Spoofing : ce qu'il faut savoir

**Arnaud Dumourier** (0:10)
On commence par un sujet qui touche à la fois les particuliers comme les entreprises et qui prend l'ampleur, le spoofing. De quoi s'agit-il ? Quelle est la responsabilité des banques ? Quelle est la place des opérateurs téléphoniques ? On en parle tout de suite avec mon invité, Virginie Audinot, avocat fondatrice d'Audinot Avocats. Virginie Audinot, bonjour.

**Virginie Audinot** (0:31)
Bonjour Arnaud.

**Arnaud Dumourier** (0:32)
Pour bien comprendre ce phénomène du spoofing, commençons par la base. Qu'est-ce que le spoofing ?

**Virginie Audinot** (0:39)
Le spoofing, c'est devenu aujourd'hui un fléau de société, on en entend énormément parler, de plus en plus malheureusement. Le spoofing, c'est une technique de fraude bancaire très pernicieuse, puisqu'en fait le fraudeur va usurper le numéro officiel de la banque de la victime. C'est-à-dire concrètement que la victime va être contactée par téléphone par le fraudeur, mais va voir s'afficher sur son téléphone le numéro de sa banque.

**Arnaud Dumourier** (1:06)
Donc elle croit que c'est sa banque qui l'appelle.

**Virginie Audinot** (1:10)
Et croit légitimement être en conversation avec un conseiller bancaire. La technique du fraudeur est toujours la même, quasi systématiquement la même. C'est-à-dire qu'il va d'abord se présenter comme étant du service fraude de la banque, va invoquer les opérations suspectes qui auraient été détectées sur les comptes bancaires de la victime, le placer dans une situation d'urgence pour faire une action, des opérations, des virements pour bloquer la fraude et en réalité, ces opérations n'ont que pour but de vider la trésorerie de la victime et les comptes bancaires de la victime au profit du fraudeur.

**Arnaud Dumourier** (1:43)
Donc on connaît bien maintenant les contours du spoofing. On va s'intéresser maintenant aux aspects juridiques. Quel est le cadre juridique ?

**Virginie Audinot** (1:51)
Sur le plan juridique, le spoofing est encadré par ce qu'on appelle le régime des opérations dites non autorisées, prévu par le Code monétaire et financier à l'article L133-18. Ce texte pose l'obligation pour les banques de rembourser immédiatement un client bancaire lorsque celui-ci constate sur son compte bancaire des débits qu'il n'aurait pas autorisé et qui aurait été passé au débit de son compte à son insu. Donc la première question qui s'est posée quand même devant les juges a été de savoir si on pouvait parler d'opérations non autorisées dès lors qu'elles étaient validées quand même par le client sur son application bancaire.

**Arnaud Dumourier** (2:25)
La jurisprudence a répondu quoi ?

**Virginie Audinot** (2:26)
La jurisprudence, de façon assez systématique, considère qu'on est bien dans le cadre d'une opération non autorisée puisqu'on n'a pas un consentement libre et éclairé sur l'opération qui est faite et on n'a pas une connaissance réelle du bénéficiaire, évidemment, puisqu'on ne suppose pas que ça puisse être un fraudeur.
Et la banque a en revanche des possibilités de s'exonérer de cette obligation de remboursement en démontrant que l'opération en question a été dûment authentifiée, enregistrée, comptabilisée et qu'elle n'a pas été affectée d'une déficience technique. Ça, c'est une première chose. Et même si elle démontre cette authentification, il reste qu'il faut ensuite qu'elle prouve, et la charge de la preuve incombe bien à la banque, qu'elle prouve une négligence grave du client pour pouvoir s'exonérer. Et du coup, même si le principe du code monétaire financier est simple, tout le débat juridique va tourner autour de cette fameuse notion de négligence grave.

**Arnaud Dumourier** (3:17)
D'accord. Donc, pour engager, si je comprends bien, si pour engager la responsabilité de la banque, enfin la banque pour s'exonérer de sa responsabilité, il faut qu'elle prouve une négligence grave du client. Et ça, c'est difficile à prouver ?

**Virginie Audinot** (3:33)
Alors, c'est difficile à prouver oui, parce qu'aujourd'hui, on a une jurisprudence qui est vraiment favorable aux victimes. En fait, de façon systématique, on s'aperçoit que quel que soit le dossier, quel que soit l'enjeu, quel que soit le contexte de la fraude, la banque a tendance, de façon systématique, à refuser le remboursement et à invoquer cette fameuse négligence grave du client. Et heureusement, on voit que les juges sont sensibles à ce type de fraude et tendent au contraire à une exigence par rapport aux établissements bancaires, à rappeler que la négligence grave doit confiner au dole, que ce n'est pas une négligence simple, et que surtout dans le contexte du spoofing, avec une usurpation du numéro officiel de la banque, avec une pression psychologique du fraudeur, avec une apparence de crédibilité et d'authenticité du discours du fraudeur à l'égard de la victime, on ne peut pas évidemment imputer une négligence grave au client bancaire. Au mieux une imprudence ou une négligence simple. Mais dès lors que le fraudeur produit finalement une identité téléphonique à l'identique de la banque, il est difficile finalement d'imputer une négligence grave au client bancaire. Et ça rejoint d'ailleurs, pardon Arnaud, la philosophie de la directive européenne de 2015 qui a été transposée en droit français et qui considère bien que la fraude, ce type de fraude, la charge de la fraude doit peser sur la banque et non pas sur la personne qui a été trompée.