FRAUDE BANCAIRE : ESCROQUERIE PAR "SPOOFING": OPERATIONS NON AUTORISEES

 Dans un arrêt du 23 octobre 2024, La Cour de cassation juge qu'aucune négligence grave ne pouvait être imputée au titulaire d’un compte qui, contacté téléphoniquement par une personne se faisant passer pour un préposé de sa banque dont le numéro s’affichait (spoofing), utilise à sa demande le dispositif de sécurité personnalisé pour supprimer puis réinscrire des bénéficiaires de virements dans le but d’éviter des opérations malveillantes.

Cass. com 23 octobre 2024, n° 23-16.627.

Un client de BNP Paribas ,qui avait des comptes ouvert dans cet établissement depuis plus de vingt ans, s'est rendu compte de l'existence de plusieurs transactions non autorisées pour un montant total de 54.500sur ses relevés de compte.

Ces opérations non autorisées résultent d’une escroquerie par « spoofing » : un escroc a usurpé le numéro de téléphone de son conseiller bancaire qui s'est affiché sur le téléphone du client et s'est présenté comme l'assistante de son conseiller bancaire habituel. Elle l’a convaincu d’ajouter des bénéficiaires frauduleux lui faisant croire qu''il était victime d’une cyberattaque sur son compte courant.

Dans le but de stopper cette cyberattaque, cette fausse assistance explique au client qu'il devait impérativement supprimer certains bénéficiaires et qu' il allait recevoir de ce même numéro BNP des messages lui demandant de valider les bénéficiaires qu’il connaissait. Le client validait chaque message avec son code secret. La fausse assistante lui précisait qu’il n’aurait plus accès à son compte et qu’il recevrait par la poste un nouvel identifiant et un nouveau mot de passe. Deux jours plus tard, il découvre en se connectant sur son compte plusieurs prélèvements de plus de 54.500 EUR. La banque refusait tout remboursement estimant qu'il a communiqué ses codes par téléphone et qu'il a commis une négligence grave.

 Le client a attaqué en justice la banque pour solliciter une indemnisation immédiate  vertu de l’article L133-19 du Code monétaire et financier estimant ne pas avoir commis de négligence grave mais qu'il a été dupé du fait de la défaillance du système de sécurité de la banque.

Suivant arrêt en date du 28 mars 2023, la Cour d’appel de Versailles, a  considéré qu’il n’y avait pas de négligence grave du client de la banque à partir du moment où c’est le numéro de la banque qui est apparu et a condamné la société BNP Paribas à verser à son client la somme de 54 500 € outre intérêts au taux légal et la somme de 1 500 € à titre de dommages intérêts pour préjudice moral avec intérêts au taux légal à compter de l’arrêt.

Suivant arrêt du 23 octobre 2024, la Cour de cassation rejette le pourvoi formé par la banque. Elle confirme l'absence de négligence du client dans le cadre d'une escroquerie par spoofing.

Le client pouvait légitimement penser qu'il était en ligne avec un représentant de l'établissement bancaire qui a appelé avec le numéro officiel de la banque usurpé par l'escroc. Le manque de vigilance n'est pas démontrée et l'usurpation du numéro de la banque était de nature à diminuer le discernement du client victime pour détecter la fraude.