Fraude bancaire et obligation de remboursement de la banque : un référé est toujours possible !

L’arrêt commenté est intéressant en ce qu’il permet de rappeler plusieurs choses :

• Sauf pour la banque à rapporter la preuve que la fraude est la conséquence d’une négligence grave et fautive imputable à son client, elle est de plein droit responsable de la réalisation d’opérations bancaires non autorisées et doit immédiatement rembourser son client ;
• La charge de la preuve de la négligence grave du client dont l’interprétation est particulièrement restrictive, est supportée par la banque et ne peut se satisfaire d’éléments internes fournis par elle lorsqu’une mesure contradictoire apparait nécessaire ;
• A plus forte raison, la banque ne peut pas s’opposer à la mesure d’investigation au motif du secret bancaire lorsque la mesure porte sur son propre client, elle doit la laisser se dérouler et ne peut la contester que dans le cadre légal d’un référé rétractation ;
• Si la banque refuse d’apporter son concours à cette mesure, le juge peut en tirer toutes les conséquences à son encontre sur le fondement de l’article 11 du Code de procédure civile (ici l’hypothèse d’une fraude interne) ;
• Enfin, le juge des référés (pourtant rarement saisi en pratique) a le pouvoir de contraindre la banque à procéder au retour des fonds s’agissant d’une responsabilité quasi de plein droit.

Les faits de l’espèce sont devenus classiques : un responsable d’une entreprise reçoit un appel téléphonique d’une personne se présentant comme un technicien du service fraude d’un établissement bancaire, en l’occurrence la banque CIC Lyonnaise de Banque.

Le technicien a non seulement connaissance des identifiants bancaires de la société mais également d’opérations bancaires réalisées quelques jours avant ou encore, du fait que l’employé était connecté sur son espace sécurisé.

Il lui indique que la société a été victime de fraudes nécessitant son intervention urgente et prétend devoir réaliser des manipulations à distance nécessitant l’intervention de l’employé, à qui il est demandé de :

• se déconnecter de son espace ;
• effectuer un test en validant un RIB depuis son téléphone portable, lequel est apparu directement via une notification dite « push » sur l’application installée sur le téléphone mobile de l’employé.

Ces trois éléments (le fait que le fraudeur avait connaissance d’informations confidentielles, de sa connexion sur son espace sécurisé mais surtout qu’une notification était apparue directement sur l’application mobile de l’employé) ont amené l’employé à avoir confiance et à s’exécuter.

Le technicien lui a ensuite indiqué qu’il devait rester déconnecter de son espace pendant 5 minutes.

Par la suite l’employé recevait un mail de la société Euro-Information, filiale de la banque CIC Lyonnaise de Banque, l’informant qu’un second téléphone portable avait été validé et enregistré.

Pris d’un doute, l’employé prenait attache avec son conseiller bancaire, lequel lui indiquait qu’aucune difficulté n’était à déplorer et qu’aucun problème nécessitant l’intervention d’un technicien n’avait été signalé.

Prenant conscience de la fraude dont il venait de faire l’objet, l’employé acceptait la proposition de son conseiller de changer immédiatement le mot de passe de son compte bancaire.

Ce dernier le rassurait en lui indiquant qu’aucune opération au débit n’avait été enregistrée, de sorte qu’il n’avait pas à s’inquiéter.

En réalité, les virements n’avaient pas encore été exécutés et la banque aurait sans doute pu interférer sur leur exécution.

Le lendemain, la société victime ne pouvait que déplorer l’existence de nombreux virements non autorisés, intervenus indépendamment de sa volonté et pour une somme particulièrement importante.

Elle demandait à la banque de procéder au remboursement des fonds et de lui expliquer comment ces virements avaient pu intervenir sans aucune validation de sa part.

La banque refusait de procéder au remboursement, invoquant une prétendue négligence grave de la société victime, négligence dont elle ne pouvait rapporter la preuve autrement que par voie de suppositions.

Parmi les hypothèses de la banque, elle indiquait que l’employé avait nécessairement dû valider les opérations litigieuses via l’utilisation d’un code présent sur sa carte de clés d’identification, ce que la société contestait, indiquant qu’elle n’utilisait jamais cette carte.

La banque soutenait également que l’employé avait nécessairement dû valider les opérations en utilisant un code présent sur sa carte de clés d’identification, ce que la société victime contestait, indiquant ne pas avoir besoin de cette carte pour réaliser des virements.

On apprendra plus tard que le fraudeur avait réussi à enregistrer un nouveau téléphone portable afin de réaliser plusieurs virements.

La société victime estimant n’avoir commis aucune négligence grave, poursuivait l’établissement bancaire et obtenait devant la Cour d’appel de Lyon, non sans un long combat, le remboursement des fonds détournés.

A la lecture de cet exposé des faits, le lecteur comprendra que le temps de la fraude caricaturale, se traduisant par l’envoi de mails au français grossier, est révolue.

La fraude est devenue créative, sournoise intelligente et est parfois aidée par l’intelligence artificielle et l’utilisation de deepfake.

Plus inquiétant : elle s’opère semble-t-il depuis l’intérieur même des établissements bancaires, comme cela a été suspecté, sans être démenti, dans l’affaire commentée où la victime avait reçu des notifications éphémères dites « push » sur l’application installée sur son téléphone portable et censée lui permettre de sécuriser ses transactions.

Dans cette affaire, la banque CIC Lyonnaise de Banque avait refusé la mesure d’instruction devant permettre de vérifier l’efficacité de son système sécurisé et l’absence de fraudeur au sein de son établissement, refusant délibérément de déférer à une mesure d’instruction pourtant ordonnée par la Cour d’appel de Lyon !

La suspicion ne relevait ni du hasard ni du complot, mais d’un rapport circonstancié établi par un expert judiciaire intervenu à titre amiable pour le compte de la société victime et du fait (très curieux) que la victime avait reçu une notification push sur son application.

L’expert avait indiqué que la seule manière de vérifier si la fraude n’avait pas été commise depuis l’intérieur de l’établissement bancaire était d’avoir accès au serveur de la banque, accès que la banque a refusé malgré la mesure ordonnée.

Cette affaire permet de rappeler les règles juridiques en matière de fraude bancaire et les conséquences pour les épargnants victimes, lesquels ont tout intérêt à réclamer le retour des fonds malgré la position contraire qui leur sera le plus souvent soutenue par leur établissement bancaire, la jurisprudence les autorisant à le faire dans le cadre d’une procédure de référé la responsabilité de l’établissement bancaire étant considéré comme étant « de plein droit ».

I. L’obligation de restitution des fonds supportée par la banque : une responsabilité de plein droit.

Les dispositions des articles L133-18 et L133-23 à L133-24 du Code monétaire et financier, telles qu’interprétées par la jurisprudence [1] et jugées « d’ordre public » instaurent « une responsabilité de plein droit de la banque » [2] tenue de « rembourser au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé ».

En cas de refus de la banque de procéder au remboursement des sommes détournées, la jurisprudence autorise le juge des référés à l’y contraindre par voie de condamnation au versement d’une provision [3].

Les articles L133-18 et L133-19 du Code monétaire et financier précisent néanmoins que la banque n’est pas tenue de procéder au remboursement si elle a « de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement » ou si le sinistre est la cause de « négligence grave ».

L’article L133-16 du Code monétaire et financier rappelle en effet que « dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées » le manquement « grave » à cette obligation constituant a priori le cas de négligence autorisant la banque à ne pas rembourser les fonds.

De jurisprudence constante, il incombe à la banque qui supporte la charge de la preuve, de fournir « des éléments de nature à prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement ».

En d’autres termes, afin d’espérer pouvoir s’exonérer de son obligation de remboursement, la banque doit rapporter « la preuve d’une négligence grave de son client ayant entraîné l’utilisation frauduleuse de ses moyens de paiement » étant précisé que « la circonstance que la carte ait été utilisée par un tiers avec composition du code confidentiel est, à elle seule, insusceptible de constituer la preuve d’une telle faute ».

Il faut donc démontrer un manque de prudence dans la communication d’informations personnelles et de sécurité, la seule communication de ces informations ne suffisant pas, faute d’éléments extérieurs démontrant des circonstances anormales et imprudentes.

La preuve de la faute est donc difficile à rapporter pour la banque ceci d’autant plus que la jurisprudence fait une interprétation restrictive des cas de négligences graves.

Ainsi, n’ont pas été considérées comme des négligences graves :

• l’ouverture d’un fichier joint à un mail contenant un virus, à plus forte raison lorsque a banque n’avait pas alerté son client de l’existence de cyberattaques ;
• le fait de laisser la clef sécurisée en permanence sur l’ordinateur ;
• le fait que le client a fait l’objet d’un piratage et n’avait pas protégé ses données personnelles ou que les pirates avaient connaissance de la signature du dirigeant et de son compte social.

Est en revanche considérée comme une négligence grave le fait de communiquer à un tiers ses informations personnelles et coordonnées bancaires et plus particulièrement les données relatives au dispositif de sécurité « en réponse à un courriel contenant des indices permettant à un utilisateur normalement attentif de douter de sa provenance ».

A cela s’ajoute la condition récemment posée par la Cour de cassation (mais découlant en réalité de l’application des textes) selon laquelle même en cas de démonstration d’une négligence grave de la part du client, la banque doit également démontrer la preuve de l’absence de déficience technique de l’opération [4].

Les établissements bancaires doivent donc composer entre la créativité débordante des nouveaux escrocs, et la responsabilité juridique lourde leur incombant, que la jurisprudence n’hésite pas à qualifier de « résultat ».

C’est la raison pour laquelle les banques tentent d’opérer un renversement de la charge de la preuve en multipliant les messages préventifs et informatifs espérant ainsi pouvoir s’exonérer de toute responsabilité.

C’était la défense de la banque qui prétendait ici que l’employé avait été informé des techniques de fraudes.

Fort heureusement les tribunaux veillent à rappeler aux banques le contenu de leurs obligations.

II. L’obligation de la banque de participer aux mesures d’instruction.

Dans l’espèce rapportée, la banque soutenait que la fraude était due à la négligence grave du salarié arguant que celui-ci avait nécessairement dû valider les opérations litigieuses en utilisant sa carte de clefs d’identification.

La société victime indiquait ne jamais avoir utilisé ou eu besoin de cette carte pour réaliser des opérations bancaires.

La banque jugeait cela impossible et demandait qu’un huissier le constate.

Le client conviait donc la banque à participer à un constat d’huissier contradictoire afin de vérifier que l’utilisation de la carte de clefs d’identification n’était pas nécessaire.

Elle lui proposait, à cette occasion, de venir avec son expert judiciaire afin de réaliser l’ensemble des vérifications nécessaires.

La banque ne répondait pas à cette invitation.

La société victime a donc fait établir un constat d’huissier ainsi qu’un rapport d’expertise hors la présence de la banque.

Ce rapport a permis de relever que :

• le matériel informatique du client était sain et non infecté ;
• le client pouvait effectivement d’effectuer des virements sans avoir recours à la carte clef.

Mais qu’en revanche :

• le client avait visiblement bien reçu une notification éphémère dite « push » sur son téléphone portable ce qui laissait entendre que soit l’application avait été piratée, soit que l’escroc opérait depuis l’intérieur de la banque ;
• après avoir cliqué sur ladite notification, le client avait reçu un courriel du Crédit Mutuel - plus particulièrement de la société Euro-Information - traitant ses opérations informatiques et l’informant qu’un second téléphone portable avait été validé et enregistré ce qui avait permis à l’escroc de réaliser des opérations non autorisées ;
• la banque aurait selon l’expert pu annuler les virements non encore exécutés si elle avait fait preuve de plus de négligences.

L’expert en a déduit deux choses :

• soit le logiciel de la banque a été piraté ;
• soit la validation du RIB et les opérations en découlant ont été faites grâce à un complice de l’escroc travaillant au sein de la banque ce qui était d’autant plus probable que l’escroc avait déjà connaissance des identifiants de la société victime.

L’expert en a conclu qu’afin d’éliminer l’une ou l’autre de ces deux hypothèses et de vérifier l’absence d’implication de la banque « seul un examen des serveurs de la banque, qui conserve trace de toutes les notifications envoyées, permettrait de retrouver (ou non) la notification litigieuse. En cas d’absence de cette notification sur les serveurs de la banque, cela prouverait que cette notification était bien frauduleuse et a été envoyée par un logiciel de fraude, visant à faire valider par la comptable non seulement des RIB, mais aussi des virements non souhaités ».

C’est la raison pour laquelle le client a sollicité, par voie de requête non contradictoire, l’autorisation de procéder à une mesure d’instruction afin de se rendre au siège de la banque et ainsi de vérifier l’origine de la fraude.

C’est cette mesure à laquelle la banque a refusé de déférer bien qu’elle n’en n’avait pas le droit, qui plus est, en invoquant le motif du secret bancaire qui ne pouvait être ici opposé à son propre client [5].

De cette volonté de la société CICI Lyonnaise de Banque de faire illicitement échec à la mesure, à laquelle s’ajoute son refus préalable de procéder à une expertise amiable contradictoire, il ne pouvait se déduire qu’une seule chose : la défaillance de son système de sécurité était en cause.

Il a donc été demandé à la cour de tirer les conséquences de ce refus et d’en déduire que la société Lyonnaise de Banque ne rapportait pas la preuve de l’absence de fraude ou de défaillance technique et ainsi de la condamner à procéder au remboursement des fonds.

La Cour d’appel de Lyon a fait droit à cette demande, condamnant l’établissement bancaire au versement d’une provision, les juges estimant que la demande du client ne pouvait faire l’objet de contestation sérieuses.

III. La possibilité de voir la banque condamnée en référé.

Avant d’entrer en condamnation, la Cour d’appel de Lyon a rappelé les principes applicables à la responsabilité des établissements bancaires s’agissant d’opérations bancaires non autorisées :

• Les textes instituent une responsabilité de plein droit de la banque qui, si elle souhaite échapper à son obligation de remboursement des fonds dont elle a la garde, doit rapporter la preuve d’une négligence grave de la victime mais encore d’une absence de déficience technique de son système ;
• La charge de la preuve de ces conditions caractérisant l’existence de contestations sérieuses repose donc sur la banque ;
• Ce rappel est important car il facilitera grandement les actions en remboursement des créanciers lésés en rappelant explicitement qu’une condamnation en référé est toujours envisageable.

Sanctionnant la tentative de renversement de la charge de la preuve opérée par la banque qui indiquait qu’elle informait régulièrement son client des méthodes de fraudes bancaires et que ce dernier aurait donc dû faire preuve de plus de prudence, la cour a clairement rappelé que

« le fait que la banque CIC dispose de systèmes et de protocoles de sécurité et qu’elle adresse des messages d’alerte sur les relevés bancaires ou expose sur son site les moyens pour se prémunir des fraudes n’est pas suffisant à établir le sérieux de sa contestation au cas particulier d’autant qu’il s’agit de ses obligations légales et réglementaires ».

Ainsi les banques ne peuvent pas se retourner contre leurs clients/utilisateurs pour leur reprocher un manque de vigilance au motif qu’elle les aurait informés des méthodes de fraudes bancaires.

• La banque du payeur doit prouver de manière cumulative une absence de déficience technique ainsi qu’une négligence grave de l’utilisateur, et pas uniquement un manque de prudence : cela permet de rappeler que la faute de l’utilisateur doit être grave et circonstanciée et ne pas découler d’une simple imprudence dans l’utilisation des moyens de paiement.

A cet égard, L’article L133-16 du Code monétaire et financier rappelle en effet que « Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées » et c’est sans doute à l’aune de cet article que les juges qualifieront la faute grave de l’utilisateur.

• Enfin, la cour, après avoir rappelé les circonstances de la fraude et les efforts déployés par l’usager pour tenter d’obtenir des explications, a sanctionné la banque pour avoir « refusé la mesure d’instruction pourtant autorisée par la justice ce qui aurait permis de concourir à la manifestation de la vérité » puisque cette mesure aurait permis de déterminer

« si la notification présentée comme un test par téléphone apparaissait ou non sur les serveurs de la banque ce qui aurait permis de déduire que la notification était frauduleuse et envoyée via un logiciel de fraude ou si elle pouvait mettre en lumière une complicité interne à la banque ».

En définitive, si la banque a échappé à une exposition médiatique dans l’hypothèse (probable) ou la mesure d’instruction aurait permis de vérifier l’existence d’un fraudeur au sein même de son établissement, elle n’a aucunement échappée à la condamnation au versement d’une provision correspondant au montant des fonds détournés.

Gageons que la société CIC Lyonnaise de Banque saura en tirer les conséquences...