La Cour de cassation, la plus haute juridiction civile a rappelé les règles en matière de fraude bancaire : les banques doivent d’abord prouver que les opérations litigieuses (ici sept virements frauduleux) ont bien été authentifiées (normalement sécurisées) par la banque, avant d’invoquer la « négligence grave » de leur client.
En matière de fraude bancaire, les victimes se retrouvent parfois doublement démunies : non seulement elles sont dépouillées de sommes importantes, mais elles font souvent face à un mur, lorsqu’elles demandent un remboursement à leur banque. Et la Cour de cassation, la plus haute juridiction civile, a rendu un arrêt important en la matière, le 30 avril dernier. Dans cette affaire, la victime, en pleine réunion, avait ouvert un courriel qui semblait provenir de sa banque – mais qui émanait en fait d’un arnaqueur. Elle avait ensuite cliqué sur un lien frauduleux.
Grâce à cette opération, un nouveau bénéficiaire avait été ajouté au compte de la société, avant que sept virements, de près de 20 000 euros chacun, soient effectués. La victime (un dirigeant d’une SARL) s’en était aperçu seulement quelques jours plus tard. Elle avait prévenu sa banque, qui était parvenue à récupérer une partie de la somme (près de 90 000 euros) – un montant qui lui a bien été restitué. Mais pour les 50 000 euros restants, l’argent avait bien été débité, les sommes s’étaient évaporées dans la nature. La banque estimait que son client avait fait preuve de négligence grave, et qu’elle n’avait pas à lui rembourser cette somme. Une décision que la SARL a attaquée devant la justice.
À lire aussi : Arnaques bancaires : pourquoi vous devez demander le remboursement auprès de votre banque
Des « incohérences facilement décelables » dans l’email pour la cour d’appel
Et si en première instance, le tribunal de commerce lui a donné raison, la cour d’appel de Rennes a cassé cet arrêt, estimant que la société avait bien fait preuve de négligence grave. Notamment parce que l’email en question « comport(ait) des incohérences facilement décelables » et qu’une « première tentative d’escroquerie portée à la connaissance de (la victime) peu de jours auparavant » aurait dû la rendre d’autant plus vigilante.
La Cour de cassation vient casser cet arrêt, en rappelant les étapes à suivre pour les juges de fond. Avant de se demander si la victime a fait preuve de négligence grave ou pas, les banques doivent d’abord prouver que les « opérations de paiement litigieuses (ont bien) été authentifiées, dûment enregistrées et comptabilisées et qu’elles n’avaient pas été affectées par une déficience technique ou autre ».
À lire aussi : Fuites de données : oui, votre IBAN peut être utilisé par des hackers pour faire des achats
Avant la négligence grave, l’authentification forte doit être prouvée
Pour rappel, en droit français, la loi impose que les banques remboursent, sur leurs propres deniers, leurs clients de toute somme indûment prélevée sur leur compte bancaire. Qu’importe si l’escroc et les sommes dérobées ne sont jamais retrouvés. Mais il existe deux exceptions : si le client est un complice de l’escroquerie, ou s’il a été « gravement négligent ». C’est à l’établissement bancaire d’apporter la preuve de ces deux éléments, qui lui permettent de botter en touche.
Et dans cette affaire, la Cour de cassation vient « simplement rappeler ce que dit la loi » : avant de parler de « négligence grave se pose d’abord la question de l’authentification forte », explique l’avocat Arnaud Delomel, qui défend régulièrement des victimes d’escroquerie financière. Donc « au préalable, on prend le temps de regarder si les opérations de virement ont bien été authentifiées et sécurisées par la banque » – si elles ont bien été validées par un système de « double authentification » par la victime – le fait de combiner deux éléments d’identification, comme son smartphone et un mot de passe ou un code. Et là aussi, c’est à l’établissement bancaire d’apporter cette preuve.
À lire aussi : Arnaque au faux conseiller bancaire : si vous donnez votre carte bancaire à un faux coursier, votre banque ne vous remboursera pas
Une bonne nouvelle pour les consommateurs
« Pourquoi ce préalable ? Parce qu’en fait, quand il n’y a pas d’authentification forte, la négligence grave ne suffit pas pour que la personne soit déboutée (de sa demande de remboursement NDLR). C’est-à-dire que lorsque la banque n’est pas capable de prouver qu’il y a eu une authentification forte, le seul cas dans lequel le consommateur n’est pas remboursé, c’est celui dans lequel il est un fraudeur, à charge à la banque de le prouver », poursuit Maître Arnaud Delomel. Pour l’avocat spécialisé en droit du crédit et de la consommation, il ne s’agit pas à proprement parler d’un revirement : « la cour de Cassation avait déjà rappelé cette règle dans son arrêt de principe de 2020, répété en août 2023 ».
L’arrêt vient donc rappeler que la balle est d’abord dans le camp de la banque, qui doit prouver, avant d’invoquer la possible négligence grave de son client, que l’opération de virement – tout comme l’ajout du bénéficiaire – sont bien passés par le processus d’authentification forte de l’établissement bancaire : une bonne nouvelle pour les victimes d’arnaques bancaires et les consommateurs, qui ne doivent pas pour autant relâcher leur vigilance face aux mille et une tentatives d’escroqueries.
Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.