En l’espèce, un client de BNP Paribas a été victime d’une escroquerie particulièrement élaborée. Un escroc, se faisant passer pour un conseiller de la banque, a contacté la victime en utilisant une technique de "spoofing" permettant d’afficher le numéro officiel de l’établissement bancaire. Fort de cette apparente légitimité, l’usurpateur a fourni des informations précises sur les comptes du client et a créé un climat d’urgence en prétendant que ses fonds étaient menacés et devaient être sécurisés immédiatement. Sous l’emprise de cette manipulation, le client a communiqué ses données de sécurité et saisi des codes qui, à son insu, autorisaient deux virements frauduleux d’un montant total de 98 000 euros vers l’étranger. La banque a exécuté automatiquement ces opérations sans déclencher aucune alerte, malgré leur caractère manifestement inhabituel.
Les juges du fond avaient retenu la responsabilité de BNP Paribas en relevant plusieurs manquements au devoir de vigilance. La banque aurait dû identifier les signaux d’alerte caractérisant ces opérations : montants inhabituels, rapidité d’exécution, destination internationale inhabituelle, contexte opérationnel inédit pour ce client. Face à ces anomalies cumulées, l’établissement aurait dû interroger son client, émettre une alerte ou bloquer temporairement les virements. La cour d’appel avait également écarté l’argument de la négligence grave du client, considérant que le mode opératoire particulièrement sophistiqué de l’escroc était de nature à tromper une personne normalement diligente.
Par son arrêt du 12 juin 2025, la Cour de cassation a rejeté le pourvoi formé par BNP Paribas, validant ainsi l’analyse des juges d’appel. Cette décision s’inscrit dans le cadre juridique fixé par l’article L133-16 du Code monétaire et financier, qui régit la répartition des responsabilités en matière d’opérations de paiement non autorisées.
Selon ce texte, si le client doit utiliser ses instruments de paiement et ses données de sécurité de manière prudente, le prestataire de services de paiement ne peut s’exonérer de sa responsabilité qu’en démontrant une négligence grave du client. En l’espèce, la Haute juridiction considère que l’appréciation souveraine des juges du fond, qui ont écarté la négligence grave, est parfaitement motivée au regard des circonstances.
La cour souligne que le client a été confronté à une escroquerie d’une sophistication exceptionnelle : usurpation du numéro officiel de la banque, maîtrise d’informations confidentielles, création d’une situation d’urgence psychologiquement déstabilisante.
Dans ce contexte, le comportement du client, qui a cru dialoguer avec un agent légitime de son établissement, ne peut être qualifié de négligemment grave. Au-delà de la question de la négligence du client, la Cour de cassation valide l’analyse selon laquelle la banque a failli à son devoir de surveillance.
Les systèmes de détection des fraudes auraient dû identifier les anomalies manifestes entourant ces virements. L’absence totale de mesure préventive, c’est-à-dire ni sms de vérification, ni appel téléphonique, ni blocage temporaire constitue un manquement caractérisé aux obligations professionnelles de l’établissement de crédit.
Cet arrêt confirme que les banques ne peuvent se contenter d’une approche purement automatisée de la gestion des opérations. Elles doivent mettre en place des dispositifs de détection efficaces, capables d’identifier les opérations atypiques et de déclencher des vérifications appropriées. Le simple respect formel des procédures d’authentification ne suffit pas lorsque le contexte de l’opération présente des caractéristiques inhabituelles. La décision illustre également l’interprétation restrictive que font les juridictions de la notion de négligence grave du client. Face à des techniques d’escroquerie de plus en plus élaborées, incluant l’usurpation d’identité institutionnelle et l’ingénierie sociale, les tribunaux considèrent que le client moyen ne peut être tenu pour gravement négligent lorsqu’il est victime de telles manipulations.
Cette jurisprudence témoigne d’une volonté d’équilibrer les responsabilités entre les différents acteurs du système bancaire. Si le client doit faire preuve de prudence, la banque, professionnelle disposant de moyens techniques considérables, doit assumer un rôle actif de protection. Elle ne peut se retrancher derrière la validation formelle d’une opération par le client lorsque tous les indicateurs d’une fraude sont présents.
Pour les établissements bancaires, cet arrêt impose une révision des systèmes de détection des fraudes. Les dispositifs doivent être capables d’analyser non seulement la validité formelle des authentifications, mais également le contexte global des opérations : montants, fréquence, destinations, horaires, comportement inhabituel du compte.
Pour les clients, cette décision offre une protection accrue face aux escroqueries sophistiquées, tout en rappelant l’importance de la prudence dans l’utilisation des moyens de paiement.
La jurisprudence ne dispense pas de vigilance, mais reconnaît que certaines techniques frauduleuses peuvent tromper même une personne normalement diligente. L’arrêt du 12 juin 2025 s’inscrit dans une évolution jurisprudentielle constante visant à responsabiliser les banques face à la montée des fraudes bancaires.
En confirmant qu’un établissement de crédit ne peut se défausser de ses obligations de surveillance derrière une authentification formellement valide, la Cour de cassation rappelle que la sécurité des opérations bancaires est une responsabilité partagée, où le professionnel doit mobiliser l’ensemble de ses moyens techniques pour protéger ses clients contre les menaces contemporaines.
Cette décision devrait inciter les établissements financiers à renforcer leurs dispositifs de détection et d’alerte, non comme une contrainte supplémentaire, mais comme une nécessité dans un environnement où la sophistication des fraudes ne cesse de progresser.
