Maître Amaury Ayoun est avocat au Barreau de Marseille et intervient régulièrement en droit bancaire. Il est régulièrement l’avocat de victimes d’arnaque ou fraude bancaire.
On ne compte plus désormais le nombre de variantes des arnaques ou fraudes au virement. Les anglicismes ne manquent pas pour qualifier les pratiques élaborées des escrocs : phishing (hammeçonnage par mail, par sms, par téléphone, par QR code : quishing), spoofing/vishing (usurpation de l’identité d’une entreprise financière, le plus souvent par téléphone, les escrocs se faisant passer pour des conseillers clientèles).
Les particuliers sont les cibles privilégiées des fraudeurs qui les incitent à valider des opérations par inadvertance ou révéler des données confidentielles, à l’issue de longues manipulations (fraude au faux conseiller, fraude au faux coursier). Dans ces certains cas, l’arnaque est si sophistiquée que les escrocs répliquent des sites internet de banque ou plateforme d’investissement financier ou d’échange de crypto-monnaie, et parviennent en promettant des gains élevés à soutirer à leur victime des sommes très importantes par virement sur des comptes domiciliés dans des banques étrangères. Dans ce dernier cas, il sera question d’arnaque ou escroquerie financière.
Les entreprises sont également concernées par ce phénomène en hausse, c’est notamment le cas lorsque les escrocs se font passer pour des fournisseurs (fraude au président, fraude au faux RIB, faux ordres de virement (FOVI)).
À l’issue de ces arnaques plus ou moins sophistiquées, la victime peut donc être amenée à procéder à un virement, c’est à un dire transfert de sommes d’argent de compte à compte.
Or, souvent, l’opération est affectée d’incohérences intellectuelles qui interrogent sur l’éventuelle responsabilité de l’établissement bancaire de la victime. Le nom du bénéficiaire qui accompagne l’ordre de virement est par exemple, souvent, discordant avec le nom associé au compte destinataire des fonds. En effet, quelque soit l’arnaque pratiquée, les escrocs dissimulent soigneusement le nom du véritable bénéficiaire pour ne pas éveiller les soupçons des victimes, soit en leur dictant les informations à renseigner pour procéder au virement soit en fournissant un relevé d’identité bancaire falsifié. Dans les deux cas, la seule information véridique est le numéro IBAN (International Bank Account Number) communiqué.
À ce jour, l’établissement bancaire du payeur (celui de la victime donc) n’est pas tenu de vérifier l’identité du bénéficiaire du virement (I). Cependant, afin de limiter le nombre de fraudes bancaires et protéger les usagers bancaires, le législateur européen entend modifier les règles applicables (II). Entre-temps, les victimes auront toutefois la possibilité d’exercer des recours (III).
I – LA BANQUE DE LA VICTIME EST-ELLE RESPONSABLE D’UNE DISCORDANCE ENTRE LE NOM DU DU BÉNÉFICIAIRE ET LE NUMÉRO DE COMPTE ?
À ce jour, l’article L. 133-21, alinéa 2 du Code monétaire et financier dispose que « Si l’identifiant unique fourni par l’utilisateur du service de paiement est inexact, le prestataire de services de paiement n’est pas responsable de la mauvaise exécution ou de la non-exécution de l’opération de paiement. »
On conviendra que dans un contexte frauduleux, l’identifiant fourni est souvent inexact puisque la victime ignore que les fonds sont adressé sur un compte tiers.
Aussi, selon la Cour de cassation, la victime de fraude ne saurait reprocher au prestataire de service de paiement, de ne pas avoir vérifié si l’identifiant unique du virement coïncide avec le numéro de compte du bénéficiaire[1].
La Cour de Justice de l’Union Européenne considère aussi que « lorsqu’un ordre de paiement est exécuté conformément à l’identifiant unique fourni par l’utilisateur de services de paiement, lequel ne correspond pas au nom du bénéficiaire indiqué par ce même utilisateur, la limitation de la responsabilité du prestataire de services de paiement, prévue par cette disposition, s’applique tant au prestataire de services de paiement du payeur qu’au prestataire de services de paiement du bénéficiaire. »[2].
Pourtant, la Directive (UE) n°2015/2366 du Parlement Européen du 25 novembre 2015 (dite « DSP2 ») invite dans son considérant 88, les États membres à « demander au prestataire de services de paiement du payeur d’agir avec toute la diligence requise et, lorsque cela est techniquement possible et ne nécessite pas d’intervention manuelle, de vérifier la cohérence de l’identifiant unique, et, s’il apparaît que cet identifiant unique n’est pas cohérent, de refuser l’ordre de paiement et d’en informer le payeur. ».
En l’état actuel, le droit positif paraît donc être en contradiction avec les intentions du législateur européen et insuffisamment protecteur des intérêts du consommateur.
Dans son rapport annuel de 2020, l’Observatoire de la sécurité des moyens de paiement (OSMP) préconisait l’utilisation d’outils de confirmation du bénéficiaire (« confirmation of payee »)[3], c’est à dire un service de correspondance entre l’IBAN et le nom du compte en temps réel. Un auteur suggérait que, pour les ordres contenant des IBAN français, les prestataires de services de paiement ont les moyens de systématiser l’application « Diamond » proposée par la société SEPAmail.eu, dont une centaine de banque sont déjà adhérente[4].
II – LA BANQUE DE LA VICTIME EST BIENTÔT TENUE DE VÉRIFIER L’IDENTITÉ DU BÉNÉFICIAIRE :
Dès le 9 octobre 2025[5], lorsque les prestataires de services de paiement sont situés dans un État membre dont la monnaie est l’euro, « Le prestataire de services de paiement d’un payeur propose au payeur un service assurant la vérification du bénéficiaire auquel le payeur a l’intention d’envoyer un virement (service assurant la vérification). Le prestataire de services de paiement du payeur effectue le service assurant la vérification immédiatement après que le payeur a fourni les informations pertinentes sur le bénéficiaire et avant que le payeur ne se voie offrir la possibilité d’autoriser le virement concerné. (…) ».
Cette disposition est issue de l’article 5 quater du Règlement (UE) n° 2024/886 du Parlement européen et du Conseil du 13 mars 2024 modifiant les règlements (UE) no 260/2012 et (UE) 2021/1230 et les directives 98/26/CE et (UE) 2015/2366 en ce qui concerne les virements instantanés en euros[6].
Comme son nom l’indique, cette modification notable ne concerne que les virements instantanés en euros mais devrait réduire sensiblement les fraudes au virement.
On observe encore que l’article 5 bis, § 6 prévoit encore qu’ « à la demande de l’utilisateur de services de paiement, un prestataire de services de paiement offre à l’utilisateur de services de paiement la possibilité de fixer une limite établissant le montant maximal qui peut être envoyé au moyen d’un virement instantané ». Ceci devrait aussi réduire les possibilités de fraudes.
Par ailleurs, le 28 juin 2023, la Commission européenne a présenté un projet de règlement pour les services de paiement (RSP)[7] et une troisième directive sur les services de paiement (DSP3).
Le premier des deux textes propose dans son article 50 propose un service de rapprochement entre le nom du bénéficiaire et son identifiant unique dans le cas de virements : « Dans le cas de virements, le prestataire de services de paiement du bénéficiaire vérifie gratuitement, à la demande du prestataire de services de paiement du payeur, la concordance entre l’identifiant unique et le nom du bénéficiaire fournis par le payeur et communique le résultat de cette vérification au prestataire de services de paiement du payeur. Si l’identifiant unique et le nom du bénéficiaire ne concordent pas, le prestataire de services de paiement du payeur notifie au payeur toute divergence détectée et l’informe du degré de cette divergence. »
III – ENTRE-TEMPS, QUEL RECOURS POUR LA VICTIME D’UN VIREMENT FRAUDULEUX ?
Les victimes devront décider si le virement a été autorisé ou non, selon l’hypothèse retenue, deux régimes de responsabilité différents peuvent être mobilisé.
Si l’opération n’est pas autorisée, la responsabilité spéciale des prestataires de services de paiement trouve à s’appliquer. Ce régime est avantage puisqu’il érige en principe l’obligation de remboursement du prestataire de service de paiement[8] (sauf si la négligence grave du payeur ou sa propre fraude est rapportée).
Or, bien souvent, la victime initie elle-même les opérations de paiement en suivant les instructions de l’escroc ou en remettant un IBAN qu’elle ignore être falsifiée. Dans ce cas de figure, la victime s’expose à ce que la banque lui oppose qu’il s’agit d’une opération autorisée, et à tout le moins « mal exécutée », et donc opposer son absence de responsabilité sur le fondement de l’article L. 133-21 du Code monétaire et financier.
Toutefois, la Cour de cassation a parfois exprimé dans sa jurisprudence que l’autorisation d’une opération de paiement ne se confondait pas strictement avec le consentement[9].
En dernier lieu, dans un arrêt du 27 mars 2024[10], la Cour de cassation a récemment retenu que si le titulaire des comptes qui contestait être l’auteur des ordres de transfert des fonds litigieux, la responsabilité de la banque ne pouvait être recherchée que sur le fondement de l’article L. 133-18 du code monétaire et financier.
Cela devrait amener les victimes de fraudes bancaires et leurs avocats à mesurer avec précaution la thèse à soutenir.
Généralement, dans le cas d’arnaques financières, dans lesquelles les victimes ont bien autorisé les virements, ces dernières invoqueront donc davantage les manquements de la banque à son devoir de vigilance, lequel s’impose en présence d’opérations dont l’illicéité ressort d’une « anomalie apparente »[11].
***
Maître Amaury Ayoun, avocat au Barreau de Marseille, conseille et défend les victimes de fraudes bancaires ou arnaques financières.
Vous pouvez joindre notre cabinet par téléphone au 04 84 25 40 95 ou par mail : avocat@amauryayoun.com
[1] Cass. com., 24 janv. 2018, n°16-22.336 ; Publié au Bulletin
[2] CJUE, 21 mars 2019, aff. C-245/18.
[3] OSMP, Rapport annuel sur 2020, p. 47
[4] A. MARION, « La réglementation lutte-t-elle efficacement contre la fraude aux ordres de virement ? », Banque & Droit 2022, n°201, janv.-févr., p. 18-23.
[5] Et au plus tard le 9 juillet 2027, dans un État membre dont la monnaie n’est pas l’euro.
[6] JOUE L, 2024/886, 19 mars 2024.
[7] Commission Européenne, Proposition de règlement concernant les services de paiement dans le marché intérieur et modifiant le règlement (UE) nº 1093/2010, COM /2023/367 final
[8] article L. 133-18 du Code monétaire et financier.
[9] Cass. com., 30 nov. 2022, 21-17.614 ; Publié au Bulletin ; Cass. com, 1er juin 2023, n°21-19.289 ; Publié au bulletin
[10] Cass. com., 27 mars 2024, n°22-21200 ; Publié au Bulletin ; et déjà en ce sens CJUE, 16 mars 2023, n° C-351/21.
[11] Cass. com., 3 janv. 1977, n° 75-11.853 ; Bull. civ. IV, n° 2 ; Cass. com., 15 nov. 2016, n° 15-14.133 ; Cass. com., 25 sept. 2019, n° 18-15.965 ; Cass. com., 15 juin 2022, n° 21-10.080.
Amaury Ayoun Avocat 
Un commentaire sur “[Droit bancaire] Fraude au virement : la banque a t-elle l’obligation de vérifier l’identité du bénéficiaire ?”