Parmi les escroqueries bancaires qui se sont développées en France depuis quelques années, la fraude au faux conseiller bancaire est une des plus notables et aurait même été le « phénomène de l’année 2023 »1. Selon le communiqué de la Cour de cassation accompagnant un arrêt remarqué du 23 octobre 2024, « [i]l s’agit d’une technique d’escroquerie consistant à contacter une personne par téléphone en se faisant passer pour un conseiller bancaire. En gagnant la confiance de sa victime, l’escroc la convainc de lui communiquer ses données personnelles de sécurité (ex. : code de carte bancaire, code de virement...). Il est ensuite en mesure de lui soutirer de l’argent en effectuant un ou plusieurs virements »2. Face à la sécurisation accrue des opérations de paiement rendant plus difficile le recours au phishing, les fraudeurs ont eu l’idée de profiter des failles humaines en mettant en œuvre des techniques de manipulations sophistiquées dites parfois d’ingénierie sociale.
La nature des opérations réalisées est variée et leur qualification est discutable (1.). Cette première approche est un préalable nécessaire à la détermination du régime juridique de la contestation de ces opérations (2.).
Les opérations réalisées à la suite de l’intervention d’un faux conseiller sont de natures variables. Elles peuvent être non autorisées car elles sont réalisées directement par l’escroc mais elles peuvent aussi être validées par le client lui-même manipulé par le faux conseiller. Dans ce second cas, se pose alors la question de savoir si l’opération doit être considérée comme autorisée ou non3.
L’opération litigieuse est souvent réalisée par le faux conseiller au moyen des données collectées auprès de la victime. Plusieurs techniques de manipulation se rencontrent en pratique. Le faux conseiller appelle ainsi fréquemment sa victime en se faisant passer pour un conseiller bancaire ou pour son assistant ou encore pour un technicien de la banque4 ou un agent de la lutte contre la fraude. L’appel téléphonique est habilement scénarisé pour manipuler la victime et l’amener à réaliser des opérations conduisant à la transmission d’informations bancaires personnelles. Les escrocs utilisent des techniques dites d’ingénierie sociale qui reposent sur la création de stress, l’instauration d’une situation d’urgence, afin d’accroître la charge cognitive de la victime. Ces manipulations provoquent une réduction de la vigilance qui suscite la confiance nécessaire à l’accomplissement des opérations dont l’escroc a besoin.
Il faut noter le caractère particulier de la communication orale, qui a d’ailleurs mené à la création d’un nouveau mot-valise. Vishing désigne ainsi une forme verbale de phishing5. Une telle interaction crée une proximité et une immédiateté beaucoup plus grandes et donc très différentes de celles qu’on constate en matière de phishing notamment. Par rapport à la lecture d’un courriel, la confiance est plus grande car l’empathie est renforcée par l’instauration d’un contact direct avec un être humain. De même, le temps est accéléré car il faut répondre immédiatement à la sollicitation du faux conseiller. Ce sont là des facteurs très particuliers qui sont sans doute déterminants pour bien comprendre la pratique et ses effets.
Il faut ajouter à cette première observation que la fraude avec spoofing est dotée d’une efficacité accrue lorsque l’appel apparaît comme émanant du numéro de téléphone du conseiller habituel ou plus généralement de l’agence bancaire de la victime. Cela suppose tout de même que celle-ci connaisse le numéro de téléphone de sa banque ou l’ait enregistré dans ses contacts ; ce qui n’est peut-être pas, soit dit en passant, une pratique généralisée...
Ces manipulations réduisent donc la vigilance de la victime et crée entre elle et le faux conseiller un lien tel qu’elle est amenée à communiquer des données bancaires qui permettent l’accès à ses services de paiement. L’escroc peut alors réaliser lui-même des opérations de paiement.
Ce schéma général connaît des variantes plus ou moins élaborées. Deux mérites notamment d’être mentionnées ici. Parfois, la fraude est précédée d’une forme classique de phishing. Toutefois, l’objectif n’est pas de réaliser des opérations de paiement à l’issue de cette première étape mais de créer un prétexte à l’entrée en contact avec la victime. Le faux conseiller prétend alors informer le client de la réalisation d’une opération suspecte qu’il faut neutraliser par la réalisation d’actions plus ou moins complexes mais qui impliquent la communication de données permettant la réalisation d’opérations de paiement, sans que le client n’en ait le plus souvent conscience. Les circonstances sont telles que le faux conseiller apparaît comme un sauveur qui promet de tirer le client imprudent de son embarras. Cette technique de manipulation contribue ainsi à renforcer la confiance que la victime accorde au discours de l’escroc. Une autre fraude consiste à faire intervenir un coursier chargé prétendument de récupérer une carte bancaire afin de la détruire et de la remplacer au plus vite6. La remise de l’instrument de paiement et la communication des données en permettant l’utilisation ouvrent alors à l’escroc la possibilité de réaliser des opérations de paiement. La diversité des techniques de manipulations rencontrées, dont les exemples donnés ici ne donnent encore qu’une idée partielle, invite manifestement à accorder une attention particulière aux circonstances de fait et aux effets concrets des pratiques d’ingénierie sociale développées par les escrocs.
À ces premières considérations pratiques, il faut ajouter deux observations plus strictement juridiques. D’une part, il faut noter que le spoofing avec usurpation du numéro de téléphone du banquier devrait être plus difficile à réaliser – à défaut d’être tout à fait impossible – avec le contrôle renforcé de la mise en œuvre du plan de numérotation imposée par la loi du 24 juillet 2020 dite loi Naegelen7. Ce texte impose notamment aux opérateurs téléphoniques de s’assurer que, lorsque leurs clients utilisateurs finals utilisent un numéro issu du plan de numérotation établi par l’autorité comme identifiant d’appelant pour les appels et messages qu’ils émettent, ces utilisateurs finals sont bien affectataires dudit numéro ou que l’affectataire dudit numéro a préalablement donné son accord pour cette utilisation8. Autrement dit, l’usurpation de numéro de téléphone fixe ne devrait plus être aussi facile que par le passé. D’autre part, et surtout, dès lors que les opérations de paiement sont réalisées par l’escroc, c’est-à-dire par le faux conseiller ou par une mule – un tiers agissant pour le compte de l’escroc –, elle n’est donc pas autorisée par le client, au sens de l’article L. 133-6 du Code monétaire et financier.
Les choses sont-elles différentes lorsque les opérations sont réalisées par la victime elle-même ? Si les techniques de base sont les mêmes que pour les premiers types de fraude, elles sont évidemment structurées d’une manière un peu différente car il faut amener la victime à autoriser une opération ou plusieurs opérations sans qu’elle ait pour autant effectivement conscience de réaliser une véritable opération de paiement d’un montant parfois élevé. La manipulation verbale peut parfois se prêter efficacement à ce type de tours de passe-passe, effectivement comparable à une forme intellectuelle de prestidigitation. Elle oriente l’attention, affaiblit la vigilance et neutralise les scrupules possibles en s’appuyant sur la proximité et l’urgence simulée.
En revanche, la difficulté juridique est un peu particulière. En effet, a priori, une telle opération paraît autorisée au sens du droit des services de paiement. Il est ainsi tentant d’établir une comparaison avec la fraude au président, qui est considérée comme une opération autorisée9, donc de faire une distinction avec les premiers types de fraudes évoqués plus haut. Toutefois, la question peut se poser de savoir s’il y a bien là une opération autorisée au sens de l’article L. 133-6 du Code monétaire et financier. En effet, il ne faut pas assimiler trop rapidement authentification et consentement. Il serait ainsi possible de considérer que malgré l’accomplissement de l’ensemble des étapes nécessaires à l’authentification, le consentement du client n’a pas été valablement donné11.
Les circonstances sont particulières et les techniques de manipulations utilisées ont manifestement pour objectif de faire perdre la conscience de la nature de l’opération réalisée. La réduction de la vigilance initiale, notamment par le stress suscité, suivie d’une succession de manipulations techniques par le client, lui font perdre le contact avec la réalité de sorte qu’il n’a pas effectivement conscience de réaliser une opération de paiement. Plusieurs décisions de juges du fond ont ainsi admis que bien que l’ensemble des opérations techniquement nécessaires à la réalisation de l’opération de paiement aient été accomplies par la victime, l’opération devait être considérée comme non autorisée12. Ces décisions contiennent des analyses des éléments de fait qui sont souvent très instructives et peuvent effectivement inciter à faire une distinction entre authentification et autorisation. Si l’une est principalement technique, l’autre est étroitement liée à la notion de consentement11. Autrement dit, la question peut légitimement se poser : l’opération est-elle bien autorisée alors que sous l’emprise de techniques d’ingénierie sociale, le client a matériellement accompli les actes nécessaires à l’émission d’un ordre de paiement, sans pour autant en avoir conscience, c’est-à-dire – juridiquement – sans en avoir la volonté, une volonté, libre et éclairée ? Certes, l’article L. 133-7, alinéa 1er, énonce que le consentement est donné « sous la forme convenue entre le payeur et son prestataire de services de paiement (PSP) » mais cette exigence de respect des formes convenues ne devrait pas conduire à faire de l’opération de paiement un acte abstrait tout entier absorbé dans la forme. L’ordre de paiement reste fondé sur un acte juridique ; une manifestation de volonté dont l’efficacité peut être contestée. Ce n’est pas seulement une série d’actes matériels et techniques. Le consentement reste une exigence de fond et l’absence de consentement ou de consentement valable pourrait conduire à considérer que l’opération n’est pas autorisée bien qu’elle ait été authentifiée. Autrement dit, une opération de paiement authentifiée par le client à la suite des manipulations d’un escroc habile pourrait parfois être considérée comme une opération non autorisée. Ce qui ouvrirait la voie de la contestation.
La nature, autorisée ou non, de l’opération a nécessairement des conséquences sur sa contestation. Bien évidemment, au préalable, il faut noter que la question sera abordée sur le seul terrain du droit bancaire des services de paiement alors que la voie pénale, sur le fondement de l’escroquerie, devrait être évoquée également pour donner une image complète de la question.
La contestation des opérations non autorisées est naturellement la première question à aborder. Peu importe ici que l’opération soit considérée comme non autorisée parce qu’elle a été réalisée par le fraudeur aux moyens des données collectées auprès de la victime ou qu’elle soit non autorisée alors que la victime a matériellement accompli les actions nécessaires à l’émission de l’ordre de paiement sans en avoir réellement conscience, sans que son consentement soit effectif.
Les principes sont bien connus qui combinent les dispositions des articles L. 133-24 et L. 133-18 du Code monétaire et financier : l’utilisateur de services de paiement signale, sans tarder, à son prestataire de services de paiement une opération de paiement non autorisée ou mal exécutée et au plus tard dans les treize mois suivant la date de débit sous peine de forclusion ; le prestataire de services de paiement du payeur doit alors rembourser au client le montant de l’opération non autorisée. La victime doit signaler la fraude ; le prestataire de services de paiement doit rembourser. La vraie difficulté apparaît à la fin de la séquence dès lors que le droit à remboursement peut être paralysé si le comportement du client peut être qualifié de négligence grave au sens de l’article L. 133-19, IV du Code monétaire et financier13.
En droit strict, la négligence grave renvoie au non-respect des exigences des articles L. 133-16 et L. 133-17 du Code monétaire et financier. De ce point de vue, il est vrai que la communication des données personnelles permettant la réalisation d’une opération de paiement à une personne sollicitant la victime par téléphone peut ressembler à s’y méprendre à une négligence grave. Tout le monde sait bien évidemment qu’il ne faut pas le faire. Et pourtant...
Pourtant, il faut approfondir un peu et sans doute enrichir le droit strict par des considérations de fait voire compléter l’approche juridique par des considérations d’ordre plus psychologique. D’une part, la méthode juridique d’appréciation de la négligence grave est bien connue. De manière générale, il serait possible d’adopter une approche in abstracto. Il est tentant de considérer que toute communication d’informations confidentielles à un tiers est une négligence grave. Toutefois, ce n’est pas la méthode adoptée par la jurisprudence. La Cour de cassation préconise une approche in concreto pour qualifier le comportement du client et éventuellement retenir l’existence d’une négligence grave. Cependant, cette approche in concreto peut elle-même être mise en œuvre de manière plus ou moins rigoureuse et méthodique. Il est courant d’adopter une conception un peu morale et assez proche du sens commun. Si elle est assez spontanément adoptée, l’analyse est surplombante voire un peu méprisante à l’égard des victimes qui sont jugées pour avoir été trompées par des escrocs aux méthodes sophistiquées14. À la réflexion, il faut sans aucun doute résister à la tentation d’une telle approche certes commune et commode mais réductrice.
Il faut d’abord noter que la négligence grave est une notion au contenu peu déterminé qui peut être considérée comme une forme de standard juridique. C’est une forme de faute, non intentionnelle, qui ne serait pas commise par une personne normalement vigilante ; étant entendu que la normalité reste souvent au-dessus de la moyenne. Le modèle à prendre comme référence n’est pas simplement l’ancien bon père de famille, ni l’individu raisonnable, ni même le consommateur moyen. Il semble opportun de procéder en suivant la voie des fraudeurs et de recourir à des notions de psychologie. Puisque la fraude au faux conseiller est une attaque psychologique, visant une forme de piratage humain, exploitant une faille humaine, c’est sur ce terrain qu’il convient sans doute de se placer. Il convient ainsi de déterminer quel est le degré de vigilance permis à une personne victime d’une telle attaque psychologique.
De ce point de vue, l’arrêt de la chambre commerciale du 23 octobre 2024 présente un intérêt particulier15. En l’espèce, le client avait reçu un appel téléphonique d’un faux conseiller bancaire et avait répondu à sa demande de supprimer 5 personnes de sa liste de bénéficiaires de virements puis de les y réinscrire en renseignant son code confidentiel. A priori, il était possible de qualifier le comportement de la victime de négligence grave. Toutefois, la Cour de cassation a admis que le juge du fond puisse ne retenir aucune négligence grave imputable au client. Plusieurs juridictions du fond avaient déjà adopté une position favorable au client16. Il faut reconnaître que le fardeau probatoire risque d’être encore plus difficile à supporter pour le PSP qu’en matière de phishing. Les commentateurs ont relevé que le fait que le client ait été contacté par téléphone « par une personne se faisant passer pour un préposé de sa banque dont le numéro s’affichait » était manifestement un élément de fait décisif. Cependant, il est aussi possible de trouver dans cette décision l’esquisse d’une analyse prenant en compte les techniques d’ingénierie sociale pour apprécier l’existence d’une négligence grave de la victime. En effet, les éléments de fait relevés par les juges du fond et repris par la Cour de cassation illustrent une analyse de la charge cognitive de la victime17. La lecture des décisions qui ont pu aller dans le même sens fait apparaître toute l’importance des circonstances de fait permettant d’évaluer cette charge et les effets qu’elle peut avoir sur la vigilance d’une personne : l’heure des appels, les tâches qu’elles étaient probablement en train d’accomplir au moment de l’appel, son genre et son âge... Ces éléments permettent d’évaluer réellement in concreto le stress du client au moment de l’appel mais aussi celui suscité par les techniques de manipulation utilisées par l’escroc. Cela permet une appréciation plus fine et juste de la vigilance dont peut faire preuve la victime et ainsi de comprendre la différente qui existe entre le spoofing et le phishing.
Cette analyse juridique très factuelle – le droit est aussi largement factuel – devrait d’ailleurs être complétée par quelques observations tirées des travaux de psychologie cognitive et notamment des études relatives aux techniques d’ingénierie sociale18 de manière à remettre en cause un jugement moral finalement un peu simpliste. Il faut relever par exemple qu’un individu s’imagine souvent plus compétent qu’il ne l’est effectivement. Cela entraîne un biais cognitif, une surconfiance en soi, une illusion de savoir dite aussi effet Dunning-Kruger. Cela pose d’ailleurs la question des compétences effectives des clients, au-delà de l’information et des campagnes de communication dont ils sont les destinataires19. Confier aux clients la responsabilité d’un certain nombre d’opérations par l’intermédiaire de leur espace client ou de leur application les rend aussi vulnérables et cela constitue un risque dont il faut bien imputer la charge. Or une personne dotée de toutes ses capacités cognitives peut être vulnérable ; elle a des failles. La fraude au faux conseiller vise une faille humaine dont l’exploitation par les fraudeurs devient plus profitable à mesure que les failles technologiques sont réduites. Cette approche invite ainsi à repenser en partie la question et à envisager d’enrichir l’approche strictement juridique grâce à d’autres disciplines telles que la psychologie. Elle peut conduire, soit dit en passant, à douter de la pertinence des solutions purement technologiques mais aussi à prendre conscience des limites des mesures d’information par exemple. La réduction des fraudes implique nécessairement une approche large et diversifiée20.
La contestation des opérations autorisées appelle des observations plus limitées car il y a moins de spécificités. Si l’opération est considérée comme autorisée alors les voies de contestation sont moins évidentes. Bien évidemment, la voie pénale est toujours envisageable et doit en principe être envisagée même si ses résultats sont un peu aléatoires. Sur le terrain du droit des services de paiement, la contestation sur le fondement des dispositions de l’article L. 133-24 et L. 133-19 est fermée. Il en est de même de la contestation des opérations autorisées ouvertes par l’article L. 133-25 du Code monétaire et financier. Autrement dit, seul reste pertinent le recours au droit commun. Cependant, il ne s’agit plus d’une contestation directe de l’opération afin d’en obtenir le remboursement. En effet, il faut alors se placer sur le terrain du droit de la responsabilité civile et en particulier tenter de mettre en cause la responsabilité du prestataire de services de paiement en établissant qu’il a manqué à son devoir de vigilance. Le principe d’exclusivisme du régime de responsabilité issue de la directive sur les services de paiement (DSP)21 ne fait pas obstacle à une telle action engagée lorsque l’opération est autorisée ou lorsque l’opération non autorisée n’entre pas dans le champ d’application des dispositions issues de la DSP22.
En conclusion, trois brèves observations permettent de reprendre les principales propositions de l’analyse menée plus haut. Tout d’abord, si nombre d’opérations réalisées à la suite de l’intervention d’un faux conseiller peuvent être considérées comme des opérations non autorisées, il semble que certaines d’entre elles paraissant a priori autorisées peuvent tout de même être considérées comme non autorisées, en l’absence de véritable consentement, en raison des manipulations dont la victime a été l’objet. Ensuite, l’appréciation de la négligence grave doit être mise en œuvre non seulement in concreto mais aussi en tenant compte de la sophistication des techniques de manipulation mises en œuvre par les escrocs. Au-delà du droit strict, les juristes ont donc tout intérêt à accorder un peu d’attention aux analyses de la psychologie cognitive sur le sujet23. Enfin, les évolutions récentes du droit tendent à privilégier les outils classiques de l’information et de la technologie24 dont on peut se demander si elles seront vraiment efficaces. Les remèdes ne seront probablement pas seulement technologiques. Si la faiblesse est humaine, il faut sans doute développer aussi une « approche cognitive de la cybersécurité ». De ce point de vue, les évolutions prévues par la troisième directive sur les services de paiement ne traiteront peut-être pas réellement les difficultés abordées ici.
