1. Définition de la fraude aux paiements. On retiendral’approche de l’Autorité bancaire européenne, qui entend, certes à des fins de déclaration statistique, par « opérations de paiement frauduleuses » à la fois les « opérations de paiement non autorisées » et les opérations de paiement effectuées à la suite d’une « manipulation du donneur d’ordre »1. Considérant, sans doute à tort, les moyens (ou instruments) de paiement plutôt que les opérations elles-mêmes, l’Observatoire de la sécurité des moyens de paiement (OSMP) s’aligne sur la définition européenne pour le besoin de ses (précieux) rapports annuels : « La fraude est ainsi définie dans le présent rapport comme l’utilisation illégitime d’un moyen de paiement ou des données qui lui sont attachées ainsi que tout acte concourant à la préparation ou la réalisation d’une telle utilisation ayant pour conséquence un préjudice financier (...) quel que soit le mode opératoire retenu (...) et quelle que soit l’identité du fraudeur (...) »2.
2. Champ de cette étude – Le temps de la jurisprudence
Ne sera envisagée ici que la fraude aux paiements électroniques, tels que ceux-ci sont l’objet des DSP 1 et 2 et, bientôt, de la « réforme DSP 3 », et ayant donné lieu à un arrêt de la Cour de justice de l’Union européenne (CJUE), ou d’un arrêt rendu par la Cour de cassation et publié au Bulletin3.
Sera couverte la période allant de 2021, année de l’arrêt fondateur de la CJUE, au 30 avril 2025, date du dernier arrêt pris en compte. Là où l’on guettait, il y a quelques années, les rares décisions en droit des paiements, elles sont désormais nombreuses (parfois deux arrêts le même jour !), en passe, même, de nous submerger – et, encore, on fait le choix de ne collecter ni les arrêts non publiés de la Cour de cassation, ni les arrêts de cour d’appel, voire en dessous.
3. Une première systématisation. La matière de la fraude aux paiements s’inscrit directement dans le droit de l’exécution des opérations de paiement, fixé à l’origine par la DSP 1 (l’essentiel des décisions sont encore rendues, pour une raison de temporalité judiciaire évidente, sous l’empire de la première directive), abrogée et remplacée par la DSP 2, dont l’authentification forte du client-payeur devait constituer la principale mesure anti-fraude. L’actualité de la fraude aux paiements et, avant tout, celle de sa jurisprudence, invite à se livrer à une première tentative d’organisation, sinon de systématisation4, des décisions, travail dans lequel, il faut bien le dire, l’OSMP nous a bien aidés lorsqu’il publia, le 16 mai 2023 (reprises dans son rapport annuel 2022, p. 27), ses Recommandations sur les modalités de remboursement des opérations de paiement frauduleuses5. D’où il ressort avant tout (on le vérifiera amplement par la suite) « le caractère “autorisé” de la transaction comme facteur déterminant »6. Voyons cela, en commençant par les arrêts de la CJUE.
4. Arrêt pionnier : CJUE 2 sept. 2021, aff. C-337/20, CRCAM (société/virement/DSP 1). Sur une demande de décision préjudicielle émanée de la Cour de cassation française7 et portant sur l’interprétation de l’article 58 de la DSP 1, la Cour de justice rend un arrêt fondateur du régime de responsabilité des prestataires de services de paiement (ci-après « PSP ») face aux opérations de paiement non autorisées (ou mal exécutées). En substance, le droit spécial des paiements (DSP 1 en l’espèce) « chasse » le droit national commun, de sorte qu’un utilisateur de services de paiement (ci-après « USP ») mécontent, mais forclos (délai de treize mois), ne saurait se rattraper en engageant la responsabilité alternative de droit commun du PSP (sur le sort de la caution et l’arrêt de la Cour de cassation dans l’affaire CRCAM, voir infra)8. En d’autres termes, « le régime harmonisé de responsabilité pour les opérations non autorisées ou mal exécutées établi par la directive 2007/64 ne saurait être concurrencé par un régime alternatif de responsabilité prévu par le droit national reposant sur les mêmes faits et le même fondement qu’à condition de ne pas porter préjudice au régime ainsi harmonisé et de ne pas porter atteinte aux objectifs et à l’effet utile de cette directive » (pt 45).
5. Grand arrêt : CJUE 16 mars 2023, aff. C-351-21, Beobank (particulier/carte/DSP 1). L’arrêt Beobank est sans doute le grand arrêt européen en matière de régime de responsabilité des opérations de paiement non autorisées9 ; c’est lui qui sera essentiellement cité dans les décisions de la Cour de cassation que nous verrons par la suite. Arrêt de principe, si l’on veut, comme en témoigne la place, originale, qu’il réserve à des « observations liminaires », d’où l’on tire, au point 39, cette remarque essentielle : « Or, ainsi que M. l’avocat général l’a relevé aux points 53 et 60 de ses conclusions, une juridiction nationale ne saurait ignorer la distinction consacrée dans [la DSP 1] en ce qui concerne les opérations de paiement, selon qu’elles sont ou non autorisées, et, partant, ne saurait se prononcer sur une demande de remboursement de paiements tels que les paiements en cause au principal sans qualifier, au préalable, ces paiements d’opérations autorisées ou non ». La distinction entre opérations autorisées ou non, voilà le principe directeur de la jurisprudence à venir, comme de sa mise en perspective, par exemple par l’OSMP, qui publia ses recommandations précitées deux mois, jour pour jour, après l’arrêt de la CJUE.
6. Suite : CJUE 11. Juill. 2024, aff. C-409/22, Eurobank Bulgaria (particulier/procuration sur compte bancaire/DSP 1). Particulièrement riche, la décision Eurobank Bulgaria présente l’intérêt – ce n’est pas le seul – de faire le lien entre charge de la preuve de l’autorisation de l’opération de paiement, qui pèse sur le PSP, et obligation d’authentification de l’opération, également à la charge du PSP. De sorte que, peut-on lire au point 66, « il ressort d’une lecture combinée de l’ensemble de ces dispositions que l’obligation d’authentification d’une opération de paiement pesant sur un prestataire de services de paiement a pour objet de vérifier l’utilisation de l’instrument de paiement en vue d’établir que l’utilisateur de ces services a donné son consentement à l’exécution de cette opération de paiement qui, partant, peut être réputée autorisée ». Cela est discutable, mais pas ici.
7. À venir : Concl. av. gén. L. Medina, aff. C-665/23, IL c/ Veracash SAS (particulier/carte/DSP 1). En attendant la décision de la Cour, il n’est pas sans intérêt de relever10, surtout au sujet de la délicate question de la mise en œuvre du double délai de contestation des opérations de paiement non autorisées (article 58 de la DSP 1 repris quasi à l’identique par l’article 71, § 1, alinéa 1er, de la DSP 2 ; transposition à l’article L. 133-24 du CMF), que l’avocat général, dans cette affaire, s’écartant de la position suggérée par la Cour de cassation française dans son arrêt préjudiciel11, est d’avis que « le payeur est, en principe, privé du droit au remboursement du montant d’une opération non autorisée lorsqu’il a tardé à signaler cette opération au prestataire de services de paiement, quand bien même il l’a fait dans les treize mois suivant la date de débit » (pt 58).
8. Un droit des paiements parvenu à maturité ? Ces dernières années ont vu la multiplication des décisions rendues par la Cour de cassation en droit des paiements « nouveau » (DSP) et, spécialement, concernant la fraude aux paiements. Ce serait là le signe, outre l’abondance du contentieux (et des cas de fraude) que, plus d’une décennie après la transposition, en droit français (2009), de la DSP 1 (2007), le temps de la jurisprudence la plus « haute » (celle de la Cour de cassation) est venu. Puisque la fraude aux paiements se traduit, juridiquement, par la notion d’« opération de paiement non autorisée », il paraît de bonne méthode de commencer par s’interroger par ce qui caractérise une opération autorisée (1.). Après quoi, tirant les leçons de la jurisprudence européenne, on verra que la Cour de cassation distribue le régime de responsabilité applicable selon que l’opération de paiement est autorisée ou non (2.). On abordera enfin, au gré de quelques arrêts originaux, le sort des opérations non autorisées (3.).
9. Montant : Cass. com. 30 nov. 2022, n° 21-17.614 (particulier/carte)12. Est autorisée l’opération de paiement dont « le payeur a donné son consentement à son exécution », dit le législateur (article L. 133-6, I, alinéa 1er, du CMF), ni plus, ni moins. Or ce « ni plus, ni moins » n’est plus tout à fait de mise, puisqu’il a été jugé qu’une opération (initiée par le payeur est-il précisé) « est réputée autorisée uniquement si le payeur a également consenti au montant de l’opération ». Curieuse formulation, dans une espèce qui ne l’était pas moins, où un payeur avait introduit sa carte dans un distributeur et composé son code confidentiel pour un retrait, cependant qu’un tiers avait saisi un montant de 900 euros et s’était emparé des billets.
10. Bénéficiaire : Cass. com. 1er juin 2023, n° 21-19.289 et n° 21-21.831 (particulier/virement)13. Au visa des articles L. 133-3 et L. 133-6 du CMF (rédaction ordonnance n° 2009-866 du 16 juillet 2009), voici que le « bénéficiaire » est ajouté au « montant » dans le champ du consentement à une opération de paiement : par principe, « une opération de paiement initié par le payeur, qui donne un ordre de paiement à son prestataire de service de paiement, est réputée autorisée uniquement si le payeur a également consenti à son bénéficiaire », de sorte que « ne constitue pas une opération autorisée un ordre de virement régulier lors de sa rédaction mais dont le numéro IBAN du compte destinataire a été ultérieurement modifié par un tiers à l’insu du donneur d’ordre ».
11. Bonne personne : Cass. com. 2 mai 2024, n° 22-18.074 (particulier/carte)14. Consentement au montant et au bénéficiaire, mais aussi consentement donné par la « bonne » personne, le « bon » payeur, celui qui est titulaire du compte auquel l’instrument de paiement (ici, la carte) est lié : « (...) selon l’article L. 133-6 du code monétaire et financier, dans sa rédaction antérieure à celle issue de l’ordonnance n° 2017-1252 du 9 août 2017, une opération de paiement est autorisée si le payeur a donné son consentement à son exécution. Il en résulte que, contrairement à ce que postule le moyen, les retraits et paiements effectués par Mme [X], à l’aide du doublon de la carte bancaire de son conjoint qu’elle avait obtenu à son insu, constituent des opérations de paiement non autorisées par le payeur titulaire du compte ».
12. À l’oral : Cass. com. 2 mai 2024, n° 22-17.233 (gérant et associé unique d’une société/virement)15. Relevons enfin, sur le terrain de la caractérisation d’une opération de paiement autorisée, mais cette fois en la forme – étant précisé que l’alinéa 1er de l’article L. 133-7 du CMF dispose à dessein que « le consentement est donné sous la forme convenue entre le payeur et son prestataire de services de paiement », que « le consentement à une opération de paiement peut résulter d’ordres donnés oralement dès lors que les conditions générales de la convention de compte stipulent que les instructions seront données par écrit sauf accord entre les parties et que la preuve de ce consentement résulte d’éléments postérieurs aux ordres eux-mêmes ».
13. Aiguillage. C’est entendu depuis l’arrêt Beobank (cf. supra), au moins : la ligne de partage des demandes de remboursement d’opérations de paiement (hors, naturellement, règle spéciale du remboursement inconditionnel des opérations de prélèvements) s’établit entre celles qui ont été autorisées et celles qui ne l’ont pas été. La Cour de cassation, à son tour, s’est emparée de cette règle (2.1). Partant, la Haute Juridiction française a pu dessiner les contours du régime de responsabilité des PSP – il serait plus juste de parler de « régime de répartition des pertes »16 , qui varie selon que l’opération de paiement a été autorisée (2.2) ou non (2.4.), mais prend également en compte les situations intermédiaires : opérations autorisées « mais » de façon frauduleuse (2.3) ou, au contraire, opérations non autorisées « mais » hors cham DSP (2.5.).
14. Arrêt de principe : Cass. com. 27 mars 2024, n° 22-21.200 (société/virement)17. L’arrêt de principe, s’agissant de l’exclusivité de la responsabilité spéciale du droit des paiements, est sans doute celui-ci, ce que confirme au demeurant la Lettre de la chambre commerciale, financière et économique de la Cour de cassation elle-même, dans la mesure précisément où « cet arrêt met fin à une certaine confusion dans les décisions de juridictions du fond appliquant indifféremment les règles du code monétaire et financier, à l’exclusion de tout régime alternatif de responsabilité du droit national ». En effet, s’appuyant sur la jurisprudence Beobank dont il reproduit les points 37 et 38, l’arrêt du 27 mars 2024 juge avec conviction que « la responsabilité contractuelle de droit commun prévue résultant (sic) [de l’article 1231-1 du Code civil] n’est pas applicable en présence d’un régime de responsabilité exclusif », d’où il s’ensuit que « dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 précités, qui transposent les articles 58, 59 et 60, paragraphe 1, de la directive 2007/64/CE, à l’exclusion de tout régime alternatif de responsabilité résultant du droit national ».
15. Applications : Cass. com. 15 janv. 2025, n° 23-13.579 (société/virement) et n° 23-15.437 (particulier/virement)18. Ces deux arrêts ont en commun, à propos de deux espèces pourtant bien différentes (cf. infra), d’énoncer en forme de principe que « dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du code monétaire et financier ». Ce n’est donc là que rappeler ce qu’avait déjà dit, quelques moins plus tôt, l’arrêt du 27 mars 2024. Curieusement, cependant, la Lettre de la chambre commerciale, financière et économique de la Cour de cassation intitule sa recension des deux décisions du 15 janvier 2025 : « Question nouvelle : Quel est le régime de responsabilité des banques applicables en matière de fraude bancaire ». Ce n’était pas utile.
De son côté, le communiqué de presse conjoint aux deux affaires en tirait la leçon principale que « les banques doivent rembourser leurs clients victimes d’escroquerie bancaire », mais « toutefois, elles ne sont pas tenues d’effectuer ce remboursement, même partiel : s’il y a eu une négligence grave de leur client ; en cas de virement effectué sur la base d’un identifiant bancaire unique fourni par leur client, mais qui ne vise pas le bon bénéficiaire ».
16. Devoir de vigilance : Cass. com. 2 mai 2024, n° 22-17.233 (précité). « La Cour de cassation poursuit son travail de clarification de la responsabilité des prestataires de services de paiement en cas d’opération de paiement non autorisée ou mal exécutée, entrepris par l’arrêt du 27 mars 2024 (Com., 27 mars 2024, n° 22-21.200) », observe la Lettre de la chambre commerciale19. De fait, dans la mesure où des ordres de paiement donnés oralement pouvaient valoir autorisation des opérations de paiement litigieuses (cf. supra), s’applique le régime de droit commun de la responsabilité du banquier (ou PSP) : « La responsabilité pour manquement au devoir de vigilance du prestataire de services de paiement, tenu à une obligation de non-ingérence, n’est engagée que si ces opérations présentent une anomalie apparente obligeant ce prestataire à procéder à des vérifications particulières.
17. Spoofing : Cass. com. 23 oct. 2024, n° 23-16.267 (particulier/virement)20. Outre la question de la négligence grave que l’on abordera un peu plus loin, l’arrêt Spoofing retient, et même avant tout, l’attention en ce qu’il ne dit pas expressément, à savoir qu’une opération de paiement « formellement » autorisée, mais à l’issue de manœuvres frauduleuses, doit être traitée comme une opération non autorisée, obéissant par conséquent au régime spécial de responsabilité de droit des paiements. On peut y voir comme une anticipation de l’article 59 de la proposition de RSP, prévoyant qu’en cas d’usurpation d’identité par un tiers prétendant être un employé du PSP du payeur-consommateur, soit ordonné le remboursement du montant total de l’opération de paiement autorisée mais de façon frauduleuse.
18. Pas une question de vigilance : Cass. com. 27 mars 2024, n° 22-21.200 (précité). On l’a dit un peu plus haut, la décision rendue par la Cour de cassation le 27 mars 2024 peut être considérée comme le grand arrêt du droit des opérations de paiement non autorisées. Car voilà qu’une cour d’appel avait condamné, sur le fondement de l’article 1231-1 du Code civil, une banque à rembourser à une société des ordres de virement litigieux, en retenant, en vertu d’éléments de preuve sérieux et concordants, que son dirigeant n’était pas à l’origine des ordres qui ont été exécutés « et qu’en les exécutant, tandis qu’ils présentaient des anomalies apparentes, la banque a manqué à son devoir contractuel de vigilance ». La cassation s’impose : « En statuant ainsi, alors que le titulaire des comptes contestait être l’auteur des ordres de transfert des fonds litigieux, ce dont il se déduisait que la responsabilité de la banque ne pouvait être recherchée que sur le fondement de l’article L. 133-18 du code monétaire et financier, la cour d’appel a violé les textes susvisés ».
19. Forclusion : Cass. com. 2 mai 2024, n° 22-18.074 (précité). Dans l’affaire du « doublon » de carte bancaire vue plus haut, la Cour de cassation, ayant qualifié l’opération de paiement en cause de non autorisée, oriente donc le litige, sur la foi, encore, de l’arrêt Beobank, sur le terrain, exclusif, du régime de responsabilité des articles L. 133-18 à L. 133-20 du CMF. Partant, « l’action en responsabilité engagée contre le prestataire de services de paiement passé le délai prévu par l’article L. 123-24 [133-24] du code monétaire et financier de treize mois suivant la date de débit de ces opérations est en conséquence irrecevable pour cause de forclusion ».
20. Identifiant unique : Cass. com. 15 janv. 2025, n° 23-15.437 (précité). L’exclusivité du régime spécial de responsabilité en cas d’opérations de paiement non autorisées joue y compris en présence d’un texte particulier : l’article 133-21 du CMF. Tel est l’enseignement de l’arrêt du 15 janvier 2025 : « L’article L. 133-21 de ce code disposant qu’un ordre de paiement exécuté conformément à l’identifiant unique fourni par l’utilisateur du service de paiement est réputé dûment exécuté pour ce qui concerne le bénéficiaire désigné par l’identifiant unique est en conséquence exclusif de toute application des règles de droit commun ». Par conséquent, « doit être cassé l’arrêt qui retient que cet article ne dispense pas le banquier de son obligation de vigilance en vertu de laquelle il lui appartient de contrôler l’absence d’anomalie apparente affectant l’ordre de paiement ».
21. Exemption : Cass. com. 30 juin 2021, n° 19-21.418 (société/carte)21. L’affaire portée devant la Cour était inédite : des cartes de paiement (carburant, péages autoroutiers et autres prestations liées), qui bénéficiaient de l’exemption dite « réseau ou éventail limité » de l’article L. 521-3 du CMF, ayant été dérobées à leurs porteurs, quel régime de responsabilité appliquer aux paiements consécutifs au vol ? La réponse est d’une grande importance : « Si, selon l’article L. 521-3, I, du code monétaire et financier, par exception au monopole des prestataires de services de paiement, une entreprise peut fournir des services de paiement fondés sur des moyens de paiement qui ne sont acceptés, pour l’acquisition de biens ou de services, que dans les locaux de cette entreprise ou, dans le cadre d’un accord commercial avec elle, dans un réseau limité de personnes acceptant ces moyens de paiement, ou pour un éventail limité de biens ou de services, cette entreprise n’appartient pas pour autant à la catégorie des prestataires de services de paiement, de sorte que, par application de l’article L. 133-1 du code monétaire et financier, les dispositions de l’article L. 133-19 de ce code ne lui sont pas applicables ».
22. Caution : Cass. com. 9 févr. 2022, n° 17-19.441 (société/virement)22. Cette décision est la suite de l’affaire CRCAM (cf. supra), La Cour de cassation y juge par conséquent que les articles L. 133-18 et L. 133-24 du CMF, « prévoyant le remboursement immédiat des opérations de paiement non autorisées signalées par l’utilisateur à la banque, dans le délai de treize mois (...) ne font pas obstacle à la mise en œuvre, par la caution de cet utilisateur, de la responsabilité contractuelle de droit commun de la banque ». Le droit des opérations de paiement est l’affaire des seuls USP et de leurs PSP, qui ne peuvent agir en responsabilité que sur le terrain spécial circonscrit par les DSP 1 et 2 ; les tiers intéressés (ici, la caution), de leur côté, peuvent toujours actionner les règles du droit commun.
23. Virements en devises : Cass. com. 14 févr. 2024, n° 22-11.654 (société/virement)23. Pour mémoire, car, depuis, la rédaction de l’article L. 133-1 du CMF a été modifiée, on retiendra qu’il résulte de ce texte, « dans sa rédaction issue de l’ordonnance n° 2014-158 du 20 février 2014, que des virements, réalisés en juillet 2016 dans une devise autre que l’euro ou une devise d’un État membre de l’Union européenne ou d’un autre État partie à l’accord sur l’Espace économique européen qui n’appartient pas à la zone euro, ne relèvent pas du régime de responsabilité des prestataires de services de paiement prévu au code monétaire et financier, de sorte que la responsabilité de la banque ne peut être engagée que sur le fondement du droit commun de la responsabilité contractuelle ».
24. Arrêt problématique : Cass. com. 2 oct. 2024, n° 23-13.282 (société/virement)24. Après les virements en devises, voici que des ordres de virement manifestement frauduleux ont été émis par une société au profit d’un compte situé hors zone SEPA (Hong Kong), faisant dire à la Haute Juridiction qu’à réception de tels ordres, « une banque est tenue, en exécution de son obligation de vigilance, de vérifier leur régularité auprès du dirigeant, seule personne contractuellement habilitée à les valider, dès lors que les circonstances inhabituelles de passation des ordres laissent supposer une possible “fraude au président” ». La Cour de cassation aurait-elle déjà oublié les enseignements des arrêts CRCAM et Beobank ? La question du régime de responsabilité (droit spécial ou droit commun) est totalement passée sous silence, tandis que la Lettre de la chambre commerciale titre son commentaire : « Des obligations de la banque, prestataire de services de paiement, dans l’hypothèse d’une fraude “au faux président” », comme si cela était la règle en la matière... Cette décision pose problème25.
25. Une première : Cass. com. 30 août 2023, n° 22-11.707 (particulier/carte)26. Pour rejeter la demande de remboursement d’un particulier faisant valoir qu’il n’avait pas autorisé l’opération de paiement litigieuse, un tribunal judiciaire retint qu’il avait commis une négligence grave « en faisant confiance à une personne qu’il ne connaissait pas et qui lui racontait une histoire assez peu crédible ». Cassation est sèchement prononcée dans la mesure où, « en se déterminant ainsi, sans rechercher, comme il lui incombait, si l’opération de paiement litigieuse avait été exécutée sans que la banque exige l’authentification forte du payeur, [le tribunal] n’a pas donné de base légale à sa décision ». C’est qu’il existe en effet une disposition « couperet », mise en œuvre pour la première fois semble-t-il dans cet arrêt, le V de l’article L. 133-19 du CMF (issu du paragraphe 2 de l’article de la DSP 2) : « Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article ».
D’où il ressort que l’absence d’authentification forte « chasse » la velléité même d’une recherche de la négligence grave du payeur.
26. Fraude au faux conseiller bancaire : Cass. com. 23 oct. 2024, n° 23-16.267 (précité). Du fameux arrêt Spoofing (cf. supra), il ressort encore qu’au cas d’espèce, « Aucune négligence grave au sens de l’article L. 133-19 du code monétaire et financier ne peut être imputée au titulaire d’un compte qui, contacté téléphoniquement par une personne se faisant passer pour un préposé de sa banque dont le numéro s’affichait, utilise à sa demande le dispositif de sécurité personnalisé pour supprimer puis réinscrire des bénéficiaires de virements dans le but d’éviter des opérations malveillantes ».
27. La négligence grave emporte tout : Cass. com. 15 janv. 2025, n° 23-13.579 (précité). L’enseignement de cet arrêt est important : on ne peut « couper la poire en deux » en faisant supporter au PSP la moitié de la responsabilité des opérations de paiement non autorisées alors que la négligence grave du payeur a été reconnue : « Une cour d’appel ne peut en conséquence, après avoir retenu que le payeur avait commis une négligence grave au sens de l’article L. 133-18 du code monétaire et financier le privant du droit au remboursement des sommes versées, opérer un partage de responsabilité avec la banque au motif que celle-ci avait manqué à ses obligations contractuelles de vigilance et de surveillance des systèmes ». Une réserve cependant, dès lors que la négligence grave nous semble absente du texte de l’article L. 133-18 du CMF.
28. Un piège : Cass. com. 20 nov. 2024, n° 23-15.099 (particulier/virement et carte)27. Remise de son relevé d’identité bancaire, puis de sa carte de paiement et de ses codes « cyber » à un inconnu rencontré sur Instagram : à l’évidence, ce payeur avait bien commis des négligences graves ayant permis les virements, retraits et paiements frauduleux. Sauf que la cour d’appel n’avait pas recherché si les opérations litigieuses avaient été authentifiées, dûment enregistrées et comptabilisées et qu’elles n’avaient pas été affectées par une déficience technique ou autre. La cassation pour défaut de base légale de la décision au fond est alors prononcée : « Il résulte des articles L. 133-19, IV, et L. 133-23, alinéa 1, du code monétaire et financier, que s’il entend faire supporter à l’utilisateur d’un instrument de paiement doté d’un dispositif de sécurité personnalisé les pertes occasionnées par une opération de paiement non autorisée rendue possible par un manquement de cet utilisateur, intentionnel ou par négligence grave, aux obligations mentionnées aux articles L. 133-16 et L. 133-17 de ce code, le prestataire de services de paiement doit, au préalable, prouver que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre ».
29. On devrait être averti : Cass. com. 30 avr. 2025, n° 24-10.149 (société/virement)28. Même punition, peut-on dire : c’est aller trop vite en besogne que de retenir la négligence grave d’une société (qui avait cliqué sur le courriel, ayant permis l’ajout d’un bénéficiaire, puis les ordres de virements émis grâce à ses identifiants via le site internet de la banque, lui ayant été adressé comme provenant de celle-ci, lequel comportait des incohérences facilement décelables et ayant été précédé d’une première tentative d’escroquerie portée à sa connaissance par le conseiller clientèle peu de jours auparavant) sans rechercher si les opérations de paiement litigieuses avaient été authentifiées, dûment enregistrées et comptabilisées et qu’elles n’avaient pas été affectées par une déficience technique ou autre, la cour d’appel a privé sa décision de base légale. Le chapeau de l’arrêt de cassation reproduit, à l’identique, celui du précédent (20 novembre 2024).
30. Contre-passation : Cass. com. 24 nov. 2021, n° 20-10.044 (société/virement)29. On ne saurait clore ce rapide tour d’horizon en omettant cette décision, demeurée unique, qui aborde le dénouement naturel des opérations de paiement non autorisées : leur remboursement. Aussi bien, « sauf stipulations contractuelles contraires, lorsque le montant d’un virement a été remboursé au payeur par son prestataire de services de paiement en application de l’article L. 133-18 du code monétaire et financier, serait-ce en raison de l’existence d’une fraude, le prestataire de services de paiement du bénéficiaire, s’il a déjà inscrit le montant de ce virement au crédit du compte de son client, ne peut contre-passer l’opération sur le compte de celui-ci sans son autorisation, quand bien même il aurait lui-même restitué le montant du virement au prestataire de services de paiement du payeur ». La Lettre de la chambre commerciale de la Cour de cassation en tire l’enseignement que « le remboursement de l’utilisateur de services de paiement ayant vu son compte débité sans son autorisation ne préjudicie pas nécessairement au bénéficiaire de l’opération : le risque de remboursement pèse, en premier lieu, sur les banques, lesquelles, sauf stipulations contractuelles contraires, ne peuvent se rembourser elles-mêmes en débitant le compte de leurs clients et doivent, pour récupérer les fonds, agir, le cas échéant par la voie judiciaire, contre le bénéficiaire ou contre le tiers rendu destinataire de ceux-ci ».
Achevé de rédiger le 21 mai 2025
