Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Le développement du spoofing téléphonique, technique de fraude consistant à usurper l'identité d’un conseiller bancaire par un appel entrant affichant le numéro officiel de la banque, a profondément bouleversé la sécurité des opérations bancaires.
Face à cette menace insidieuse, les établissements financiers sont appelés à redoubler de vigilance, tandis que les justiciables s’interrogent sur l’étendue de leur protection juridique en cas de virement frauduleux.
La jurisprudence récente de la chambre commerciale de la Cour de cassation, notamment l’arrêt du 23 octobre 2024 (n° 23-16.267), vient préciser les droits des titulaires de compte face à ce type de fraude.
Elle rappelle qu’en cas d’opération non autorisée, il revient à l’établissement bancaire de démontrer une négligence grave de son client pour refuser le remboursement. Cette orientation renforce la position du consommateur et alourdit les exigences probatoires pesant sur les professionnels.
Cet article examine les implications de cette jurisprudence à travers le prisme des articles L. 133-18, L. 133-19 et L. 133-23 du Code monétaire et financier, en soulignant les principes fondamentaux de la protection du client bancaire contre le spoofing.
Selon l’article L. 133-18 du Code monétaire et financier, toute opération de paiement non autorisée doit donner lieu à un remboursement immédiat par le prestataire, sauf cas de négligence grave ou de fraude. L’article L. 133-19 précise que l’utilisateur supporte les pertes uniquement s’il a lui-même agi de manière frauduleuse ou gravement négligente en ne respectant pas ses obligations, notamment la préservation de la confidentialité de ses données personnalisées de sécurité.
Le législateur impose ainsi une présomption de bonne foi en faveur du client, et c’est à la banque qu’il revient d’apporter la preuve de la faute du client. Cette exigence est confirmée par l’article L. 133-23 qui énonce expressément que « la preuve que l’opération de paiement a été autorisée incombe au prestataire de services de paiement ».
Dans l’affaire tranchée par la Cour de cassation, le client avait été victime d’une escroquerie par téléphone, au cours de laquelle l’escroc avait usurpé le numéro de téléphone officiel de l’établissement bancaire. En suivant les instructions de son interlocuteur qu’il pensait être son conseiller, il avait communiqué des informations sensibles, permettant des virements frauduleux à hauteur de 54 500 euros.
La Cour de cassation rejette le pourvoi de la banque en rappelant que le spoofing est de nature à tromper même un usager prudent, et qu’aucune négligence grave ne peut être retenue dès lors que le client n’avait aucune raison objective de douter de l’identité de son interlocuteur. La confiance légitime inspirée par un appel entrant semblant provenir d’un numéro officiel joue un rôle déterminant dans l’appréciation de la faute.
Cette position s’inscrit dans une jurisprudence constante. Dans un arrêt du 28 mars 2018 (Cass. com., n° 16-20.018), la Cour avait considéré comme négligent le fait de répondre à un courriel suspect, dans la mesure où des indices évidents (fautes d’orthographe, adresse inconnue) auraient dû alerter un utilisateur normalement attentif. En revanche, l’apparente légitimité d’un appel entrant, notamment lorsque l’identifiant affiché correspond à celui de la banque, affaiblit la vigilance requise et justifie l’absence de négligence.
Conformément à l’article L. 133-23 précité, la banque ne peut présumer la faute de son client sur la base de l’utilisation de ses données sécurisées. Elle doit démontrer activement l’existence d’une négligence grave ou d’un comportement frauduleux. Cette exigence est rappelée avec constance par la jurisprudence, notamment dans un arrêt du 18 janvier 2017 (Cass. com., n° 15-25.030), où la Cour a souligné que « la preuve ne peut se déduire du seul usage des identifiants de sécurité ».
Il en découle une difficulté structurelle pour l’établissement bancaire à renverser la présomption de bonne foi : sauf aveu du client ou éléments manifestes de sa faute (transmission volontaire des codes à un tiers identifié comme frauduleux malgré des alertes), la banque reste tenue au remboursement.
Cette orientation incite les établissements financiers à renforcer leurs dispositifs de sécurité et à sensibiliser activement leur clientèle aux risques de fraude. Elle interdit en revanche toute tentative de se défausser de leur responsabilité sur la simple négligence supposée de l’utilisateur. À défaut, ils s’exposent à des condamnations à remboursement quasi automatiques.
Même dans l’hypothèse où la négligence du client serait reconnue, celui-ci pourrait, en application du droit commun de la responsabilité contractuelle (articles 1231-1 et suivants du Code civil), invoquer une carence de la banque dans ses propres obligations. Il s’agit notamment du manquement à l’obligation de vigilance, de conseil, ou encore de la défaillance du système d’alerte.
La jurisprudence rappelle que la responsabilité de la banque peut être engagée en parallèle de celle du client, notamment si les mesures de prévention étaient insuffisantes, ou si la banque n’a pas agi promptement pour bloquer les opérations litigieuses une fois avertie.
La décision commentée souligne également un enjeu plus large : la coopération intersectorielle pour endiguer le spoofing. Le rôle des opérateurs téléphoniques dans la sécurisation des identifiants d’appel est essentiel. En outre, les campagnes d’information menées par les établissements bancaires et les institutions publiques doivent être renforcées pour éviter que le client, même de bonne foi, ne se laisse berner.
Le spoofing téléphonique révèle avec acuité la fragilité des mécanismes classiques d’authentification, notamment ceux fondés exclusivement sur l’affichage du numéro appelant.
En s’appuyant sur des technologies de falsification d’identifiants d’appel (caller ID spoofing), les fraudeurs parviennent à dissimuler leur véritable numéro et à faire apparaître celui du service client ou du conseiller bancaire réel, créant ainsi une illusion d’authenticité totale. Le client, rassuré par la concordance numérique, baisse sa garde, d’autant plus que l’interlocuteur semble parfaitement informé de ses opérations ou données bancaires de base.
Cette manipulation technique met en échec les réflexes de vigilance acquis par les usagers face aux courriels frauduleux ou aux appels inconnus.
Contrairement au phishing par e-mail, qui laisse parfois apparaître des indices d’arnaque (adresse douteuse, fautes, lien suspect), le spoofing s’appuie sur une usurpation crédible, difficilement détectable sans outils spécialisés. Le cadre traditionnel de la responsabilité contractuelle, fondé sur le comportement du client, doit donc être réinterprété à la lumière de cette complexité technologique.
La jurisprudence récente s’inscrit dans cette évolution. En refusant de qualifier de négligent un client ayant divulgué des données dans un contexte de spoofing, la Cour de cassation reconnaît implicitement que la faute du client ne peut être retenue dès lors que le stratagème dépasse les moyens de contrôle dont il dispose raisonnablement.
Cette reconnaissance par les juridictions civiles d’un risque technologique asymétrique marque une avancée en matière de protection du consommateur bancaire.
Ainsi, la jurisprudence s’adapte à la sophistication des fraudes numériques en modulant son appréciation de la négligence grave, et ce, afin d’offrir une protection juridique cohérente avec les réalités contemporaines. Il ne s’agit plus de s’en remettre à un standard de vigilance abstrait, mais bien d’analyser le contexte précis de l’escroquerie et les capacités réelles de discernement du client, piégé par une usurpation technologiquement indétectable.
La réponse jurisprudentielle au spoofing témoigne d’une volonté affirmée de préserver l’intégrité des relations contractuelles entre la banque et son client, dans un environnement numérique en constante mutation.
En exigeant que la banque établisse de manière rigoureuse la négligence grave de son client, la Cour de cassation consacre une protection renforcée des usagers face à des pratiques frauduleuses souvent indétectables.
Cette position oblige les établissements bancaires à adapter leurs dispositifs de sécurité, à informer davantage leur clientèle, et à prendre part à la prévention de ces infractions en lien avec les opérateurs de télécommunications. Le client, quant à lui, est appelé à faire preuve de prudence, sans que cette vigilance ne devienne un prétexte pour exonérer la banque de ses responsabilités juridiques et techniques.
Le spoofing bancaire est une technique de fraude qui consiste à usurper l’identité d’un conseiller bancaire en falsifiant le numéro de téléphone affiché sur l’écran du client. Grâce à des outils technologiques, l’escroc peut faire apparaître le vrai numéro de la banque, créant ainsi une illusion de sécurité. Lors de l’appel, il se présente comme un employé de la banque et incite la victime à communiquer ses données de sécurité, comme les codes de validation de virement ou les identifiants d’accès. Une fois ces informations obtenues, l’escroc effectue des opérations de paiement non autorisées, souvent sous forme de virements vers des comptes tiers. Ce type de fraude vise à exploiter la confiance que le client accorde naturellement à son établissement bancaire.
Non, la responsabilité du client n’est pas systématiquement engagée lorsqu’il transmet ses données, même en cas d’erreur. En vertu de l’article L. 133-19 du Code monétaire et financier, le client ne supporte les pertes résultant d’opérations non autorisées que s’il a agi frauduleusement ou par négligence grave. Or, la jurisprudence récente (Cass. com., 23 oct. 2024, n° 23-16.267) considère que lorsque l’escroc utilise le spoofing pour inspirer la confiance, la négligence grave n’est pas caractérisée. Il est donc possible d’obtenir un remboursement intégral, même si le client a communiqué ses codes, si le stratagème employé était suffisamment trompeur pour neutraliser sa vigilance.
Elle le peut uniquement si elle parvient à démontrer que le client a commis une négligence grave, ce qui constitue une exception légale au droit au remboursement. Conformément à l’article L. 133-23 du Code monétaire et financier, c’est à l’établissement bancaire qu’il revient de prouver cette négligence grave. Or, la jurisprudence est particulièrement exigeante en la matière. Le simple fait que le client ait transmis ses données ne suffit pas : il faut que les circonstances permettent de conclure que tout client normalement vigilant aurait dû se méfier. Dans le cas du spoofing, cette exigence n’est généralement pas remplie, car l’appel semble provenir directement de la banque. Par conséquent, la banque est souvent contrainte de rembourser.
Le client doit agir sans délai. Il doit, dès la découverte de l’opération frauduleuse :
Il est recommandé de conserver toutes les preuves : enregistrements d’appel, captures d’écran, relevés bancaires. Le client peut également porter plainte et, en cas de refus de remboursement, saisir le médiateur bancaire, puis engager une action en justice devant le tribunal judiciaire si nécessaire.
La banque a une obligation de moyens renforcée en matière de sécurisation des paiements. Elle doit :
En cas de manquement à ces obligations, la responsabilité contractuelle de la banque peut être engagée, même si le client a été négligent. C’est pourquoi les juridictions adoptent une approche protectrice du consommateur, en exigeant un niveau de vigilance élevé de la part des établissements financiers.
