Arrêt n° 586 FS-B du 23 octobre 2024
Je ne savais même pas que c’était… Il faut dire que
moâ, mon banquier il a pour consigne de ne plus jamais m’appeler, mais de me
laisser un message si je suis à découvert…
C’est môa qui le rappelle ou qui vais le voir en agence…
Comme entre-temps j’aurai pu monter sur son site Internet avec mes codes inviolables (et ses sécurités infernales, que l’autre jour ça ne fonctionnait pas) normalement, dans la journée le problème est réglé.
Le « spoofing » consiste en fait à se faire
passer pour votre banquier, avec son propre numéro de téléphone d’agence.
Ainsi, au sens de l’article L. 133-19 du Code monétaire et financier, ne peut être imputée aucune négligence au titulaire d’un compte qui, contacté téléphoniquement par une personne se faisant passer pour un préposé de sa banque dont le numéro s’affichait, qui lui demandait d’utiliser le dispositif de sécurité personnalisé pour supprimer puis réinscrire des bénéficiaires de virements dans le but d’éviter des opérations malveillantes.
Mon banquier, c’est marqué partout, ne me demandera jamais mes codes d’identification : C’est réservé exclusivement à ses robots.
Mais il y en aurait encore qui n’avertissent pas leur
client qu’ils s’interdisent de la faire, tellement ça leur paraît tomber sous
le sens…
Résultat, le client berné et de bonne foi peut se laisser tromper par la « négligence » de son banquier…
C’est un peu contre-intuitif, mais il faut lire pour comprendre.
Audience publique du 23 octobre 2024
M. VIGNEAU, président
Arrêt n° 586 FS-B
Pourvoi n° H 23-16.267
C’est môa qui le rappelle ou qui vais le voir en agence…
Comme entre-temps j’aurai pu monter sur son site Internet avec mes codes inviolables (et ses sécurités infernales, que l’autre jour ça ne fonctionnait pas) normalement, dans la journée le problème est réglé.
Ainsi, au sens de l’article L. 133-19 du Code monétaire et financier, ne peut être imputée aucune négligence au titulaire d’un compte qui, contacté téléphoniquement par une personne se faisant passer pour un préposé de sa banque dont le numéro s’affichait, qui lui demandait d’utiliser le dispositif de sécurité personnalisé pour supprimer puis réinscrire des bénéficiaires de virements dans le but d’éviter des opérations malveillantes.
Mon banquier, c’est marqué partout, ne me demandera jamais mes codes d’identification : C’est réservé exclusivement à ses robots.
Résultat, le client berné et de bonne foi peut se laisser tromper par la « négligence » de son banquier…
C’est un peu contre-intuitif, mais il faut lire pour comprendre.
COUR DE
CASSATION
M. VIGNEAU, président
Arrêt n° 586 FS-B
Pourvoi n° H 23-16.267
R É P U B L I
Q U E F R A N Ç A I S E
AU NOM DU
PEUPLE FRANÇAIS
ARRÊT DE LA
COUR DE CASSATION, CHAMBRE COMMERCIALE, FINANCIÈRE ET
ÉCONOMIQUE, DU
23 OCTOBRE 2024
n° H 23-16.267 contre l'arrêt rendu le 28 mars 2023 par la cour d'appel de Versailles (13e chambre), dans le litige l'opposant à M. [U] [J], domicilié [Adresse 1], [Localité 4], défendeur à la cassation.
La demanderesse invoque, à l'appui de son pourvoi, un moyen de cassation.
Le dossier a été communiqué au procureur général.
Sur le rapport de M. Calloch, conseiller, les observations de la SCP Rocheteau, Uzan-Sarano et Goulet, avocat de la société BNP Paribas, de la SARL Meier-Bourdeau, Lécuyer et associés, avocat de M. [J], et l'avis de Mme Guinamant, avocat général référendaire, après débats en l'audience publique du 10 septembre 2024 où étaient présents M. Vigneau, président, M. Calloch, conseiller rapporteur, Mme Vaissette conseille doyen, M. Riffaud, Mme Guillou, M. Bedouet, Mme Schmidt, M. Chazalette, Mme Gouarin, conseillers, Mmes Brahic-Lambrey, Champ, M. Boutié, Mmes Coricon, Buquant, conseillers référendaires, Mme Guinamant, avocat général référendaire, et Mme Labat, greffier de chambre, la chambre commerciale, financière et économique de la Cour de cassation, composée, en application de l'article R. 431-5 du code de l'organisation judiciaire, des président et conseillers précités, après en avoir délibéré conformément à la loi, a rendu le présent arrêt.
1. Selon l'arrêt attaqué (Versailles, 28 mars 2023), le 31 mai 2019, M. [J] a constaté que plusieurs virements frauduleux avaient été réalisés pour un montant de 54.500 euros sur son compte ouvert dans les livres de la société BNP Paribas (la banque).
2. M. [J] a alerté la banque le jour même, soutenant avoir été contacté par téléphone par une personne se faisant passer pour une préposée de l'établissement lui demandant d'ajouter, grâce à ses données personnelles de sécurité, cinq personnes sur la liste des bénéficiaires de virements.
3. M. [J] a assigné la banque en remboursement de ces sommes.
Énoncé du moyen
4. La banque fait grief à l'arrêt de la condamner à payer à M. [J] la somme de 54.500 euros avec intérêts au taux légal à compter du 10 octobre 2019 ainsi que la somme de 1.500 euros à titre de dommages et intérêts pour préjudice moral avec intérêts au taux légal alors :
« 1°/ que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'une négligence grave de sa part ; que commet une négligence grave, le payeur qui valide à distance et sans la vérifier, une opération dont il n'est pas l'auteur ; qu'en l'espèce, la cour d'appel a relevé que suivant ses déclarations, M. [J] avait été contacté par téléphone par une personne se présentant comme l'assistante de sa conseillère bancaire, qui lui avait expliqué qu'il avait été nécessaire de supprimer des bénéficiaires de virement pour déjouer une attaque informatique et qu'il fallait désormais les réenregistrer, et qu'il était alors resté en ligne avec cette personne et avait reçu sur son téléphone mobile des messages l'invitant à valider des ajouts de bénéficiaires, ce qu'il avait fait en saisissant son code confidentiel ; qu'en retenant que M. [J] n'avait pas été gravement négligent, quand celui-ci avait validé des opérations dont il n'était pas l'auteur sans en vérifier toutes les données, la cour d'appel, qui n'a pas tiré les conséquences légales de ses constatations, a violé l'article L. 133-19 du code monétaire et financier ;
2°/ que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'une négligence grave de sa part ; que commet une négligence grave, le payeur qui, à la demande d'une personne qui l'a contacté par téléphone en se présentant comme son conseiller bancaire, valide à distance et sans la vérifier une opération dont il n'est pas l'auteur en dépit d'indices permettant à un utilisateur normalement attentif de douter de l'identité de son interlocuteur ; qu'en l'espèce, la cour d'appel a relevé que suivant ses déclarations, M. [J] avait été contacté par téléphone par une personne se présentant comme l'assistante de sa conseillère bancaire, qui lui avait expliqué qu'il avait été nécessaire de supprimer des bénéficiaires de virement pour déjouer une attaque informatique et qu'il fallait désormais les réenregistrer, qu'il était alors resté en ligne avec cette personne et avait reçu sur son téléphone mobile des messages l'invitant à valider des ajouts de bénéficiaires, ce qu'il avait fait en saisissant son code confidentiel, et qu'il lui avait enfin été expliqué qu'il n'aurai[t] plus accès à [son] compte et qu['il] allai[t] recevoir par la poste un nouvel identifiant de compte et un nouveau mot de passe ; qu'en retenant que M. [J] n'avait pas été gravement négligent quand l'identité de son interlocutrice, qui prétendait être non pas sa conseillère bancaire mais l'assistante de celle-ci, l'objet de l'appel, qui tendait à réenregistrer des bénéficiaires de virement, ce qui pouvait pourtant se faire sans intervention d'un employé de la banque et ne présentait au surplus aucune urgence dans la mesure où M. [J] n'aurait plus accès à son compte en ligne pendant plusieurs jours, et les explications qui lui avaient été fournies, suivant lesquelles l'attaque informatique dont il aurait été victime avait pu être déjouée par la suppression des bénéficiaires de virement qu'il lui fallait réenregistrer avant que l'accès en ligne à son compte soit bloqué et qu'un nouvel identifiant et un nouveau mot de passe lui soient adressés par voie postale, constituaient des indices permettant à un utilisateur normalement attentif de suspecter une fraude, la cour d'appel, qui n'a pas tiré les conséquences légales de ses constatations, a violé l'article L. 133-19 du code monétaire et financier ;
3°/ que même de bonne foi, le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'une négligence grave de sa part ; qu'en se fondant, pour écarter toute négligence grave de M. [J], sur la circonstance inopérante que « l'utilisation du "spoofing", soit littéralement une usurpation d'identité, a mis M. [J] en confiance et a diminué sa vigilance », la cour d'appel a privé sa décision de base légale au regard de l'article L. 133-19 du code monétaire et financier.
5. Après avoir exactement énoncé qu'il incombe au prestataire de services de paiement de rapporter la preuve d'une négligence grave de son client, l'arrêt constate que le numéro d'appel apparaissant sur le téléphone portable de M. [J] s'était affiché comme étant celui de Mme [Y], sa conseillère BNP et retient qu'il croyait être en relation avec une salariée de la banque lors du réenregistrement et nouvelle validation qu'elle sollicitait de bénéficiaires de virement sur son compte qu'il connaissait et qu'il a cru valider l'opération litigieuse sur son application dont la banque assurait qu'il s'agissait d'une opération sécurisée. Il ajoute que le mode opératoire par l'utilisation du « spoofing » a mis M. [J] en confiance et a diminué sa vigilance, inférieure, face à un appel téléphonique émanant prétendument de sa banque pour lui faire part du piratage de son compte, à celle d'une personne réceptionnant un courriel, laquelle aurait pu disposer de davantage de temps pour s'apercevoir d'éventuelles anomalies révélatrices de son origine frauduleuse.
6. De ces constatations et appréciations, la cour d'appel a pu déduire que la négligence grave de M. [J] n'était pas caractérisée.
7. Le moyen n'est donc pas fondé.
REJETTE le pourvoi ;
Condamne la société BNP Paribas aux dépens ;
En application de l'article 700 du code de procédure civile, rejette la demande formée par la société BNP
Paribas et la condamne à payer à M. [J] la somme de 3.000 euros ;
Ainsi fait et jugé par la Cour de cassation, chambre commerciale, financière et économique, et prononcé par le président en son audience publique du vingt-trois octobre deux mille vingt-quatre.
Pas plus qu’à son avatar de banque en ligne…
Mais bon, c’est peut-être dû au fait que chez un de mes anciens patrons, les meks avaient réussi à lui faire payer deux fois son entrepôt : Une première fois au titre de l’indice des loyers réclamés assis sur l’indice des coûts de construction en application de son « crédit-bail » (il y a le mot bail…), et une autre fois au titre des intérêts de l’emprunt (il y a le mot crédit…) qui finançait son crédit-bail et qu’il remboursait par ailleurs (à montant réactualisé par l’indice BTP)…
Pas gênés les mektons…
Cet arrêt s’inscrit, en effet, dans le contexte de plus en plus fréquent des fraudes au « faux conseiller » encore appelées « spoofing téléphonique ».
J’ai ainsi appris que la manœuvre est d’une cruelle banalité : Une personne se fait passer pour un conseiller bancaire et demande à un client, par téléphone, un code de sécurité pour pouvoir passer des virements frauduleux.
Le client, pensant parler à un préposé de sa banque, baisse sa garde et utilise à la demande du pirate un dispositif de sécurité pour ajouter et supprimer des bénéficiaires de virements sur son espace personnel.
Dans les faits le 31 mai 2019, une personne se faisant passer pour le préposé d’un établissement bancaire contacte un client de celui-ci. Elle lui demande d’ajouter, grâce à ses données de sécurité, cinq personnes sur la liste des bénéficiaires de virements.
Quand je fais cette opération, mon banquier perso me demande confirmation par SMS (avec un code généré par la machine), et m’enverra un courriel d’alerte pour que je réagisse sous 72 heures…
Pas le banquier de cette victime-là…
Et le piège se referme alors quand le client constate avec désarroi, quelques minutes plus tard, des virements non souhaités atteignant parfois des sommes importantes.
Le gars, toujours en ligne, ouvre sa tablette et vérifie sur le champ…
Rien d’anormal sur le moment. L’appel dure à peine une poignée de minutes, mais c’est suffisant pour le pirate pour lire les outils de contrôle, les numéros de compte de la victime, mot de passe inclus, en ayant piraté sa box Wifi…
Car vos portables téléphoniques fonctionnent, chez vous ou sur le lieu de travail, avec votre box… comme votre tablette.
Presque trop facile pour un technicien informatique.
Le lendemain, le solde du compte avait disparu sur un compte fermé depuis…
Les établissements bancaires estiment régulièrement, en effet, que le client a commis une négligence grave permettant de refuser un remboursement par le jeu de l’article L. 133-19 du même code.
C’est donc cette défense qui est amenée à perdre de la vitesse avec l’arrêt du 23 octobre 2024 comme nous allons l’examiner.
C’est la raison pour laquelle il méritait d’être signalé…
Post-scriptum : Alexeï Navalny est mort en détention pour ses opinions politiques. Les Russes se condamnent à perpétuité à en supporter toute la honte !
Постскриптум: Алексей Навальный умер в заключении за свои политические взгляды. Россияне обрекают себя на всю жизнь нести весь позор!
Parrainez Renommez la rue de l'ambassade de Russie à Paris en rue Alexeï Navalny (change.org)
Aucun commentaire:
Enregistrer un commentaire