La fraude dite du « faux conseiller bancaire », souvent associée à la technique du « spoofing » (subtilisation du numéro de téléphone de la banque), est un phénomène croissant qui donne lieu à une jurisprudence abondante. Une récente décision de la Cour d’appel de Douai, rendue le 6 mars 2025, offre des précisions importantes sur les obligations du prestataire de services de paiement (PSP) et la notion de négligence grave du client victime de ces escroqueries.
Les faits
L’affaire concernait Mme [H] [T], cliente de la Caisse d’épargne. Elle a été contactée par téléphone pour valider une opération de 2 095 euros qui lui était présentée comme frauduleuse, dans le but de s’en prémunir. Ayant cédé à cette demande et validé l’opération, elle a été victime de l’escroquerie.
Le Tribunal de proximité d’Hazebrouck, saisi de la demande de remboursement de Mme [T], l’avait déboutée, retenant une négligence grave de sa part. Mme [T] a interjeté appel de ce jugement.
Devant la Cour d’appel, les questions centrales étaient doubles : l’opération litigieuse était-elle autorisée ? Si elle ne l’était pas, Mme [T] avait-elle commis une négligence grave justifiant le refus de remboursement par la banque ?
Qualification de l’opération : Non autorisée en cas de fraude
La Caisse d’épargne soutenait que l’opération avait été autorisée par Mme [T] au moyen du dispositif d’authentification forte Secur’Pass, validant ainsi la transaction.
La Cour d’appel commence par rappeler, en se fondant sur les articles L. 133-3 et L. 133-6 du Code monétaire et financier, qu’une opération de paiement initiée par le payeur n’est réputée autorisée que s’il a consenti au montant de l’opération.
Crucialement, elle précise que constitue une opération de paiement non autorisée la validation d’un prélèvement par le payeur correspondant à un achat qu’il n’a pas réalisé et dont la réalisation s’est effectuée dans le cadre d’une mise en scène destinée à le convaincre de la nécessité d’y procéder.
La Cour ajoute que le seul fait que le payeur ait utilisé le dispositif d’authentification forte mis à disposition par le PSP n’implique pas qu’il ait autorisé l’opération frauduleuse. Cela soulève précisément la question de l’éventuelle négligence grave du payeur, dans le cadre du régime des opérations non autorisées.
En l’espèce, la Caisse d’épargne ne contestait pas que le paiement était intervenu dans le cadre d’un appel téléphonique frauduleux émanant d’un tiers, alors même que le numéro de son propre service « fraude » s’affichait sur le téléphone de Mme [T]. La Cour retient que le fait que Mme [T] ait initialement refusé de valider, puis ait très rapidement alerté son agence pour s’opposer au prélèvement, établit suffisamment que l’opération litigieuse n’était pas autorisée par le payeur.
Preuve de l’authentification : Un fardeau pour la banque
Dans le cadre d’une opération non autorisée contestée par le client, l’article L. 133-23 du Code monétaire et financier prévoit qu’il incombe au PSP de prouver, au préalable, que l’opération a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.
La Cour constate que la Caisse d’épargne, bien qu’affirmant que l’opération a été validée par un dispositif d’authentification forte, n’en apporte pas la démonstration. La simple production d’un descriptif général des moyens de sécurité n’est pas suffisante. La banque n’a pas produit la « preuve informatique » de l’enregistrement d’une opération authentifiée ni l’absence de déficience de son propre dispositif technique. En ne fournissant pas le listing informatique d’enregistrement, la banque est jugée défaillante dans l’administration de cette preuve préalable qui lui incombe.
La négligence grave : Une appréciation in concreto
Même en cas d’opération non autorisée, le payeur supporte toutes les pertes s’il a agi frauduleusement ou a manqué intentionnellement ou par négligence grave à ses obligations de sécurité (protection des données personnalisées, information rapide en cas de perte/vol/détournement). La charge de prouver la négligence grave incombe au PSP.
La Cour rappelle que si la Cour de cassation exerce un contrôle « léger » sur la qualification de la négligence grave, le juge du fond doit l’apprécier in concreto (au cas par cas).
Dans cette affaire, la Cour estime qu’aucune négligence grave au sens du texte précité ne peut être imputée au titulaire d’un compte qui, contacté téléphoniquement par une personne se faisant passer pour un préposé de sa banque dont le numéro s’affichait, utilise à sa demande le dispositif de sécurité personnalisé pour valider un paiement.
L’huissier de justice avait d’ailleurs constaté que Mme [T] avait bien été contactée par le numéro attribué au service « fraude » du PSP, et qu’elle ou son époux avait ensuite rappelé ce numéro pour être mis en communication avec le véritable service.
La Cour admet le paradoxe d’être invitée à valider une opération frauduleuse pour s’en prémunir. Cependant, la circonstance non contestée que Mme [T] a cru légitimement être en contact avec le service « fraude » de son PSP conduit à retenir que sa négligence ne présente pas un degré de gravité tel qu’il soit fait exception au principe de remboursement par le PSP d’une opération non autorisée. De plus, Mme [T] a immédiatement alerté la banque.
Condamnation de la banque au remboursement
En conséquence de ces motifs, la Cour d’appel infirme le jugement de première instance qui avait retenu une négligence grave et débouté Mme [T].
Constatant une opération non autorisée et le défaut de preuve de la négligence grave de la cliente ou d’une authentification correctement enregistrée par la banque, la Cour condamne la Caisse d’épargne à rembourser à Mme [T] la somme de 2 095 euros, augmentée des intérêts au taux légal à compter de l’arrêt.
Absence de préjudice moral
Mme [T] demandait également une indemnisation au titre d’un préjudice moral. La Cour rejette cette demande, estimant que la simple privation de la somme détournée ou le recours à son épargne ne caractérisent pas un préjudice moral. Les allégations de mépris de la banque ou le fait qu’une préposée ait évoqué l’assurance ne sont pas établis comme générant un préjudice moral. Les échanges montraient même, selon la Cour, une tentative d’assistance de la part de la banque.
Conclusion : Un arrêt favorable aux victimes de spoofing
Cette décision de la Cour d’appel de Douai est importante en ce qu’elle réaffirme la qualification d’opération non autorisée pour les paiements validés sous la contrainte d’une mise en scène frauduleuse, y compris lorsque le client utilise son dispositif d’authentification forte. Elle met également l’accent sur l’obligation de preuve préalable de la banque concernant l’authentification et l’absence de déficience technique. Surtout, elle adopte une position protectrice des clients victimes de spoofing en considérant que le fait de croire être en contact avec le service légitime de la banque, dont le numéro s’affiche, exclut la qualification de négligence grave, même si le client a validé l’opération à la demande du fraudeur.
