Maître Amaury Ayoun est avocat en droit bancaire et intervient dans les intérêts de victimes d’escroquerie bancaire .
La chambre commerciale de la Cour de cassation a publié le 15 janvier 2025 un nouveau communiqué de presse[1] au sujet des fraudes ou arnaques bancaires, pour lesquelles elle préfère désormais employer le vocable « escroquerie bancaire ».
Comme en octobre dernier, lorsqu’elle a rendu son arrêt très médiatisé en matière de spoofing[2] (« fraude au faux conseiller »)[3], la Cour de cassation introduit ses décisions par un communiqué tonitruant dont l’en-tête peut se révéler assez trompeur :
« Les banques doivent rembourser leurs clients victimes d’escroquerie bancaire.
Toutefois, elles ne sont pas tenues d’effectuer ce remboursement, même partiel :
- s’il y a eu une négligence grave de leur client ;
- en cas de virement effectué sur la base d’un identifiant bancaire fourni par leur client, mais qui ne vise pas le bon bénéficiaire. »
Ce communiqué doit être lu avec précaution pour plusieurs raisons.
D’une part, le vocable « escroquerie bancaire » recoupe des situations extrêmement diverses telles que la fraude au faux conseiller / spoofing, les escroqueries financières (faux investissements ou placement, escroqueries aux cryptomonnaies, places de marchés fictives), escroqueries aux sentiments (récemment médiatisée par l’affaire du « faux Brad Pitt »), escroquerie aux faux ordres de virement, arnaque au chèque etc …
Or, en droit bancaire, toutes ces arnaques ne sont pas traitées selon le même régime selon qu’il est question d’une « opération autorisée » ou d’une opération non autorisée, distinction au sujet de laquelle une plume autorisée avait parlé de summa diviso[4].
En effet, en principe, selon l’article L. 133-18 du Code monétaire et financier, « En cas d’opération de paiement non autorisée signalée par l’utilisateur (…), le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée (…) ». Les banques doivent donc rembourser leurs clients qui contestent avoir autorisé des opérations de paiement. Par exemple, l’arrêt de la chambre commerciale du 23 octobre 2024 admettait implicitement que l’opération de paiement réalisée sous manipulation par la victime de fraude au faux conseiller /spoofing était une opération non autorisée[5].
Ce principe est toutefois assorti d’exceptions comme chacun le sait.
En « marge » des opérations non autorisées, se trouve les opérations autorisées, lesquelles paraissent plus fréquentes en pratique. Les victimes d’escroqueries qui ne peuvent prétendre au remboursement visé à l’article L. 133-18 du Code monétaire et financier, peuvent parfois invoquer le devoir de vigilance du banquier, construction jurisprudentielle, qui permet d’engager la responsabilité de ce dernier lorsque les opérations présentent des anomalies apparentes.
Cette distinction donnera suite à deux types d’actions, l’une en remboursement, la seconde en indemnisation, bien distinctes et dont les règles et les enjeux diffèrent nettement pour l’usager bancaire.
Le communiqué de la chambre commerciale est donc critiquable en ce qu’il ignore les difficultés pratiques qu’il y a parfois à qualifier une opération d’autorisée ou non. On ne saurait donc être aussi catégorique que le service de communication de la chambre en commerciale qui affirme que « les banques doivent rembourser leurs clients victimes d’escroquerie bancaire », et cela de surcroît lorsque l’un des deux arrêts objet de la communication présente un cas qui présente cette problématique d’autorisation (Affaire n°2 : Cass. com., 15 janv. 2025, n°23‐15.437 ; B).
D’autre part, le caractère général de l’assertion laisse entendre que le « remboursement », terme critiquable, ne pourra être accordé que dans deux circonstances : la négligence grave du client et en cas de « virement effectué sur la base d’un identifiant bancaire fourni par leur client, mais qui ne vise pas le bon bénéficiaire. ».
S’agissant de la première circonstance, s’il est question de « négligence grave » c’est que le régime de responsabilité étudié est celui des opérations non autorisées. Or, si effectivement, l’établissement bancaire n’est pas tenu au remboursement en cas de négligence grave de l’usager (article L. 133-19 du Code monétaire et financier), il n’est pas tenu non plus en cas d’agissement frauduleux de la part de ce dernier (même texte), mais surtout il lui incombe de « prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre » (article L. 133-23 du Code monétaire et financier). La chambre commerciale de la Cour de cassation rappelait il y a moins de deux mois dans son arrêt du 20 novembre 2024[6], les juges du fond sont tenus de rechercher si les opérations litigieuses ont bien été authentifiées et ne peuvent se contenter de caractériser la négligence grave du payeur.
S’agissant de la seconde circonstance, on fera observer, sans trop dévoiler le contenu de l’arrêt que nous commentons plus bas, qu’il vise une situation très distincte et déjà distinguée tant par la Loi que par la chambre commerciale dans des arrêts antérieurs.
L’en-tête du communiqué en souhaitant synthétiser deux arrêts relatifs aux escroqueries bancaires prête donc à confusion tant les deux arrêts n’avaient pas nécessairement vocation à être étudiés ensemble, quoique les deux arrêts ont pour point commun d’écarter la responsabilité pour manquement au devoir de vigilance au bénéfice la responsabilité spéciale des opérations de paiement. Le communiqué n’a toutefois pas cru utile de mentionner cet aspect des décisions, qui nous paraît effectivement subsidiaire.
Il convient donc de commenter de manière différenciée l’ « affaire n°1 » (Cass. com., 15 janv. 2025, 23‐13.579; B) (I) puis l’ « affaire n°2 » (Cass. com., 15 janv. 2025, n°23‐15.437 ; B).(II).
I – LA NEGLIGENCE GRAVE DE LA VICTIME ET LA FAUTE DE LA BANQUE :
Dans ce premier arrêt, une société avait contesté 6 ordres de virement d’un montant cumulé de 498 266,50 euros exécutés par leur banque.
L’arrêt de cassation mentionnant peu de faits à l’origine de l’affaire, le communiqué précise que la société, après avoir cliqué à un lien malveillant d’un courriel, aurait été victime d’un « cheval de Troie bancaire », logiciel conçu pour permettre in fine à l’escroc d’accéder à des données confidentielles et prendre le contrôle de l’ordinateur de la société pour ordonner les virements bancaires.
Quoiqu’il en soit, la cour d’appel de Paris dans son arrêt du 18 janvier 2023 avait considéré que la société victime avait commis une négligence grave mais que la banque avait toutefois commis quant à elle un manquement à son obligation de vigilance et de surveillance de ses systèmes.
Cette solution ne pouvait pas demeurer pérenne car elle est désormais contraire à l’étanchéité reconnue par la Cour de cassation entre les deux régimes de responsabilité évoqués en introduction. Depuis son arrêt du 27 mars 2024, la chambre commerciale de la Cour de cassation a expressément exposé que « dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 précités, qui transposent les articles 58, 59 et 60, paragraphe 1, de la directive 2007/64/CE, à l’exclusion de tout régime alternatif de responsabilité résultant du droit national. » (Cass. com., 27 mars 2024, 22-21.200; B), et qu’en conséquence, la responsabilité de droit commun de la banque recherchée suite à son manquement au devoir de vigilance ne peut donc pas être recherchée.
L’arrêt du 15 janvier reprend la précédente formulation à l’identique, et constate que la cour d’appel de Paris après avoir écarté la responsabilité de la banque, recherchée du fait de paiements non autorisés sur le fondement de l’article L. 133‐18 du code monétaire et financier, ne pouvait pas ensuite rechercher la responsabilité́ de la banque sur le fondement de son manquement contractuel au devoir de vigilance.
La société victime devait supporter seule les pertes subies du fait de l’opération non autorisée en raison de sa négligence grave.
La solution retenue par la Cour de cassation paraissait donc inévitable tant les victimes d’ « escroquerie bancaire » doivent donc « choisir » et renoncer à l’une ou l’autre des actions. En effet, en tout hypothèse, il n’appartiendrait qu’aux victimes de dire si l’opération est autorisée ou non.
Or, les victimes ont-elles même réellement une option quant à la qualification de l’opération de paiement autorisée ou non autorisée ? Une « opération de paiement est autorisée si le payeur a donné son consentement à son exécution » (article L. 133-6, I. du Code monétaire et financier). Un auteur rappelle donc que « c’est du consentement au paiement et non du consentement à l’opération sous-jacente dont il est question. »[7].
Dans ces conditions, la fraude aux investissements est par exemple écartée du régime de responsabilité spéciale car l’usager bancaire a bien consenti au paiement, bien que l’opération sous-jacente n’existe pas. Ces victimes pourront éventuellement tenter d’exciper le manquement au devoir de vigilance de la banque et engager sa responsabilité de droit commun.
À l’inverse, la fraude aux faux conseiller justifie, sans que la Cour de cassation ne le contredise dans son arrêt du 23 octobre 2024, que la victime manipulée n’a pas autorisé une opération de paiement. Encore faut-il ensuite que la banque ne rapporte pas la preuve d’une négligence grave pour prétendre au remboursement.
On pourrait situer entre ces deux exemples de fraudes aux opérations de paiement que nous venons de citer les escroqueries au cours desquels un remplacement de RIB est opéré. C’est tout l’objet de la seconde affaire.
II – LA DISCORDANCE ENTRE LE NOM DU BÉNÉFICIAIRE ET LE NUMÉRO DE COMPTE :
Dans le second arrêt, la chambre commerciale traitait du cas de l’arnaque au faux RIB malheureusement déjà traitée dans un sens défavorable aux victimes d’escroquerie.
Les faits concernaient assez classiquement des particuliers qui pour l’achat d’un véhicule en ligne avaient été destinataire d’un RIB qu’un escroc avait substitué à celui du vendeur dont la boîte mail avait été piratée.
Les acquéreurs avaient donc ordonné deux virements sur un mauvais RIB.
C’est dans ces conditions qu’ils avaient soutenu que la banque avait manqué à son devoir de vigilance en ne détectant pas l’anomalie d’un RIB communiqué par leurs soins.
La cour d’appel de Nîmes condamnait la banque à réparer les préjudices résultant de l’exécution des ordres de virement et de transfert litigieux après avoir retenu que « si, en application de l’article L. 133‐21 du code monétaire et financier l’identifiant unique fourni par l’utilisateur du service de paiement est inexact, le prestataire de services de paiement n’est pas responsable de la mauvaise exécution ou la non exécution de l’opération de paiement ; (…) ce texte ne dispense cependant pas le banquier de son obligation de vigilance en vertu de laquelle il lui appartient de vérifier la régularité des opérations bancaires qui lui sont soumises en contrôlant l’absence d’anomalie apparente. »
L’article L. 133-21 alinéa 2 du Code monétaire et financier dispose en effet que « Si l’identifiant unique fourni par l’utilisateur du service de paiement est inexact, le prestataire de services de paiement n’est pas responsable de la mauvaise exécution ou de la non-exécution de l’opération de paiement. ».
La chambre commerciale, après avoir rappelé la primauté du droit spécial sur le droit commun selon la formule employée dans l’arrêt précédent (« dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133‐18 à L. 133‐24 du code monétaire et financier »), précise que « l’article L. 133‐21 du code monétaire et financier est exclusif de toute application des règles de droit commun », et que la cour d’appel a violé l’article 1231‐1 du Code civil par fausse application, et l’article L. 133‐21 du Code monétaire et financier par refus d’application.
La Cour de cassation avait déjà jugé que la victime de fraude ne saurait reprocher au prestataire de service de paiement, de ne pas avoir vérifié si l’identifiant unique du virement coïncide avec le numéro de compte du bénéficiaire[8].
La nouveauté de cet arrêt réside dans l’exclusion expresse du régime de responsabilité de droit commun.
Ce nouvel arrêt tend encore à réduire les possibilités d’indemnisation des victimes d’arnaques au faux RIB alors que tout devrait converger vers leur indemnisation (notre article à ce sujet). La doctrine autorisée expose qu’en cas de substitution frauduleuse de RIB par un tiers, « le payeur ayant transmis par la suite ce RIB « substitué » à sa banque, n’a pas souhaité qu’un tiers bénéficie du paiement en question. Il s’agit donc bien d’une opération de paiement non autorisée. »[9]. L’arrêt du 23 octobre 2024 abonde aussi dans le sens d’une qualification de pareille situation en opération non autorisée.
En tout état de cause, comme nous le mentionnions dans un précédent article, la banque sera toutefois bientôt tenue de de vérifier l’identité du bénéficiaire.
***
La matière des escroqueries bancaires, ou plutôt des fraudes aux opérations de paiement, révèle toujours des règles techniques, bien que dans le même temps, leur articulation paraît se fluidifier.
En revanche, une fois de plus, le communiqué de presse de la Cour de cassation ne parvient pas à expliquer lesdites règles à son (grand ?) public …
Maître Amaury Ayoun, avocat à Marseille, assiste les victimes de fraudes bancaires. Vous pouvez nous joindre par téléphone au 04 84 25 40 95 ou par mail : avocat@amauryayoun.com
[1] https://www.courdecassation.fr/toutes-les-actualites/2025/01/15/communique-escroquerie-bancaire-precisions-quant-aux-conditions-du
[2] Cass. com., 23 oct. 2024, n°23-16.267 ; B
[3] Vous pouvez consulter nos précédents articles en matière de spoofing en suivant ce lien, et notre article « Arnaque ou fraude bancaire au faux conseiller / spoofing » qui décrit le phénomène.
[4] D. LEGEAIS, Obs sous Cass. com. 2 mai 2024, n°22-17.233, RTD Com. 2024, p. 409
[5] P. STORRER, « La fraude aux paiements par spoofing devant la Cour de cassation : grande publicité, petit arrêt », D. 2024, p. 2090
[6] Cass. com., 20 nov. 2024, n° 23-15.099, B ; voir notre article au sujet de cet arrêt.
[7] F. MARTINET, « D’une vigilance à l’autre », Banque & Droit 2024, n°215, mai-juin, p. 7.
[8] Cass. com., 24 janv. 2018, n°16-22.336 ; Publié au Bulletin
[9] J. LASSERRE CAPDEVILLE, chron. « Les opérations de paiement non autorisées ou mal exécutées (1er juill 23 – 1er juill. 24) », JCP E 2024, 1220, spéc. n°71 ; dans le même sens A. MARION, « La réglementation lutte-t-elle efficacement contre la fraude aux faux ordres de virement ? », Banque & Droit 2022, n°201, janv.-fevr., p. 18-23.
Amaury Ayoun Avocat 
Un commentaire sur “[Droit bancaire] « Les banques doivent rembourser leurs clients victimes d’escroquerie bancaire. Toutefois,(…) » ”