Elle se fait arnaquer en donnant ses codes secrets : sa banque est condamnée à la rembourser
Dans un arrêt récent, la Cour d'appel d'Angers a condamné une grande banque française à rembourser une cliente victime d'une arnaque particulièrement sophistiquée, alors même qu'elle avait fourni ses codes secrets aux escrocs.
Les arnaques et les fraudes en ligne sont devenues monnaie courante, et malheureusement beaucoup de personnes tombent dans le piège. Des victimes découvrent parfois un matin que d'importantes sommes ont disparu de leur compte bancaire. Face à cette situation, elles se tournent vers leur banque pour contester ces transactions.
En théorie, la loi est du côté des clients puisque, lorsque l'un d'eux conteste une transaction suspecte, les établissements bancaires sont tenus de le rembourser dans les vingt-quatre heures, puisqu'il paie un service visant à assurer la sécurité de ses transactions (voir notre article). Mais, en réalité, nombre d'entre eux refusent, accusant les victimes de négligence. Heureusement,ces dernières peuvent compter sur la justice. C'est en tout cas ce qu'il ressort d'un arrêt de la Cour d'appel d'Angers rendu le 27 janvier dernier, qui oblige le Crédit Agricole à rembourser une cliente victime d'une fraude bancaire sophistiquée.
Tout commence en janvier 2019, lorsque la gérante de la SARL Réception Val de Loire reçoit un appel sur son téléphone, affichant le numéro de son agence bancaire habituelle. L'interlocuteur se présente comme un conseiller du Crédit Agricole et lui annonce qu'elle doit activer SécuriPass, un service de sécurité qui existe réellement et est bel et bien proposé par la banque. Peu après, elle reçoit un SMS qui semble provenir de sa banque, contenant un code à usage unique accompagné du message standard de sécurité qui précise de ne jamais transmettre ce code à quiconque. Puis arrive un e-mail, envoyé là encore par le Crédit Agricole. En réalité, il s'agit d'un faux, mélangeant des techniques de phishing et de spoofing et imitant à la perfection un courriel officiel.
En dépit de ses doutes initiaux, la cliente finit par communiquer deux codes. Les fraudeurs les utilisent alors pour ajouter de nouveaux bénéficiaires et réaliser six virements frauduleux depuis le compte de sa société, son compte personnel et celui de sa fille. La banque parvient à bloquer une partie des sommes, mais 11 593 euros sont définitivement dérobés.
Mais le Crédit Agricole refuse de rembourser sa cliente, arguant qu'elle a fait preuve de "négligence grave" en transmettant ses codes, ce qui, selon le Code monétaire et financier, la rend responsable. Dans un premier jugement en juillet 2021, le tribunal de commerce du Mans donne raison à la banque, estimant que la cliente est fautive, et la condamne même à lui verser 500 euros au titre des frais de justice. Face à cette décision qu'elle estimait injuste, cette dernière fait appel.
Après six ans de procédure, la cour d'appel d'Angers lui a finalement donné raison, les magistrats jugeant que l'escroquerie mise en place était d'une redoutable sophistication. L'utilisation d'un numéro usurpé, de courriels imitant parfaitement ceux de la conseillère habituelle, ainsi que la planification des virements tard dans la soirée, montrent que les fraudeurs avaient tout calculé pour tromper leur cible. Dans ces conditions, la cour estime que, bien que la cliente ait effectivement transmis ses codes, elle n'avait pas commis de négligence grave au sens juridique. Par conséquent, le Crédit Agricole est tenu de lui rembourser les 11 593 euros volés et de lui verser 3 500 euros de frais de justice.
Cette décision, qui a des implications importantes pour les pratiques de sécurité en ligne des institutions financières et la protection des consommateurs, a réaffirmé que les clients ne peuvent être tenus responsables des opérations non autorisées, à moins qu'ils n'aient agi de manière frauduleuse. D'ailleurs, un accord entre le Parlement et le Conseil européens prévoit de renforcer les obligations des banques envers les clients trompés par ce type d'arnaque.