En raison de la recrudescence des escroqueries aux virements bancaires de la zone SEPA (Single Euro Payments Area) et les escrocs ayant saisi l’occasion d’une législation européenne protectrice des banques, les juridictions voient leur contentieux augmenter significativement depuis ces dernières années.

Un virement SEPA pour « Single Euro Payments Area » est un virement effectué en euro dans les pays de la zone SEPA comprenant 34 pays : les 27 pays de l’Union européenne, les pays de l’Association européenne de libre échange (Islande, Liechtenstein, Norvège, Suisse), ainsi que la Principauté de Monaco, la Principauté de Saint-Marin et le Royaume-Uni.

Par deux arrêts rendus tout récemment le 15 janvier 2025, la chambre commerciale de la cour de cassation est venue renforcer l’irresponsabilité des banques en cas de virement frauduleux « non autorisé ou mal exécuté » du fait d’IBAN inexacts, la banque échappant ainsi à toute responsabilité, alors même qu’elle aurait manqué à son devoir de vigilance.

Elle considère désormais qu’un virement SEPA exécuté conformément à l’IBAN fourni par l’utilisateur du service de paiement est réputé dûment exécuté par rapport au bénéficiaire désigné par cet IBAN, même si l’IBAN fourni par l’utilisateur du service de paiement est inexact et alors même que la Banque n’aurait pas respecté son obligation de vigilance en vertu de laquelle il lui appartient de vérifier la régularité des opérations bancaires qui lui sont soumises en contrôlant l’absence d’anomalie apparente .

Dans ces deux affaires, la cour de cassation fonde sa motivation sur la prédominance de la Loi européenne sur la Loi nationale:

« le régime harmonisé de responsabilité pour les opérations non autorisées ou mal exécutées établi dans la directive 2007/64 ne saurait être concurrencé par un régime alternatif de responsabilité prévu dans le droit national reposant sur les mêmes faits et le même fondement qu’à condition de ne pas porter préjudice au régime ainsi harmonisé et de ne pas porter atteinte aux objectifs et à l’effet utile de cette directive (arrêt du 2 septembre 2021, C-337/20, CRCAM, EU:C:2021:671, point 45).

Il s’ensuit que dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du code monétaire et financier, qui transposent les articles 71 à 74 de la directive (UE) 2015/2366 du 25 novembre 2015 concernant les services de paiement dans le marché intérieur ».

Ces deux décisions confirment les arrêts rendus par la CJCE le 16 mars 2023 « arrêt BOEBANK » (C-351/21) et par la Chambre commerciale de la Cour de cassation le 27 mars 2024 (RG n° 22-21200)

Dans ces deux affaires, il était question de savoir si la responsabilité du prestataire de services de paiement pouvait être engagée en raison d’opérations de paiement frauduleuses « non autorisée ou mal exécutée » du fait d’IBAN inexacts, sur le fondement de l’article L.133-21 du code monétaire et financier.

L’article L 133-21 du code monétaire et financier, qui transpose par voie d’ordonnance n^o 2009-866 du 15 juill. 2009 (art. 1^er-V) l’article 88 de la directive du 25 novembre 2015 (UE) 2015/2366 du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, dispose que :

« Un ordre de paiement exécuté conformément à l’identifiant unique fourni par l’utilisateur du service de paiement est réputé dûment exécuté pour ce qui concerne le bénéficiaire désigné par l’identifiant unique.

Si l’identifiant unique fourni par l’utilisateur du service de paiement est inexact, le prestataire de services de paiement n’est pas responsable de la mauvaise exécution (L. n^o 2018-700 du 3 août 2018, art. 4) ou de la non-exécution de l’opération de paiement.

Toutefois, le prestataire de services de paiement du payeur s’efforce de récupérer les fonds engagés dans l’opération de paiement. (Ord. n^o 2017-1252 du 9 août 2017, art. 2, en vigueur le 13 janv. 2018) «Le prestataire de services de paiement du bénéficiaire communique au prestataire de services de paiement du payeur toutes les informations utiles pour récupérer les fonds. Si le prestataire de services de paiement du payeur ne parvient pas à récupérer les fonds engagés dans l’opération de paiement, il met à disposition du payeur, à sa demande, les informations qu’il détient pouvant documenter le recours en justice du payeur en vue de récupérer les fonds.»

Dans la première affaire, la cour de cassation rappelle que selon les dispositions de l’article L.133-21 du code monétaire et financier lorsque le prestataire de services de paiement exécute un virement sur la base de l’identifiant (RIB-IBAN) fourni par son client, il n’engage pas sa responsabilité si le bénéficiaire du virement n’est pas le vrai bénéficiaire du virement projeté.

En l’espèce, l’escroc avait, dans un courriel adressé aux victimes, substitué son RIB à celui du vrai bénéficiaire.

La cour d’appel a considéré la banque responsable estimant que si le prestataire de services de paiement n’est pas responsable de la mauvaise exécution ou la non exécution de l’opération de paiement dans le cas où l’identifiant unique fourni par l’utilisateur du service de paiement est inexact, en application de l’article L. 133-21 du code monétaire et financier, la banque est responsable au cas où elle aurait manqué de vigilance en ne vérifiant pas la régularité des opérations bancaires qui lui étaient soumises par un contrôle d’absence d’anomalie apparente, cette obligation de vigilance relevant des règles de droit commun françaises.

La cour de cassation n’est pas de cet avis et casse l’arrêt rendu par la cour d’appel au motif que l’article L. 133-21 du code monétaire et financier (qui transpose la directive européenne en question) est exclusif de toute application des règles de droit commun français.

Dans la seconde affaire (n° 23-13.579), l’escroc avait adressé au service comptable d’une société un courriel contenant un cheval de Troie lui ayant permis de prendre le contrôle de l’ordinateur de la société puis d’opérer des virements frauduleux.

Les victimes contestaient avoir autorisé ces paiements et assignaient la banque en remboursement des fonds virés et non récupérés sur le fondement des articles L. 133-18 à L. 133.24 du code monétaire et financier.

La cour d’appel a considéré qu’il devait y avoir un partage de responsabilité entre les victimes du fait de leur « négligence grave » (reconnue par elles) en application du code monétaire et financier, et la banque pour manquement à son obligation de vigilance en application du droit commun français.

La cour de cassation n’est pas de cet avis et casse l’arrêt rendu par la cour d’appel considérant qu’en cas d’opérations non autorisées, la négligence grave commise par le payeur exonère le prestataire de services de paiement de sa responsabilité, peu importe que ce dernier ait manqué à son obligation de vigilance, cela en application des dispositions du code monétaire et financier tirées de la directive européenne qui prévalent sur les dispositions de droit commun.

Dans ces deux affaires, la cour de cassation motive ses décisions en s’appuyant sur l’arrêt « BOEBANK » de la CJCE sus-mentionné :

« […] le régime de responsabilité des prestataires de services de paiement prévu à l’article 60, paragraphe 1, de la directive 2007/64 ainsi qu’aux articles 58 et 59 de cette directive a fait l’objet d’une harmonisation totale. Cela a pour conséquence que sont incompatibles avec ladite directive tant un régime de responsabilité parallèle au titre d’un même fait générateur qu’un régime de responsabilité concurrent qui permettrait à l’utilisateur de services de paiement d’engager cette responsabilité sur le fondement d’autres faits générateurs (voir, en ce sens, arrêt du 2 septembre 2021, C-337/20, CRCAM, […] points 42 et 46). »

En conséquence, dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du code monétaire et financier, à l’exclusion de toute application des règles de droit commun français au titre d’un même fait générateur.

Se pose alors la question de savoir ce que l’on doit entendre par opération de paiement « mal exécutée ou non autorisée ».

Notion d’opération de paiement non autorisée ou mal exécutée :

Le code monétaire et financier précise que le prestataire de services de paiement voit sa responsabilité engagée dans deux cas :

si l’opération de paiement est non autorisée par le payeur,
ou si l’opération de paiement qui a été autorisée par le payeur, est mal exécutée ou non exécutée par le prestataire de service de paiement.

Opération de paiement autorisée : deux conditions cumulatives

Selon l’article L.133-6 I du code monétaire et financier « une opération de paiement est autorisée si le payeur a donné son consentement à son exécution » et l’article L.133-7 alinéa 1 dispose que le consentement est donné sous la forme convenue entre le payeur et son prestataire de services de paiement.

Sur la notion de consentement, la Cour de cassation a récemment précisé ce qu’il fallait entendre par « consentement ».

Dans un premier arrêt (Cass. com., 30 nov. 2022, n°21-17.614), elle définit le consentement comme étant « une opération de paiement initiée par le payeur, … réputée autorisée uniquement si le payeur a également consenti au montant de l’opération ».

Dans cette affaire, un client avait opéré un retrait d’espèces dans un DAB.

Après avoir saisi son code confidentiel, un tiers avait, à son insu, saisi le montant du retrait et s’était emparé des billets.

La victime sollicitait le remboursement du retrait litigieux.

Les juges du fond l’avaient débouté de sa demande considérant que le fait qu’un tiers ait composé le montant du retrait à l’insu de la victime ne constituait pas un cas d’exemption de la responsabilité du payeur prévu par l’article L. 133-19 du code monétaire et financier.

La Cour de cassation a cassé la décision pour manque de base légale estimant que pour que l’opération soit autorisée, il convient que le payeur ait consenti au montant de l’opération.

Dans un second arrêt (Cass. com., 1er juin 2023 n° 21-19.289), la Cour de cassation a précisé cette notion de consentement en indiquant «qu’une opération de paiement est autorisée uniquement si le payeur a consenti à son bénéficiaire ».

Dans cette affaire, les payeurs avaient donné par courrier simple instruction à leur banque de procéder à un virement auprès d’un bénéficiaire en renseignant son IBAN dans ce courrier.

L’escroc avait falsifié l’ordre de virement en substituant son nom et son numéro de compte à celui du bénéficiaire initial.

La cour d’appel avait débouté les victimes de leur demande de remboursement du virement litigieux considérant que l’opération avait été autorisée, ce qui excluait la responsabilité du prestataire de services de paiement.

La Cour de cassation casse la décision des juges du fond et considère qu’« un ordre de virement régulier lors de sa rédaction mais dont le numéro IBAN du compte destinataire a été ultérieurement modifié par un tiers à l’insu du donneur d’ordre ne constitue pas une opération autorisée ».

Ainsi, un ordre de virement régulier lors de sa rédaction mais dont le numéro IBAN du compte destinataire a été modifié à l’insu du donneur d’ordre ne peut pas constituer une opération autorisée au sens du code monétaire et financier (Com. 1^er juin 2023, n° 21-19.289 B).

Une opération autorisée suppose donc que deux conditions cumulatives soient remplies :

le payeur doit avoir donné son consentement sur le montant de l’opération
le payeur doit avoir donné son consentement sur le bénéficiaire de l’opération.

A défaut d’opération autorisée, l’opération sera considérée comme non autorisée et le régime de responsabilité applicable sera celui prévu par les articles L.133-18 à L.133-20 du code monétaire et financier.

Opérations de paiement non autorisée :

Dès lors que l’opération est non autorisée, c’est-à-dire que le payeur n’a pas consenti soit au montant de l’opération, soit à son bénéficiaire, le régime de responsabilité des opérations non autorisées aura vocation à s’appliquer, à l’exclusion du régime de responsabilité de droit commun.

Selon l’article L.133-18 du code monétaire et financier « en cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu ».

Ainsi, dès lors que l’opération non autorisée est signalée dans les temps, le prestataire de services de paiement doit procéder au remboursement de son client, en application du régime de responsabilité prévu par l’article L.133- 18 du code monétaire et financier.

Pour pouvoir être remboursé par sa banque, le payeur devra signaler sans tarder l’opération non autorisée à son prestataire de services de paiement, dans un délai maximum de 13 mois à compter du débit de l’opération sur son compte sous peine de forclusion (pour les particuliers, C. mon. fin., art. L. 133-24).

La banque sera toutefois exonérée de remboursement dans deux cas : en cas d’agissement frauduleux ou de négligence grave du payeur.

En effet, si la banque a des raisons de soupçonner une fraude commise par le payeur et si elle communique par écrit à la Banque de France ces raisons, la banque n’aura pas à rembourser immédiatement le payeur le montant de l’opération non autorisée (article L.133- 18 du code monétaire et financier).

De plus, l’article L.133-19 IV du code monétaire et financier prévoit un autre cas d’exonération de remboursement du prestataire de services de paiement dans le cadre d’opérations de paiement réalisées à partir d’un instrument de paiement doté de données sécurisées personnalisées (opérations par carte bancaire ou virements via l’applicatif internet de la banque par exemple).

La responsabilité du prestataire de service ne sera pas engagée si les pertes subies par le payeur résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave à ses obligations mentionnées aux articles L. 133-16 et L. 133-17 (conservation de ses données sécurisées et information aux fins de blocage de l’instrument de paiement).

Qu’il s’agisse d’agissements frauduleux ou de négligence grave, la charge de la preuve pèsera sur le prestataire de service de paiement (Cass. com., 12 juin 2014, n° 22-21.981).

A partir de quand peut-on considérer que le payeur a commis une négligence grave ?

Selon le considérant 72 de la Directive UE n°2015/2366 « la négligence implique un manquement au devoir de diligence, la négligence grave devrait impliquer plus que de la simple négligence et comporter un défaut de vigilance caractérisé, comme le serait le fait de conserver les données utilisées pour autoriser une opération de paiement à côté de l’instrument de paiement, sous une forme aisément accessible et reconnaissable par des tiers ».

Ainsi selon la jurisprudence, le simple fait que la carte bancaire ait été utilisée par un tiers avec composition du code confidentiel ne suffit pas à caractériser l’existence d’une négligence grave (Cass. com., 2 oct. 2007, n° 05-19.899).

De même, celle-ci ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés (Cass. com., 18 janv. 2017, n° 15-18.102, Cass. com., 29 mai 2019, n° 17-28.271 ; Cass.com., 26 juin 2019, n° 18-12.581 ; Cass. com., 9 mars 2022, n° 20-12.376).

Enfin la Cour de cassation a considéré par un arrêt du 23 octobre 2024 (Cass. com., 23 oct. 2024, n° 23-16.267) qu’un client, victime d’une escroquerie de type « spoofing » n’a pas commis de négligence grave.

Elle constate que l’escroc avait mis en place des manœuvres mettant sa victime en confiance et diminuant sa vigilance, l’escroc ayant utilisé un numéro d’appel identique à celui de sa conseillère bancaire et avait assuré à sa victime qu’elle effectuait une opération sécurisée.

La Cour de cassation approuve les juges du fond d’avoir considéré qu’eu égard aux circonstances de l’espèce le client n’avait pas commis de négligence grave.

Il résulte de ces décisions de la Cour de cassation que le régime de responsabilité du prestataire de services de paiement prévu par le code monétaire et financier est le seul applicable en cas d’opérations frauduleuses mettant ainsi un terme à la jurisprudence antérieure à l’entrée en vigueur de la Directive sur les services de paiement et qui permettait une prise en charge partielle par le prestataire de services de paiement des opérations litigieuses en cas d’anomalies matérielles ou intellectuelles (Cass. com., 31 janv. 2017, n° 15-17.498).

Désormais la responsabilité du prestataire de services de paiement s’articulera autour de deux questions :

l’opération était-elle ou non autorisée ?
En cas d’opération non autorisée la victime a-t-elle ou non commis une négligence grave susceptible d’exonérer le prestataire de services de paiement de sa responsabilité ?

Cass. com., 15 janv. 2025, n° 23-15.437, n° 6 FS-B

Cass. com., 15 févr. 2025, n° 23-13.579, n° 4 FS-B

Ainsi, un ordre de virement régulier lors de sa rédaction mais dont le numéro IBAN du compte destinataire a été modifié à l’insu du donneur d’ordre ne peut pas constituer une opération autorisée au sens du code monétaire et financier (Com. 1er juin 2023, n° 21-19.289 B).

Ainsi, un ordre de virement régulier lors de sa rédaction mais dont le numéro IBAN du compte destinataire a été modifié à l’insu du donneur d’ordre ne peut pas constituer une opération autorisée au sens du code monétaire et financier (Com. 1^er juin 2023, n° 21-19.289 B).