Fraude bancaire : la Cour de cassation limite la responsabilité des banques

1. Résumé succinct

Contexte :
L’arrêt de la Cour de cassation du 15 janvier 2025 (n° 23-15.437, publié au bulletin) concerne un litige opposant la société Caisse d'Épargne et de Prévoyance du Languedoc-Roussillon (demanderesse) à M. et Mme [H] (défendeurs).

Le litige porte sur une fraude bancaire impliquant un virement frauduleux détourné par un tiers ayant piraté la messagerie électronique des défendeurs. La question principale du pourvoi est de savoir si la banque devait engager sa responsabilité pour manquement à son obligation de vigilance.

Impact principal :
La Cour de cassation casse et annule la décision de la Cour d’appel de Nîmes et écarte toute responsabilité de la banque en vertu du régime exclusif de responsabilité du Code monétaire et financier. Elle affirme que lorsqu'un ordre de paiement est exécuté conformément à l'identifiant unique fourni par l'utilisateur du service de paiement, la banque n'est pas tenue de vérifier d'autres éléments et ne peut être tenue responsable du détournement des fonds.

2. Analyse détaillée

Les faits
14 août 2019 : Mme [H] réalise deux virements depuis un compte joint avec son époux afin de financer l’achat d’un véhicule.
L’identifiant unique du bénéficiaire a été modifié frauduleusement par un tiers ayant piraté leur messagerie électronique.
21 août 2019 : Le vendeur informe M. et Mme [H] qu’il n’a pas reçu les fonds.
Constatation de la fraude : Le couple découvre que l’identifiant du compte bénéficiaire ne correspond pas au vendeur mais à un compte appartenant à l’escroc.

La procédure
Cour d’appel de Nîmes (9 mars 2023) :Condamne la banque à rembourser les fonds, en considérant qu’elle aurait dû détecter l’anomalie apparente.
Considère que la banque a manqué à son obligation de vigilance.
Pourvoi en cassation :La banque soutient que le Code monétaire et financier prévoit un régime de responsabilité exclusif.
Elle argue que l’identifiant unique fourni par l’utilisateur prime sur toute autre considération.
Cour de cassation (15 janvier 2025) :Casse l’arrêt de la Cour d’appel, en considérant que la banque n’a aucune obligation de contrôle supplémentaire lorsque l’identifiant unique est fourni.

Contenu de la décision

Arguments des parties

M. et Mme [H] (défendeurs) :Soutiennent que la banque aurait dû détecter l’anomalie du virement.
Affirment que l’ordre de paiement ne mentionnait ni l’adresse du bénéficiaire ni celle de sa banque, ce qui aurait dû alerter la banque.

La banque (demanderesse) :Argue que l’article L. 133-21 du Code monétaire et financier prévoit que l’exécution conforme à l’identifiant unique libère la banque de toute responsabilité.
S’appuie sur la directive européenne 2015/2366, qui exclut tout autre régime de responsabilité.

Raisonnement juridique de la Cour de cassation

Principe rappelé :Le régime de responsabilité du Code monétaire et financier est exclusif de toute autre règle de droit commun.
L’exécution d’un virement conforme à l’identifiant unique ne peut engager la responsabilité de la banque.
Fondement juridique :Article L. 133-21 du Code monétaire et financier :
« Un ordre de paiement exécuté conformément à l'identifiant unique fourni par l'utilisateur du service de paiement est réputé dûment exécuté pour ce qui concerne le bénéficiaire désigné par cet identifiant unique. »

Article 1231-1 du Code civil (non applicable en l’espèce) :
« Le débiteur est condamné, s’il y a lieu, au paiement de dommages et intérêts en raison de l’inexécution de l’obligation. »

Conséquence :La banque ne peut être tenue responsable du détournement des fonds.
Le pourvoi est accueilli, l’arrêt est cassé et annulé.

Solution retenue
Cassation et annulation de l’arrêt de la Cour d’appel de Nîmes.
Renvoi de l’affaire devant la Cour d’appel de Montpellier.
Condamnation de M. et Mme [H] aux dépens.

3. Références et articles juridiques
Décision analysée
Cass. com., 15 janvier 2025, n° 23-15.437, 

Textes juridiques cités
Article L. 133-21 du Code monétaire et financier :
« Un ordre de paiement exécuté conformément à l’identifiant unique fourni par l’utilisateur du service de paiement est réputé dûment exécuté. »
Directive européenne 2015/2366 (DSP2) :
Harmonisation du régime de responsabilité des prestataires de services de paiement.

4. Analyse juridique approfondie

Raisonnement juridique

Cet arrêt renforce la primauté du régime du Code monétaire et financier sur le droit commun.
Il établit que les banques ne peuvent être tenues responsables d’une fraude impliquant un identifiant unique valide.

Conséquences juridiques
Sécurité renforcée pour les établissements bancaires :Aucune obligation de vérifier d’autres éléments que l’identifiant unique.

Responsabilité accrue pour les utilisateurs :Les clients doivent redoubler de vigilance avant d’effectuer un virement.

Impact sur la jurisprudence :Confirme que le droit commun ne peut pas s’appliquer à la responsabilité bancaire en matière de paiements électroniques.

5. Critique de la décision

Cette jurisprudence sécurise les banques et impose aux utilisateurs de services bancaires une vigilance accrue.

6. Accompagnement juridique
 Vous êtes victime d’un virement frauduleux ?
La SELARL Philippe GONET vous accompagne pour contester une fraude bancaire ou sécuriser vos transactions.
Contactez-nous pour une consultation personnalisée.