Le litige du mois : arnaque bancaire – Attention au SPOOFING

En octobre 2023, un adhérent fait un achat de 1300€ sur le site Amazon. A la suite de quoi, il reçoit un SMS afin de sécuriser cet achat.  Pensant que le message provient de sa banque, il appelle le numéro indiqué. Il est alors été mis en relation avec une personne se présentant comme un conseiller de sa banque. Cet individu, usurpant l'identité d’un professionnel de la banque, lui demande d’effectuer certaines opérations afin de « sécuriser » son compte. L’adhérent, en confiance, accepte.

Cependant, il constate ensuite des transferts anormaux, notamment un virement de 1.400 euros. Inquiet, il contacte le siège de sa banque quelques jours plus tard. Lors de cet appel, on lui assure que la situation sera rapidement régularisée. Trois jours après, n’ayant constaté aucun changement, notre adhérent se rend en agence où on l’informe qu’il a été victime d’une fraude bancaire. Une plainte est déposée pour escroquerie. Le préjudice total s’élève à 8.420 €.

Notre victime a alors contesté les opérations réalisées mais l’établissement bancaire a rejeté la demande de remboursement. Malgré une contestation de ce refus, l’établissement a maintenu sa position.

Pourtant, en matière d’escroquerie bancaire, le Code monétaire et financier impose une obligation claire au prestataire de services de paiement : rembourser immédiatement toute opération de paiement non autorisée signalée par le client, conformément à l’article L.133-18. Ce remboursement peut toutefois être écarté si la banque démontre que le client a agi frauduleusement ou a manqué à ses obligations par négligence grave (L.133-19). Néanmoins, la charge de la preuve incombe exclusivement à la banque (L.133-23), qui précise qu’elle doit établir que l’opération a été authentifiée, dûment enregistrée et non affectée par une défaillance technique, sans pouvoir se contenter de la simple utilisation de l’instrument de paiement pour présumer l’autorisation du client.

L’évolution récente de la jurisprudence

La jurisprudence récente est venue renforcer la protection du consommateur, notamment en cas de fraude par « spoofing », procédé par lequel un escroc se fait passer pour un conseiller bancaire lors d’un appel téléphonique. Dans deux arrêts majeurs – Cour d’appel de Versailles du 28 mars 2023 et Cour de cassation du 23 octobre 2024 – les juges ont considéré que la victime d’un tel stratagème, ayant validé des opérations via son application bancaire en croyant agir sous la directive de sa banque, ne pouvait être tenue responsable d’une négligence grave. En effet, le mode opératoire trompeur du spoofing, en simulant un contact de confiance et en évoquant une urgence liée à un piratage, réduit la vigilance de la victime et exclut donc toute faute lourde. Ces décisions rappellent également que l’usage d’un code de sécurité ou d’un code personnel ne suffit pas à démontrer une négligence grave du client.

En outre, la Cour de cassation, dans un arrêt du 15 janvier 2025, rappelle l’existence d’un devoir de vigilance pesant sur les banques, même lorsque l’identifiant fourni pour une opération est exact. Elle impose aux établissements financiers de vérifier l’absence d’anomalies apparentes, en particulier lorsque les virements sont inhabituels ou incohérents avec les habitudes du client. 

En l’espèce, notre adhérent est tombé dans le piège du spoofing, en ayant validé des opérations importantes sur un site marchand avec lequel il n’avait aucun lien antérieur. Ces mouvements bancaires, atypiques et suspects au regard de son historique, auraient dû alerter sa banque. En ne réagissant pas à ces signaux d’alerte, celle-ci a manqué à son obligation de vigilance.

Face à cette situation, les arguments de la banque, fondés sur la simple activation d’un code personnel sont juridiquement infondés. Ni la validation par téléphone ni l’utilisation d’un code personnel, opérées dans un contexte frauduleux, ne peuvent exonérer la banque de sa responsabilité. 

Aussi, conformément au droit positif et à la jurisprudence rappelée par la lettre de signalement et de mise en demeure que notre association locale de l’UFC-Que choisir lui a envoyée, la banque a procédé au remboursement immédiat de la somme frauduleusement débitée, soit 8.420 euros.