Anne-Sophie BARRERE

LA RESPONSABILITE DE LA BANQUE EN CAS DE FRAUDE BANCAIRE

Les victimes de fraude bancaire bénéficient d'une protection stricte : si une opération non autorisée est signalée, la banque doit rembourser les sommes détournées immédiatement, sauf à démontrer la négligence grave de son client.

Actualité

LA RESPONSABILITE DE LA BANQUE EN CAS DE FRAUDE BANCAIRE

1. La règlementation en cas de paiement non autorisé

En cas de paiement non autorisé par la victime d’une fraude bancaire, le principe est le remboursement par la banque des sommes détournées au plus tard à la fin du premier jour ouvrable suivant la date à laquelle elle en a été informée (article L 133-18 du code monétaire et financier).

Pour s’affranchir de cette obligation, l’article L 133-23 du code monétaire et financier impose à la banque de prouver que :

  • l’opération contestée par son client a été authentifiée, dûment enregistrée et comptabilisée,
  • l’opération contestée par son client n’a pas été affectée par une déficience technique ou autre,
  • son client n'a pas agi frauduleusement ou avec négligence grave vis-à-vis de ses obligations en matière de préservation de ses données de sécurité personnalisées.

La notion de négligence grave

L’appréciation de la négligence grave se fait in concreto en tenant compte des circonstances qui entourent la fraude.

Elle correspond à une faute particulièrement lourde, proche du dol, qui reflète l’inaptitude manifeste d’un utilisateur à préserver la sécurité de ses données personnalisées. Elle doit revêtir une importance telle qu’elle justifie le refus de remboursement des sommes volées.

  • Phishing ou hameçonnage (SMS ou mail frauduleux destinés à tromper la victime pour l’inciter à communiquer des données personnelles et/ou bancaires en se faisant passer pour un tiers de confiance) : le juge doit se demander s’il existait des indices permettant à un utilisateur normalement attentif de douter de l’authenticité du message (Cass. com., 28 mars 2018, n° 16-20.018, Bull. civ. IV, n° 34 ; Cass. com., 6 juin 2018, n° 16-29.065 ; Cass. com., 1er juill. 2020, n° 18-21.487 ; Cass. com., 24 nov. 2021, n° 20-13.767).
  • Spoofing (appel téléphonique d’un faux conseiller bancaire) : la position adoptée par la Cour d’appel de Douai dans son arrêt du 5 janvier 2023 mérite d’être soulignée pour sa pertinence (arrêt du 05 janvier 2023 (21/04625)) : « face à un appel téléphonique évoquant de surcroît un piratage, la vigilance de la personne qui reçoit cet appel est moindre que celle d'une personne qui réceptionne un mail, laquelle dispose de davantage de temps pour en prendre connaissance et s'apercevoir d'éventuelles anomalies révélatrices de son origine frauduleuse ». On pourrait s’attendre que les juges se montrent plus indulgents en matière de spoofing qu’à l’égard des victimes de phishing.

En cas d’utilisation frauduleuse du numéro de la banque par le faux-conseiller ? Dans un arrêt du 23 octobre 2024, la cour de cassation a validé la motivation d’une cour d’appel qui avait jugé que l’utilisation frauduleuse du numéro officiel de la banque constituait une circonstance exceptionnelle, propre à tromper même un client vigilant et que le mode opératoire par l'utilisation du « spoofing » a mis en confiance la victime et a diminué sa vigilance, inférieure, face à un appel téléphonique émanant prétendument de sa banque pour lui faire part du piratage de son compte, à celle d'une personne réceptionnant un courriel, laquelle aurait pu disposer de davantage de temps pour s'apercevoir d'éventuelles anomalies révélatrices de son origine frauduleuse (Com. 23 octobre 2024, 23-16.267, Publié au bulletin).

Les juges évaluent donc la négligence grave selon : • La nature des indices d’alerte: l’existence d’éléments évidents d’une tentative de fraude, • La réaction de l’utilisateur: sa vigilance et sa diligence face à ces indices, • Le contexte de la fraude : par exemple, l’impact d’un appel téléphonique par rapport à un courriel ou SMS.

2. Le manquement de la banque à l’égard de son obligation de mise en oeuvre de l’authentification forte

Selon l’article L.133-44 I du CMF, la banque doit appliquer une authentification forte lors de : • L’accès au compte en ligne, • L’initiation d’une opération de paiement électronique, • L’exécution d’opérations à risque (par exemple, ajout de bénéficiaires).

L’article L.133-19 V du CMF prévoit que client / payeur ne supporte aucune conséquence financière si l'opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n'exige une authentification. Une jurisprudence a confirmé que la banque assume l’entier coût de l’opération en cas de défaut d’authentification forte récente (Com. 30 août 2023, n° 22-11.707).

3. L'obligation de surveillance de la banque

Nonobstant la négligence grave de la victime, la banque est tenue d’une obligation générale de vigilance renforcée pour repérer les anomalies apparentes d’un paiement, via un faisceau d’indices tels que ceux retenus dans un arrêt de la chambre commerciale de la cour de cassation du 2 octobre 2024 (Com. 2 octobre 2024, 23-13.282, Publié au bulletin) : • Le montant élevé et inhabituel du paiement, • La qualité du bénéficiaire (exemple pour une entreprise : le bénéficiaire ne fait pas partie de ses relations habituelles d’affaires et est situé en dehors de l’espace habituel de son activité), • La période de l’année, • Le caractère rapproché et répété des paiements,

En présence d’un paiement réalisé dans des circonstances inhabituelles, il est exigé de la banque qu’elle contacte le titulaire du compte ou la personne habilitée contractuellement à valider un virement afin de vérifier la validité de l’opération (Com. 2 octobre 2024, 23-13.282, Publié au bulletin).

4. Obligation de remboursement de la banque en cas de paiement non autorisé et pénalités de retard

L’article L.133-18 CMF impose à la banque de rembourser immédiatement toute opération non autorisée signalée, sous peine d’intérêts légaux majorés (jusqu’à 15 points après 30 jours de retard).

5. Le recall en cas de virement frauduleux

En cas de virement frauduleux, en application de l’article L 133-21 du code monétaire et financier, la banque a l’obligation de s’efforcer de rapatrier les fonds via une procédure dite de « recall » par laquelle la banque du donneur d’ordre adresse un message à la banque du bénéficiaire du virement pour demander le retour des fonds. Elle doit également mettre à disposition de son client, à sa demande, les informations qu'elle détient pouvant documenter le recours en justice du client / payeur en vue de récupérer les fonds.

6. Quel délai pour agir?

La victime d’une opération de paiement non autorisée ou mal exécutée par la banque doit lui signaler sans tarder et au plus tard dans les 13 mois suivant la date de débit sous peine de forclusion (article L133-24 du code monétaire et financier). Il appartient donc à la victime de la fraude de dénoncer par écrit l’opération non autorisée ou mal exécutée par la banque le plus tôt possible et d’assigner la banque en justice, en cas de refus de sa part de rembourser les sommes détournées, dans un délai de 13 mois à compter de la date de débit.

Retour aux articles