La Cour de cassation s’est récemment prononcée sur deux affaires portant sur la responsabilité des banques face à des escroqueries bancaires, à travers deux arrêts rendus le 15 janvier 2025 (pourvois n° 23-13.579 et 23-15.437).
Ces décisions clarifient les conditions dans lesquelles une banque peut être tenue responsable, ou non, du remboursement des fonds frauduleusement débités.
La Cour de cassation affirme dans ces deux décisions que le mécanisme spécial de responsabilité pour les opérations bancaires de paiement est exclusif de la responsabilité contractuelle de droit commun.
Ces arrêts mettent en évidence deux limites au remboursement des usagers bancaires victimes de fraudes.
Affaire 1 : Le cheval de Troie et la négligence grave
Dans cette première affaire, deux sociétés ont été victimes d’une escroquerie impliquant un cheval de Troie, un logiciel malveillant ayant infecté leur système informatique suite à l’ouverture d’un courriel frauduleux. Ce logiciel a permis au fraudeur de prendre le contrôle de l’ordinateur du comptable de ces sociétés et d’ordonner des virements frauduleux pour un montant total de 498 266,50 euros.
La réponse de la Cour :
La Cour de cassation applique la jurisprudence de la Cour de justice de l’Union européenne (16 mars 2023, Beobank (C-351/21)) en décidant que « la responsabilité contractuelle de droit commun résultant du premier de ces textes n’est pas applicable en présence d’un régime de responsabilité exclusif. »
« En effet, le régime harmonisé de responsabilité pour les opérations non autorisées ou mal exécutées établi dans la directive 2007/64 ne saurait être concurrencé par un régime alternatif de responsabilité prévu dans le droit national reposant sur les mêmes faits et le même fondement qu’à condition de ne pas porter préjudice au régime ainsi harmonisé et de ne pas porter atteinte aux objectifs et à l’effet utile de cette directive (arrêt du 2 septembre 2021, C-337/20, CRCAM, […] point 45). »
« Il s’ensuit que, dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du code monétaire et financier, qui transposent les articles 58, 59 et 60, paragraphe 1, de la directive 2007/64/CE, à l’exclusion de tout régime alternatif de responsabilité résultant du droit national. »
Pour la Cour de cassation, seul le mécanisme des articles L.133-18 et L.133-19 du Code monétaire et financier peut être appliqué pour envisager la responsabilité d’une banque pour une opération de paiement.
La Cour d’appel ne pouvait donc invoquer une responsabilité contractuelle pour sanctionner la banque au titre d’un défaut de vigilance et partager la responsabilité entre le client et sa banque.
La Cour de cassation rappelle que, conformément aux articles L.133-18 et L.133-19 du Code monétaire et financier, la banque est exonérée de son obligation de remboursement en cas de « négligence grave » de son client.
La Cour de cassation faisant ensuite usage des règles spéciales en matière d’opérations de paiement, examine si la fraude est ou non aisément décelable.
Si la fraude est évidente, une négligence grave de la cliente peut être reconnue.
Si la fraude est astucieuse ou plus difficile à détecter pour une personne normalement attentive, la faute grave ne sera pas admise par les juges.
En l’espèce, la Cour d’appel avait retenu la faute grave des sociétés. Le courriel malveillant présentait des caractéristiques manifestement frauduleuses, ce qui a conduit à qualifier l’attitude des sociétés de négligence grave.
La Cour de cassation a donc cassé l’arrêt d’appel qui avait partagé les torts entre la banque et les sociétés. En présence d’une négligence grave de la part de l’usager bancaire, ce dernier ne peut pas prétendre au remboursement de son préjudice.
Impossible donc de conclure à un partage de responsabilité par la responsabilité contractuelle de droit commun. Seuls les articles L133-18 et L133-19 doivent être appliqués en pareil cas.
Affaire 2 : L’IBAN erroné transmis par un escroc
Dans la seconde affaire un couple a été victime d’une fraude lors de l’achat d’un véhicule.
L’escroc avait piraté leur messagerie électronique et substitué son propre IBAN à celui du vendeur légitime. Deux virements ont été réalisés, sans que le vendeur ne reçoive les fonds.
La réponse de la Cour :
La Cour de cassation à nouveau rappelle que les dispositions spéciales bancaires sur les services de paiement excluent les autres régimes de responsabilité.
La Cour d’appel ne pouvait donc pas condamner la banque sur le fondement de la responsabilité contractuelle classique pour un virement.
La Cour de cassation rappelle ensuite ainsi qu’en application de l’article L.133-21 du Code monétaire et financier, la banque qui exécute un virement sur la base d’un IBAN fourni par son client n’engage pas sa responsabilité, même si l’IBAN transmis ne correspond pas au bénéficiaire attendu.
La Cour de cassation a censuré la cour d’appel, qui avait estimé que la banque aurait dû relever les anomalies présentes dans l’IBAN. Aucune responsabilité ne peut être imputée à la banque dans ce contexte.
Enseignements des arrêts
Ces deux affaires appliquent la jurisprudence européenne en excluant toute responsabilité civile contractuelle lorsque les dispositions bancaires spéciales sur les services de paiement sont applicables. La Cour de cassation interdit donc un partage de responsabilité sur le fondement de la responsabilité contractuelle.
Ces deux décisions illustrent pratiquement les limites à la responsabilité des banques.
La directive européenne DSP2 transposée dans les droits nationaux constitue certes un cadre protecteur pour les clients des banques afin de sécuriser les opérations de paiement mais cette responsabilité n’est pas sans limite.
Ces deux arrêts mettent en évidence les limites à cette responsabilité.
- Fraude bancaire et négligence grave du client: Un client qui ne prend pas les précautions raisonnables pour protéger ses données ou qui ne fait pas preuve d’une prudence minimale pour des tentatives de fraude évidentes engage seul sa responsabilité.
- Faux IBAN : Lorsque les banques respectent les instructions de leurs clients, elles ne peuvent être tenues responsables des conséquences des erreurs ou fraudes affectant ces instructions.
Ces décisions exigent une vigilance accrue de la part des utilisateurs de services bancaires, qu’il s’agisse de particuliers ou d’entreprises, face aux risques d’escroquerie et de cybercriminalité.
Un client confronté à une tentative de fraude élaborée restera protégé mais un client imprudent sera lui responsable de sa négligence.
Le risque pour l’usager bancaire sera plus important en cas de faux IBAN. En effet, le client ne pourra pas prétendre à un remboursement des opérations selon l’article L133-21 du CMF car l’opération aura été effectuée conformément aux instructions.
Il est donc indispensable pour les clients de vérifier systématiquement les coordonnées bancaires du bénéficiaire de manière verbale ou sécurisée et ne pas se fier aux coordonnées transmises par des e-mails ou de manière non sécurisée.
Par Olivier Vibert, Avocat associé, Paris.
French Law . BLOG 