Fraude bancaire par spoofing téléphonique : définition, mécanisme et enjeux juridiques

💡 La fraude par "spoofing téléphonique" constitue aujourd’hui l’une des formes les plus redoutables d’escroquerie bancaire. Elle consiste pour le fraudeur à usurper le numéro officiel d’une banque (via la technique du "caller ID spoofing") afin de se faire passer pour un conseiller légitime et pousser la victime à valider elle-même une opération, souvent au moyen de l’authentification forte (SCA) via SMS ou application bancaire. Cette modalité de fraude interroge depuis plusieurs années les juridictions civiles sur la responsabilité bancaire et les conditions de remboursement.

Longtemps, les banques ont tenté de se retrancher derrière l’article L133-19 du Code monétaire et financier (CMF) pour invoquer la "négligence grave" du client, estimant que la validation par authentification forte était un acte engageant, même en cas de tromperie. À ce titre, de nombreuses juridictions du fond avaient adopté une jurisprudence contrastée, certaines jugeant les clients imprudents, d'autres reconnaissant le caractère trompeur et organisé de la fraude.

Spoofing téléphonique et responsabilité bancaire : ce que dit la jurisprudence récente

Un tournant décisif est intervenu avec l’arrêt rendu par la Chambre commerciale de la Cour de cassation le 23 octobre 2024 (n° 23-16.267), publié au Bulletin. Dans cette affaire, la Cour juge qu'une cliente ayant validé une opération via authentification forte ne pouvait être considérée comme ayant commis une négligence grave, dans la mesure où le mode opératoire du fraudeur (appel avec usurpation de numéro, langage technique rassurant, création d’un climat d’urgence) était de nature à "mettre en confiance" la victime. Elle rappelle que l’article L133-19 CMF impose aux banques d’apporter la preuve soit d’une fraude du client, soit d’une négligence grave, cette dernière devant être caractérisée par un comportement manifestement inapproprié au regard des circonstances.

Depuis cette décision, plusieurs juridictions du fond se sont alignées sur cette position. La Cour d'appel de Versailles (28 mars 2023) avait déjà ouvert la voie en reconnaissant que l'authentification forte ne valait pas preuve d’autorisation en cas de fraude par spoofing, dès lors que le client avait été manipulé. Ce courant s’est désormais consolidé.

En conséquence, les juridictions reconnaissent également, dans certains cas, un préjudice moral autonome en cas de comportement fautif postérieur de la banque (absence d’écoute, rejet injustifié de la réclamation, attitude déshumanisée), permettant une réparation supplémentaire sur le fondement de l’article 1240 du Code civil.

📌 La jurisprudence actuelle est donc plus protectrice des victimes : elle impose aux banques un devoir accru de vigilance et de preuve, tout en reconnaissant les spécificités psychologiques et techniques des fraudes par spoofing. Ce mouvement jurisprudentiel participe d’une redéfinition des contours de la responsabilité bancaire à l’ère des escroqueries numériques.

🔍 Vous pourriez être intéressé par Fraude bancaire : quelles sont les obligations de la banque en matière de remboursement ?

Références principales :

  • Article L133-19 du Code monétaire et financier
  • Cass. com., 23 octobre 2024, n° 23-16267, Bull.
  • CA Versailles, 28 mars 2023
  • CA Paris, 26 janvier 2021, n° 19/06229
  • Article 1240 du Code civil