Type de juridiction : Tribunal judiciaire

Juridiction : Tribunal judiciaire de Paris

Thématique : Responsabilité bancaire face à une escroquerie par spoofing : enjeux d’authentification et de négligence.

TRIBUNAL
JUDICIAIRE
DE PARIS [1]

[1]
Copies délivrées le: 15/01/2025
Me HADDAD AJUELOS – A0172 (exécutoire)
Me PENIN – J008 (certifiée conforme)

■

9ème chambre 2ème section

N° RG :
N° RG 23/14615 – N° Portalis 352J-W-B7H-C3EKS

N° MINUTE : 13

Assignation du :
09 Novembre 2023

JUGEMENT
rendu le 15 Janvier 2025
DEMANDERESSE

Madame [M] [F]
[Adresse 3]
[Localité 6]

représentée par Maître Hélène HADDAD AJUELOS, avocat au barreau de PARIS, avocat postulant, vestiaire #A0172, et Maître Jérémie OUSTRIC, avocat au barreau de MONTPELLIER, avocat plaidant

DÉFENDERESSE

S.A. BNP PARIBAS, prise en la personne de son représentant légal
[Adresse 4]
[Localité 5]

représentée par Maître Dominique PENIN du LLP KRAMER LEVIN NAFTALIS & FRANKEL LLP, avocats au barreau de PARIS, avocats plaidant, vestiaire #J0008

Décision du 15 Janvier 2025
9ème chambre 2ème section
N° RG 23/14615 – N° Portalis 352J-W-B7H-C3EKS

COMPOSITION DU TRIBUNAL

Monsieur Gilles MALFRE, Premier Vice-président adjoint
Monsieur Augustin BOUJEKA, Vice-Président
Monsieur Alexandre PARASTATIDIS, Juge

assistés de Madame Alice LEFAUCONNIER, Greffière

DÉBATS

A l’audience du 30 Octobre 2024 tenue en audience publique devant Monsieur PARASTATIDIS, juge rapporteur, qui, sans opposition des avocats, a tenu seul l’audience, et, après avoir entendu les conseils des parties, en a rendu compte au Tribunal, conformément aux dispositions de l’article 805 du Code de Procédure Civile. Avis a été donné aux avocats que la décision serait rendue le 15 janvier 2025.

JUGEMENT

Rendu publiquement par mise à disposition au greffe
Contradictoire
En premier ressort

FAITS ET PROCEDURE

Exposant avoir été victime d’une escroquerie de type « spoofing » suite à un appel reçu dans la matinée du 27 septembre 2022, Mme [F] conteste avoir autorisé les achats détaillés ci-après pour un montant total de 14.312,19 euros, effectués depuis son espace en ligne avec sa carte bancaire liée à son compte courant ouvert dans les livres de la SA BNP Paribas :

Un achat le 26 septembre 2022 (3.000 euros) ;Deux achats le 27 septembre 2022 (3.500 euros + 464,74 euros); Un achat le 28 septembre 2022 (916 euros) ;Un achat le 30 septembre 2022 (1.350 euros) ; Trois achats le 1er octobre 2022 (140 euros + 685,81 euros + 2.450 euros) ; Un achat le 2 octobre 2022 (1.805,64 euros).
Le 21 octobre 2022, Mme [F] a fait un signalement en ligne auprès des services de la gendarmerie nationale.

Ses recours auprès de la banque et du médiateur de la Fédération bancaire française pour obtenir le remboursement des sommes contestées sont demeurées infructueuses.

C’est dans ce contexte que Mme [F] a fait assigner la BNP Paribas par exploit de commissaire de justice du 9 novembre 2023 devant le tribunal judiciaire de Paris en recherche de la responsabilité de cet établissement.

Aux termes de ses dernières conclusions signifiées par voie électronique le 17 septembre 2024, aux visas des articles L.133-6 et suivants du code monétaire et financier et 1217 et suivants du code civil, elle demande au tribunal de :

« A TITRE PRINCIPAL :

– CONDAMNER la SA BNP PARIBAS à payer à Madame [M] [F] la somme de 14.067,19 euros avec intérêts aux taux légal à compter du 26 octobre 2022, date de la mise en demeure ;

SUBSIDIAIREMENT :

– CONDAMNER la SA BNP PARIBAS à payer à Madame [M] [F] la somme de 13.926,51 euros au titre de son préjudice de perte de chance, avec intérêts au taux légal à compter du 26 octobre 2022, date de la mise en demeure ;

EN TOUT ETAT DE CAUSE :

– CONDAMNER la SA BNP PARIBAS à payer à Madame [M] [F] la somme de 1.500 euros au titre de la résistance abusive et à 1.000 euros en réparation de son préjudice moral ;

– CONDAMNER la SA BNP PARIBAS à payer à Madame [M] [F] la somme de 3.000 euros au titre de l’article 700 du Code de procédure civile ainsi qu’aux entiers dépens ;

– RAPPELER l’exécution provisoire de droit ; »

A l’appui de ses prétentions, Mme [F] expose que le 27 septembre 2022 au matin, elle a pris connaissance d’un SMS qui lui a été adressé la veille à 23h47 l’informant de ce que l’usage de sa carte bancaire était restreint « suite à une suspicion de fraude » et que sa banque faisait le nécessaire pour protéger ses fonds sans autre action de sa part. Elle indique avoir reçu dans la même matinée un appel d’une prétendue Mme [S] se présentant comme une employée du service opposition sur carte bancaire de sa banque et dont le numéro d’appel ([XXXXXXXX01]), après vérification de sa part sur internet, correspondait au numéro de téléphone officiel de ce service. Son interlocutrice lui a alors signalé des paiements suspects et confirmé que sa carte était placée en usage restreint. Elle l’a ensuite invitée à modifier sa clé d’accès à son compte en ligne. Mme [F] ajoute avoir envoyé immédiatement à son conseiller clientèle BNP Paribas un courriel l’informant de la situation qui est resté sans réponse. Le 28 septembre 2022, elle a reçu un nouveau SMS lui confirmant la restriction de sa carte bancaire et, le lendemain, un autre message l’informant de l’activation de sa clé digitale. Elle indique que ces messages correspondant aux échanges qu’elle pensait avoir eus avec la BNP Paribas, elle n’avait pas de raison de s’alarmer. Cependant, ne parvenant plus à se connecter à son espace en ligne, elle a contacté le 5 octobre 2022 les services de la banque qui l’ont informée de diverses opérations effectuées pour un montant de 14.312,19 euros.

A titre principal, Mme [F] sollicite la condamnation de la banque au titre de son obligation de remboursement, cette dernière ne rapportant pas la preuve que les opérations litigieuses ont fait l’objet d’une authentification forte, aucun SMS de confirmation des opérations effectuées sur son compte ne lui ayant été adressé notamment lors du changement du numéro de téléphone sur son espace en ligne auquel le fraudeur a accédé, précisant que la BNP Paribas ne rapporte pas la preuve non plus de l’absence d’une déficience technique qui ne peut se déduire de l’authentification forte des opérations qu’elle entend démontrer par la production d’un extrait du back-office. Elle fait ainsi valoir le caractère non autorisé des opérations passées sans son consentement et l’absence de preuve d’une fraude ou d’une négligence grave de sa part, contestant avoir communiqué à un tiers ses données personnelles ou d’identification, qui selon elle ont été piratées, pour demander la condamnation de la banque à lui payer la somme de 14.067,19 euros en application de l’article L.133-18 du code monétaire et financier, avec intérêts au taux légal à compter du 26 octobre 2022, date de la réception de la mise en demeure, précisant par ailleurs avoir été diligente dès lors qu’elle a adressé un courriel à son conseiller clientèle dès le 27 septembre 2022 qui est resté sans suite.

A titre subsidiaire, elle entend rechercher la responsabilité de la banque sur le fondement du régime de droit commun, faisant valoir que le caractère exclusif du régime de responsabilité du prestataire de services de paiement à l’égard de l’utilisateur en cas d’opérations non autorisées, énoncé par la chambre commerciale de la Cour de cassation dans un arrêt du 27 mars 2024, entrave nécessairement le droit à un procès équitable garanti par l’article 6 de la Convention européenne de sauvegarde des droits de l’Homme (CESDH). Dès lors, fondant son action sur l’article 1217 du code civil, elle fait grief à la banque de ne pas avoir sécurisé son numéro de téléphone ni immédiatement pris les mesures nécessaires pour protéger ses fonds suite à son courriel du 27 septembre 2022 qui était de nature à l’alerter sur le risque de fraude. Elle conclut en conséquence à une négligence manifeste et à un manquement à son devoir de conseil de la banque qui sont la cause d’un préjudice de perte de chance, distinct du préjudice indemnisé par les dispositions du régime spécial, d’avoir pu mettre en échec les huit opérations frauduleuses réalisées entre le 27 septembre et le 2 octobre 2022 et qu’elle évalue à la somme de 13.926,51 euros, soit 99% du préjudice financier.

En tout état de cause, Mme [F] sollicite la condamnation de la banque à des dommages et intérêts à hauteur de 1.500 euros pour résistance abusive, estimant que la mauvaise foi de la défenderesse est caractérisée par l’usage de motifs erronés et trompeurs sur l’existence d’une authentification forte pour s’opposer au remboursement des sommes. Elle réclame également la somme de 1.000 euros à titre de dommages et intérêts en réparation du préjudice moral résultant du temps consacré à la recherche d’une issue amiable et de l’indisponibilité de ses fonds pendant une longue période.

Aux termes de ses dernières conclusions signifiées par voie électronique le 15 octobre 2024, la BNP Paribas demande au tribunal de :
« Débouter Madame [F] de l’intégralité de ses demandes à toutes fins qu’elles comportent.

Ecarter l’exécution provisoire.

Condamner Madame [F] à verser à BNP Paribas la somme de 3.000 € au titre de l’article 700 du Code de procédure civile ainsi qu’aux entiers dépens. »

En réplique, la banque conteste tout d’abord la chronologie des faits relatée par Mme [F], expliquant que cette dernière ne rapporte pas la preuve de la date de l’appel frauduleux, sa pièce n°2 (journal d’appels) ne comportant aucune information pertinente sur ce point. Elle ajoute que la demanderesse a reçu le 26 septembre 2022 à 16h34 un courriel de notification d’enrôlement de la clé digitale sur un nouveau téléphone, ce qui laisse raisonnablement penser qu’elle a été en contact avec le fraudeur dès le 26 septembre 2022, date à laquelle ce dernier a d’ailleurs pu effectuer un premier achat de 3.000 euros à partir de son propre appareil avec la carte bancaire de sa cliente qui pourtant alertée d’une suspicion de fraude par un SMS envoyé le même jour à 23h47 l’invitant à contacter le service fraude au [XXXXXXXX02] n’a pas effectué de diligence, permettant ainsi au fraudeur de poursuivre ses achats. Elle ajoute qu’un second SMS identique au premier a été adressé à Mme [F] le 28 septembre 2022 à 23h47 suite à de nouveaux achats suspects sans susciter de réaction de sa part.

Elle fait valoir le bien-fondé de son refus de procéder au remboursement en ce que les recherches effectuées par ses services ont permis de déterminer que les achats initiés en ligne ont été validés à l’aide de la clé digitale, soit un dispositif de sécurité et d’authentification forte que le fraudeur n’a pu utiliser qu’après son enrôlement sur un nouveau téléphone qui nécessite impérativement une connexion préalable à l’espace digital du titulaire du compte au moyen des identifiant et mot de passe qui sont personnels et confidentiels et qui n’ont pu être communiqués que par Mme [F] malgré les consignes de sécurité relayées par les établissements bancaires, les médias et les autorités publiques. Elle ajoute que les traces informatiques mettent en évidence que la clé digitale a été installée et utilisée sur le téléphone IPhone de Mme [F] entre le 9 juillet et le 26 septembre 2022 et qu’elle a ensuite été enrôlée sur un nouveau téléphone portable, également IPhone, le 26 septembre 2022 après approbation de l’opération au moyen d’un SMS envoyé sur le numéro de téléphone de Mme [F] contenant un « lien cliquable » composé d’un code nécessaire à la finalisation de l’enrôlement qui a ensuite été notifié à la demanderesse par courriel envoyé à 16h34. Elle ajoute que l’usage d’une IP différente de celle de Mme [F] n’était pas de nature à l’alerter, sa cliente pouvant utiliser un VPN et qu’elle ne peut être tenue par ailleurs responsable de l’usurpation apparente de son numéro de téléphone par un tiers qui appelle en réalité avec un autre numéro, les mesures de sécurité en la matière reposant sur les opérateurs téléphoniques aux termes de l’article L.44 V du code des postes et communications électroniques. Enfin, elle entend rappeler que l’arrêt de la cour d’appel de Versailles cité par la demanderesse excluant la négligence grave du client victime de « spoofing » fait l’objet d’un pourvoi en cassation. Elle conclut en conséquence à la négligence grave de Mme [F] et la mise hors de cause de son système informatique.

Sur le fondement juridique subsidiaire invoqué par Mme [F], la BNP Paribas fait valoir le caractère exclusif du régime de responsabilité défini aux articles L.133-18 à L.133-24 du code monétaire et financier issus de la transposition des articles 58, 59 et 60 de la directive 2007/64/CE, à l’exclusion de tout régime alternatif de responsabilité résultant du droit national en matière d’opérations de paiement non autorisées ou mal exécutées. Elle conclut en conséquence au rejet de ce moyen.

Elle sollicite également le débouté des demandes de condamnation au titre du préjudice moral et sur le fondement de la résistance abusive, faisant valoir que les préjudices allégués ne sont pas démontrés.

Conformément aux dispositions de l’article 455 du code de procédure civile, il est renvoyé aux dernières écritures des parties pour l’exposé des moyens et arguments venant au soutien de leurs demandes.

La clôture de l’instruction a été prononcée le 16 octobre 2024. L’affaire a été évoquée à l’audience tenue en juge rapporteur du 30 octobre 2024 et mise en délibéré au 15 janvier 2025.

PAR CES MOTIFS

Le tribunal statuant publiquement par jugement contradictoire, en premier ressort et par mise à disposition au greffe :

CONDAMNE la SA BNP Paribas à payer à Mme [M] [F] la somme de 11.067,19 euros avec intérêts au taux légal à compter du 26 octobre 2022 ;

DEBOUTE les parties de toute demande plus ample ou contraire ;

CONDAMNE la SA BNP Paribas aux dépens ;

CONDAMNE la SA BNP Paribas à payer à Mme [M] [F] la somme de 2.000 euros sur le fondement de l’article 700 du code de procédure civile.

Fait et jugé à Paris le 15 Janvier 2025

La Greffière Le Président