Qui est responsable en cas de « fraude au faux conseiller bancaire »?

• Les textes:

L’article L. 133-24 du Code monétaire et financier prévoit que l’utilisateur de services de paiement qui constate l’existence, notamment par la consultation d’un relevé de compte, d’une opération frauduleuse, doit le signaler à son prestataire de services de paiement.

Ce signalement doit être fait « sans tarder », et, au plus tard, dans les 13 mois suivant la date de débit sous peine de forclusion.

 Lorsqu’un tel signalement est réalisé, l’article L. 133-18 dudit code prévoit que le prestataire de services de paiement (PSP) du payeur « rembourse immédiatement » celui-ci du montant de l’opération non autorisée et, le cas échéant, rétablit le compte débité dans l’état où il se serait trouvé si l’opération en question n’avait pas eu lieu.

La limite au remboursement immédiat se trouve à l’article L. 133-19, IV, du Code monétaire et financier : « Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 ».

Il s’agit ici d’imposer au payeur l’obligation de prendre toutes les mesures raisonnables permettant de préserver la sécurité des dispositifs de sécurité personnalisés de l’instrument de paiement utilisé, et au d’être suffisamment diligent pour informer le prestataire de service de paiement de la perte, du vol ou du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées.

• La jurisprudence:

Cependant, ces dernières années, la fraude bancaire a explosé et de nouvelles techniques de fraude sont apparues, obligeant les Cours et Tribunaux à renouveler leur Jurisprudence à l’effet d’apprécier l’existence ou pas d’une négligence grave de la part du client de la banque.

La Cour de cassation a, dans un arrêt très récent et commenté du 23 octobre 2024, rejeté le pourvoi formé par la BNP PARIBAS et a condamné cette dernière à rembourser son client, victime de spoofing téléphonique.

Dans cet arrêt, la Chambre commerciale a décidé que le client qui se fait piéger au téléphone par un faux conseiller bancaire ne peut se voir reprocher par sa banque d’avoir commis une négligence grave.

En effet, le faux conseiller bancaire a recouru à des manœuvres destinées à mettre sa victime en confiance et à diminuer sa vigilance.

Elle en déduit que le client a donc le droit d’être remboursé par sa banque des virements frauduleux  :

Chambre commerciale, financière et économique – pourvoi n°23-16.267 

Cette Jurisprudence dégagée de l’arrêt du 23 octobre 2024 pour des hypothèses de « spoofing téléphonique », a depuis été largement confirmée par les Cours et Tribunaux.

Pour illustration :

• Cour d’Appel de DOUAI 6 mars 2025 n°24/00410 :
• Cour de cassation Chambre commerciale 30 avril 2025 n°24-10.149 :

La Cour de cassation a jugé que le prestataire de services de paiement, pour se prévaloir de la négligence grave de l’utilisateur et refuser la restitution des sommes indûment prélevées, doit non seulement établir la faute de celui-ci, mais également démontrer que l’opération litigieuse a été authentifiée, dûment enregistrée et comptabilisée, sans déficience technique ni autre […].

• Responsabilité de la banque confirmée en cas de dispositifs de sécurité insuffisants

Cass. com., 12 juin 2025, n° 24-13.777

La Cour de cassation a confirmé l’arrêt d’appel qui a condamné la société BNP Paribas à rembourser à sa cliente la somme de 98 000 € sur le fondement des articles L. 133-16 et L. 133-19 du Code monétaire et financier. Les dispositifs de sécurité mis en place par la banque n’avaient pas empêché un escroc d’usurper le numéro de téléphone de la banque et d’annoncer au client de la banque le Code de sécurité qui s’affichait à son écran.

• BANQUE – Responsabilité du banquier – Opération frauduleuse – Spoofing

C’est à bon droit que le client recherche la responsabilité du banquier en raison de l’exécution de virements frauduleux. Ce dernier ne peut prétendre que le client aurait commis une négligence grave en autorisant le changement de mot de passe d’accès à son compte en ligne dès lors qu’il pouvait légitiment croire que la personne qui lui a téléphonée était un préposé de la banque. En effet, il ressort du mode opératoire explicité que l’interlocuteur était parfaitement informé sur la situation personnelle du client, qu’il s’est abstenu de lui demander de fournir des éléments d’identification bancaire mais a au contraire montré qu’ils lui étaient connus et qu’il a pu emporter l’accord du client, ainsi mis en confiance, en présentant sa demande de changement de mot de passe comme la simple suggestion bienveillante d’un préposé du service des fraudes. Il n’a donc pas permis au client de détecter des anomalies apparentes révélatrices d’une situation frauduleuse, et le niveau de vigilance attendu de celui-ci a, par ailleurs, pu être atténué du fait de la situation d’urgence invoquée tenant aux opérations de paiement en cours aux Pays-Bas. Si le SMS reçu par le client l’invitait à prendre contact avec la banque en cas de doute, il résulte de ce qui précède que le modus operandi tel qu’explicité et la réception même du SMS annoncé étaient de nature à dissiper sa méfiance et à le dissuader de prendre contact avec la banque. Le reproche tenant à la dénonciation tardive de la fraude ne saurait, dans ces conditions, être non plus retenu. Sur le fondement de l’article L. 133-18 du Code monétaire et financier, la banque est condamnée à rembourser à son client le montant des paiements non autorisés à hauteur de la somme totale de 32 360 euros réclamée.

CA Versailles, ch. civ. 1-6, 19 juin 2025, n° 24/02614

•  Conclusion:

La Jurisprudence fait donc une interprétation stricte du critère de « négligences graves » tel qu’invoqué par les Banques pour se soustraire à leur obligation de remboursement dans le cadre des fraudes « par spoofing », en considérant que la vigilance du client est diminuée face aux méthodes oppressantes des « faux conseiller bancaires ».

 Également, cette Jurisprudence sanctionne clairement les déficiences des dispositifs techniques d’authentification mis en œuvre par les banques puisque les pirates ont accès à toutes les informations et utilisent les données personnelles et en principe secrètes de leurs cibles pour les mettre en confiance et leur faire réaliser des opérations frauduleuses.