Maître Amaury Ayoun, avocat en droit bancaire intervient dans les intérêts de victimes de fraudes ou arnaques bancaires
Ce 12 juin 2025, la chambre commerciale de la Cour de cassation vient de délivrer une salve d’arrêts, tous publiés au Bulletin, intéressant la matière des opérations de paiement, et plus particulièrement, sans surprise, des cas de fraudes bancaires.
La chambre commerciale opère ici de subtiles précisions en la matière, laquelle, rappelons-le, n’obéit pas un régime juridique unifié et relève du droit du spécial de la responsabilité des services de paiement s’il s’agit d’une opération non autorisée, et du droit commun autrement (Sur ce point, nous vous renvoyons à la lecture de notre précédent article au sujet des arrêts de la chambre commerciale du 15 janv. 2025).
Les trois affaires de ce 12 juin 2025 traitent de la fraude au faux conseiller (arrêt n°1 : Cass. com., 12 juin 2025, n° 24-13.777, B) et de la fraude au président (arrêt n°2 : Cass. com., 12 juin 2025, n°24-13.697, B ; arrêt n°3 : Cass. com. 12 juin 2025, n°24-10.168) et ne font cette fois-ci pas l’objet d’un communiqué de presse, ce qui rassurera les observateurs les plus avertis de contentieux[1]. Néanmoins, les arrêts relatifs à la fraude au président font l’objet d’une brève publiée sur le site de la Cour de cassation, qui à l’inverse des précédents communiqués de presse, expose assez fidèlement la portée des deux décisions.
La lecture croisée de ces arrêts illustre la forte casuistique qui règne dans ce contentieux qui n’a pas cessé de croître ces deux dernières années. À nos yeux, ces arrêts réaffirment les avantages du dispositif de droit spécial pour les usagers bancaires, dans lequel la charge probatoire repose sur la banque, laquelle dépend elle-même des déclarations de l’usager bancaire. À l’inverse, lorsque le droit commun s’applique, l’usager bancaire doit, d’une part, caractériser des anomalies apparentes afin de démontrer que la banque était tenue d’un devoir de vigilance et, d’autre part, qu’elle n’y a pas satisfait.
I – FRAUDE AU FAUX CONSEILLER : PREUVE DE LA NÉGLIGENCE GRAVE :
Dans cette première affaire (Cass. com., 12 juin 2025, n° 24-13.777, B), les faits sont presque classiques, puisque la victime de la fraude au faux conseiller (dite parfois « spoofing ») n’est pas un particulier mais une société de transport, contactée par l’intermédiaire de l’une de ses salariées. Du reste, le mode opératoire des escrocs est plus traditionnel et ces derniers sont parvenu à convaincre la salariée de « d’effectuer différentes manipulations à l’aide du système de paiement à distance afin permettre la réinscription d’opérations sur le compte. ». Deux virements vers l’Allemagne d’un montant total de 98.000,00 euros s’ensuivent.
Après avoir porté plainte, la société assignait la banque en remboursement sur le fondement des articles L. 133-18 et suivants du Code monétaire et financier, postulant donc que ces opérations n’avaient pas été autorisées.
À toutes fins utiles, il est rappelé, pour la suite des développements, que la banque qui entend faire supporter les pertes occasionnées par une opération de paiement non autorisée rendue possible par un manquement de cet utilisateur, intentionnel ou par négligence grave, doit prouver que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre, les deux conditions étant cumulatives selon une lecture croisée de l’article L. 133-23 du Code monétaire et financier et de l’article L. 133-19, IV du même Code (Dernièrement au sujet de l’articulation des deux conditions : Cass. com., 30 avr. 2025, n°24-10.149, B ; notre revue sur cet arrêt).
La demande prospère devant la Cour d’appel de Paris qui condamne la banque, laquelle forme un pourvoi en cassation.
Selon la banque condamnée, la négligence grave serait notamment caractérisée car la société aurait, par l’intermédiaire de sa salarié « communiqué les données personnelles de son dispositif de sécurité en réponse à un appel téléphonique dont la teneur permettait à un interlocuteur normalement attentif de douter de sa provenance », ce qui traduirait un manquement aux obligations à l’usager des services de paiements à ses obligations de l’article L. 133-16, al. 1 du Code monétaire et financier (« Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées. »).
Elle expose notamment que ses conditions générales mettaient à la charge de la société une obligation de « tenir son code confidentiel absolument secret et ne le communiquer à quiconque », et qu’elle était, selon les mêmes conditions générales, « responsable de l’utilisation et de la conservation de la Carte et du code confidentiel qui y est associé et de leur utilisation ». Selon la banque, il se déduisait des stipulations contractuelles que la société cliente devait nécessairement être tenue pour responsable puisque le dispositif d’authentification forte (dans l’arrêt « Carte Transfert Sécurisé (CTS) ») avait validé les virements litigieux. Cet argument est fréquemment employé par les établissements bancaires.
Enfin, de façon plus nébuleuse, la banque expliquait que la salariée avait finalement bien participé à l’utilisation du dispositif d’authentification forte et à générer une signature pour la validation des virements, bien que, dans ses auditions auprès de la gendarmerie, elle expliquait avoir été manipulé et ne pas avoir utilisé de code confidentiel.
La chambre commerciale rejette le pourvoi et, selon l’expression consacrée caractérisant son contrôle léger, affirme que « de ces constatations et appréciations, la cour d’appel a pu déduire que la société n’avait pas commis de négligence grave dans la conservation et l’utilisation de ses données personnelles de sécurité. ».
La cour d’appel avait, en effet, d’une part, énoncé que « dans l’hypothèse d’ordres de paiement non autorisés, il appartient à la banque de fournir les éléments afin de prouver la faute ou la négligence grave commise par sa cliente » et d’autre part, retenu que « la circonstance que l’escroc ait pu usurper un numéro de téléphone de la banque et annoncer le code qui s’affichait sur l’écran de l’utilisatrice était de nature à persuader celle-ci qu’elle était en relation avec un technicien. », ou bien encore que « la connaissance par son interlocuteur des opérations réalisées avant l’appel et de leur disparition pouvait la conforter dans la croyance qu’un incident informatique était survenu ».
La filiation avec l’arrêt du 23 octobre 2024 est évidente (on note que dans les deux arrêt l’escroc avait usurpé le numéro de téléphone de la banque), et ce nouvel arrêt confirme donc la position de la Cour de cassation favorable à une analyse subjective de la négligence grave de l’usager bancaire et du caractère « autorisé » ou non de l’opération par ce dernier.
II – FRAUDE AU PRÉSIDENT : RÉGIME APPLICABLE :
Le second arrêt (Cass. com., 12 juin 2025, n°24-13.697, B) présente un intérêt pratique est indiscutable, en ce qu’il précise les conditions d’application du régime de responsabilité de droit commun en cas de manquement au devoir de vigilance de la banque.
Une société, par l’intermédiaire procède à onze virements, après avoir été victime d’une fraude au président. Elle recherche la responsabilité de sa banque au motif que cette dernière n’a pas su déceler les anomalies apparentes des opérations sur son compte, et manque donc à son devoir de vigilance de nature contractuelle.
L’arrêt résout d’abord un point d’achoppement désormais fréquent devant les juridictions du fond, au moyen d’un attendu dépourvu d’ambiguïté : « Après avoir retenu que les opérations de paiements avaient été autorisées, l’arrêt en déduit à bon droit que si la responsabilité de la banque ne pouvait pas être recherchée sur le fondement des articles L. 133-18 et L. 133-23 du code monétaire et financier, elle pouvait l’être en cas de manquement à son obligation de vigilance. »
Les arrêts du 15 janvier 2025 (Cass. com., 15 janv. 2025, 23‐13.579; B ; Cass. com., 15 janv. 2025, n°23‐15.437 ; B), avaient parfois pu être interprété comme excluant de manière générale l’application d’un régime alternatif de responsabilité issu du droit national au profit du régime spécial des articles L. 133-18 et L. 133-23 du code monétaire et financier, transposition de la Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 (dite « DSP2 »).
Cette interprétation erronée, comme nous l’avions relevé, est désormais clairement confirmée.
Si l’opération est autorisée, les dispositions des articles L. 133-18 et L. 133-23 n’ont pas vocation à s’appliquer. Dans le cas d’une fraude au président, et la fraude à l’investissement, le consentement à l’opération de paiement est caractérisé, même si le destinataire du paiement n’est pas celui que croit la victime. À l’inverse, dans la fraude au faux conseiller, la victime ne comprend même pas avoir consenti à des opérations de paiement. C’est à tout le moins, ainsi que le contentieux est actuellement ventilé.
Le même arrêt revient ensuite sur la caractérisation d’un manquement au devoir de vigilance.
La cour d’appel avait retenu la responsabilité de la banque après avoir relevé que « les ordres de virement étaient affectés d’anomalies apparentes qui ne pouvaient qu’attirer son attention. »
Elle en déduisait « qu’en s’abstenant de vérifier auprès du dirigeant de la société ou du directeur financier que ces ordres avaient bien été donnés avec l’accord de la société, elle avait manqué à son devoir de vigilance. ».
Pourtant, la Cour de cassation censure l’arrêt pour violation de la loi, qui s’est déterminé « sans rechercher comme elle y était invitée, si la banque n’avait pas satisfait à son devoir de vigilance en obtenant une confirmation de la part d’une personne habilitée à émettre des ordres de paiement ».
Dans son pourvoi, la banque faisait grief à l’arrêt de la condamner alors que « qu’elle faisait valoir, dans ses écritures d’appel, pièce à l’appui, que la banque avait contacté M. [U] pour s’assurer qu’il était effectivement à l’origine des opérations, et que celui-ci le lui avait confirmé, ce que ne contestait pas la société » et que « que la cour d’appel a constaté que M. [U] était habilité à émettre des ordres de paiement »
La portée de l’arrêt, dont la publication au Bulletin peut étonner, figure entre les lignes. Il n’y aurait en effet pas de manquement de la part de l’établissement bancaire à ses obligations, car la Cour d’appel avait exigé que la banque se rapproche du dirigeant de la société ou du directeur financier, alors qu’une confirmation de la part d’une personne habilitée à émettre des ordres de paiement avait été obtenue. On peut donc, à l’instar de la Cour de cassation, s’interroger sur l’interprétation zélée des manquements contractuels de la banque. Il appartenait bien aux juges du fond de rechercher si la banque n’avait pas ainsi satisfait à son devoir de vigilance.
III – FRAUDE AU PRÉSIDENT : CARACTÉRISATION DES ANOMALIES APPARENTES :
Dans le troisième arrêt (arrêt n°3 : Cass. com. 12 juin 2025, n°24-10.168), sévère pour la victime de fraude, confirme la souveraineté des juges du fond quant à la caractérisation des anomalies apparentes :
« Après avoir constaté que le montant des virements restait dans la limite des plafonds quotidiens convenus et demeurait couvert par le solde créditeur du compte, et que la destination des virements était un compte détenu dans les livres d’une banque agréée dans un pays membre de l’Union européenne qui n’attirait pas spécialement l’attention en termes de sécurité », la cour d’appel avait retenu que les opérations ne présentaient pas d’anomalies devant alerter la banque.
La société victime de la fraude au président faisait pourtant valoir que « les virements faits à l’étranger pour un montant de 384 625,41 euros (entre 90 000 euros et 98 000 euros environ, chaque jour, entre le 14 mai et le 17 mai 2019) (…) présentaient (…) le caractère d’anomalies apparentes, quand le montant maximal des virements opérés à l’étranger par la société X Medical Picture depuis trois ans était de seulement 9 292,60 euros ».
Opérant ici encore un contrôle léger, la Cour de cassation rejette le pourvoi au motif que « De ces constatations et appréciations souveraines, la cour d’appel, qui n’était pas tenue de suivre les parties dans le détail de leur argumentation, a pu déduire que la banque n’avait pas manqué à son devoir de vigilance. »
Cette solution peut sembler en partie contradictoire avec un précédent arrêt du 2 octobre 2024 également rendu au sujet d’une fraude au président (Cass. com., 2 oct. 2024, n°23-13.282, B) qui avait confirmé la motivation d’un arrêt d’appel ayant retenu que la banque était tenue d’alerter la société afin d’obtenir la confirmation des ordres litigieux en exécution de son obligation de vigilance.
Dans cette affaire, la cour d’appel avait procédé à un contrôle lourd de la motivation (« En l’état de ces constatations et appréciations (…) la cour d’appel a exactement retenu ») faisant ressortir l’existence d’anomalies apparentes affectant les ordres de paiement. Ces constatations étaient les suivantes : « la société établissait n’avoir effectué presqu’aucun virement supérieur à 100 000 euros et ne pas effectuer de virements vers des sociétés situées en Chine, l’arrêt retient que les ordres de virement litigieux, par leur caractère rapproché et répété, par la période de l’année à laquelle ils intervenaient, leurs montants élevés par rapport aux ordres habituellement donnés et par le fait qu’ils étaient établis au bénéfice de sociétés ne faisant pas partie des relations d’affaires de la société et situées en dehors de l’espace habituel de son activité, auraient dû conduire la banque à se renseigner sur leur validité directement auprès du dirigeant supposé. ».
On observe que dans ce précédent arrêt, la banque, auteur du pourvoi, avait soutenu que l’arrêt ne pouvait retenir que la banque aurait surseoir à l’exécution des virements et aurait dû se renseigner sur leur validité « par des énonciations impliquant une analyse approfondie des habitudes du compte de la société victime ». Dans ce précédent arrêt, il était question en filigrane du devoir de non-immixtion que tentait de faire valoir la banque afin de réduire le champ de ces investigations d’anomalies, et doncde son devoir de vigilance. La question ainsi posée pourrait justifier la différence d’intensité entre les contrôles dans les deux arrêts.
Du reste, la caractérisation des anomalies apparentes, demeure le pré carré des juges du fond, ce qui peut conduire deux situations aussi similaires à des résultats aussi différents.
IV – REJET D’UNE QUESTION PRÉJUDICIELLE :
Ce dernier arrêt rejette enfin, en l’absence de tout doute raisonnable, une question préjudicielle tenant à l’interprétation de la Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 (dite « DSP2 » et dont est issue le régime spécial des articles L. 133-18 et suivants du Code monétaire et financier), laquelle était relative à « la responsabilité des prestataires de services de paiement à l’occasion d’opérations de paiement autorisées ».
On ignore la teneur exacte de la question.
La brève publiée sur le site de la Cour de cassation indique toutefois que « Le droit européen de la responsabilité des banques s’applique en cas d’opération de paiement non autorisée ou mal exécutée. Or, un virement bancaire effectué par “ fraude au président“ est une opération considérée comme ayant été autorisée par la société. En effet, même si le virement résulte d’une fraude, aux yeux de la banque qui a procédé au transfert d’argent, l’ordre de paiement émanait bien de la société. Le droit français relatif à l’obligation de vigilance des établissements bancaires peut donc s’appliquer. ».
On suppose donc que la banque tentait, par le biais de sa question, d’évincer le régime de responsabilité de droit commun tenant au manquement au devoir de vigilance, en avançant une primauté du droit spécial issu de la DSP2, exclusif de tout régime alternatif de responsabilité issu du droit national.
***
Le contentieux des fraudes bancaires paraît atteindre sa maturité puisque ses règles commencent à être connues et (à peu près) prévisibles.
La casuistique inhérente à ce type d’affaire suscite toutefois des interrogations récurrentes : quels sont les critères majeurs pour caractériser l’anomalie apparente, la négligence grave, ou bien encore, – et c’est un point rarement abordé par la cour de cassation – une opération « authentifiée, dûment enregistrée et comptabilisée et [qui] n’a pas été affectée par une déficience technique ou autre » …
Maître Amaury Ayoun, avocat à Marseille, défend les victimes de fraudes bancaires.
Vous pouvez nous joindre par téléphone au 04 84 25 40 95 ou par mail : avocat@amauryayoun.com
[1] P. STORRER, « Le droit des opérations de paiement non autorisées mérite mieux que des communiqués de presse » obs. sous Com. 15 janv. 2025, n° 23-13.579 et n° 23-15.437 ; D. 2025, p. 196 et « La fraude aux paiements par spoofing devant la Cour de cassation : grande publicité, petit arrêt », obs. sous Com. 23 oct. 2024, n° 23-16.267, D. 2024, p. 2090
Amaury Ayoun Avocat 