[Droit bancaire] Arnaque ou fraude bancaire au faux conseiller / spoofing : quels recours ?

Maître Amaury Ayoun est avocat au Barreau de Marseille et intervient régulièrement en droit bancaire. Il  est régulièrement l’avocat de victimes d’arnaque ou fraude bancaire au faux conseiller dite spoofing.    

Une fraude bancaire émergente, connue sous le nom de « fraude au faux conseiller » ou « spoofing » (« usurpation d’identité »), ou parfois « vishing » (contraction de « voice » et « phishing »), est en train de se propager, dont notre cabinet prend connaissance de l’ampleur chaque semaine. 

Il s’agit, en effet, de l’arnaque « à la mode » ces derniers temps et celle-ci obéit systématiquement au même mode opératoire.

Un individu se faisant passer pour un conseiller bancaire, un opérateur du service des fraudes, parfois même un « technicien », alerte un client de la banque par téléphone au sujet d’une opération suspecte sur son compte bancaire.

Pour annuler cette opération, l’escroc demande à la victime d’agir directement depuis son téléphone ou de lui fournir différentes informations confidentielles (code d’accès à l’espace numérique, cryptogramme visuel de la carte, code de validation reçu par SMS) afin d’empêcher le pire d’arriver. Certaines variantes consistent même à demander à la victime d’enregistrer un nouveau RIB (celui de l’escroc bien entendu) afin de sécuriser les fonds en danger … 

À l’issue, et après une longue manipulation  (les appels durent parfois deux heures !), le client, future victime, effectue involontairement un paiement (par carte et/ou virement) en faveur de l’escroc ou lui transmet  lui-même toutes les informations nécessaires pour réaliser lui-même cette opération.

Si la manipulation est fructueuse c’est parce que les escrocs sont déjà très informés sur les données confidentielles de leurs futures victimes et connaissent le nom de l’agence, le numéro de carte, le numéro de compte. Il ne leur manque plus que les codes et les autorisations d’effectuer les opérations que les victimes manipulées finissent parfois par leur concéder.

L’article L. 133-24 du Code monétaire et financier invite la victime à signaler « sans tarder », à sa banque « une opération de paiement non autorisée ou mal exécutée », et au plus tard dans les 13 mois suivant la date de débit, sous peine de forclusion.

Dans cet article, nous évoquerons :

• le cadre de la contestation des opérations de paiement non autorisées.
• l’application de ces règles en cas d’arnaque aux faux conseiller / spoofing.
• quelques réflexions sur l’obligation de vigilance de la banque.
• le dépôt de plainte, l’attitude et les réflexes à adopter.
• la pratique des établissements de crédit en cas de demande de remboursement. 

I – LA CONTESTATION DES OPÉRATIONS DE PAIEMENT NON AUTORISÉES :

L’opération de paiement « non autorisée » peut indéniablement concerner, comme en l’espèce, une opération  qui serait déclenchée par une personne autre que le payeur à l’aide d’un instrument de paiement appartenant à ce dernier^[1].

Dans ces circonstances exposées plus haut, le régime de contestation des opérations de paiement non autorisées repose principalement sur les dispositions suivantes du Code monétaires et financier, lesquelles évoquent des notions clés que la jurisprudence interprète au compte goutte.

Conformément à L. 133-18 alinéa 1^er du Code monétaire et financier : « En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé(…) ».

L’article L. 133-19, IV du Code monétaire et financier, inséré dans une Sous-section 2 : « Cas particulier des instruments de paiement dotés de données de sécurité personnalisées », dispose plus particulièrement que « Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17. »

L’article L. 133-23 précise que « Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre. »

Concrètement le remboursement est exclu si la banque prouve que l’opération :

• « a été authentifiée, dûment enregistrée et comptabilisée »
• « n’a pas été affectée par une déficience technique ou autre »
• « résult[e] d’un agissement frauduleux » de la part de l’utilisateur.
• Si l’utilisateur n’a pas satisfait intentionnellement ou « par négligence grave » aux obligations mentionnées aux articles L. 133-16 et L. 133-17.

Ces critères sont cumulatifs^[2]. Il s’agit d’autant de notions que les juges doivent désormais interpréter et appliquer aux cas qui leurs sont soumis.

A – L’authentification, dûment enregistrée et comptabilisée :

S’agissant de l’ « authentification », nous observons que la preuve concerne une authentification forte conformément à l’article L. 133-44 du Code monétaire et financier. 

Cette preuve doit donc rapporter, « une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories  » connaissance  » (quelque chose que seul l’utilisateur connaît),  » possession  » (quelque chose que seul l’utilisateur possède) et  » inhérence  » (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification », comme l’indique l’article L. 133-4, f) du Code monétaire et financier.

Du reste, les caractères de l’authentification, « dûment enregistrée » et « comptabilisée », ne sont pas précisés, même si l’on saisit parfaitement l’intention du législateur. Cela pose indéniablement une difficulté pratique pour les juges du fond. En la matière les preuves des établissement de crédit sont variées et consistent la plupart du temps en un imprimé de la chronologie des opérations retraçant les opérations qui ont eu lieu sur le compte, l’appareil utilisé, parfois les adresse IP etc …

L’article L. 133-23 alinéa 2 du Code monétaire et financier dispose que « L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement. »

Le second alinéa de l’article L. 133-23 dissocie très clairement l’ « utilisation de l’instrument de paiement (…) enregistré par le prestataire de services » et l’autorisation de l’opération par le payeur. 

D’ailleurs, l’ « autorisation » n’est pas synonyme de « consentement ». L’article L. 133-6, I. dispose d’une part qu’ « une opération de paiement est autorisée si le payeur a donné son consentement à son exécution. ». D’autre part, la Cour de cassation traite aussi avec bienveillance les payeurs qui ont certes matériellement autorisés une opération mais n’y ont pas consenti.

Dans un arrêt du 30 novembre 2022^[3], lors d’un retrait d’espèces à un distributeur automatique de billets, un client avait composé son code confidentiel mais n’avait pas saisi le montant de son retrait lorsqu’un tiers l’a attaqué pour se servir. Suite à sa mésaventure, il avait demandé le remboursement auprès de sa banque sur le fondement de l’article L. 133-18 du Code monétaire et financier que lui refusèrent les juges du fond. Or, pour la Cour de cassation les juges du fond devaient rechercher si « l’opération de paiement avait été autorisée par M. [Z], en particulier quant à son montant ». La Cour reconnaît explicitement dans son arrêt qu’une « opération de paiement initiée par le payeur, qui donne un ordre de paiement à son prestataire de services de paiement, est réputée autorisée uniquement si le payeur a également consenti au montant de l’opération. »

Dans un arrêt du 1^er juin 2023, la Cour de cassation s’intéressait cette fois-ci à un ordre de virement régulier lors de sa rédaction mais dont le numéro IBAN avait été ultérieurement modifié par un tiers à l’insu du donneur d’ordre. Pour la Haute Juridiction, une telle opération n’est pas autorisée par le donneur d’ordre^[4].

Il est aussi précisé par le second alinéa de l’article L. 133-23  qu’il n’y a aucune présomption que le payeur n’a pas « satisfait intentionnellement ou par négligence grave » à ses obligations, lorsque le payeur utilise l’instrument de paiement enregistré par le prestataire de services de paiement. La banque semblerait devoir rapporter la preuve de cette faute en tout état de cause puisque l’ « utilisation » de l’instrument de paiement « telle » qu’enregistrée est insuffisante.

B – L’opération non affectée par une déficience technique ou autre :

Le critère de la « déficience technique ou autre » est bien mystérieux, même si on suppose qu’il était notamment question de couvrir les déficience informatique et autres piratages provoquant des paiements non demandés par la clientèle.

À nos yeux, la circonstance d’un appel téléphonique émanant d’un numéro « officiel » de la banque ou du service des oppositions figurant au dos de la carte ou sur le site internet pourrait éventuellement être de nature à caractériser cette déficience technique. 

Il en serait de même s’agissant de la fuite de donnée initiale. Si les escrocs sont en mesure d’obtenir un règlement c’est parce qu’ils connaissent déjà une série d’informations sur leur future victime (nom, prénom, numéro de compte, numéro de carte). Seul leur manque l’authentification forte que seule la future victime est en mesure de leur apporter pour compléter l’opération.

Il appartiendrait en effet à la banque de se prémunir contre un piratage de ses numéros de téléphone et des données personnelles de ses clients dont elle doit garder le secret.

Dans ces cas, le prestataire de services de paiement ne pourrait rapporter la preuve que l’opération de paiement, entendue largement, n’a pas été affectée par une déficience technique.  Cela ne semble pas se heurter avec la définition de l’opération de paiement : « une action consistant à verser, transférer ou retirer des fonds, indépendamment de toute obligation sous-jacente entre le payeur et le bénéficiaire, initiée par le payeur, ou pour son compte, ou par le bénéficiaire. »^[5].

C – L’agissement frauduleux ou la négligence grave de la part de l’utilisateur à ses obligations : 

1 – les obligations de l’utilisateur :

Le remboursement échappe à l’utilisateur s’il n’a pas satisfait intentionnellement ou « par négligence grave » aux obligations mentionnées aux articles L. 133-16 et L. 133-17 du Code monétaire et financier.

Selon le premier texte, « Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées. 

Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées. »

Selon le second texte, « I. – Lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l’utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l’instrument, son prestataire ou l’entité désignée par celui-ci.  (…) »

On attend donc de l’utilisateur qu’il préserve la sécurité de ses données de sécurité personnalisées et qu’il informe « sans tarder » son prestataire de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement.

Si l’utilisateur n’agit pas frauduleusement, il y a donc lieu d’étudier son éventuelle négligence « grave » au regard des obligations exposées.

2 – la négligence grave de l’utilisateur

En matière de « spoofing », l’usager de banque a souvent été amené à divulguer lui même des opérations ou valider des opérations avec son appareil de confiance. A t-il fait preuve d’une négligence « grave » en se laissant berner par un escroc par téléphone ?

Des éléments de réponse figurent dans la jurisprudence relative à une arnaque voisine, celle du « phishing » (hameçonnage), au cours de laquelle l’internaute est destinataire d’un mail ou d’un SMS l’incitant à communiquer des données confidentielles en réponse.

Dans ces circonstances, tout est question du contexte et de la vraisemblance du mail ou message reçu. Selon la Cour de cassation, « manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l’utilisateur d’un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu’il soit, ou non, avisé des risques d’hameçonnage » ^[6].

Afin de déterminer s’il y a eu négligence grave, il y a lieu de rechercher si des indices permettaient à un utilisateur « normalement attentif » de déceler le phishing. Ces indices sont par exemple la présentation du message, l’adresse mail, l’orthographe … Tout cela à condition que le client admette avoir été victime d’un tel hameçonnage. En effet, la jurisprudence semblait plus favorable aux intérêts des clients qui niaient avoir été victime d’un hameçonnage^[7]. Cela rend en effet plus difficile la caractérisation d’une négligence grave.

On fera remarquer que la négligence grave du client n’exonère pas la banque de ses propres obligations de démontrer que l’opération a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre ^[8].

Si la négligence grave est reconnue, le client peut toujours demander à sa banque d’identifier le compte bancaire crédité à la suite des opérations litigieuses.

Dans ce cas, le client victime de l’arnaque peut toujours essayer de se retourner contre le bénéficiaire du paiement, dont l’identité peut être démontrée. En effet, selon la Cour de Justice de l’Union Européenne, l’article 47, paragraphe 1, sous a), de la directive 2007/64 (« DSP 1 ») doit être interprétée en ce sens que le prestataire du service de paiement d’un payeur est tenu de fournir à ce dernier les informations permettant d’identifier la personne qui a bénéficié d’une opération de paiement débitée du compte du payeur^[9].  

***

L’Observatoire de la sécurité des moyens de paiement a réalisé un schéma qui illustre l’articulation des différents textes relatifs lors de la contestation de l’opération :

https://www.banque-france.fr/sites/default/files/medias/documents/osmp_-_recommandations_modalites_de_remboursement_des_operations_de_paiement_frauduleuses.pdf

II – LA CONTESTATION DES OPÉRATIONS DE PAIEMENT EN CAS D’ARNAQUE AU FAUX CONSEILLER / SPOOFING :

Les décisions sur le « spoofing » à émergent doucement et donnent de précieuses indications sur la manière dont sont appliqués les critères précédemment exposés, et particulièrement celui de la négligence grave.

Un arrêt de la cour d’appel de Versailles en date du 28 mars 2023, très favorable aux usagers de banque, a particulièrement attiré l’attention des médias^[10]. Dans cet arrêt, traduisant des faits classiques en matière de « spoofing », un client d’un établissement de crédit avait été victime de virement frauduleux pour une somme totale de 54.000,00 euros. Il avait expliqué avoir été trompé par un appel par une personne se présentant pour l’assistant de sa conseillère bancaire, l’alertant d’un piratage en cours sur son compte, et utilisant de surcroît le numéro téléphone de sa conseillère. La victime avait validé les virements litigieux alors qu’il était en ligne avec l’arnaqueur.

Pour la Cour d’appel de Versailles, «  il n’est pas pour autant caractérisé une négligence grave à son encontre dès lors qu’il croyait être en relation avec une salariée de la BNP Paribas, le numéro d’appel de son interlocutrice apparaissant comme étant celui de sa conseillère dont elle indiquait être l’assistante, et qu’il a cru valider la notification litigieuse sur son application bancaire dont la banque assure qu’il s’agit d’une application sécurisée ; le mode opératoire, (…), a mis M. X. en confiance et a diminué sa vigilance, étant observé que face à un appel téléphonique évoquant de surcroît un piratage, la vigilance de la personne qui reçoit cet appel est moindre que celle d’une personne qui réceptionne un mail, (…) ». La banque était condamnée à restituer les fonds.

D’évidence, un critère en particulier pèse dans la décision de la Cour : le numéro de téléphone du conseiller était celui de la conseillère de la victime^[11]. Par ailleurs, à aucun moment la victime n’avait divulgué ses données de sécurité personnalisées.

Dans un jugement du 21 mars 2022, le tribunal de commerce de Paris avait fait application de la jurisprudence de la Cour de cassation du 12 novembre 2020 mentionnée plus haut exigeant que la banque démontre que l’opération a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre, malgré une négligence grave de la victime^[12]. Dans ce cas d’espèce, la victime avait semble t-il manqué à ses obligation en délégant l’utilisation de sa carte de sa société alors que les conditions contractuelles d’utilisation de la carte l’interdisaient. Cependant, le tribunal avait observé une déficience technique : à partir d’un seul code supposé être valable deux minutes et à usage unique, le fraudeur était parvenu à réaliser 12 opérations à partir du compte de la société pendant 3 heures.

III – SUBSISDIAREMENT, LA PISTE DE L’OBLIGATION DE VIGILANCE DE LA BANQUE ?

Cette dernière décision évoque une piste d’indemnisation de droit commun que pourraient mobiliser les victimes. Les établissement de crédit pourraient en tout état de cause également avoir violé leur obligation de vigilance en ne décelant pas l’anomalie plus qu’apparente des opérations effectuées sur le compte des victimes. En effet, la responsabilité contractuelle de droit commun de la banque n’est pas nécessairement exclue lorsque la négligence grave a été retenue sur le fondement des textes spéciaux du Code monétaire et financier^[13].

Par exemple, le dépassement répété ou excessif du découvert autorisé fait partie, en effet, des anomalies apparentes que le banquier teneur du compte devrait détecter. Un arrêt de la chambre commercial de la Cour de cassation censurait un arrêt de Cour appel qui s’était déterminé « sans rechercher, comme il lui était demandé, si la banque n’avait pas également commis une faute en validant dix opérations de débit en cinq jours pour un montant de 1 462 euros cependant que le découvert autorisé n’était que de 200 euros et qu’il était allégué que ces opérations présentaient un caractère inhabituel, la cour d’appel n’a pas donné de base légale à sa décision ; »^[14].

Dans le même ordre d’idée, un autre arrêt retenait que : « Attendu qu’en se déterminant ainsi, par un motif inopérant, sans rechercher si, en dépit de son devoir de non ingérence, la banque n’avait pas commis une faute en payant pendant une période de 23 jours consécutifs, 22 retraits journaliers de 3000 francs, alors que la convention « Champ libre accueil » n’autorisait qu’un solde débiteur de 3 000 francs devant être couvert au plus tard le trentième jour et qu’il n’était par ailleurs allégué ni l’existence d’une autre autorisation de découvert, ni même l’existence antérieure d’un découvert tacite, la cour d’appel n’a pas légalement justifié sa décision ; »^[15].

IV – LE DÉPÔT DE PLAINTE, ET LES PRÉCAUTIONS À PRENDRE, EN CAS DE FRAUDE AU FAUX CONSEILLER :

Les escrocs, agissant depuis l’étranger, sont en pratique, rarement retrouvés par les enquêteurs.

Le dépôt de plainte n’est pas inutile pour autant puisque, d’une part, certaines affaires aboutissent parfois lorsque les escrocs sont français^[16] et, d’autre part, parce que les banques des victimes l’exigent afin d’étudier les oppositions et contestations des opérations de leurs clients. 

Les victimes l’ignorent souvent mais la manière dont la plainte est rédigée est souvent déterminante dans leurs chances d’indemnisation. 

Comme le relève un média spécialisé en matière bancaire, les victimes doivent soigneusement préparer leur dossier afin de maximiser leur chance d’indemnisation ^[17] et notamment conserver toutes les traces de l’arnaque (capture d’écran des appels, des opérations effectuées, noter le déroulé exact de l’escroquerie) et porter plainte « sans s’incriminer » …

Si en effet la banque sollicite le dépôt d’une telle plainte afin d’étudier la demande d’indemnisation, la plainte peut en effet rapidement nuire au client. La jurisprudence évoquée en matière de « phishing » tendait à favoriser les intérêts des victimes moins locaces, qui niaient avoir été hameçonnées. Les autres avaient mécaniquement plus de chance de se voir reprocher leur négligence grave. 

Nous vous recommandons donc vivement la consultation d’un avocat avant de procéder au dépôt de plainte.

Par ailleurs, après avoir rapidement contesté les opérations, il est impératif que les victimes conservent toutes les preuves de l’escroquerie :

• capture d’écran de la liste des appels reçus (laquelle s’efface au bout d’un certain temps).
• capture d’écran des notifications des opérations.
• capture d’écran des opérations litigieuses sur l’espace en ligne. Certaines de ces opérations peuvent être contrepassées grâce à un « recall » de la banque^[18].
• conserver les relevés de compte sur lesquels figurent les opérations litigieuses
• copie des formulaires de contestations des paiements par carte bancaire que la banque demande de renseigner.

V – LA PRATIQUE DES ÉTABLISSEMENTS DE CRÉDIT QUANT AUX REMBOURSEMENTS :

Les établissements de crédit rechignent généralement à procéder remboursement spontané des victimes, que ce soit en matière de « spoofing » ou de « phishing » …

L’article 22 de la Loi n° 2022-1158 du 16 août 2022 portant mesures d’urgence pour la protection du pouvoir d’achat^[19] est d’ailleurs venu ajouter à l’article L. 133-18 du Code monétaire et financier des pénalités en cas de manquement au remboursement des clients victimes de fraudes bancaires afin d’inciter les établissement de crédit à s’exécuter. Ces pénalités consistent en des intérêts moratoires calculés au taux légal majorés de 5 points,  10 points au-delà de 7 jours de retard, 15 points au delà de 30 jours de retard.

Plus récemment 16 mai 2023, l’Observatoire de la sécurité des moyens de paiement, interpelé par les associations de consommateurs sur les difficultés rencontrées par les usagers de banque pour obtenir le remboursement des opérations frauduleuses, a publié 13 recommandations dans le cas où l’opération contestée faisait l’objet d’une authentification forte.

L’Observatoire exige notamment que les prestataires de services de paiement s’engagent à prendre en considération les recommandations 1 à 6 dans leurs pratiques « en matière de traitement des contestations d’opérations de paiement non autorisées ». Il est notamment exigé des établissements de crédit qu’ils :

• réduisent leurs délais pour la conduite des investigations suite à une contestation.
• informent la clientèle qu’une reprise des fonds est possible en cas de remboursement par mécanisme d’assurance par exemple.
• motivent leur refus de remboursement et notamment les éléments qui justifient le refus (« par exemple, mandat de prélèvement, éléments transmis par le commerçant, preuve de négligence grave… »). En effet, en pratique, les établissements se contentent de refuser les remboursements trop laconiquement.

Spécifiquement, lorsqu’un paiement est intervenu au moyen d’une authentification forte, l’Observatoire a donné des recommandations quant aux paramètres à analyser pour déterminer si la victime a autorisé ou non l’opération : 

• les paramètres techniques associés à l’opération (le terminal utilisé, la localisation géographique).
• les modalités de l’authentification forte (type de solution, intégrité du canal de communication et des facteurs d’authentification, caractère récent de l’enrôlement d’un élément de possession (c’est l’association à un utilisateur d’un objet, mobile ou ordinateur).
• les éléments de contexte.

L’Observatoire recommande au prestataire de procéder sans délai au remboursement s’il constate que l’opération n’a pas été autorisée, ou s’il a un doute sur le consentement donné à l’opération. L’Observatoire reconnaît bien la distinction entre authentification et consentement même en matière d’authentification forte. Espérons que les tribunaux suivent cette recommandation.

Maître Amaury Ayoun, avocat au Barreau de Marseille, conseille et défend les victimes de fraudes ou arnaque au faux conseiller / spoofing / vishing.

Vous pouvez joindre notre cabinet par téléphone au 04 84 25 40 95 ou par mail : avocat@amauryayoun.com

---

^[1] S. TORCK, « L’exécution et la contestation des opérations de paiement », JCP E 2010, 1033, spéc. n°32.

^[2] Cass. com., 12 nov. 2020, n°19-12112 ; Publié au bulletin ; Gaz. Pal. 2021, 2 févr., p. 52, obs. C. Houin-Bressand ; Gaz. Pal. 2021, 19 janv., p. 16, obs. J. Lasserre Capdeville ; RTD Com. 2021, p. 173, obs. D. Legeais ; LEDB 2021, janv., n° 113r7, p. 1, obs. S. Piédelièvre.

^[3] Cass. com., 30 nov. 2022, 21-17.614, Publié au bulletin ; Dalloz actualité, 6 déc. 2022, obs. C. Hélaine, Banque & Droit 2023, n°208, mars-avril, p. 22, obs. Th. Bonneau ; DAE, 16 janv. 2023, note M. Hervieu ; D. 2022, p. 2156 ; RTD com. 2023, p. 201, obs. D. Legais.

^[4] Cass. com, 1^er juin 2023, n°21-19.289 ; Publié au bulletin ; LEDB juill. 2023, n° DBA201o8, obs. N. Mathey ; DAE, 21 juin 2023, note M. Hervieu.

^[5] article L. 133-3, I. du Code monétaire et financier.

^[6] Cass. com., 28 mars 2018, n°16-20.018 ; Publié au Bulletin ; LEDB 2018, mai, n° 111h3, p. 3, obs. N. Mathey ; Gaz. Pal. 2018, 15 mai, n°17, p. 20, note J. Lasserre Capdeville ; Gaz. Pal. 2018, 12 juin, n°21, p. 58, note C. Houin-Bressand ; RDC 2018, p. 362, obs. J. Huet ; CCE 2018-5, comm. 34, p. 27, obs. G. Loiseau ; RTD com. 2018, p. 436, obs. D. Legeais ; D. actu. 10 avr. 2018, obs. X. Delpech

^[7] J. LASSERRE CAPDEVILLE ET AL. Droit bancaire, Dalloz, coll. précis, 3^ème éd., 2021, spéc. n°1555, p. 744.  

^[8] Cass. com., 12 nov. 2020, n°19-12112 ; Publié au bulletin ; Gaz. Pal. 2021, 2 févr., p. 52, obs. C. Houin-Bressand ; Gaz. Pal. 2021, 19 janv., p. 16, obs. J. Lasserre Capdeville ; RTD Com. 2021, p. 173, obs. D. Legeais ; LEDB 2021, janv., n° 113r7, p. 1, obs. S. Piédelièvre.

^[9] CJUE, 5^e ch., 16 mars 2023, n°C-351/21, ZG c/ Beobank SA, M. Regan ; Gaz. Pal. 2023, n°20, 13 juin, p. 42, obs.  M. Roussille.

^[10] CA Versailles, 28 mars 2023, n°21/07299 ; LEDB juin 2023, n° DBA201m9, obs. J. Lasserre Capdeville ; Gaz. Pal. 2023, 6 juin, n°19, p. 22, note J. Lasserre Capdeville.

^[11] Il appartient à la victime de le démontrer : CA Douai, 5 janv. 2023, n° 21/04625.

^[12] T. Com. Paris, 6^ème ch., 21 mars 2022, n°2020049757

^[13] En ce sens, voir par exemple Cass. com. 17 mai 2017, n° 15-28209 ; inédit : « la négligence grave retenue contre le titulaire de la carte bancaire pour n’avoir pas préservé la sécurité de celle-ci et de son code confidentiel ne le privait pas du droit d’invoquer le manquement du banquier à ses propres obligations en application des règles du droit commun de la responsabilité contractuelle ».

^[14] Cass. com., 1^er mars 2016, n°14-22.946, inédit.

^[15] Cass. com., 6 févr. 2007, n° 05-14872, inédit.

^[16] https://www.moneyvox.fr/actu/92400/escroquerie-aux-faux-conseillers-bancaires-neuf-personnes-mises-en-examen

^[17] https://www.moneyvox.fr/banque/actualites/93543/arnaque-au-faux-conseiller-les-bons-reflexes-pour-se-faire-rembourser-par-votre-banque

^[18] Le SEPA Credit Transfer Scheme Rulebook précise dans quelles conditions un retour des fonds peut être réalisé suite à un virement frauduleux.

^[19] https://www.legifrance.gouv.fr/jorf/article_jo/JORFARTI000046186762