancaire victime de « spoofing* ».
En cas d’opération de paiement non autorisée signalée par le titulaire d’un compte bancaire, le prestataire de services de paiement rembourse le montant de cette opération immédiatement après en avoir pris connaissance ou en avoir été informé [Article L. 133-18 du code monétaire et financier], à moins que le titulaire ait manqué de satisfaire « intentionnellement ou par négligence grave » à son obligation de préserver la sécurité de ses données de sécurité personnalisées.
Le titulaire d’un compte bancaire, ayant constaté plusieurs virements frauduleux à hauteur de 54.500 euros, en avait informé immédiatement sa banque.
Peu avant cette découverte, il avait été contacté par une personne prétendant être l’assistante de sa conseillère bancaire, dont le numéro de téléphone s’affichait comme tel. La prétendue assistante l’informait d’une tentative d’attaque informatique nécessitant la suppression puis le réenregistrement de cinq bénéficiaires de virements. Le titulaire du compte avait alors validé, par téléphone, l’ajout de ces nouveaux bénéficiaires en saisissant son code confidentiel.
Le titulaire du compte a assigné la banque en remboursement de cette somme.
En réponse, la banque a invoqué la négligence grave de son client, affirmant qu’il aurait manqué de prudence en validant sans les vérifier des opérations dont il n’était pas l’auteur, malgré des indices qui auraient permis à un « utilisateur normalement attentif » de suspecter une fraude.
La Cour de cassation, confirmant l’arrêt d’appel [Arrêt n°21/07299 Cour d’appel de Versailles du 28 mars 2023], a retenu que la banque ne rapportait pas la preuve d’une négligence grave et que le titulaire du compte avait été induit en erreur par un appel frauduleux imitant parfaitement l’identité d’une salariée de la banque. Elle ajoute que le recours au mode opératoire du « spoofing » l’avait mis en confiance, diminuant sa vigilance. Sa vigilance étant nécessairement inférieure à celle d’une personne qui aurait reçu un courriel, « laquelle aurait pu disposer de davantage de temps pour s’apercevoir d’éventuelles anomalies révélatrices de son origine frauduleuse ».
La banque a ainsi été condamnée à rembourser intégralement le titulaire du compte et à lui verser la somme de 1.500 euros à titre de dommages et intérêts pour préjudice moral.
Justine Garnier | Cécile Dufour
Cour de cassation, chambre commerciale, financière et économique, 23 octobre 2024, n°23-16.267
*spoofing : usurpation d’identité visant à tromper une personne afin d’obtenir des informations bancaires ou personnelles
