Une décision récente de la cour d’appel de Versailles va donner un peu d’air aux nombreux consommateurs victimes de fraude bancaire. Dans un jugement du 28 mars dernier, la cour oblige BNP Paribas à rembourser 54 000 € qui avaient été prélevés frauduleusement sur le compte d’un client, via la méthode dite du spoofing (ou détournement d’identité). En l’espèce, les escrocs s’étaient fait passer pour une conseillère de la BNP afin de mettre le consommateur en confiance et de lui faire valider des virements frauduleux. Pour cela, les escrocs sont parvenus à appeler le client via un numéro d’appel identique à celui de sa véritable conseillère bancaire. De même, les SMS d’authentification des opérations bancaires s’affichaient sur le même fil de conversation que celui habituellement utilisé par le particulier avec sa banque. Pour refuser de rembourser les détournements frauduleux, la BNP a estimé que le client avait commis des « négligences graves ».

REJET D’UNE PRÉSOMPTION DE CULPABILITÉ

Comme l’a de nombreuses fois dénoncé l’UFC-Que Choisir, les banques se retranchent encore souvent derrière la notion de « négligence grave » des particuliers pour échapper à leur obligation légale de remboursement en cas d’opération frauduleuse. À ce titre, l’UFC-Que Choisir a d’ailleurs porté plainte contre 12 banques pour non-respect de la loi.

Depuis l’entrée en vigueur de l’authentification renforcée (ou « à double facteur »), cette mauvaise pratique des banques a même paradoxalement augmenté. Pour de nombreux établissements, il suffit en effet que les paiements ou virements aient été réalisés via le dispositif d’authentification renforcée pour présumer la négligence grave du client. Ce qui revient à dire que les systèmes de sécurité des banques sont infaillibles. Un fait nié par tous les experts en cybersécurité que nous avons pu interroger.

La cour d’appel refuse ici absolument d’appliquer la moindre présomption de culpabilité que la loi n’a jamais instituée. Elle conclut à l’inverse que : « le mode opératoire par utilisation du spoofing a mis M. U. en confiance et a diminué sa vigilance, étant observé que face à un appel téléphonique, la vigilance de la personne qui reçoit l’appel est moindre que celle d’une personne par mail ».

ÉLÉMENTS DE PREUVE

La cour d’appel se penche donc très concrètement sur les faits pour apprécier si le consommateur pouvait valablement ne pas se douter qu’il avait affaire à un piratage… On est loin d’une présomption de culpabilité du simple fait de la validation des opérations frauduleuses par le client, comme auraient aimé l’imposer les banques.

Pour les consommateurs, cette décision est rassurante, mais elle les oblige aussi, de façon indirecte, à se montrer très précautionneux. Pour apprécier la bonne foi du client, la cour a en effet attentivement examiné tous les éléments de preuve présentés par ce dernier. Elle note par exemple : « L’appelant communique des impressions d’écran justifiant qu’il a reçu le 29 mai 2019 sur son téléphone portable plusieurs appels sous le nom “BNP Mme B.” » ou encore : « M. U. n’a aucunement tardé dans la révélation de ces virements frauduleux à sa banque ».

Il est ainsi fortement recommandé aux consommateurs de conserver un maximum de traces des opérations bancaires (captures d’écran, conservation des appels ou SMS en provenance de la banque), tout particulièrement en cas de sollicitation par un tiers. Il est d’ailleurs conseillé, dans ce dernier cas, d’interrompre son interlocuteur… Et de rappeler soi-même son conseiller bancaire pour s’informer. Enfin, il faut consulter régulièrement ses relevés bancaires et prévenir sans attendre sa banque de toute opération suspecte.