Le principe est bien connu désormais, les banques doivent rembourser leurs clients victimes d’escroquerie bancaire.
Néanmoins, elles ne sont pas tenues d’effectuer ce remboursement, même partiel a priori, dans deux cas :
S’il y a eu une négligence grave de leur client ;
En cas de virement effectué sur la base d’un identifiant bancaire fourni par leur client, mais qui ne vise pas le bon bénéficiaire.
Une banque ne peut donc voir sa responsabilité engagée lorsque son client lui fournit un mauvais IBAN.
Pour autant, la banque reste tenue à une obligation de vigilance.
En outre, il incombe au prestataire de services de paiement de rapporter la preuve d’une négligence grave de son client.
Par conséquent, l’analyse des faits va être déterminante et la banque va systématiquement tenter de caractériser la négligence grave car elle a vocation à exonérer, comme on l’a vu, la banque de tout partage de responsabilité.
La victime, simple consommateur ou même professionnel, doit donc être des plus vigilantes pour éviter que la négligence grave ne lui soit opposable.
A fortiori lorsque le cybercriminel utilise des méthodes sophistiquées, comme le cheval de Troie bancaire, le spoofing ou encore phishing et skimming.
Dans tous les cas, il faut conseiller à la victime de se faire assister par un avocat spécialisé avant le dépôt éventuel d’une plainte, afin que son exposé des faits échappe à la qualification de la négligence grave.
Les professionnels du droit, les avocats compris, n’échappent pas à la règle et sont également devenus la cible de cyber-arnaques par l’envoi de mails frauduleux.
Heureusement, la riposte des tribunaux n’a pas tardé :
Un premier arrêt important de la Cour de cassation du 23 octobre 2024 (Pourvoi n° 23-16.267) a condamné BNP PARIBAS à rembourser la victime, aussitôt élevé au rang d’arrêt de principe.
Dans cette espèce, Le numéro de téléphone affiché était bien celui de sa conseillère bancaire habituelle, donc le client pensait être dans une relation bancaire habituelle.
La Cour a reconnu que le mode opératoire avait mis la victime en confiance et avait diminué sa vigilance face à un appel téléphonique émanant prétendument de sa banque pour lui faire part du piratage de son compte.
La configuration a été jugée différente de celle d’une personne qui aurait pu disposer de davantage de temps pour s’apercevoir d’anomalies symptomatiques d’une origine frauduleuse.
La Cour estime ainsi que le client n’a pas commis en l’espèce de négligence grave.
Cet arrêt a été suivi notamment par le Tribunal Judiciaire de Paris par jugement n° 23/15849 du 28 janvier 2025 et par celui de Lille par jugement n° 24/05705 du 11 février 2025.
Dans un arrêt du 30 avril 2025 (Pourvoi n° 24-10.149), qui concerne cette fois un professionnel, la Cour de cassation (chambre commerciale) rappelle que si le prestataire entend faire supporter à l’utilisateur la perte occasionnée par une opération non autorisée rendue possible par la négligence grave de ce dernier, il doit, avant toute chose, prouver :
1. l’authentification des opérations litigieuses ;
2. leur enregistrement et leur comptabilisation adéquats ;
3. l’absence de toute déficience technique ou autre ayant pu affecter ces opérations.
Cette exigence est un héritage direct de la directive européenne 2015/2366 relative aux services de paiement (PSD2).
Cette solution, d’application plus large, devrait s’imposer dorénavant pour toutes les contestations d’opérations non autorisées impliquant un dispositif de sécurité personnalisé ; les juges du fond seront désormais tenus d’engager une recherche systématique sur l’authentification et l’enregistrement des flux de paiement.
La charge de la preuve qui pèse sur la banque s’en trouve renforcée et la protection des victimes, professionnels et consommateurs, accrue.
