N° RG : N° RG 23/03585 – N° Portalis DBX6-W-B7H-XX3W

5EME CHAMBRE CIVILE

SUR LE FOND

38E

N° RG : N° RG 23/03585 – N° Portalis DBX6-W-B7H-XX3W

Minute n° 2025/00

AFFAIRE :

[O] [L] épouse [F] [Z]

C/

Etablissement CAISSE REGIONALE DE CREDIT AGRICOLE MUTUEL AQUITAI NE

Grosses délivrées

le

à

Avocats :

M^e Yvan BELIGHA

la SELARL GREGORY [Localité 6]

TRIBUNAL JUDICIAIRE

DE [Localité 7]

5EME CHAMBRE CIVILE

JUGEMENT DU 28 JANVIER 2025

COMPOSITION DU TRIBUNAL :

Lors du délibéré

Madame Marie WALAZYC, Vice-Présidente

Jean-Noël SCHMIDT, Vice-Président

Monsieur Pierre GUILLOUT, Magistrat honoraire exerçant des fonctions juridictionnelles

Greffier, lors des débats et du prononcé

Isabelle SANCHEZ

DÉBATS :

A l’audience publique du 19 Novembre 2024, tenue en rapporteur

Sur rapport conformément aux dispositions de l’article 786 du code de procédure civile

JUGEMENT:

Contradictoire

Premier ressort

Par mise à disposition au greffe, les parties ayant été préalablement avisées dans les conditions prévues à l’article 450 alinéa 2 du Code de procédure civile

DEMANDERESSE :

Madame [O] [L] épouse [F] [Z]

née le [Date naissance 2] 1980 à [Localité 8]

de nationalité Française

[Adresse 5]

[Localité 4]

représentée par M^e Yvan BELIGHA, avocat au barreau de BORDEAUX, avocat plaidant

N° RG : N° RG 23/03585 – N° Portalis DBX6-W-B7H-XX3W

DEFENDERESSE :

Etablissement CAISSE REGIONALE DE CREDIT AGRICOLE MUTUEL AQUITAI NE

[Adresse 1]

[Localité 3]

représentée par Maître Grégory BELLOCQ de la SELARL GREGORY BELLOCQ, avocats au barreau de BORDEAUX, avocats plaidant

******

Par acte du 18 avril 2023, Madame [O] [L] épouse [F] (Madame [F]) a fait assigner la société Caisse régionale de crédit agricole mutuel Aquitaine (la banque), au visa des articles du code monétaire et financier ( CMF) et de l’article 1231–1 du Code civil, en condamnation à lui payer une somme principale de 8984,81€ au titre de la fraude à la carte bancaire dont elle a été victime le 9 mars 2023 ainsi que la somme de 118,73€ correspondant aux frais et agios laissés à sa charge, outre une somme de 2000€ au titre du préjudice subi et celle de 2000 € sur le fondement de l’article 700 du code de procédure civile (CPC).

Madame [F] maintient les prétentions exposées dans son acte introductif d’instance valant conclusion et elle a principalement soutenu n’avoir commis aucune faute ou négligence grave alors qu’elle a reçu l’appel téléphonique d’une personne se présentant comme un agent de la banque avec ses coordonnées.

La banque, par ses écritures notifiées par voie électronique le 5 décembre 2023, au visa des articles 133–16 et L 133–19 du code monétaire et financier, conclut au débouté de la demande au motif que la demanderesse, titulaire du compte, a commis une négligence grave à défaut d’avoir vérifié l’identité de la personne ayant appelé au téléphone et d’avoir été alerté par le libellé des virements effectués en fraude alors qu’elle a été nécessairement le maillon essentiel de la fraude en validant les opérations litigieuses.

La banque réclame la condamnation de Madame [F] à lui payer une somme de 3000 € au titre de l’article 700 du code de procédure civile

L’ordonnance de clôture a été rendue le 9 octobre 2024.

Motifs de la décision:

Selon l’article L 133–16 du CMF, dès qu’il reçoit un instrument de paiement l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées et il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées.

De même le IV de l’article L133–19 dispose que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissements frauduleux de sa par,t s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L 133–16 et L 133–17.

Au soutien de sa demande, Madame [F] expose avoir reçu des appels téléphoniques d’une personne qui s’est présentée comme étant conseiller de la banque qui avait connaissance de son identité et d’informations personnelles la concernant, lui faisant croire à la situation qui lui était présentée de sorte qu’elle a été placée dans une situation d’urgence et de surprise de nature à permettre aux fraudeurs un contrôle sur les opérations frauduleuses réalisées postérieurement pour le montant de la somme réclamée à titre principal.

Elle prétend que le fraudeur a contourné le système de sécurité de la banque pour lui permettre d’avoir accès à ses comptes bancaires alors que ce même système de sécurité ne l’a pas averti de la fraude du montant de 5626,25€ qui lui aurait permis d’empêcher les prélèvements frauduleux postérieurs.

Elle précise qu’aucune des opérations validées par elle n’a fait l’objet d’un prélèvement et qu’à l’inverse les sommes de 5626,25€ et de 3068,40€ ont été prélevées sans pour autant qu’elle n’en ait été informée par la banque, en rappelant que l’appel du fraudeur provenait d’un numéro officiel de la banque laquelle n’a pas procédé au blocage de ses deux cartes de crédit

malgré son signalement de la fraude dont elle était victime d’où la possibilité offerte au fraudeur de procéder à des opérations frauduleuses sur sa seconde carte.

Elle prétend également que les pièces produites par la banque ne démontrent en rien une faute intentionnelle ou une négligence grave de nature à exclure son droit à obtenir un remboursement du montant de la fraude.

En réponse, la banque fait valoir que Madame [F] ne conteste avoir discuté avec le fraudeur et qu’une précaution élémentaire aurait consisté à vérifier l’identité de son interlocuteur et la provenance de l’appel et que la demanderesse explique que la personne ayant appelé lui a indiqué que les transactions financières étaient en train de se dérouler alors qu’à la lecture du relevé de compte le virement de 3000 € ( 1000 € et 2000 €) est en réalité un mouvement de fonds internes entre ses deux comptes, son compte de dépôt et son compte LDD.

Elle expose que les fraudeurs agissent le plus souvent en deux temps, en premier lieu par un hameçonnage, par lequel il se procure une première donnée pour la mise en confiance et de nature à leur permettre de se connecter l’espace client aux fins de consulter les comptes et de faire des virements entre les contenus titulaires, avec la possibilité à ce stade de faire sortir l’argent des comptes du client.

Elle précise que l’ajout de l’IBAN ( international bank account number) ou le paiement un tiers nécessite une authentification forte répondant à la directive sur les services de paiement DSP2 et que cette authentification forte nécessite l’intervention du client, de sorte que le fraudeur a accédé aux comptes de la demanderesse en faisant des virements internes pour crédibiliser son histoire et alors qu’il suffisait au titulaire du compte, qui aurait du être alerté par le libellé des virements, de consulter ses autres comptes pour constater que les virements de 1000 € et 2000€ étaient des virements internes entre son compte de dépôts et son compte LDD, outre qu’à ce stade elle n’avait subi aucun préjudice dès lors que les fonds n’ont été déplacés que d’un compte à l’autre.

Mais la banque prétend que Madame [F] a continué à être négligente en fournissant au fraudeur toute la matière dont il avait besoin pour contourner le système de sécurité mise en place qui s’appelle Securipass, système qui suppose pour l’utiliser de l’enregistrer, c’est l’enrôlement, lequel est décrit dans un procès-verbal de constat du 5 avril 2022, outre qu’il est techniquement impossible d’effectuer une opération ( ajout d’IBAN ou paiement) sans authentification par le Sécuripass préalablement enrôlé, de sorte que le fraudeur avait besoin de l’intervention de la demanderesse qui enrôlé son appareil Galaxy S22.

Elle prétend également que Madame [F] a elle-même validé les opérations que la banque avait détecté comme possiblement frauduleuses, en raison d’une succession de plusieurs opérations qui amènent le système à bloquer une seconde opération en interrogeant le client sur la validité de l’opération par l’envoi d’un SMS pour valider l’opération ou pour confirmer la fraude.

La banque fait valoir que la demanderesse a bien bénéficié de cette protection mais a persisté dans sa négligence grave en confirmant qu’il ne s’agissait pas d’une fraude dès lors qu’après l’authentification forte du paiement de 5626,25€ le 9 mars 2023 à 11h43, le système de surveillance de la banque a bloqué l’authentification du paiement de 899 AED, monnaie des Émirats arabes unis (231,49€) à 11h53, avec un relevé technique du message d’alerte adressé sur son téléphone portable à 12 h 21 l’invitant à répondre “1" si elle avait initié l’opération ou répondre “2"pour confirmer la fraude, et qu’elle a tapé “1" pour valider l’opération de sorte que la banque a confirmé le déverrouillage à 12h23, quand bien même Madame [F] a tenté d’envoyer un message “2" pour confirmer la fraude à 12h24 avec une réponse de la banque à 12h25 l’informant que seule sa première réponse avait été prise en compte.

La banque précise encore qu’après quelques minutes, le système de sécurité a détecté de nouvelles opérations suspectes sur l’autre carte de la demanderesse à la suite d’un renouvellement d’opérations et de nouveaux messages envoyés à 12h33, avec à nouveau une réponse de cette dernière en tapant “1" pour déverrouiller le paiement à distance de l’opération qu’elle a initiée, de sorte que c’est en déverrouillant ce paiement à distance qu’elle a ouvert en grand la porte à la fraude de nature à caractériser une négligence grave.

Il n’est pas contesté que pour échapper au remboursement des sommes obtenues frauduleusement par les utilisateurs de services, le prestataire de services doit rapporter une double preuve: une négligence grave du payeur et le fait que l’opération a été normalement passée comme l’exige l’article L 133–23 du CMF.

La mauvaise foi de Madame [F] n’est pas mise en cause par la banque. S’il ressort de la jurisprudence de la Cour de cassation, notamment d’un arrêt rendu par la chambre commerciale le 23 octobre 2024, qu’une fraude peut résulter de l’utilisation de modes opératoires par l’utilisation du “spoofing”, c’est-à-dire une attaque avec usurpation d’identité, la personne concernée en confiance ayant diminué sa vigilance, face à un appel téléphonique émanant prétendument de sa banque pour lui faire part du piratage de son compte, il reste qu’en l’espèce la fraude n’a pu être réalisée que par le comportement de la demanderesse qui à deux reprises a confirmé les conditions rappelées ci-dessus à la suite de l’envoi de SMS de la banque, dont le système de sécurité avait repéré des mouvements douteux, de sorte qu’elle disposait du temps nécessaire pour éventuellement procéder à des vérifications et s’apercevoir d’anomalies révélatrices de l’origine frauduleuse, ainsi que le même arrêt précité l’a rappelé pour une personne qui réceptionne un courriel à la différence de la personne concernée victime du “spoofing”.

Il convient de rappeler qu’en matière de responsabilité bancaire sur le fondement de l’article précité du CMF, notamment à l’occasion de fraudes dont est victime un payeur utilisateur de services à la suite de techniques d’attaque usurpation d’identité, ni la directive européenne ni le texte précité ne donnent de définition de la négligence grave au sens de l’article L 133–19 du CMF, mais la jurisprudence a retenu comme critère de détermination du degré de vigilance requis du payeur celui de l’utilisateur normalement attentif, étant précisé que la bonne foi du payeur est en ce domaine inopérante mais sa vigilance à la réception de messages ou d’informations lui demandant la communication des données censées protéger les ordres de paiement.

Il s’ensuit que les documents produits par la banque sont de nature à justifier ses allégations ainsi que le mode opératoire frauduleux décrit et les deux SMS envoyés par le système de sécurité de la banque, de sorte que les conditions d’application de l’article L 133–19 précité sont en l’ espèce réunies en raison de la preuve rapportée par la banque d’une négligence grave imputable à la demanderesse.

Par voie de conséquence, Madame [F] sera déboutée de sa demande.

Les circonstances de la cause et le mode opératoire utilisé à l’origine de la fraude dont a été victime la demanderesse, ainsi de la disparité dans la situation patrimoniale entre les parties conduit le tribunal à laisser à la charge de chacune des parties les frais engagés non compris dans les dépens.

Par ces motifs:

Le tribunal,

Déboute Madame [O] [F] de sa demande,

Laisse les dépens à la charge de Madame [F] et dit que chaque partie conservera à sa charge les frais engagés non compris dans les dépens.

Le présent jugement a été signé par madame Marie WALAZYC, Vice-Présidente et par madame Isabelle SANCHEZ, Greffier.

LE GREFFIER, LA PRESIDENTE,