En ouverture de la section du Code monétaire et financier (CMF) relative à la « responsabilité en cas d’opérations de paiement mal exécutées », l’article L. 133-21 dispose à titre principal : « Un ordre de paiement exécuté conformément à l’identifiant unique fourni par l’utilisateur du service de paiement est réputé dûment exécuté pour ce qui concerne le bénéficiaire désigné par l’identifiant unique » (alinéa 1er), puis : « Si l’identifiant unique fourni par l’utilisateur du service de paiement est inexact, le prestataire de services de paiement n’est pas responsable de la mauvaise exécution ou de la non-exécution de l’opération de paiement » (alinéa 2)1.
Le contentieux « article L. 133-21 du CMF », ou contentieux de l’« identifiant inexact », a été jalonné, ces dernières années, par (seulement) deux arrêts significatifs rendus par la chambre commerciale, financière et économique de la Cour de cassation, étant observé sans attendre que l’actualité de l’exécution des virements, classiques ou instantanés, est toute entière absorbée par la mise en œuvre du fameux « VoP » (Verification of Payee)2 ou, de façon moins cuistre, « service assurant la vérification du bénéficiaire auquel le payeur a l’intention d’envoyer un virement (service assurant la vérification) »3, applicable depuis le 9 octobre 2025.
Le premier arrêt, donc, en date du 24 janvier 2018 (et rendu sous l’empire de la DSP 1), prenait la forme de la paraphrase : « Il résulte de l’article L. 133-21 du code monétaire et financier que si l’identifiant unique fourni par l’utilisateur du service de paiement est inexact, le prestataire de services de paiement n’est pas responsable de la mauvaise exécution de l’opération de paiement qui en est la conséquence »4. Cela pour dire que devait être cassé, pour violation de ce texte, l’arrêt d’appel qui, pour condamner le prestataire de services de paiement (PSP) du bénéficiaire à rembourser la somme virée sur le compte d’un tiers, sur la foi d’un numéro de compte erroné, lui avait reproché de ne pas avoir recherché si l’identifiant unique du virement dont elle était réceptrice coïncidait avec le numéro de compte de son client. Cela pour laisser entendre, par-delà l’apparence de la paraphrase, que cette « franchise » de responsabilité valait aussi bien pour le PSP du payeur que pour celui du bénéficiaire, comme la Cour de justice le confirmerait peu après (toujours en référence à la DSP 1) dans l’affaire Tecnoservice Int. : « (...) lorsqu’un ordre de paiement est exécuté conformément à l’identifiant unique fourni par l’utilisateur de services de paiement, lequel ne correspond pas au nom du bénéficiaire indiqué par ce même utilisateur, la limitation de la responsabilité du prestataire de services de paiement, prévue par cette disposition, s’applique tant au prestataire de services de paiement du payeur qu’au prestataire de services de paiement du bénéficiaire »5.
La seconde décision, bien plus récente (la DSP 2 s’applique), a été donnée le 15 janvier 2025, dans le cadre d’un litige où l’inexactitude de l’identifiant unique résultait, non pas d’une erreur, mais d’une fraude, puisqu’un tiers avait piraté la messagerie électronique des payeurs (un couple) pour substituer l’IBAN d’un compte ouvert au profit de ce tiers à celui du vendeur. Ce pourquoi, semble-t-il, l’arrêt au fond, malgré la lettre de l’article L. 133-21, avait retenu que ce texte ne dispensait pas le banquier de son obligation de vigilance en vertu de laquelle il lui appartenait de vérifier la régularité des opérations bancaires qui lui sont soumises en contrôlant l’absence d’anomalie apparente. Or, « en statuant ainsi, alors que l’article L. 133-21 du code monétaire et financier est exclusif de toute application des règles de droit commun, la cour d’appel a violé les textes susvisés [les articles 1231-1 du Code civil et L. 133-21 du Code monétaire et financier], le premier par fausse application, le second par refus d’application »6.
Une cassation, par conséquent, aussi tranchante dans son conclusif (violation des textes applicables tant par fausse application du premier que par refus d’application du second) que pesamment étayée dans sa motivation, dont on se souvient qu’elle fut partagée avec un autre arrêt du même jour (mais qui portait sur l’hypothèse plus classique d’une opération de paiement non autorisée)7, l’un et l’autre relayés de surcroît par un (malheureux) communiqué de presse commun8. Voici quelle était cette motivation, dans sa version extraite du pourvoi n° 23-15.437 :
« Vu les articles 1231-1 du code civil et L. 133-21 du code monétaire et financier :
8. La responsabilité contractuelle de droit commun résultant du premier de ces textes n’est pas applicable en présence d’un régime de responsabilité exclusif.
9. Dans son arrêt du 16 mars 2023, Beobank (C-351/21), la Cour de justice a interprété en ces termes les articles 58, 59 et 60 de la directive 2007/64/CE du 13 novembre 2007 concernant les services de paiement dans le marché intérieur :
“37. [...] le régime de responsabilité des prestataires de services de paiement prévu à l’article 60, paragraphe 1, de la directive 2007/64 ainsi qu’aux articles 58 et 59 de cette directive a fait l’objet d’une harmonisation totale. Cela a pour conséquence que sont incompatibles avec ladite directive tant un régime de responsabilité parallèle au titre d’un même fait générateur qu’un régime de responsabilité concurrent qui permettrait à l’utilisateur de services de paiement d’engager cette responsabilité sur le fondement d’autres faits générateurs (voir, en ce sens, arrêt du 2 septembre 2021, C-337/20, CRCAM, [...] points 42 et 46).
38. En effet, le régime harmonisé de responsabilité pour les opérations non autorisées ou mal exécutées établi dans la directive 2007/64 ne saurait être concurrencé par un régime alternatif de responsabilité prévu dans le droit national reposant sur les mêmes faits et le même fondement qu’à condition de ne pas porter préjudice au régime ainsi harmonisé et de ne pas porter atteinte aux objectifs et à l’effet utile de cette directive (arrêt du 2 septembre 2021, C-337/20, CRCAM, [...] point 45).”
10. Il s’ensuit que, dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du code monétaire et financier, qui transposent les articles 71 à 74 de la directive (UE) 2015/2366 du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) n° 1093/2010, et abrogeant la directive 2007/64/CE, à l’exclusion de tout régime alternatif de responsabilité résultant du droit national. »
Le contentieux « article L. 133-21 » compte désormais une troisième décision significative, cette fois de rejet – à rebours, semble-t-il, de la demande du conseiller rapporteur dont le rapport est joint –, rendue le 4 mars 2026, également promise à publication au Bulletin et partageant avec celle du 15 janvier 2025 la circonstance que l’inexactitude de l’identifiant unique sur la foi duquel l’ordre de paiement avait été exécuté résultait d’une même fraude à la messagerie électronique.
De fait, un couple projetant une acquisition immobilière partiellement financée par un prêt consenti par leur banque, avait adressé à celle-ci à sa demande et pour effectuer le paiement du coût de la transaction, un décompte des sommes à verser (60 343,69 euros) ainsi que le relevé d’identité bancaire au nom de la SCP de notaires assistant les vendeurs. Le même jour, la banque envoyait par courriel à nos acquéreurs en herbe un ordre de virement comportant les références de ce RIB, sur lequel ils apposaient leurs signatures avant de le retourner à la banque. Or ce RIB se révélait être un faux, envoyé aux payeurs à partir d’une adresse électronique imitant frauduleusement celle de leurs notaires, si bien que le virement de la somme représentant leur apport personnel crédita un compte dont le bénéficiaire est demeuré inconnu (sic).
La surprise n’est pas peu grande qu’au sortir d’une motivation peu ou prou inspirée de celle mise en œuvre par l’arrêt du 15 janvier 2025 (même extrait de la décision CRCAM cité9, cependant sans le détour par l’arrêt Beobank10, mais au prix d’une erreur de référence à son point 36, alors qu’il s’agit bien du point 4511, la Cour de cassation en tire au contraire ceci : « En conséquence, si la responsabilité contractuelle de droit commun fondée sur l’article 1231-1 du Code civil n’est pas applicable à l’exécution par le prestataire de services de paiement d’un ordre de paiement conformément à l’identifiant unique fourni par l’utilisateur, tel n’est pas le cas lorsque le prestataire de services de paiement ne s’est pas borné à exécuter l’ordre de paiement ».
Aussi bien, poursuit-elle, « après avoir retenu que l’identité bancaire figurant sur l’ordre de paiement établi par la banque pour être ensuite soumis à la signature de M. et Mme [K] comportait des incohérences apparentes et manifestes qui ne pouvaient laisser aucun doute, pour un professionnel normalement diligent, sur le fait que l’identifiant était un faux grossier, la cour d’appel en a exactement déduit, par motifs propres et adoptés, que, la banque ne s’étant pas bornée, en sa qualité de prestataire de services de paiement, à exécuter un ordre de virement conformément à l’identifiant unique fourni par M. et Mme [K], mais avait elle-même rédigé cet ordre, cette dernière était tenue d’indemniser, sur le fondement du droit commun, ses clients du préjudice causé par ce manquement à son devoir de vigilance ».
La solution, à l’évidence, déroge de manière inédite à l’exclusivité du régime légal de responsabilité propre aux opérations de paiement non autorisées ou, ici, mal exécutées – on se souvient que dans son commentaire des arrêts du 15 janvier 2025, un auteur avait finement caractérisé leur « impact » en observant que « la victime d’une fraude facilitée par un manquement de son prestataire de services de paiement à son devoir de vigilance ne pourra engager la responsabilité de ce dernier que si l’on se situe en dehors du champ d’application des articles L. 133-18 et suivants du Code monétaire et financier »12. Tient-elle à la particularité d’une espèce (voire d’une pratique bancaire ?) où le banquier prêteur et PSP n’avait rien vu d’une grossière fraude à l’IBAN alors pourtant qu’il était sorti de son rôle d’« exécutant » en ayant « établi » ou « rédigé » l’ordre de paiement litigieux ? Mais la question a-t-elle même un sens si l’on veut bien revenir à la définition de l’ordre de paiement, à savoir « une instruction d’un payeur ou d’un bénéficiaire à son prestataire de services de paiement demandant l’exécution d’une opération de paiement »13 ?
Quoi qu’il en soit, dans notre affaire, la Cour de cassation fait siens les « motifs propres et adoptés » du juge d’appel qui, eux, ne laissent pas d’étonner, c’est peu dire. On lit en effet, dans l’arrêt de la Cour d’appel d’Amiens du 19 décembre 2024 (disponible sur Judilibre), par exemple que « le régime de responsabilité posé par l’article suscité (sic) [l’article L. 133-21] concerne l’identifiant unique comportant des indications erronées mais ne s’applique pas aux faux grossiers ni aux opérations frauduleuses. Il ne concerne également que les virements exécutés via un service de paiement fonctionnel » ; ou que « le présent cas d’espèce n’est donc pas lié à l’exécution d’un virement au vu d’un identifiant erroné mais d’une manœuvre manifestement illicite et frauduleuse ; l’ordre de paiement ne pouvait ainsi être considéré comme régulier et encore moins autorisé », et, encore, à titre conclusif, que « le paiement litigieux se situe donc par définition hors du champ du régime de l’article L. 133-21 du Code monétaire et financier applicables aux seuls ordres de paiement autorisés sur un service de paiement fonctionnel et dans ces conditions la SA BNP Paribas a engagé sa responsabilité contractuelle de droit commun »14.
Il y aurait beaucoup à « corriger », mais ce n’est pas cette décision au fond qui est l’objet de notre commentaire. Alors retenons plutôt, qui n’a pas livré toutes ses clefs d’interprétation, le sommaire qui figure en tête de l’arrêt du 4 mars 2026 : « Il résulte de l’article L. 133-21 du code monétaire et financier que si la responsabilité contractuelle de droit commun fondée sur l’article 1231-1 du code civil n’est pas applicable à l’exécution par le prestataire de services de paiement d’un ordre de paiement conformément à l’identifiant unique fourni par l’utilisateur, tel n’est pas le cas lorsque le prestataire de services de paiement ne se borne pas à exécuter l’ordre de paiement mais le rédige lui-même avant de réaliser l’opération de paiement avec l’approbation de l’utilisateur ». n
Achevé de rédiger le 17 mars 2026
