Par Jérôme Lasserre Capdeville, Maître de conférences HDR à l’Université de Strasbourg

Qu’est-ce que la fraude au « faux conseiller » ?

La fraude peut prendre des formes variées dans le domaine bancaire. Il n’est ainsi pas rare que les dangers liés au « phishing », à la « fraude au président » ou aux « arnaques aux crédits » soient dénoncés. Aujourd’hui, c’est la fraude au « faux conseiller » bancaire (« spoofing ») qui soulève des interrogations.

Le processus est le suivant. Un (faux) conseiller, ou un soi-disant responsable du service « fraude » de la banque, alerte un client par téléphone sur une opération qui lui paraît frauduleuse sur son compte. Pour l’annuler, il demande à sa victime d’agir directement sur son téléphone (valider l’ajout d’un nouveau bénéficiaire, etc.) ou de lui transmettre diverses informations (code d’accès à l’espace numérisé sur le site de la banque, cryptogramme visuel de la carte bancaire, code de validation reçu par SMS, etc.). Or, en procédant de la sorte, le client réalise sans le savoir des actes de nature à permettre une opération de paiement au profit de l’escroc, ou lui transmet toutes les informations utiles pour la passer lui-même.

Cette fraude témoigne de le particulière inventivité des escrocs. Parfois, elle s’accompagne du « piratage » du numéro de téléphone de la banque qui apparait alors sur le mobile du client. Ce dernier est alors mis en confiance, pensant être en relation avec un préposé de sa banque.

Que dit la Cour de cassation dans sa décision du 23 octobre 2024 à propos de ce type de fraude ?

Le 31 mai 2019, un client de banque avait constaté que plusieurs virements frauduleux avaient été réalisés pour un montant de 54.500 euros sur son compte ouvert dans les livres de la BNP Paribas. L’intéressé avait alors alerté la banque le jour même, soutenant avoir été contacté par téléphone par une personne se faisant passer pour une préposée de l’établissement lui demandant d’ajouter, grâce à ses données personnelles de sécurité, cinq personnes sur la liste des bénéficiaires de virements. Le client avait alors assigné la banque en remboursement de ces sommes.

Par une décision du 28 mars 2023, la Cour d’appel de Versailles avait condamné BNP Paribas à payer au client la somme de 54.500 euros avec intérêts au taux légal à compter du 10 octobre 2019, ainsi que la somme de 1500 euros à titre de dommages et intérêts pour préjudice moral avec intérêts au taux légal.

La banque avait alors formé un pourvoi en cassation. Elle prétendait par son intermédiaire que commet une « négligence grave » le payeur qui valide à distance et sans la vérifier, une opération dont il n’est pas l’auteur.

Sur ce point, on rappellera qu’il résulte de l’article L. 133-19, IV, du Code monétaire et financier qu’en matière d’opération de paiement par carte, par virement ou par prélèvement, le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées s’il n’a pas satisfait « par négligence grave aux obligations prescrites par les articles L. 133-16 et L. 133-17 », c’est-à-dire, 
notamment, à l’obligation de préserver la sécurité de ses données de sécurité personnalisées. Ainsi, dans un tel cas, la charge totale de l’opération pèse uniquement sur ce payeur.

Or, la Cour de cassation ne donne pas raison à la banque. Selon le sommaire de sa décision du 23 octobre 2024 : « Aucune négligence grave au sens de l’article L. 133-19 du code monétaire et financier ne peut être imputée au titulaire d’un compte qui, contacté téléphoniquement par une personne se faisant passer pour un préposé de sa banque dont le numéro s’affichait, utilise à sa demande le dispositif de sécurité personnalisé pour supprimer puis réinscrire des bénéficiaires de virements dans le but d’éviter des opérations malveillantes ».

Autrement dit, le client ayant été trompé par un numéro de téléphone apparaissant sur son portable, et lui ayant laissé penser qu’il était en communication avec un préposé de sa banque, ne saurait se voir reprocher une négligence grave. La solution retenue par la cour d’appel était donc conforme au droit. Le pourvoi en cassation de la banque est alors rejeté.

Quelle est la portée d’une telle décision ?

Cette jurisprudence, a vocation à protéger le payeur dans les cas où, comme dans cette affaire, le numéro de téléphone de la banque aura été effectivement détourné par l’escroc.

Cette circonstance devrait néanmoins se raréfier dans les semaines à venir. En effet, la loi « Naegelen » du 24 juillet 2020 est venue imposer aux opérateurs téléphoniques la mise en place d’une solution d’authentification des numéros, avec une coupure obligatoire des appels non authentifiés. De la sorte, les opérateurs doivent vérifier la conformité des numéros téléphoniques au plan de numérotation de l’Arcep (régulateur du secteur), tant du côté de l’appelant que de l’appelé. Ce dispositif technique est effectif depuis le 1er octobre 2024.

Ce dernier résoudra-t-il, pour autant, tous les cas d’usurpation d’identité ? Pas nécessairement. En effet, le régime ainsi mis en place ne concerne, pour l’heure, que les n° de téléphone fixes. Le risque est encore présent avec les numéros de téléphones portables (06 ou 07).

En outre, et plus largement encore, la solution technique ici mise en œuvre n’intéresse que les fraudes au faux conseiller avec usurpation de numéro de téléphone. Or, toutes ne se déroulent pas ainsi. Le « bagou » de l’escroc, et la pression qu’il met sur sa victime pour prendre des décisions immédiatement, sont, parfois, tout aussi efficace que la « subtilisation » du numéro de téléphone.

Dès lors, une lutte efficace contre la fraude au faux conseiller passe, avant tout, par une sensibilisation accrue du public sur l’existence de cette fraude, mais aussi sur ses manifestations et ses conséquences. On notera alors que, depuis plusieurs mois, la Fédération bancaire française comme les différents établissements de crédit, mènent des actions pour sensibiliser la clientèle des banques aux gestes de protection.

Ces éclairages sont heureux ; seule une information massive des clients permettra de limiter les impacts de cette fraude au faux conseiller avec ou sans piratage du numéro de téléphone de la banque.