La victime d’une escroquerie ne peut pas obtenir un remboursement de la banque si elle a fait preuve de négligence. C’est ce qu’indique la Cour de cassation dans un arrêt du 15 janvier 2025.
Deux sociétés ont subi une attaque informatique par hameçonnage ayant conduit au versement de 6 virements vers des comptes étrangers. Elles ont demandé, sans succès, à leur banque le remboursement de ces opérations de paiement non autorisées. Elles saisissent la justice et assignent la banque en remboursement. La Cour d’appel condamne la banque à rembourser les sociétés à hauteur de 50 % des pertes subies. Pour elle, « la banque a manqué à ses obligations de vigilance et de surveillance de ses systèmes ». La banque se pourvoit en cassation.
La Cour de cassation casse et annule l’arrêt rendu en appel. Elle soutient que la responsabilité de la banque n’a pas été retenue par la Cour d’appel en raison de la négligence des sociétés clientes. Ainsi, seules celles-ci doivent supporter les pertes subies. Ainsi, la banque n’a pas à rembourser son client victime d’une escroquerie bancaire lorsque celui-ci a commis une négligence grave.
Messagerie électronique piratée…
Autre exemple : M. et Mme H. effectuent 2 virements bancaires depuis leur compte joint pour l’achat d’un véhicule automobile. Ils ont communiqué à leur banque, par voie électronique, l’identifiant unique (IBAN) du vendeur. Mais quelques jours plus tard, le vendeur n’a pas reçu les fonds. Un tiers a piraté la messagerie électronique du couple et a substitué son identifiant unique à celui du vendeur. La responsabilité de la banque peut-elle être engagée ?
Face au refus de la banque de restituer les sommes détournées et de payer des dommages et intérêts, les époux saisissent la justice. Ils considèrent que la responsabilité de la banque peut être engagée.
La Cour d’appel rappelle tout d’abord le principe posé par le Code monétaire et financier (CMF, article L. 133-21), selon lequel : le prestataire de services de paiement n’est pas responsable de la mauvaise ou non-exécution d’une opération de paiement, si l’identifiant unique fourni par l’utilisateur du service qui est à l’origine du paiement est inexact. Elle considère pour autant que la responsabilité de la banque pouvait être retenue en raison du manquement à son obligation de vigilance. Avec cette obligation, il lui incombe de contrôler l’absence d’anomalie apparente des opérations qui lui sont soumises.
Obligation de vigilance
La Cour d’appel constate que la banque a exécuté le virement à partir d’un identifiant unique figurant dans un simple courriel. Celui-ci ne mentionnait ni l’adresse du bénéficiaire ni celle de sa banque. La Cour d’appel donne droit aux époux.
La responsabilité de la banque, alors qu’elle a exécuté le virement en se basant sur le mauvais identifiant unique fourni par M. et Mme H., peut-elle être engagée pour manquement à son obligation de vigilance ? La Cour de cassation, dans sa décision du 15 janvier 2025, casse l’arrêt de la Cour d’appel et donne raison à la banque.
Elle estime qu’en matière d’opération de paiement non exécutée ou mal exécutée, seul le régime de responsabilité défini par l’article L. 133-21 du Code monétaire et financier est applicable. Ainsi, la responsabilité de la banque ne peut être recherchée sur le fondement d’un manquement à son obligation de vigilance, dès lors que le paiement litigieux a été exécuté conformément à l’identifiant unique fourni par les époux H.