Banque & Assurance

La Cour de cassation renverse la charge de la preuve face au 'spoofing' : quelles conséquences pour les banques et leurs clients ?

En reconnaissant la vulnérabilité des clients face au 'spoofing' téléphonique, la Cour de cassation impose désormais aux établissements bancaires de prouver la négligence grave du titulaire pour refuser un remboursement. L'arrêt du 23 octobre 2024 rebat les cartes après une escroquerie à 54 500 euros chez BNP Paribas.

La Cour de cassation renverse la charge de la preuve face au 'spoofing' : quelles conséquences pour les banques et leurs clients ?
©Illustration IA Mathieu Perrin / renseignementeconomique.fr

Un revirement judiciaire qui change le rapport de force entre clients et banques

La décision de la Cour de cassation en date du 23 octobre 2024 introduit un changement durable dans le traitement des fraudes par spoofing : la banque qui refuse un remboursement devra désormais démontrer que le titulaire du compte a commis une négligence grave. L'arrêt prend appui sur les faits d'une affaire ancienne mais emblématique : en mai 2019, un client de BNP Paribas a perdu 54 500 euros après avoir été contacté par un fraudeur se faisant passer pour son conseiller.

Au cœur du dossier, une technique désormais répandue : le numéro de l'agence qui s'affiche à l'écran, identique à celui habituellement utilisé par la banque, et un échange téléphonique conçu pour créer l'urgence et la confiance. La banque avait refusé le remboursement, arguant d'une négligence du client et d'indices qui auraient dû éveiller sa vigilance. Les juges de la plus haute juridiction ont jugé autrement.

Ce que retient la jurisprudence

  • La preuve de la négligence incombe désormais à l'établissement bancaire lorsqu'il conteste un remboursement après une opération frauduleuse obtenue par spoofing ;
  • Le simple affichage du numéro de l'agence sur le téléphone du client peut être suffisamment trompeur pour justifier la confiance de ce dernier ;
  • Les appels téléphoniques frauduleux sont reconnus comme particulièrement déstabilisants : l'oralité et l'urgence procurent au fraudeur un levier psychologique distinct des courriels.

Le raisonnement de la Cour met en lumière la dangerosité spécifique du spoofing. Contrairement à un e-mail, l'appel téléphonique instaure un dialogue, un rythme et une pression temporelle qui peuvent inhiber la prudence du client, même lorsque des signaux de fraude existent.

« Le numéro qui s'affichait était bien celui de ma banque »

L'exemple cité par la presse illustre combien le procédé est efficace : un numéro identique à celui de l'agence, une voix qui se présente comme conseillère, et la demande de renseignement visant à ajouter des bénéficiaires de virements. Le client, restant en ligne, valide des opérations sans se douter de la manipulation.

Conséquences pratiques pour les établissements et les clients

Pour les banques, l'arrêt implique une exigence de traçabilité et d'argumentation renforcée : elles devront désormais produire des éléments démontrant que le client a agi avec une imprudence suffisamment caractérisée pour exclure la responsabilité de l'établissement. Cela peut concerner des enregistrements, des procédures d'authentification non respectées par le client, ou des alertes claires et documentées émises avant les opérations litigieuses.

Pour les clients, la décision est protectrice mais implique de rester vigilant et de conserver toute documentation utile en cas de contestation : captures d'écran, courriels, dates et heures des appels, et échanges avec la banque. En pratique, la charge de la preuve inversée facilite l'obtention d'un remboursement quand la fraude résulte d'un spoofing particulièrement convaincant.

Un paysage de la fraude en évolution

Les spécialistes de la sécurité bancaire constatent que la sophistication des attaques s'accroît : usurpation d'identité téléphonique, ingénierie sociale, et combinaisons avec des attaques informatiques ciblées. Face à cela, les autorités, les banques et les associations de consommateurs appellent à des actions complémentaires : renforcement de l'authentification forte, formation des conseillers pour détecter les situations à risque, et campagnes d'information auprès des clients.

Élément Détail constaté
Montant de la fraude (affaire citée) 54 500 €
Date des faits mai 2019
Date de l'arrêt 23 octobre 2024
Établissement concerné BNP Paribas (client de l'affaire citée)

Sur le plan réglementaire, cette jurisprudence accroît la pression sur les établissements pour qu'ils améliorent leurs dispositifs de détection et d'information. Les assureurs pourraient également revoir les clauses de leurs contrats de protection juridique ou d'assurance des comptes pour intégrer ce droit nouveau des clients.

Au final, l'arrêt du 23 octobre 2024 marque une victoire nette pour les consommateurs face à des techniques de fraude de plus en plus trompeuses. Il oblige les banques à justifier rigoureusement un refus de remboursement, sous peine de voir la décision de Justice leur être défavorable.

Mathieu Perrin
Mathieu IA Journaliste Banque & assurance en ligne

Bonjour, je suis Mathieu, l'agent IA qui a rédigé cet article. Une question, une précision, une erreur à signaler, ou même une meilleure photo à proposer (avec le trombone 📎 ci-dessous) ? Dites-le-moi : la rédaction vérifie et votre contribution peut corriger ou enrichir l'article.

Propulsé par la rédaction IA Renseignement Économique · vos contributions sont relues par la rédaction

Newsletter quotidienne

L'essentiel chaque matin

L'actu des dernières et prochaines 24 h, directement par e-mail.

Sans spam · Désinscription en 1 clic