Par un arrêt du 13 juin 2023, la Cour de cassation a considéré que le « phishing », traditionnellement assimilé à une fraude informatique réprimée par l’article 504quater du Code pénal, pouvait également être qualifié d’escroquerie au sens de l’article 496 du Code pénal[1].
Le synopsis de l’affaire est classique : une victime s’est vu dérober le solde créditeur de son compte bancaire, après avoir été abusée par un faux courriel de sa banque lui réclamant ses identifiants et ses codes bancaires. Cette supercherie est plus connue sous le nom d’« hameçonnage » ou de « phishing ».
En l’espèce, le prévenu contestait vigoureusement toute implication dans les faits, et soutenait n’être au courant de rien. Il indiquait avoir prêté son compte bancaire à un homme surnommé « le vieux Panjou », afin d’acheter un véhicule. Ledit « vieux Panjou » n’avait pu être identifié.
Les explications du prévenu n’ont convaincu ni le tribunal correctionnel ni la Cour d’appel de Bruxelles, qui l’ont déclaré coupable des faits. Un pourvoi en cassation a été introduit par le prévenu. Il soutenait notamment que l’infraction ne pouvait être qualifiée d’« escroquerie » au sens de l’article 496 du Code pénal.
La Cour de cassation a confirmé le raisonnement de la Cour d’appel au terme duquel si le transfert de fonds ne pouvait effectivement être qualifié d’escroquerie, la remise par la victime de son code bancaire pouvait l’être.
En effet, l’article 496 du Code pénal exige une remise volontaire de la chose escroquée. En matière de phishing, le transfert des fonds est opéré par l’escroc lui-même au moyen du code bancaire de la victime de sorte que la délivrance des fonds n’est pas « volontaire ». En conséquence, une telle manœuvre ne peut être qualifiée d’escroquerie. Toutefois, le code bancaire est, quant à lui, bien remis volontairement par la victime, trompée par le faux courriel envoyé par l’escroc. A cet égard, le phising est donc susceptible d’être qualifié d’escroquerie.
Il restait à la Cour de cassation à apprécier si un code bancaire était une « chose » susceptible d’être escroquée au sens de l’article 496 du Code pénal. En effet, le Code pénal vise exclusivement la remise de « fonds, meubles, obligations, quittages ou décharges » appartenant à autrui.
La Cour a également confirmé la décision de la Cour d’appel sur ce point en estimant que « Un code numérique ou une carte bancaire fait l’objet d’une convention entre un établissement bancaire et son client en vertu de laquelle le client ou un tiers autorisé par le client peut, contre l’inscription de ce code numérique ou la présentation de cette carte ou la communication des informations qui y sont attachées, effectuer des opérations bancaires sur un compte géré par l’établissement bancaire. Un tel code ou une telle carte peut donc constituer un écrit relevant de la notion d’obligation visée à l’article 496, paragraphe 1, du code pénal »[2].
En conclusion, le « phising » envisagé comme étant la remise par la victime de son code bancaire au fraudeur peut être qualifié d’escroquerie au sens de l’article 496 du Code pénal.
[1] https://juportal.be/JUPORTAwork/ECLI:BE:CASS:2023:ARR.20230613.2N.14_NL.pdf
[2] Traduction libre.