Début 2024, une fraude au président a été commise à l’aide d’un deepfake[1] usurpant l’identité du directeur financier d’un grand groupe. Suite à la visioconférence à laquelle d’autres (fausses) personnes participaient, des ordres de virements pour un total de plus de 25 millions de dollars ont été validés vers plusieurs comptes bancaires à Hong Kong.
Dans un autre registre, un particulier est démarché par une société de courtage frauduleuse et croit investir sur le marché des crypto-actifs. Il passe plusieurs ordres de virement pour un montant de plus de 118 000 € en l’espace de deux mois, au profit d’une société détenant un compte bancaire situé en Lituanie.
Les arnaques en ligne se multiplient aujourd’hui et les fraudeurs rivalisent d’ingéniosité pour tromper leurs victimes, en usant des dernières technologies à leur avantage. Face à la recrudescence d’arnaques en ligne, quelle est la responsabilité des établissements bancaires ?
Les juridictions semblaient jusqu’à présent être indulgents à l’égard de ces utilisateurs, considérés comme les victimes de fraudes complexes. Et ce d’autant plus que les banques sont considérées comme davantage « averties » et tenues à plusieurs types d’obligations, légales et règlementaires :
- Elles sont débitrices d’une obligation de prudence et de vigilance dans le cadre de la gestion des comptes de leurs clients ; elles doivent détecter les anomalies dans les opérations effectuées et vérifier leur régularité aux fins de lutte contre le blanchiment de capitaux et financement du terrorisme ;
- Elles sont tenues aux dispositions du Code monétaire et financier en matière de sécurité des paiements.
- Elles sont également soumises à une obligation de non-immixtion dans les affaires de leurs clients. Cela ne les exonère pas de leur devoir de vigilance.
Ainsi, lorsque des ordres de virement sont rapprochés et répétés dans le temps avec des « montants élevés par rapport aux ordres habituellement donnés (…), établis au bénéfice de sociétés ne faisant pas partie des relations d’affaires de la société et situées en dehors de l’espace habituel de son activité », les juges estiment que la banque devait se renseigner sur leur validité directement auprès du dirigeant[2]. »
En cas de phishing[3], il est prévu le remboursement des opérations de paiement contestées à l’article L 133-18 du Code monétaire et financier[4]. Les fonds doivent donc être restitués par les banques au titulaire du compte[5].
Par exception, l’article L.133-19 IV et V du Code monétaire et financier prévoit :« Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17[6]. » En pratique, il s’agit pour l’utilisateur de prendre « toute mesure raisonnable pour préserver la sécurité de ses données » et d’informer la banque sans tarder en cas de perte, vol, détournement ou toute utilisation non autorisée de ses moyens de paiement ou de ses données. L’utilisateur ne peut donc prétendre au remboursement intégral des sommes indûment versées dès lors que la fraude a été favorisée par son comportement fautif[7]. Cependant, comment rapporter la preuve que l’utilisateur n’a pas été suffisamment prudent quant à la sécurité de ses données dans les faits[8] ?
Pour cette raison, la responsabilité de la banque sera retenue dans une grande partie des cas et la banque sera tenue au remboursement des sommes indûment versées.
En outre, la banque y sera également tenue si elle a omis d’exiger une authentification forte du payeur[9]. Une authentification forte s’entend d’une « procédure permettant au prestataire de services de paiement de vérifier l’identité d’un utilisateur de services de paiement ou la validité de l’utilisation d’un instrument de paiement spécifique, y compris l’utilisation des données de sécurité personnalisées de l’utilisateur.[10] » Cette procédure doit reposer sur l’utilisation de deux éléments ou plus appartenant à la connaissance (quelque chose que seul l’utilisateur connaît comme un code ou mot de passe), la possession (quelque chose que seul l’utilisateur possède par ex le téléphone portable) et l’inhérence (quelque chose que l’utilisateur est, par ex son empreinte digitale ou reconnaissance faciale). La compromission de l’un de ces éléments ne doit pas remettre pas en question la fiabilité des autres et la procédure doit être conçue de manière à protéger la confidentialité des données d’authentification. C’est bien pour cette raison qu’aujourd’hui, les banques sollicitent aussi souvent l’utilisateur pour se reconnecter et valider les opérations à distance, via leur site web ou application mobile, de sorte à satisfaire à l’obligation légale d’authentification forte[11].
Cependant, l’information grandissante des utilisateurs clients quant aux tentatives de fraudes et d’usurpation d’identité des conseillers bancaires peut-elle renforcer l’obligation de vigilance du client et amener le juge à être moins clément ?
En matière de fraude au président, la Cour de cassation avait énoncé que la responsabilité de l’établissement bancaire ne pouvait être retenue qu’en cas d’« anomalie dans le fonctionnement du compte », ce qui n’était pas le cas, la banque ne pouvant supposer que les chèques déposés constituaient des actes anormaux de gestion[12]. Ainsi, dans le premier exemple en introduction, si la banque a bien vérifié l’identité du directeur financier émetteur des virements, elle ne peut être tenue responsable de l’erreur commise par ce dernier quant à l’identité du donneur d’ordre « interne ».
Il faut donc rappeler que les banques ont un devoir de non-immixtion dans les affaires de leurs clients.
Dans le deuxième exemple en introduction, la Cour d’appel a confirmé le jugement de première instance en écartant la responsabilité de la banque[13]. L’appelant se fondait sur les obligations de compliance imposées aux organismes financiers en application des articles L. 561-5 à L. 561-22 du code monétaire et financier, ayant pour seule finalité la lutte contre le blanchiment de capitaux et le financement du terrorisme. Les victimes d’agissements frauduleux ne peuvent donc pas s’en prévaloir pour réclamer des dommages-intérêts à l’établissement bancaire. En outre, la Cour rappelle que les sociétés de courtage en cause n’ont été inscrites sur la liste des plateformes suspectes que plus tard, alors que les virements en cause avaient déjà été réalisés. Rien ne pouvait donc permettre à la banque au moment des faits de suspecter que les ordres de virement pour « placement financier » comportaient une anomalie : leur objet était licite, c’était bien le titulaire du compte qui les réalisait de son plein gré, le compte bancaire du client restait créditeur, les comptes destinataires étaient situés dans un pays de l’Union européenne[14].
Cet arrêt rappelle que les établissements bancaires n’ont pas d’obligation d’investiguer sur les opérations de leurs clients pour déterminer s’il s’agit d’une fraude aux faux placements.
Or, de plus en plus d’internautes sont incités, et notamment par le biais d’influenceurs ou en détournant l’image de stars via des outils d’IA[15], à placer leurs économies dans des cryptoactifs et qui se révèlent être des pyramides de Ponzi. Il appartient donc à l’internaute d’être prudent au quotidien quant à la sécurité de ses données et opérations bancaires. Vigilance constante !
Notes
[1] Un deepfake est un trucage photo, audio ou vidéo avec le recours à l’intelligence artificielle, afin de prendre l’apparence et/ou la voix d’une autre personne.
[2] Cass. com., 2 oct. 2024, n° 23-13.282, Publié au bulletin : « L’arrêt, ayant retenu l’existence de circonstances inhabituelles entourant les virements litigieux laissant suspecter une possible « fraude au président », en a exactement déduit, sans exiger l’obtention d’un nouvel ordre de paiement, que la banque aurait dû vérifier la régularité des ordres de virement auprès du dirigeant, seule personne contractuellement habilitée à les valider. »
[3] L’hameçonnage (phishing en anglais) est une technique frauduleuse destinée à tromper l’internaute pour l’inciter à communiquer des données personnelles (comptes d’accès, mots de passe…) et/ou bancaires, généralement en se faisant passer pour un tiers de confiance (ex : son conseiller bancaire).
[4] « En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu. »
[5] Toutefois, l’utilisateur devra supporter la perte d’un plafond de 50€ en cas d’opérations de paiement non autorisées suite à un vol ou une perte du moyen de paiement. La responsabilité du payeur ne sera pas retenue en cas d’opération de paiement non autorisée effectuée sans utilisation des données de sécurité personnalisées (pas de code), en cas de perte ou de vol d’un instrument de paiement ne pouvant être détecté par l’utilisateur avant le paiement, ou suite à un détournement à son insu de son moyen de paiement ou de ses données (Article L.133-19 du Code monétaire et financier)
[6] Les articles L.133-16 et -17 du Code monétaire et financier prévoient « dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées. (…) Lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l’utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l’instrument, son prestataire ou l’entité désignée par celui-ci. »
[7] C’est donc le principe de limitation de la réparation du préjudice en cas de faute de la victime qui s’applique mais cela peut être difficile à prouver par la banque en pratique. Exemple : Cass. com. 18 janvier 2017 n°15-18.102 : « c’est à ce prestataire qu’il incombe (…) de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations ; que cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ; (…) qu’il ne résultait pas des pièces versées aux débats la preuve que M. [C] avait divulgué à un tiers, de manière intentionnelle, par imprudence ou par négligence grave, des éléments d’identification strictement confidentiels ayant permis les paiements contestés. »
[8] Cass. com. 28-6-2016 no 14-21.256 F-D : RJDA 11/16 no 809/ Cass. com. 25-10-2017 no 16-11.644 FS-PBI : BRDA 23/17 inf. 12 ; Cass. com. 28-3-2018 no 16-20.018 FS-PB : BRDA 9/18 inf. 16
[9] Les banques, au titre de leur obligation de sécurité des paiements, doivent appliquer l’authentification forte lorsque l’utilisateur « accède à son compte de paiement en ligne, initie une opération de paiement électronique ou exécute une opération par le biais d’un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse. » (art. L133-44 du Code monétaire et financier) Il s’agit d’une obligation émanant de la Directive européenne n°2015/2366 dite « DSP2 », transposée en droit français en 2017. A noter qu’une « DSP3 » est en cours de discussion, elle devrait introduire de nouveaux outils pour combattre et limiter la fraude.
[10] Définitions à l’article L.133-4 e) et f) du Code monétaire et financier
[11] Cass. com., 30 août 2023, n° 22-11.707, Publié au bulletin : « (…) sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue par le second de ces textes. (…) En se déterminant ainsi, sans rechercher, comme il lui incombait, si l’opération de paiement litigieuse avait été exécutée sans que la banque exige l’authentification forte du payeur, la cour d’appel n’a pas donné de base légale à sa décision. »
[12] Cass. com. 28 juin 2016 n°14-21.256 : « les retraits d’espèces étaient effectués en contrepartie de la remise à la banque de chèques réguliers en la forme et provisionnés, tirés sur le compte de la société par son gérant, seul habilité à le faire fonctionner, ce dont il résulte que, malgré leur importance et leur fréquence, ces retraits ne caractérisaient pas une anomalie dans le fonctionnement du compte devant conduire la banque, qui n’avait pas à s’immiscer dans les affaires de sa cliente, à refuser d’exécuter ses ordres, la cour d’appel a violé le texte susvisé. »
[13] CA Paris, pôle 5 ch. 6, 27 sept. 2023, n° 21/21364
[14] La banque est-elle responsable si l’utilisateur fait confiance à un interlocuteur qu’il ne connait pas et qui lui raconte une histoire suffisamment crédible pour qu’il réalise des virements dans l’espoir de faire des placements financiers rémunérateurs ?
Si l’utilisation frauduleuse des données ou d’un moyen de paiement à l’insu de son utilisateur peut faire l’objet d’une indemnisation de la banque sous certaines conditions, il paraît sensé que le fait pour un utilisateur d’être victime d’une arnaque par un tiers et de valider sciemment les versements avec une authentification forte ne relève pas de la responsabilité de la banque.
[15] Des fausses publicités ou des faux articles de presse ont circulé sur les réseaux sociaux pour promouvoir des sites de cryptomonnaies par l’entremise d’Élise Lucet, Alain Chabat, Vincent Cassel, Cyril Lignac, Jamel Debbouze…
