Authentification

Le faux conseiller avait utilisé la technique du spoofing, en appelant la cliente depuis le numéro officiel du service client de la banque, après un premier appel émis depuis un numéro de téléphone mobile. Cet élément est déterminant.

L’établissement bancaire doit démontrer que l’opération contestée a été dûment authentifiée et qu’elle n’est entachée d’aucune défaillance technique. À défaut, la banque doit procéder au remboursement, indépendamment même de la question de la négligence du client. Cette décision s’inscrit dans le contentieux désormais abondant des fraudes bancaires reposant sur des techniques d’ingénierie sociale, mêlant usurpation d’identité et manipulation psychologique des victimes.

Le tribunal a rappelé alors (et on ne le répètera jamais assez) que la fraude par faux conseiller bancaire constitue un procédé de manipulation sophistiqué, destiné à créer un climat de confiance artificiel. Il a souligné en outre que l’affichage du numéro officiel de la banque constitue un facteur déterminant, de nature à légitimer pleinement la confiance de la cliente. Dans ces conditions, aucune personne normalement diligente ne pouvait raisonnablement suspecter la fraude

Le tribunal reconnaît implicitement cette réalité : la vigilance du consommateur ne peut compenser les défaillances des dispositifs de sécurité de la banque, notamment lorsqu’aucune authentification forte n’a été exigée. La décision de Nancy s’inscrit dans une tendance jurisprudentielle nette : la charge de la preuve et la responsabilité technique reposent sur le prestataire de services de paiement.

Ce jugement s’inscrit dans une série de décisions de juridictions de première instance et d’appel qui rappellent avec constance la règle : sauf preuve d’une négligence grave du client, la banque doit rembourser les opérations de paiement non autorisées. L’affaire met également en lumière un point sensible : la place de l’authentification forte dans la lutte contre la fraude.

L’authentification forte, loin d’être une garantie absolue, ne permet pas de rejeter systématiquement les demandes de remboursement. Le « spoofing » repose précisément sur la capacité des fraudeurs à manipuler la vigilance des clients, en se faisant passer pour des interlocuteurs légitimes, et à obtenir indirectement la validation d’opérations.