Si de nombreuses décisions ont concerné l’hameçonnage (phishing)1, l’arrêt du 23 octobre 2024 est la première relative au spoofing, procédé par lequel les fraudeurs « parviennent à usurper le numéro de téléphone d’une agence bancaire afin de rassurer leur victime »2, et donc de faire croire à celle-ci qu’elle est en relation avec son conseiller bancaire : il y a usurpation d’identité.
Dans l’espèce à l’origine de l’arrêt commenté, un client, en liaison téléphonique avec le prétendu conseiller bancaire, via des messages reçus sur son téléphone mobile, a ajouté, à la demande de celui-ci, cinq personnes sur la liste des bénéficiaires de virements et validé les opérations de paiement dont celles-ci ont été les destinataires. Ce faisant, il a utilisé des données personnelles de sécurité pour modifier la liste des bénéficiaires et autoriser des opérations de sorte que la question était de savoir si ledit client, qui doit « préserver la sécurité de ses données de sécurité personnalisées »3, avait commis une négligence grave. Les juges du fond ont donné une réponse négative ; la Cour de cassation rejette le pourvoi formé contre leur décision :
« 5. Après avoir exactement énoncé qu’il incombe au prestataire de services de paiement de rapporter la preuve d’une négligence grave de son client, l’arrêt constate que le numéro d’appel apparaissant sur le téléphone portable de M. [J] s’était affiché comme étant celui de Mme [Y], sa conseillère BNP et retient qu’il croyait être en relation avec une salariée de la banque lors du réenregistrement et nouvelle validation qu’elle sollicitait de bénéficiaires de virement sur son compte qu’il connaissait et qu’il a cru valider l’opération litigieuse sur son application dont la banque assurait qu’il s’agissait d’une opération sécurisée. Il ajoute que le mode opératoire par l’utilisation du “spoofing” a mis M. [J] en confiance et a diminué sa vigilance, inférieure, face à un appel téléphonique émanant prétendument de sa banque pour lui faire part du piratage de son compte, à celle d’une personne réceptionnant un courriel, laquelle aurait pu disposer de davantage de temps pour s’apercevoir d’éventuelles anomalies révélatrices de son origine frauduleuse.
6. De ces constatations et appréciations, la cour d’appel a pu déduire que la négligence grave de M. [J] n’était pas caractérisée. »
Pour cette raison, le client avait droit au remboursement des opérations effectuées qui doivent être considérées comme des opérations non autorisées. On peut regretter que l’arrêt ne mentionne aucun texte4 alors que le droit au remboursement s’inscrit dans le cadre de l’art. L. 133-19 du Code monétaire et financier, lequel l’écarte, dans son IV, en cas de négligence grave du client. Mais il s’agit d’un arrêt de rejet, ce qui explique sans doute la rédaction de l’arrêt commenté qui attire encore l’attention en raison de la distance prise par la Cour par rapport aux juges du fond. Car si la première approuve les seconds en ce qui concerne la charge de la preuve, elle se retranche derrière leurs constatations et appréciations. En indiquant que les juges du fond ont « pu » en « déduire » l’absence de négligence grave, la Cour montre que dans un autre contexte la solution aurait pu être inverse. Il s’agit donc d’un arrêt d’espèce comme le souligne Pierre Storrer. Ce qui peut conduire à se demander pourquoi l’arrêt commenté est destiné au bulletin de la Cour de cassation. Sans doute la raison réside-t-elle dans le fait que l’arrêt commenté est le premier à prendre position sur le spoofing. Étant rappelé que le futur texte devant remplacer la Directive 2015/2366/UE du 25 novembre 20255, dite DSP 2, comporte une disposition particulière à la responsabilité des prestataires de services de paiement en « cas d’usurpation d’identité »6. n
