Une victime de spoofing bancaire a finalement obtenu gain de cause devant la Cour d’appel de Bordeaux. La Caisse d’Épargne refusait de lui rembourser les sommes dérobées, estimant qu’il avait fait preuve de négligence.
Les arnaques au faux conseiller bancaire continuent de piéger de nombreux clients. Afin de les protéger, le Code monétaire et financier prévoit que les opérations de paiement non autorisées doivent être remboursées par le prestataire de services de paiement “immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé”. La banque peut toutefois s’y opposer si elle démontre une négligence grave. Une ligne de défense brandie par la Caisse d’Épargne dans une affaire qui vient enfin de connaître son dénouement.
Spoofing bancaire : la Caisse d’Épargne invoque une “négligence grave”
Les faits remontent au 27 janvier 2022. M. E., client de la Caisse d’Épargne Aquitaine, reçoit un courriel frauduleux lui demandant de communiquer son identifiant, son mot de passe et son numéro de téléphone. Il s’exécute le lendemain mais finit par soupçonner une tentative de phishing. Il contacte alors sa banque le soir même et fait modifier son mot de passe.
Le 29 janvier 2022 au matin, un véritable conseiller (M. Q.) le contacte par courriel pour lui indiquer qu’il peut modifier ses codes de connexion sans délai et demander la modification de son identifiant auprès du service de lutte contre les fraudes. M. E. joint ce service dans la foulée, change une seconde fois de mot de passe et s’entretient de nouveau avec M. Q.
Une fraude bancaire sophistiquée
En début d’après-midi, lorsqu’il reçoit plusieurs messages signalant des transactions frauduleuses, il pense être dans la continuité de ses démarches matinales. Il baisse alors sa garde et rappelle le numéro de hotline indiqué dans les messages. Sauf qu’il s’agit cette fois-ci d’un faux conseiller qui demande de lui communiquer les numéros de ses cartes bancaires (16 chiffres, date d’expiration et cryptogramme) pour soi-disant les bloquer.
L’escroc le rappelle ensuite plus tard pour lui signaler que des virements frauduleux sont en cours sur ses comptes. Le client tente en vain de se reconnecter à son espace en ligne, puis se laisse piéger, son interlocuteur lui assurant qu’il s’occupe de tout. Pensant qu’il allait être remboursé, il confirme l’ajout de nouveaux bénéficiaires via Sécuripass. Plusieurs paiements et virements sont alors réalisés, les escrocs parvenant à dérober 5900 euros. La Caisse d’Épargne refuse toutefois de le rembourser, estimant qu’il a commis une “négligence grave” en communiquant ses données personnelles.
Le 14 juin 2022, il fait alors assigner la banque devant le Tribunal judiciaire de Bordeaux. Le 25 août 2023, le juge des contentieux de la protection lui donne raison, condamnant la Caisse d’Épargne à lui rembourser la somme de 5900 euros, majorée des intérêts au taux légal, et à lui verser 750 euros au titre des frais de justice. La banque fait appel de cette décision le 21 septembre 2023, arguant encore que les opérations ont été “autorisées” par le client via le système d’authentification forte.
La Cour d’appel finit par donner raison au client
Finalement, la Cour d’appel de Bordeaux donne raison à M.E. le 4 mai 2026, condamnant la banque à lui rembourser les 5900 euros dérobés par les escrocs (ainsi que les intérêts au taux légal) et à lui verser la somme de 1500 euros pour couvrir les frais de procédure engagés. Bien que le client ait validé l’ajout de bénéficiaires, il n’a jamais consenti aux montants débités :
“Les débits apparus sur son compte ne sont d’ailleurs pas la conséquence de la communication de son identifiant et de son mot de passe le vendredi soir, mais bien de la transmission des numéros de ses cartes bancaires le samedi après-midi, à un moment où il était également en lien avec sa banque alors que la fraude prenait toute son ampleur”, indique la Cour.
Cette dernière souligne en outre la réactivité de M. E. (qui avait immédiatement alerté la banque). A l’aune du contexte, de la chronologie des faits et du caractère élaboré de la fraude, le client a légitimement pu croire agir sous les instructions de sa banque. D’autant que les SMS frauduleux l’informant de paiements suspects ont été envoyés “par un numéro à 5 chiffres débutant par 38 comme peut également en utiliser la Caisse d’Épargne”.
La Cour relève aussi que bien que le client ait reconnu avoir validé l’ajout de bénéficiaires via Sécuripass, la Caisse d’Épargne n’a versé “aucun élément à ce sujet alors qu’il lui incombe d’apporter la preuve que les opérations en cause ont été authentifiées” d’un point de vue technique.
