Source : Com. 12 juin 2025, F-B, n° 24-13.777

Les escroqueries bancaires par téléphone, également appelées « spoofing » téléphonique, sont en augmentation constante depuis plusieurs années. Contrairement aux fraudes par courriel, les victimes disposent de moins de temps pour réagir et peuvent être plus vulnérables, notamment lorsque le numéro de téléphone de la banque est usurpé.

Dans ce contexte, la chambre commerciale de la Cour de cassation a rendu un arrêt favorable aux clients dans le cadre d’opérations de paiement non autorisées.

La décision du 12 juin 2025 s’inscrit dans cette même logique. Elle souligne à nouveau la nécessité de prouver de manière rigoureuse la négligence grave du client au sens du code monétaire et financier.

I – Les faits.

Un employé d’une société de transport a reçu un appel d’un individu se faisant passer pour un technicien de la banque de l’entreprise. L’escroc a affirmé que plusieurs transactions n’avaient pas été enregistrées en raison d’une panne informatique et a demandé à l’employé de les repasser. L’employé, baissant sa garde, a suivi les instructions, créant à plusieurs reprises une signature électronique et se connectant à son espace sécurisé sans transmettre son mot de passe. Il a également manipulé un boîtier de sécurité dédié aux virements internationaux. Par la suite, des virements ont été effectués vers des comptes domiciliés en Allemagne, pour un montant total de 98 000 €.

La société de transport affirme n’avoir pas autorisé ces paiements, mais la banque refuse de rembourser les fonds, arguant d’une négligence grave de la part de la société. La cliente victime de l’escroquerie assigne donc sa banque en justice afin d’obtenir le remboursement des fonds perdus lors de la transaction non autorisée. En appel, les juges du fond refusent de reconnaître une négligence grave de la part de la demanderesse, et la cour d’appel condamne la banque à payer une somme de 98 000 €. La banque conteste la décision en appel, maintenant son argumentation initiale. L’arrêt rendu le 12 juin 2025 par la chambre commerciale rejette le pourvoi.

II – L’avis de la Cour de cassation et l’application du droit.

Cet arrêt s’inscrit dans la continuité des affaires concernant les opérations de paiement non autorisées et la démonstration d’une négligence grave du client au sens de l’article L. 133-19, IV, du code monétaire et financier. Cette démonstration a donné lieu à une jurisprudence abondante, notamment en ce qui concerne la technique de l’hameçonnage ou « phishing ». L’escroquerie téléphonique se distingue par son caractère plus volatil. La victime dispose de peu de temps pour réagir face à un interlocuteur se faisant passer pour sa banque et qui se montre relativement insistant. 

Les juges du fond ayant rendu l’arrêt d’appel à l’origine de la décision du 23 octobre 2024 ont explicitement souligné que le mode opératoire, utilisant le « spoofing », avait mis M. [J] en confiance et diminué sa vigilance. Il a réagi différemment à un appel téléphonique prétendument émanant de sa banque, l’informant du piratage de son compte, qu’à un courriel, qui lui aurait laissé plus de temps pour détecter d’éventuelles anomalies révélatrices de son origine frauduleuse.

L’arrêt commenté ne présente aucune motivation spécifique développée par la chambre commerciale. Cependant, plusieurs indices recueillis par les juges du fond, après examen des pièces versées, ont permis de conclure que la société cliente n’avait pas commis de négligence grave :

1. Le premier et le plus important indice réside dans le fait que le salarié a baissé sa garde en voyant le numéro de téléphone de la banque s’afficher. Cette technique se distingue clairement de l’hameçonnage, car l’adresse de courriel n’est, souvent, pas usurpée au sens propre, mais plutôt copiée avec une légère modification pour que le destinataire ne la remarque pas. En utilisant le même numéro de téléphone, le salarié a cru être en relation directe avec la banque, ce qui est une technique d’usurpation redoutablement efficace.
2. Le deuxième élément déterminant résidait dans la divulgation du code affiché devant le salarié. Ce dernier a alors supposé que si son interlocuteur était en mesure d’annoncer le code sans le lui communiquer au préalable, il ne pouvait s’agir que d’une personne autorisée.
3. Le troisième point central concernait la connaissance de l’historique des opérations précédentes effectuées par la société de transport. L’escroc avait connaissance des activités bancaires de ladite société et a pu faire d’autant plus illusion.

Ces éléments ont donné au salarié un faux sentiment de sécurité, ce qui ne signifie pas pour autant que la société cliente a commis une négligence grave. En effet, aucun mot de passe n’a été partagé pendant l’opération, et la fraude n’a été possible que grâce à la manipulation du boîtier dédié aux virements internationaux.

C’est donc bien la convergence de ces éléments qui caractérise la négligence grave, la charge de la preuve incombant à la banque. Une telle donnée, alliant qualité et quantité, invite à respecter la lettre de l’article L. 133-19, IV, du code monétaire et financier qui n’évoque qu’une négligence grave, ce qui tend à renforcer l’argumentation requise pour son identification.

Toutefois, cela ne signifie pas que les établissements bancaires ne peuvent être tenus responsables d’une négligence grave dans le contexte d’une telle escroquerie. L’analyse doit être précise et adaptée aux spécificités de l’hameçonnage téléphonique.

En effet, il serait inapproprié d’appliquer la même sévérité face à la lecture d’un courriel, qui peut être relu et dont les imperfections sont souvent facilement identifiables, que ce soit au niveau de la grammaire, de l’orthographe, de la formulation ou même d’une syntaxe parfois hasardeuse.