logoBlog
  • FR
  • NL
  • EN
Apps, Cloud & Digital
Paroles d’expert
F.F.F.

Fraude bancaire : pas facile d’obtenir la condamnation de la banque

Temps de lecture: 10 min |21 janvier 2025 à 08:00
Etienne Wery
Avocat-associé @ Ulys

D’un côté, les fraudes se multiplient et se complexifient (deep fake et IA notamment). D’un autre côté, le droit reste figé sur une directive qui commence à dater. Il en résulte une jurisprudence disparate, sans réelle ligne directrice. Avec un constat : les banques « tentent le coup » et contestent systématiquement au nom de la négligence grave de leur client. Une stratégie qui, pour l’instant, se révèle diaboliquement payante.

A partir de trois cas récemment tranchés par la Cour de cassation française et un arrêt de la cour d’appel de Bruxelles, nous allons illustrer la difficulté de prévoir l’issue du procès lorsqu’un utilisateur, victime d’une fraude et délesté d’une somme d’argent, se retourne contre sa banque.

Spoofing téléphonique : la banque doit rembourser

Le spoofing téléphonique est une technique d’escroquerie sophistiquée. Les malfaiteurs se font passer pour des conseillers bancaires en utilisant des numéros de téléphone qui semblent authentiques. Leur objectif : convaincre les victimes de leur transmettre des informations confidentielles, telles que des codes bancaires, ou de réaliser des opérations soi-disant « sécurisées ».

Dans cette affaire, la victime avait reçu un appel d’un faux conseiller prétendant enquêter sur des mouvements suspects sur son compte. Sous prétexte de vérifications, l’escroc a demandé au client de modifier sa liste de bénéficiaires et de réinscrire certains contacts en validant les opérations avec son code confidentiel. Ce n’est que deux jours plus tard que la victime s’est aperçue que plusieurs virements frauduleux avaient été effectués.

Selon le Code monétaire et financier, une banque a l’obligation de rembourser immédiatement les clients victimes de fraudes (L133-18).

Cette obligation peut toutefois être levée si la banque prouve que le client a fait preuve de « négligence grave » (L133-19). Pour ce motif, la banque a refusé de rembourser les sommes dérobées. Le client a alors saisi la justice, et la cour d’appel lui a donné raison, jugeant qu’aucune négligence grave ne pouvait lui être reprochée. La banque a porté l’affaire devant la Cour de cassation.

La Cour de cassation a confirmé que la banque doit apporter la preuve de la négligence grave de son client pour échapper à son obligation de remboursement. Or, les circonstances montraient que la victime avait été habilement manipulée :

  • Le faux conseiller avait utilisé un numéro identique à celui de la véritable conseillère bancaire de la victime, renforçant l’illusion d’authenticité.
  • L’escroc avait convaincu la victime que les opérations étaient nécessaires et sécurisées.

Dans ces conditions, la Cour a jugé que le client ne pouvait pas être considéré comme ayant fait preuve de négligence grave. La banque devra donc rembourser les virements frauduleux.

Mail malveillant (cheval de Troie) : la banque ne doit pas rembourser

Deux sociétés ont découvert qu’un total de six virements frauduleux avait été effectué depuis l’ordinateur de leur comptable, au profit de bénéficiaires inconnus et sur des comptes étrangers. L’escroquerie a été rendue possible grâce à un logiciel malveillant, connu sous le nom de « cheval de Troie bancaire », installé après qu’un salarié a ouvert un courriel suspect.

Ce courriel, rédigé en anglais et manifestement trompeur, contenait une pièce jointe infectée. Une fois ouverte, cette pièce jointe a permis au logiciel malveillant de prendre le contrôle de l’ordinateur du comptable, permettant à l’escroc de réaliser les virements frauduleux.

Malgré leurs démarches, les deux sociétés n’ont pas pu récupérer les sommes détournées. Elles ont alors demandé à leur banque un remboursement intégral, invoquant son obligation de vigilance.

Saisies par les sociétés, les juridictions d’appel ont estimé que les torts étaient partagés entre les deux parties :

  • Une négligence grave des sociétés clientes : le courriel malveillant était manifestement suspect, en particulier parce qu’il était rédigé en anglais sans raison apparente.
  • Un manquement de la banque à son obligation de vigilance : la banque n’a pas pris en compte plusieurs signaux d’alerte, notamment les avertissements d’un organisme de surveillance des attaques informatiques et les multiples tentatives de connexion suspectes le jour des faits.

En conséquence, la cour d’appel a condamné la banque à rembourser 50 % des pertes subies par les deux sociétés.

La banque, contestant cette décision, a formé un pourvoi en cassation. La Cour de cassation s’est prononcée en rappelant les principes suivants :

  • Le cadre légal : Selon le code monétaire et financier, une banque est tenue de rembourser les clients victimes d’escroquerie, sauf si elle prouve une négligence grave de leur part (articles L.133-18 et L.133-19).
  • La négligence grave prime : Dans cette affaire, la Cour a jugé que les sociétés avaient commis une faute lourde en prenant en compte un courriel manifestement frauduleux. Cette négligence grave libère la banque de toute obligation de remboursement, même partiel.

Ainsi, bien que la banque ait manqué à son obligation de vigilance, elle ne peut être tenue responsable des pertes subies par ses clients. La Cour de cassation a donc censuré la décision de la cour d’appel et rejeté toute demande de remboursement.

C’est donc en fonction du contexte du mail malveillant que les juges sont invités à trancher : ici, un mail en anglais que la cour d’appel identifie comme manifestement suspect.

Fraude à l’IBAN : la banque ne doit pas rembourser

Un couple a acheté un véhicule sur internet. Pour régler cet achat, ils ont effectué deux virements bancaires, en se basant sur l’IBAN transmis par courriel :

  • un premier virement, réalisé à distance ;
  • un second, ordonné au guichet de leur banque.

Cependant, le vendeur a signalé qu’il n’avait reçu aucun des deux virements. Après vérification, le couple a découvert qu’ils avaient été victimes d’un piratage informatique. Au cours de leurs échanges par courriel, un escroc avait réussi à remplacer l’IBAN du vendeur par le sien, détournant ainsi l’argent. La banque, de son côté, a refusé de rembourser les virements.

Le couple a alors saisi la justice pour obtenir le remboursement des virements par leur banque.

La cour d’appel a :

  • rappelé que, selon le code monétaire et financier, une banque n’est pas responsable si le client lui fournit un IBAN erroné (article L.133-21) ;
  • considéré néanmoins que la banque restait tenue à une obligation de vigilance, car l’IBAN transmis par courriel présentait des anomalies apparentes.

Sur cette base, la cour d’appel a condamné la banque à rembourser une partie des sommes perdues par le couple.

La banque, contestant cette décision, a formé un pourvoi devant la Cour de cassation qui, s’appuyant sur l’article L.133-21 du code monétaire et financier, selon lequel une banque qui exécute un virement en se basant sur un IBAN fourni par son client ne peut être tenue responsable si cet IBAN n’oriente pas le transfert de fonds vers le bénéficiaire souhaité, a jugé que :

  • ces dispositions excluent tout partage de responsabilité entre la banque et son client ;
  • ni l’origine frauduleuse de l’IBAN (résultant d’un piratage informatique), ni les anomalies visibles de l’identifiant ne permettent de déroger à cette règle.

En conséquence, la Cour de cassation a censuré la décision de la cour d’appel. La banque n’a pas à rembourser, même partiellement, les sommes détournées.

Cet arrêt nous semble critiquable en ce qu’il crée une présomption irréfragable en cas d’utilisation d’un IBAN correct, ce qui n’est pas évident à la lecture de l’article 88 de la directive PSD 2 d’où découle l’article précité du CMF. Nous aurions préféré un renvoi préjudiciel pour s’assurer de la conformité de cette interprétation avec le texte communautaire.

Key logger : la banque doit rembourser

Ce dossier oppose une victime avec un fraudeur qui travaillait occasionnellement pour elle.

  1. Prise de contrôle de l’ordinateur : Profitant de sa présence sur les lieux, M. a modifié TeamViewer installé sur l’ordinateur de la victime. Ce logiciel, utilisé dans le cadre de la maintenance informatique, nécessite normalement un code unique généré pour chaque session, mais M. a installé un code fixe, secret et connu de lui seul, permettant un accès continu.
  2. Interception du code de validation des transactions : M. a installé un logiciel espion (keylogger) pour surveiller les frappes au clavier. Lors de la connexion de la victime à son site bancaire, le logiciel a enregistré le mot de passe fixe utilisé par la victime pour valider les transactions.
  3. Réalisation des transactions frauduleuses : Profitant de cet accès, M. s’est connecté à l’ordinateur de la victime à distance, a ouvert une session sur le site de la banque et a validé des transactions en utilisant le mot de passe qu’il avait intercepté.

Ce dossier présente comme caractéristique d’exposer (et exploiter) les failles du système de la banque qui n’utilisait pas de mot de passe dynamique pour générer une instruction, là où la majorité des établissements étaient déjà passés au digipass ou autres techniques générant des mots de passe à usage unique pour chaque transaction.

La banque quant à elle mettait en exergue le fait que la victime avait donné ce mot de passe à une autre secrétaire du bureau (ce que la victime reconnaissait bien volontiers tout en soulignant que cela était sans lien avec la fraude commise par M.).

Sur la communication du mot de passe à une autre secrétaire, la Cour d’appel juge que :

« L’article 37, § 1er, alinéa 2 de la LSP précité nécessite, pour que le prestataire de services de paiement s’exonère de sa responsabilité, qu’il démontre que la négligence grave est en lien causal avec la réalisation de l’opération contestée (C. Alter et L. Van Muylem, « Phishing et fraude à la facture ou au président : état des lieux », in Liber Amicorum Xavier Dieux, Bruxelles, Larcier, 2022, p. 1008).

La preuve du lien causal entre la négligence grave de M. X et les opérations contestées n’est en l’espèce pas rapportée par la banque. Contrairement à ce qu’affirme la banque, il n’est pas établi que c’est en raison du fait que M. X a révélé son code confidentiel à sa secrétaire que les auteurs des faits ont pu l’intercepter. L’enquête pénale n’a pas démontré une quelconque complicité ou imprudence de la part de cette secrétaire qui parait étrangère aux faits litigieux. La circonstance que les paiements électroniques étaient effectués sur l’ordinateur de M. X par sa secrétaire et non par lui personnellement est sans incidence sur la possibilité pour un tiers de surprendre lesdits codes en espionnant l’activité opérée sur l’ordinateur. »

La fraude résultant d’un modus operandi complexe dans lequel le client de la banque est une victime sans aucune responsabilité, la banque doit rembourser.

Mots clés

UEInformationsPaiementFraudecheval de troieBanquesnégligencekeylogger

Articles recommandés

Fiscalité
Pratique
F.F.F.

Cap sur la phase 5 du NCTS dès le 21 janvier 2025

    Publié le 18 Jan 2025 à 05:00
    Lecture de 1min
    Droit
    Paroles d’expert
    F.F.F.

    Intérêt légitime : les critères d'évaluation de l'EDPB pour un traitement de données sans risque

    Publié le 17 Jan 2025 à 06:00
    Lecture de 2min
    Banque, Assurance & Finance
    Débat
    F.F.F.

    ​Si j’étais (encore) banquier, je serais extrêmement attentif au risque de change. Extrêmement.

    Publié le 17 Jan 2025 à 05:01
    Lecture de 3min
    Forum for the future
    19 Jan 2025 à 07:38
    Environnement et Mobilité
    Alerte
    F.F.F.

    Agissez pour votre sécurité et celle des autres aux abords des passages à niveau !

    19 Jan 2025 à 05:14
    Politique et économie
    Paroles d’expert
    F.F.F.

    Est-il temps de s'attaquer enfin sérieusement au défi budgétaire ?

    19 Jan 2025 à 05:08
    Banque, Assurance & Finance
    Paroles d’expert
    F.F.F.

    Quel fut l'erreur monétaire monumentale de Winston Churchill ?

    19 Jan 2025 à 05:06
    Politique et économie
    Opinion
    F.F.F.

    La raison choquante pour laquelle 88 000 entreprises ont soudainement cessé leurs activités l'année dernière

    19 Jan 2025 à 05:01
    Social
    Circulaire | Instruction
    F.F.F.

    Les dernières instructions ONSS 2024/4

    18 Jan 2025 à 14:00
    Fiscalité
    Paroles d’expert
    F.F.F.

    Démystifions les inégalités des sociétés de management !