La fraude bancaire ne cesse de s’intensifier depuis plusieurs années. Les fraudeurs sont de plus en plus innovants dans leur manière de fonctionner.
Le phishing ou hameçonnage en français, est une méthode qui consiste à leurrer un utilisateur pour lui soutirer des informations personnelles ou de l’argent.
Par un jugement du 9 août 2024 (TJ Paris, PCP JTJ proxi fond, 09-08-2024, n° 22/03617), le tribunal judiciaire de Paris rappelle que :
« Le principe est celui de l’indemnisation par l’établissement bancaire d’une opération frauduleuse sur le compte de son client, notamment par l’utilisation détournée de ses moyens de paiement.
Cette présomption ne peut être écartée et dispenser l’établissement bancaire de son obligation de remboursement que si celui-ci démontre soit une fraude de l’utilisateur du service de paiement, soit une négligence grave de l’intéressé à ses obligations dans ce cadre. La loi a spécialement tenu, à ce titre, à préciser qu’il ne pouvait résulter de la seule utilisation de l’instrument de paiement que l’opération aurait été autorisée ou qu’elle aurait été permise par une négligence grave du titulaire du compte.
Aussi, lorsque le client signale une opération sur son compte qu’il considère ne pas avoir autorisée, l’établissement bancaire ne peut se retrancher devant l’existence et la mise en œuvre théorique d’un processus sécurisé d’autorisation quant à l’opération litigieuse pour démontrer que cette autorisation a été effectivement donnée par les clients ou qu’elle aurait été donnée par un tiers à raison de leur négligence.
L’établissement bancaire doit en effet prouver de façon circonstanciée la réalité du consentement du titulaire du compte ou de façon tout aussi circonstanciée, la faute de l’intéressé qui aurait amené à la mise en œuvre l’opération.
(….)
Or, LA BANQUE POSTALE s’est uniquement prévalue de son système d’autorisation sécurisée dans le cadre de son espace internet pour en déduire, sans le moindre indice d’une autre preuve, que ses clients auraient consenti personnellement à l’opération ou que leur manque de prudence aurait conduit à la divulgation de leurs codes et données personnelles. Au demeurant, les éléments de description du degré de sécurisation de l’espace Internet sont inexistants, sauf des allégations d’ordre général tenant au fonctionnement général des espaces internet des banques et sauf l’envoi de deux SMS, envoi non contesté par les demandeurs, l’un pour l’ajout d’un compte bénéficiaire pour un virement, l’autre pour l’acceptation de la réalisation de ce virement.
Il sera rappelé que la création d’un bénéficiaire pour la réalisation dématérialisée de virements ne relève pas du fonctionnement banal d’un compte et que la vérification de l’absence de fraude pour une telle opération, plus spécialement par la certification du caractère personnel au client de cette création, correspond à une prudence minimale exigée de l’établissement bancaire. Elle l’est d’autant plus que ce dernier ne manque pas d’être parfaitement informé de la multiplication des escroqueries par le truchement de faux virements vers des comptes douteux dans certaines banques à l’étranger.
En l’espèce, force est de relever que LA BANQUE POSTALE n’a produit à l’instance aucun document fiable attestant d’une part de la validation personnelle par les titulaires du compte de la désignation d’un compte bénéficiaire pour les virements, d’autre part de l’utilisation personnelle par ceux-ci de leur certicode.
Le document le plus individualisé et le plus lisible ne permet que d’attester d’une invitation, pour la désignation d’un autre compte bénéficiaire, à utiliser le certicode. S’agissant du fichier dont la copie est produite, il ne démontre rien à l’encontre des époux [Aa], si ce n’est une adresse IP totalement différente par rapport aux autres opérations, qu’elles soient antérieures ou postérieures.
D’une part, L’envoi de deux SMS demandant une validation d’une opération internet ne démontre pas que cette validation ait été faite personnellement par les destinataires de ces SMS. Ils rendent d’ailleurs improbables l’utilisation des codes par des tiers connus des demandeurs puisque ces tiers auraient dû à la fois avoir connaissance de ces codes, à la fois avoir accès au téléphone portable sur lequel les messages ont été reçus.
D’autre part, le défaut de connaissance ou de prise en compte par les titulaires du compte de deux SMS notifiant une opération douteuse sur une durée de quelques jours, n’est pas en soi constitutif d’une négligence grave ».
Il résulte de ce jugement que c’est à la Banque de rapporter la preuve de l’authentification de l’ordre de paiement par le client. Cette preuve ne peut se déduire d’un simple document attestant d’une invitation, pour la désignation d’un autre compte bénéficiaire, à utiliser le code confidentiel. La preuve de l’envoi de deux SMS demandant la validation d’une opération interne ne démontre pas plus que cette validation a été faite personnellement par les destinataires des SMS.
(TJ Paris, PCP JTJ proxi fond, 09-08-2024, n° 22/03617)