1. Désigné par le terme « Identifiant unique » par la Directive sur les services de paiement (DSP2), le RIB (relevé d’identité bancaire) ou numéro IBAN (International Bank Account Number) est défini comme une combinaison de lettres, de chiffres ou de symboles indiquée à l’utilisateur de services de paiement par le prestataire de services de paiement, que l’utilisateur de services de paiement doit fournir pour permettre l’identification certaine d’un autre utilisateur de services de paiement ou de son compte de paiement pour une opération de paiement1.
La communication de cet identifiant unique permet de désigner soit le bénéficiaire du paiement (hypothèse du virement), soit le payeur lui-même (hypothèse du prélèvement). La substitution de RIB/IBAN peut affecter le bénéficiaire, lorsqu’un tiers substitue son identifiant unique à celui du bénéficiaire du paiement, ou encore le payeur, lorsqu’un tiers substitue le RIB du payeur à son propre RIB.
2. Dans ce dernier cas, la difficulté peut être résolue selon les principes applicables aux opérations non autorisées : le payeur n’étant pas à l’origine de l’opération, à défaut d’avoir lui-même transmis son RIB aux fins de mandat de prélèvement, celui-ci ne peut être considéré comme ayant donné son consentement à l’opération. Il n’y a pas « substitution » de RIB au sens strict, mais « utilisation frauduleuse » de l’identité bancaire du payeur. L’opération doit être considérée comme non autorisée au sens de l’article L. 133-6 du Code monétaire et financier et la responsabilité du prestataire de services de paiement engagée selon les conditions et limites prévues par les articles L. 133-18 et L. 133-19 du même Code.
3. La notion de substitution de RIB au sens strict renvoie à l’hypothèse dans laquelle un tiers aura frauduleusement substitué son identifiant unique à celui du bénéficiaire que le payeur entend désigner. Cette substitution peut avoir lieu préalablement à l’autorisation – la substitution du RIB étant le plus souvent rendue possible grâce à un piratage des échanges de courrier entre le payeur et le bénéficiaire – ou postérieurement à l’autorisation, grâce à une falsification de l’identifiant unique communiqué initialement par le payeur. En pratique, la substitution sera le plus souvent révélée quand le bénéficiaire du paiement réclamera paiement au payeur, lequel aura pourtant vu son compte débité du montant du paiement2.
4. La substitution de RIB conduit à une discordance entre la personne du bénéficiaire que le payeur aura souhaité désigner comme telle et son « identité bancaire », alors que l’autorisation à l’opération de paiement, au sens de l’article L. 133-6 du Code monétaire et financer, doit porter sur le montant et le bénéficiaire de l’opération.
5. La directive instaure un régime particulièrement protecteur de l’utilisateur en ce qui concerne les opérations non autorisées. Les textes organisent une forme d’assurance par le prestataire de paiement justifiée par le caractère payant des services de paiement autres que le chèque. L’article L. 133-18 du Code monétaire et financier dispose que le prestataire de services de paiement doit rembourser immédiatement au payeur le montant de l’opération non autorisée, la responsabilité de plein droit du prestataire de services de paiement pouvant toutefois être atténuée dans les conditions et limites de l’article L. 133-19.
6. Dès lors qu’il existe une contradiction entre la personne du bénéficiaire et son identifiant bancaire, l’opération pourrait être considérée comme non autorisée au sens de la DSP2 et déclencher l’obligation de restitution des sommes par le prestataire de services de paiement.
L’article L. 133-21 du Code monétaire et financier prévoit cependant qu’un ordre de paiement exécuté conformément à l’identifiant unique fourni par l’utilisateur du service de paiement est réputé dûment exécuté pour ce qui concerne le bénéficiaire désigné par l’identifiant unique. Le banquier n’est pas tenu de restituer les sommes en cause, la Cour de cassation ayant précisé que le texte a vocation à protéger le prestataire de services de paiement du payeur comme du bénéficiaire3. Seule une action en répétition de l’indu, exercée dans les conditions de droit commun contre le tiers bénéficiaire du paiement frauduleux, permettra au payeur d’obtenir restitution des sommes4.
7. L’article L. 133-21 du Code monétaire et financier viendrait faire échec à l’obligation de restitution du banquier et, plus largement, à toute responsabilité du prestataire de services de paiement chaque fois que le paiement s’avère conforme au numéro d’identifiant unique communiqué par le payeur, fût-il frauduleusement substitué à celui du bénéficiaire du paiement.
Par un arrêt en date du 1er juin 20235, la Cour de cassation a réfuté cette analyse, retenant au contraire le principe de responsabilité du payeur en cas de substitution de RIB (1.). L’affaire concernait l’hypothèse d’une falsification de l’identifiant unique préalablement renseigné par le payeur, soit une substitution post-autorisation de paiement, de sorte que des incertitudes subsistent en matière de substitution réalisée préalablement à son autorisation (2.) comme d’exonération du prestataire de paiement (3.).
8. L’affaire ayant donné lieu à l’arrêt du 1er juin 2023 concernait une substitution de RIB réalisée postérieurement à l’ordre de paiement. Dans le cadre d’une acquisition immobilière, un couple avait transmis un ordre de paiement de compte à compte en renseignant l’IBAN de leur autre compte bénéficiaire de manière manuscrite. L’IBAN avait été correctement renseigné mais avait été falsifié entre l’ordre de virement et son exécution. Si la mention manuscrite de l’identifiant unique rend certainement aisée la falsification, l’hypothèse est encore envisageable en cas de transmission de l’ordre de paiement par mail. La manœuvre semble plus délicate lorsque le RIB/IBAN est renseigné via l’espace en ligne du client ou tout autre instrument de paiement, même si elle ne saurait être exclue, compte tenu de la sophistication des techniques de fraude en matière bancaire.
9. Les juges du fond avaient estimé être en présence d’une opération autorisée ou du moins qu’il ne s’agissait pas d’une opération non autorisée ab initio au sens de l’article L. 133-18 du Code monétaire et financier. À noter que la cour d’appel ne statuait pas non plus sur l’article L. 133-21 du Code monétaire et financier, le numéro d’identifiant unique erroné n’ayant pas été indiqué par le client directement – mais par un tiers.
Ces textes étant en quelque sorte inapplicables, la cour d’appel en déduisait que seule la responsabilité pour faute de la banque pouvait être recherchée. L’anomalie étant indécelable, le prestataire de paiement ne pouvait être tenu responsable de cette opération frauduleuse.
10. La position de la cour d’appel rappelle l’analyse développée par la Cour de cassation concernant la distinction entre le chèque contrefait et le chèque falsifié. Le chèque contrefait est celui qui n’est pas émis par le tireur apparent et ne vaut pas comme chèque. En tant que dépositaire, le banquier tiré qui se dessaisit des sommes sur présentation d’un chèque contrefait engage sa responsabilité sans qu’il soit nécessaire d’établir sa faute et doit restituer les sommes à son client6 – sauf hypothèse de faute du client venant exonérer le banquier de sa responsabilité7. Le chèque falsifié est celui valablement émis par le tireur mais frauduleusement modifié par la suite : l’émission valant immédiatement transfert de la provision, le banquier ne peut être tenu responsable qu’en cas de négligence fautive8. La solution rendue par la cour d’appel semble procéder d’une forme de transposition de la jurisprudence en matière de chèque à l’hypothèse d’un ordre de paiement valablement émis mais falsifié par la suite.
11. Refusant de distinguer là où le texte ne distingue pas, la Cour de cassation est venue censurer cette analyse. Le consentement à l’opération suppose l’autorisation du montant comme du bénéficiaire du paiement. Lorsque le RIB (ou l’IBAN) vient à être modifié postérieurement à l’ordre de paiement, le bénéficiaire du paiement n’est pas celui désigné par le payeur et à destination duquel ce dernier a autorisé le paiement. L’opération doit être considérée comme non autorisée au sens de l’article L. 133-18 du Code monétaire et financier, et cela que l’ordre de virement soit faux ab initio ou qu’il ait été falsifié entre l’ordre de virement et son exécution.
12. La solution rendue le 1er juin 2023 livre deux enseignements. La Cour de cassation rappelle tout d’abord la vocation générale de l’article L. 133-18 du Code monétaire et financier : la « restitution » des sommes par le prestataire demeure le principe, les hypothèses de « responsabilité » du payeur venant faire échec, en tout ou partie, à cette obligation de restitution, l’exception.
La Cour de cassation confirme ensuite l’acception large de la notion d’opération de paiement non autorisée : celle-ci est caractérisée chaque fois que le client n’a pas autorisé le montant exact ou le bénéficiaire de l’opération, ces deux éléments étant cumulativement requis pour considérer que l’opération a été autorisée au sens de l’article L. 133-6 du Code monétaire et financier.
13. La décision ne règle pas pour autant le sort d’une opération autorisée par le payeur ayant commis, dans l’ordre de paiement, une erreur entre la personne du bénéficiaire et son identifiant bancaire, du fait de la fraude d’un tiers.
14. Outre la falsification de l’identifiant unique postérieurement à l’autorisation de paiement, la substitution du RIB/IBAN d’un tiers à celui transmis par le bénéficiaire réel du paiement n’est pas fait rare.
Cette substitution pourra être réalisée par un « simple » piratage des échanges (mails) entre le payeur et le bénéficiaire, même si d’autres moyens de substitution sont possibles. La technique n’est pas sans rappeler celle du phishing mais s’en démarque en ce que le payeur ne cède à aucune manipulation de la part d’un tiers : payeur et bénéficiaire sont engagés dans une relation contractuelle, les échanges sont réguliers et l’obligation au paiement justifiée sur le plan fondamental.
15. La transposition pure et simple de la solution rendue le 1er juin 2023 à l’hypothèse d’une substitution antérieure à l’autorisation du payeur n’est pas d’évidence. Ni l’ordre de paiement ni son autorisation ne subissent de modification postérieurement au consentement du payeur : l’opération est bel et bien exécutée conformément à l’autorisation du payeur mais celle-ci est entachée d’une erreur.
L’hypothèse pourrait entrer dans les prévisions de l’article L. 133-21 du Code monétaire et financier. Cependant, cette erreur ne provient pas de la transmission ou la retransmission de l’identifiant unique par le bénéficiaire ou le payeur mais réside dans une discordance entre l’identité de la personne du bénéficiaire et son identité bancaire, discordance provoquée par la fraude d’un tiers. L’opération entre tant dans les prévisions de l’article L. 133-18 du Code monétaire et financier que dans celles de l’article L. 133-21 du même code faisant apparaître un véritable conflit entre ces deux textes.
16. L’opération ne saurait être considérée comme valablement autorisée par le payeur lorsque celui-ci s’est mépris sur l’identité du bénéficiaire. Cette affirmation suppose néanmoins de répondre au préalable à une question sous-jacente : faut-il considérer le bénéficiaire du paiement dans sa personne ou au travers de son identifiant unique ? La distinction traditionnelle entre la relation cambiaire et la relation fondamentale pourrait conduire à privilégier la seconde solution. Cette solution procéderait selon nous d’une forme de confusion entre la notion de bénéficiaire et son mode de désignation aux fins de réalisation de l’opération de paiement. L’article 4, § 9, de la DSP2 définit le bénéficiaire comme la personne physique ou morale qui est le destinataire prévu de fonds ayant fait l’objet d’une opération de paiement. La notion de bénéficiaire renvoie à la personne à laquelle le payeur souhaite adresser le paiement et l’autorisation doit porter sur la personne du bénéficiaire au sens strict du terme. L’ordre de paiement transmis en désignant le bénéficiaire au travers d’un identifiant bancaire erroné doit être considéré comme une opération non autorisée et ce, que l’erreur soit le fait d’un utilisateur distrait ou qu’elle ait été provoquée par la fraude d’un tiers.
Cette absence d’autorisation déclenche, par principe, l’obligation de restitution du prestataire de services de paiement conformément à l’article L. 133-18 du Code monétaire et financier – à condition que le payeur signale cette opération non autorisée dans les délais impartis par les textes. L’article L. 133-21, alinéa 2 du Code monétaire et financier devrait néanmoins trouver à s’appliquer et exclure l’obligation de restitution du banquier dès lors que le payeur aura lui-même transmis l’identifiant bancaire erroné lors de l’autorisation de paiement.
17. La circonstance que l’opération ne soit pas autorisée n’exclut pas, en tant que telle, que cette opération entre dans les prévisions de l’article L. 133-21 du Code monétaire et financier lequel ne distingue pas selon l’origine de l’erreur du payeur quoiqu’en toute rigueur, ce texte ne vise pas directement les opérations non autorisées mais les opérations non exécutées ou mal exécutées.
L’article L. 133-21 du Code monétaire et financier déroge au principe de l’article L. 133-18 en indiquant que le prestataire de services de paiement n’a pas à assumer les conséquences d’une opération exécutée conformément à l’identifiant unique transmis par le payeur. La désignation du bénéficiaire au moyen de son identifiant bancaire prime sur son identité réelle, l’article L. 133-21 in fine prévoyant encore que : « Si l’utilisateur de services de paiement fournit des informations en sus de l’identifiant unique ou des informations définies dans la convention de compte de dépôt ou dans le contrat-cadre de services de paiement comme nécessaires aux fins de l’exécution correcte de l’ordre de paiement, le prestataire de services de paiement n’est responsable que de l’exécution de l’opération de paiement conformément à l’identifiant unique fourni par l’utilisateur de services de paiement. » Le banquier n’aurait donc aucune obligation de vérifier la concordance entre l’identité du bénéficiaire et l’identifiant bancaire communiqué9.
18. Cette disposition ne vise pas à sanctionner la négligence du payeur – ce qui pourrait effectivement conduire à exclure son application en cas d’erreur provoquée par fraude. Ce principe assure la sécurité et l’efficacité des moyens de paiement lesquels commandent l’exécution de l’opération sans délai, conformément à l’ordre donné par le payeur et indépendamment de la pertinence ou du bien-fondé du paiement. En ce sens, l’article L. 133-3 du Code monétaire et financier indique encore que l’opération de paiement est indépendante de toute obligation sous-jacente du payeur.
19. Cette solution contraste avec l’objectif de protection du payeur qui sous-tend la DSP2. Si l’on comprend que la négligence du payeur dans la transmission de l’identifiant unique n’a pas à être assumée par le prestataire de services de paiement, il n’en est pas de même de la fraude commise par un tiers. À cet égard, l’article L. 133-19 du Code monétaire et financier exclut toute responsabilité du payeur en cas d’opération non autorisée effectuée en détournant l’instrument de paiement ou les données de sécurité qui y sont attachés. Il revient ici au prestataire de paiement, et non à l’utilisateur, d’assumer les conséquences de la fraude commise par un tiers.
20. Dans cette perspective, la cour d’appel de Nîmes a admis la responsabilité de la banque pour faute dans un arrêt rendu le 9 mars 2023 à propos d’une affaire concernant la substitution par un tiers de son propre RIB à celui transmis par le bénéficiaire au payeur par voie électronique10. Le payeur avait ensuite renseigné l’identifiant unique erroné dans deux ordres de paiement, l’un transmis à distance au travers de l’espace en ligne, le second en agence par les payeurs en personne. Tout en admettant l’application de l’article L. 133-21 du Code monétaire et financier, lequel exclut la restitution pure et simple des sommes par le banquier, les juges du fond envisageaient ensuite la responsabilité pour faute du prestataire de services de paiement considérant que l’obligation de vigilance du banquier lui impose de déceler les anomalies apparentes et de suspendre l’exécution de l’opération le temps d’obtenir confirmation par son client. La faute n’était alors retenue qu’en ce qui concerne le virement ordonné en agence par le payeur11 et non pour le virement effectué à distance par les seuls soins des payeurs, la banque ne disposant d’aucun moyen de contrôle de régularité de cette opération.
21. Cette décision heurte certainement la logique de l’harmonisation européenne en matière bancaire et, plus largement en matière de droit de la consommation. L’objectif de protection de la clientèle doit être nuancé ou plus exactement compris au regard du principe de libre concurrence au sein du marché intérieur. Les textes européens ne viennent pas instaurer un niveau minimal de protection de la clientèle mais prévoient une harmonisation totale des contraintes pesant sur les prestataires de paiement de l’Union, afin d’assurer un niveau de protection satisfaisant de la clientèle et d’éviter une course au moins-disant des États membres en la matière. En conséquence, le régime de responsabilité des prestataires de paiement adopté par la directive est exclusif de toute autre action en responsabilité fondée sur les mêmes faits et prévue par le droit national : amorcée dans la décision CRCAM de la Cour de justice de l’Union européenne du 2 septembre 202112, la solution a été confirmée par l’arrêt Beobank du 16 septembre 202313.
22. La Cour de cassation a statué en ce sens dans un arrêt rendu le 23 mai 202414. Rappelant expressément l’arrêt Beobank de la Cour de justice, la Haute juridiction excluait toute action en responsabilité du prestataire fondée sur l’article 1240 du Code civil avant de conclure à l’absence pure et simple de responsabilité de la banque en cas d’exécution d’une opération de paiement effectué conformément à l’ordre de paiement et à l’identifiant unique du bénéficiaire transmis par le payeur pourtant victime d’une fraude.
L’espèce ne concernait pas une hypothèse de substitution de RIB par un tiers mais une affaire d’escroquerie, le payeur reprochant au prestataire de paiement d’avoir exécuté l’opération de paiement nonobstant la discordance entre l’identifiant unique et le nom du bénéficiaire.
La Cour de cassation a néanmoins confirmé cette analyse par l’arrêt du 15 janvier 2025 rendu dans l’affaire de substitution de RIB dans laquelle la cour d’appel de Nîmes avait admis la responsabilité de la banque pour ne pas avoir décelé la discordance entre l’identité du bénéficiaire et l’identifiant unique indiqués par le payeur15. L’article L. 133-21 du Code monétaire et financier exclut ainsi toute restitution de même que toute responsabilité du banquier lorsque le RIB ou l’IBAN transmis par le client est affecté d’une erreur que celle-ci soit le fait de sa négligence ou des manœuvres frauduleuses d’un tiers.
23. La solution devrait selon nous être strictement circonscrite à l’hypothèse dans laquelle le payeur lui-même aura renseigné un numéro d’identifiant unique erroné et non en cas de substitution réalisée directement par un tiers au moyen de l’utilisation frauduleuse de l’instrument de paiement (hypothèse de la falsification du RIB d’un bénéficiaire enregistré sur l’espace en ligne du client par exemple).
L’article L. 133-21 du Code monétaire et financier ne vise que l’opération effectuée conformément à l’identifiant unique fourni par le client et doit demeurer d’interprétation stricte en tant qu’il constitue une exception au principe de restitution. À défaut d’entrer dans les prévisions de l’article L. 133-21, l’opération non autorisée « dans son bénéficiaire » par le payeur, doit donner lieu à restitution conformément à l’article L. 133-18 du Code monétaire et financier.
24. L’étendue de la responsabilité ou du prestataire de paiement commande ainsi de vérifier l’origine de la discordance entre l’identité du bénéficiaire et son identifiant bancaire. La solution, rigoureuse sur le plan des principes et complexe à mettre en œuvre, peut encore être appréciée à la lueur des moyens d’exonération dont dispose le banquier.
25. Traditionnellement présentée comme protectrice du payeur, la DSP2 préserve un certain équilibre entre les intérêts en présence en ce que les textes sanctionnent la négligence du client et ménagent des possibilités d’exonération du prestataire de services de paiement.
26. Tandis que l’article L. 133-19, II du Code monétaire et financier élude toute responsabilité du payeur en cas de détournement frauduleux de l’instrument de paiement, ce même texte prévoit en son IV que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part (i) ; s’il a fait preuve de négligence grave dans la conservation de ses données de sécurité personnalisées (ii) ; ou s’il a tardé à signaler la perte, le vol ou le détournement de l’instrument de paiement (iv).
27. Le texte ne concerne que les instruments de paiement dotés de données de sécurité personnalisé et non l’ensemble des opérations de paiement non autorisées dont le prestataire doit, en principe garantie.
En cas de substitution de l’identifiant unique réalisée directement par le tiers grâce à l’utilisation de l’instrument de paiement doté de données de sécurité (transmission frauduleuse d’un RIB erroné par le tiers et non par le payeur), ce texte devrait trouver à s’appliquer. L’opération doit être considérée comme non autorisée par le payeur et rentre dans les prévisions de l’article L. 133-19, II sans que l’article L. 133-21 du Code monétaire et financier puisse être opposé16. Le payeur ne doit supporter aucune conséquence de l’opération non autorisée et le prestataire est tenu à restitution, sauf à pouvoir se prévaloir des causes d’exonération de l’article L. 133-19, IV et, notamment, de la négligence du client dans la conservation de son instrument de paiement ou de ses données de sécurité17.
28. Lorsque la substitution est préalable à toute action du payeur et que ce dernier est à l’origine de la communication du RIB erroné en revanche, la fraude aux moyens de paiement ne repose pas sur l’utilisation de l’instrument de paiement ou des données qui y sont liées mais sur l’usurpation de l’identité bancaire du bénéficiaire auprès du payeur18.
La fraude est le plus souvent réalisée grâce au détournement ou la falsification des moyens de communication du payeur et de ses échanges avec le bénéficiaire : le banquier ne dispose alors d’aucun moyen d’échapper à son obligation de restitution alors même que le payeur aurait fait preuve d’une négligence grave ayant favorisé ou permis la substitution de RIB. Garant de la sécurité et de l’efficacité des instruments de paiement, le prestataire de paiement bénéficie de certains moyens d’exonération de sa responsabilité de plein droit. Il semble plus difficile de le rendre comptable de l’ensemble des opérations de paiement provoquées par fraude sans moyen d’exonération corrélatif.
29. L’on pourra toutefois regretter que le caractère exclusif du régime de responsabilité instauré par la DSP2 s’oppose à l’inverse à toute sanction du manquement du prestataire à son obligation de vigilance. Cette forme d’immunité du banquier concernant les opérations réalisées conformément à l’identifiant bancaire fourni par le payeur contredit l’objectif de protection de la clientèle et de sécurisation des moyens de paiement. Le principe d’irresponsabilité du prestataire à raison des opérations exécutées conformément à l’identifiant unique transmis par le payeur mériterait certainement d’être assorti de nuances dans le cadre des modifications de la directive actuellement à l’étude19.
