Fraude téléphonique au faux conseiller : la chambre commerciale hausse le ton

Dans un arrêt rendu le 23 octobre 2024, la Cour de cassation revient sur la notion de négligence grave au sens de l’article L. 133-19 du code monétaire et financier quand un client est victime d’une fraude au faux conseiller encore appelée spoofing téléphonique.

Le 23 octobre 2024, la chambre commerciale de la Cour de cassation a publié une décision qui ne manquera pas d’intéresser tant les praticiens du droit bancaire que la presse généraliste. Cet arrêt s’inscrit, en effet, dans le contexte de plus en plus fréquent des fraudes au « faux conseiller » encore appelées spoofing téléphonique (v. sur ce contentieux naissant, J. Lasserre Capdeville, La fraude au faux conseiller bancaire, Gaz. Pal. 6 juin 2023, n° GPL449e2, n° 19, p. 22). La manœuvre est d’une cruelle banalité. Une personne se fait passer pour un conseiller bancaire et demande à un client, par téléphone, un code de sécurité pour pouvoir passer des virements frauduleux. Le client, pensant parler à un préposé de sa banque, baisse sa garde et utilise à la demande du pirate un dispositif de sécurité pour ajouter et supprimer des bénéficiaires de virements sur son espace personnel. Le piège se referme alors et le client constate avec désarroi, quelques minutes plus tard, des virements non souhaités atteignant parfois des sommes importantes.

Les banques ont, depuis quelques années, développé une défense assez rigoureuse quand les victimes sollicitent le remboursement des fonds ainsi extorqués sur le fondement de l’article L. 133-18 du code monétaire et financier. Les établissements bancaires estiment régulièrement, en effet, que le client a commis une négligence grave permettant de refuser un remboursement par le jeu de l’article L. 133-19 du même code. Cette pratique est amenée à perdre de la vitesse avec l’arrêt du 23 octobre 2024 comme nous allons l’examiner.

Les faits à l’origine du pourvoi que nous étudions aujourd’hui ressemblent à la situation banale décrite ci-dessus. Le 31 mai 2019, une personne se faisant passer pour le préposé d’un établissement bancaire contacte un client de celui-ci. Elle lui demande d’ajouter, grâce à ses données de sécurité, cinq personnes sur la liste des bénéficiaires de virements. Pensant avoir un entretien téléphonique avec un salarié de sa banque, le client s’exécute. Toutefois, il constate quelques minutes plus tard que plusieurs virements frauduleux ont été opérés pour un total de 54 500 €. Le client contacte sa banque en lui expliquant la situation. Mais celle-ci refuse de le rembourser en avançant une négligence grave de la victime qui n’avait pas, selon elle, à utiliser ses données personnelles de sécurité en pareille situation. Le client décide, dès lors, d’assigner l’établissement bancaire en remboursement. Les juges du fond condamnent, en cause d’appel, la banque à régler à son client la somme totale de 54 500 € correspondant à la fraude opérée ainsi que celle de 1 500 € réparant le préjudice moral subi par le refus opposé par l’établissement.

La banque se pourvoit en cassation en estimant que le comportement du client avait été gravement négligent au sens de l’article L. 133-19 du code monétaire et financier. Son pourvoi sera rejeté dans l’arrêt du 23 octobre 2024.

L’exigence d’une négligence grave

Il convient de noter, à titre préliminaire, la publication d’un communiqué pour accompagner la solution dans la mesure où la dimension médiatique de cette dernière était certaine au moment de la mise à disposition de l’arrêt. Les médias classiques se sont, en effet, immédiatement saisis de la question rendant un tel document fort utile. Pour les juristes également, le communiqué peut être très intéressant puisque l’arrêt de rejet commenté aujourd’hui n’explique finalement qu’assez peu tous les maillons intermédiaires du raisonnement. Cette observation s’explique, en très grande partie, par l’absence de revirement de jurisprudence opéré par la Cour de cassation. La chambre commerciale ne fait que d’appliquer une interprétation connue de l’article L. 133-19 du code monétaire et financier à l’anarque du spoofing téléphonique. Peut-être que le caractère potentiellement médiatique de l’affaire aurait pu tout de même permettre une rédaction en motivation enrichie comme le prévoit par ailleurs le guide de rédaction en la matière (Motivation enrichie : le guide de rédaction, disponible en ligne sur le site de la Cour, 2023, p. 6, n° 9 et p. 52, n° 79).

La « négligence grave » du client visée à l’article L. 133-19 du code monétaire et financier pose nécessairement difficulté dans l’affaire étudiée. Le client avait, en effet, saisi son code confidentiel pour valider les ajouts des bénéficiaires. La charge de cette preuve de la négligence grave repose, toutefois, seulement sur l’établissement bancaire. Les juges du fond ne s’y sont pas trompés en la matière (pt n° 5, in limine). Or, en matière d’anarque téléphonique au faux conseiller, il faut déterminer où placer le curseur de la gravité de la négligence. En somme, la clef de voûte de l’arrêt réside ici.

Les juges du fond avaient remarqué que :

  • le numéro d’appel qui était apparu sur le téléphone du client était celui du conseiller de l’établissement bancaire. Un tel détail factuel n’est pas anodin et invite nécessairement le client à baisser sa garde ;
  • le client avait cru être en relation avec une salariée de l’établissement bancaire ;
  • la fausse salariée lui avait présenté la validation à opérer comme celle des bénéficiaires connus par le client. Là-encore, ce détail est important car une difficulté sur un bénéficiaire peut créer, pour la victime, une source d’inquiétude en cas de périodicité de virements (par ex., un loyer à régler ou une dette alimentaire à acquitter).

En procédant par téléphone, le faux conseiller avait pu duper le client plus facilement. La cour d’appel avait ainsi noté une diminution de la vigilance de la victime. La chambre commerciale refuse de considérer qu’un cas d’ouverture à cassation est constitué en l’état dans la mesure où aucune négligence grave n’apparaissait à l’examen du dossier par les juges du fond. 

La rédaction de la motivation de l’arrêt étudié ne permet pas de tirer une généralité excessive de sa solution comme nous allons le voir. Mais, en l’état d’un mode opératoire qui est généralement presque toujours le même, les établissements bancaires ne peuvent plus arguer systématiquement d’une négligence grave en cas de fraude téléphonique au faux conseiller. Le curseur de la négligence grave est ainsi particulièrement bien placé en évitant de voir une telle intensité dans un comportement fort excusable. Si « tout dépend des circonstances de fait » comme le notent des auteurs (J. Lasserre Capdeville, M. Storck, M. Mignot, J.-P. Kovar et N. Éréséo, Droit bancaire, 4e éd., Dalloz, coll. « Précis », 2024, p. 783, n° 1586), la solution nouvelle vient rappeler un cadre d’interprétation de l’article L. 133-19 du code monétaire et financier favorable au client dupé.

Quelques nuances importantes

En l’état, il faut noter la comparaison fort pertinente qui était menée par les juges du fond entre les différents modes opératoires de la fraude au faux conseiller. Quand celle-ci intervient par courriel, le client peut « disposer de davantage de temps pour s’apercevoir d’éventuelles anomalies révélatrices de son origine frauduleuse » (pt n° 5, nous soulignons). La victime peut effectivement, en cas d’arnaque par courriel, remarquer des fautes d’orthographe, une ponctuation et une syntaxe douteuses ou encore une adresse de contact qui n’est pas aux normes de celles utilisées par l’établissement bancaire. En creux, on perçoit la différence de sévérité de l’appréciation du critère de gravité en fonction du mode opératoire choisi par le pirate.

Une telle vérification n’est pas possible dans le cas du spoofing téléphonique puisque, par définition, la fraude s’opère sans support écrit de son auteur. Le client se retrouve assez vite acculé quand le faux conseiller le presse et lui demande de valider une opération afin de pouvoir s’immiscer dans son compte et mener à bien une opération malveillante visant à le déposséder de certaines sommes. Nous constaterons que l’arrêt rendu le 23 octobre 2024 ne vient donc pas libéraliser le comportement gravement négligent du client. Il ne fait que d’appliquer une jurisprudence connue de la chambre commerciale au cas très particulier du spoofing téléphonique dans lequel la vigilance du client est diminuée par rapport à un courriel.

En d’autres termes, c’est la spécificité de la fraude téléphonique qui peut expliquer une appréciation plus exigeante de la gravité de la négligence du comportement du client. Une telle interprétation reste la seule à permettre une bonne mise en mouvement de l’exigence de remboursement immédiat du client de l’article L. 133-18 dans un contexte de démultiplication des manœuvres les plus efficaces. Or, parmi celles-ci, le spoofing téléphonique dispose d’une place de choix. Le pirate peut presser sa victime et éviter le délai de traitement d’un courriel, par définition plus long qu’un entretien au téléphone.

Voici, en somme, un bien bel arrêt qui hausse clairement le ton contre certains refus opérés par les établissements bancaires. Les services juridiques concernés devront rapidement en prendre acte pour éviter des contentieux perdus d’avance quand la victime a été dupée de la sorte.

 

Com. 23 oct. 2024, FS-B, n° 23-16.267

© Lefebvre Dalloz