L’usurpation du numéro d’appel (spoofing) exonère-t-elle les banques de leur responsabilité en cas de fraude au faux conseiller?
La Banque de France a relevé qu’au titre de l’année 2023, le montant total de la fraude bancaire s’est élevé à 1,2 milliard d’euros, dont 32 % étaient dues à une manipulation de la victime (soit 379 millions d’euros).
La créativité des escrocs est sans limite : une nouvelle technique que l’on voit apparaître depuis quelques temps vient s’ajouter à leur arsenal pour piéger les clients.
Cette pratique a d’ailleurs désormais un nom : le « spoofing ».
Issu du verbe anglais « to spoof » (usurper une identité), ce terme est principalement employé dans le langage informatique.
Le procédé du « spoofing » consiste à recevoir un appel de la part d’un fraudeur qui usurpe l’identité de votre propre établissement bancaire en utilisant le numéro de téléphone de votre banque ou de votre conseiller bancaire.
De plus, ce faux conseiller détiendra sur sa victime des informations personnelles tels le nom de la banque détentrice des comptes, l’identité du client, le numéro de téléphone, les adresses e-mail et postale, etc …).
La victime est ainsi persuadée d’être en communication avec un professionnel de son établissement bancaire.
L’escroc au bout du téléphone prétextera l’existence d’opérations douteuses qui viennent au débit sur le compte bancaire du client.
Afin de faire opposition à ces opérations prétendument douteuses, l’escroc demande alors au client d’aller sur son application mobile et/ou son espace client en ligne de la banque pour valider l’opposition de ladite opération.
Or, ce faisant c’est le contraire qui est en réalité opéré ; puisque la validation par le client entraine le débit du compte du montant de l’opération que le client croyait annuler.
De même, il peut être demandé de supprimer et d’ajouter des personnes sur la liste des bénéficiaires de virements ou encore de remettre sa carte de paiement à des personnes qui passent les récupérer au domicile des victimes.
Cependant, en cas de fraude bancaire, lorsqu’un client se retourne vers sa banque en invoquant un manquement à son devoir de vigilance, celle-ci prétextait la « négligence grave » du client pour ne pas avoir à le rembourser des sommes détournées
En effet, l’article L.133-19, IV du Code monétaire et financier dispose que « le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 ».
Ainsi, la notion de « négligence grave » peut se définir comme l’acte commis par une personne qui contribue indirectement à l’escroquerie dont elle est victime.
Cette négligence s’apprécie en se référant au comportement de tout utilisateur « normalement attentif ».
A cet égard, le 12 juin 2025, la Cour de cassation a considéré, une nouvelle fois, que les banques ne pouvaient pas valablement reprocher à leurs clients de commettre une « négligence grave » lorsqu’ils reçoivent un appel téléphonique émanant prétendument de leur banque pour leur faire part du piratage de leur compte bancaire (Cour de cassation, civile, Chambre commerciale, 12 juin 2025, 24-13.777).
En l’espèce, la secrétaire de la société qui a fait l’objet de la fraude avait reçu un appel téléphonique d’un prétendu informaticien de la banque qui l’avertissait d’un problème informatique sur des opérations réalisées.
La secrétaire a obéi aux demandes de l’escroc et a procédé aux opérations, qui se sont révélés par la suite être des virements vers des comptes frauduleux en Allemagne pour un montant avoisinant les 100 000 euros.
La société victime a assigné la banque en réparation de ses préjudices après avoir déposé une plainte pour escroquerie, en dénonçant les virements qu’elle n’aurait pas autorisés.
Les juges d’appel et de cassation ont fait droit à sa demande et ont condamné la banque au remboursement des deux virements litigieux.
Il résulte de cette décision que le mode d’escroquerie du « spoofing » est de nature à mettre les clients en confiance compte tenu notamment du fait que le numéro de téléphone qui s’affiche est celui de leur propre banque de sorte que leur vigilance s’en trouve diminuée.
Cet arrêt est d’autant plus remarquable qu’il concerne une victime professionnelle.
La Cour de cassation confirme ainsi que la méthode du spoofing est telle qu’elle peut même tromper la vigilance d’une salariée d’une société habituée aux opérations bancaires, alignant sur ce point la protection des entreprises sur celle des particuliers.
La Cour de cassation a ainsi confirmé l’arrêt d’appel en ce qu’il a jugé que « dans l’hypothèse d’ordres de paiement non autorisés, il appartient à la banque de fournir les éléments afin de prouver la faute ou la négligence grave commise par sa cliente, l’arrêt, se fondant sur les auditions par les services d’enquête du dirigeant et de l’employée de la société, retient que la secrétaire de cette société avait reçu un appel téléphonique d’un soi-disant employé de la banque l’avertissant d’une panne informatique qui avait fait disparaitre les écritures du matin, et qu’à la demande de l’escroc, cette employée, après s’être connectée au service de paiement en ligne à l’aide du dispositif de sécurité personnalisé mais sans le mot de passe, avait effectué diverses manipulations afin de reconstituer les écritures sans se méfier de son interlocuteur qui ne lui demandait pas de mot de passe. Il relève que la circonstance que l’escroc ait pu usurper un numéro de téléphone de la banque et annoncer le code qui s’affichait sur l’écran de l’utilisatrice était de nature à persuader celle-ci qu’elle était en relation avec un technicien. Il ajoute que la connaissance par son interlocuteur des opérations réalisées avant l’appel et de leur disparition pouvait la conforter dans la croyance qu’un incident informatique était survenu. Il retient encore que l’historique des opérations versé aux débats par la société révèle que le numéro d’abonné du titulaire de la carte de transfert sécurisé n’était pas attaché à la validation des tiers ».
Pour conclure, il convient de garder en mémoire que tous les clients victimes de détournement de fonds sur leur compte bancaire par la technique du « spoofing » (particuliers et professionnels) peuvent efficacement obtenir le remboursement des fonds détournés par leur banque.
Je suis à votre disposition pour toute action ou information
Anthony Bem
Avocat à la Cour
27 bd Malesherbes – 75008 Paris
Tel : 01 40 26 25 01
Email : abem@cabinetbem.com
