Pour ceux qui suivent mes rédactions, j’ai déjà évoqué ici un premier arrêt de la Cour d’appel de Paris, en faveur des victimes de spoofing, cette fraude bancaire qui consiste, pour un tiers malveillant, à se faire passer pour un agent de la banque de sa victime, et à lui faire faire plusieurs opérations à son profit par téléphone, prétextant devoir agir dans l’urgence pour protéger les comptes de celle-ci (CA Paris, Pôle 4 Chambre 9a, 22 mai 2025, n° 24/02286). Cette décision concernait la Banque Populaire.
Le même jour, la Cour d’appel de Paris a rendu un second arrêt (CA Paris, Pôle 4 Chambre 9, 22 mai 2025, n° 24/02984 [1]), toujours en faveur de la victime de spoofing, visant cette fois la Société Générale.
Dans les deux affaires, les victimes avaient été contactées par une personne prétendant être employée du service de sécurité de la banque, qui leur affirmait qu’elles étaient victimes d’une fraude et qu’il convenait d’effectuer rapidement des virements sur un nouveau compte bancaire sécurisé venant d’être ouvert à leur nom, afin de préserver leur compte des mouvements frauduleux.
Les victimes ont chaque fois fait le nécessaire pour alerter immédiatement leur établissement bancaire et ont déposé plainte.
Mais leurs banques ont refusé de les rembourser du montant détourné, en dépit d’une mise en demeure de leur Conseil.
Dans ces conditions, les victimes ont assigné leur établissement bancaire en vue de le voir condamner à les rembourser du montant de la fraude dont elles ont été victimes à leur insu.
Dans l’affaire qui nous intéresse ici, celle visant la Société Générale, une première décision avait été rendue en première instance par le juge des contentieux de la protection du Tribunal judiciaire de Paris le 11 décembre 2023.
Le juge y avait fait droit aux demandes de la victime, et avait ainsi condamné l’établissement bancaire à lui payer la somme de 8 000 euros en remboursement des opérations bancaires réalisées à son insu le 4 novembre 2022, outre une somme de 1 200 euros sur le fondement de l’article 700 du Code de procédure civile et les dépens.
Pour fonder sa décision, le juge ne s’est pas placé sous le couvert de l’article L133-18 du Code monétaire et financier, considérant que les opérations de paiement (deux virements de 4 000 euros) avaient bien été autorisés au sens de l’article L133-6 du Code monétaire et financier et que le texte susvisé ne pouvait donc pas s’appliquer.
En revanche, sur le fondement de l’article 1240 du Code civil, le juge a retenu que, si en sa qualité de banque du donneur d’ordre sa responsabilité ne pouvait être recherchée, à l’inverse en qualité de banque du bénéficiaire des virements litigieux, la Société Générale devait veiller à l’exécution des conditions auxquelles le donneur d’ordre avait entendu subordonner le transfert des fonds, tels notamment, et on ne peut qu’applaudir cette remarque du juge, qu’un contrôle de la concordance entre le nom du bénéficiaire et les coordonnées bancaires indiquées dans l’ordre de virement.
Trop souvent ce point passe en effet inaperçu alors qu’il représente pourtant une faille réelle de la banque.
Le tribunal a souligné que la Société Générale en ne justifiant pas de cette vérification, avait commis une faute engageant sa responsabilité délictuelle et nécessitant le remboursement du client victime de la somme détournée de 8 000 euros.
En outre, il a rejeté toute négligence fautive commise par la victime puisqu’aucun manquement à l’article L133-16 et aux conditions générales contractuelles n’était établi, et a insisté sur le fait que n’avaient pas été communiqués par cette dernière ses codes confidentiels, rappelant qu’en tout état de cause l’éventuelle négligence du client n’enlevait rien au caractère fautif au manquement commis par la banque.
La Société Générale a donc interjeté appel de ce jugement.
Motivation de la Société Générale.
La Société Générale faisait valoir que le tribunal s’était trompé en estimant que le banquier bénéficiaire des virements devait procéder à un contrôle de correspondance entre le nom du bénéficiaire et les coordonnées bancaires indiquées sur l’ordre de virement car ni la banque du bénéficiaire ni celle du donneur d’ordre n’avaient à effectuer ce type de vérification et que sa responsabilité ne pouvait être engagée en l’absence de tout manquement aux dispositions de l’article L133-21 du Code monétaire et financier.
Par ailleurs, elle soulignait que l’enregistrement du compte destinataire et les virements objets du litige avaient été faits par la victime elle-même via un dispositif d’authentification forte dans son application « banque à distance » et que c’est donc à juste titre que le tribunal a rejeté l’application des dispositions de l’article L133-18 du Code monétaire et financier puisque cette dernière a autorisé les opérations (enregistrement du compte et virements) en saisissant le code qu’il avait créé le 23 octobre 2021.
S’agissant de sa responsabilité en qualité de banque donneur d’ordre, elle estimait donc ne pas avoir manqué à son obligation de vigilance puisque aucune information lui avait été transmise lui permettant de détecter une fraude, que les opérations ne présentaient pas d’anomalie apparente et rappelle le principe de non-ingérence d’une banque dans les opérations effectuées par son client.
S’agissant de sa responsabilité délictuelle en qualité d’établissement bénéficiaire des virements, elle alléguait ne pas avoir manqué à ses obligations lors de l’ouverture du compte bénéficiaire du virement.
Selon elle par ailleurs, il ne pouvait lui être reproché de ne pas avoir initié de procédure conservatoire de rappel des fonds détournés, alors que ceux-ci avaient déjà été transférés sur un compte ouvert dans un autre établissement et le compte clôturé lorsque le client s’est plaint d’une escroquerie, que les virements ayant été exécutés, les ordres étaient irrévocables, qu’elle ne pouvait opérer de retour des fonds sans l’autorisation du bénéficiaire même en cas de suspicion de fraude et qu’enfin, dès qu’elle a été informée de la fraude, elle a fait en sorte qu’aucune nouvelle opération frauduleuse puisse être accomplie.
En dernier lieu, elle invoquait de prétendues négligences graves de la part du client qui aurait fourni selon elle ses renseignements personnels le 1ᵉʳ novembre 2022 en réponse à un sms suspect provenant soit disant d’Ameli puis reçu un appel le 4 novembre 2022 depuis un téléphone mobile d’un soi-disant membre de la sécurité de la Société Générale sans pour autant vérifier la provenance de cet appel en contactant par exemple sa banque et sans protéger ses données de sécurité personnalisées.
Elle soutenait enfin qu’elle informait régulièrement ses clients sur les nouveaux moyens de fraude et les avertissait des risques de « phishing », « vishing », « smishing » et « spoofing », par des campagnes de sensibilisation.
Motivation de la victime à la fraude bancaire.
La victime, dans cette affaire, avait 92 ans au moment des faits et est client depuis de nombreuses années de la Société Générale.
Il soutenait que ces deux opérations de virement sont des opérations de paiement non autorisées puisqu’il n’a jamais consenti à faire des virements au bénéficiaire réel de ces opérations et, qu’en application des articles L133-16 et suivants du Code monétaire et financier, la banque doit lui restituer les sommes versées sauf à ce qu’elle n’établisse qu’il a commis une négligence grave.
Or, il contestait avoir commis toute négligence, soulignant que même s’il a saisi et validé les opérations, il reste âgé de 92 ans et est profane en informatique. Il ajoutait que la démonstration d’une information suffisante délivrée par la banque au sujet de la fraude n’est pas rapportée, car il s’agit d’informations générales consultables sur le site internet et non des informations transmises directement au client. Il soulignait également (et c’est important) n’avoir communiqué aucune donnée personnelle lors des appels téléphoniques dont il a fait l’objet.
Subsidiairement, il soutenait que la responsabilité de la banque pouvait être engagée en raison de son manquement au devoir de vigilance, la Société Générale ayant selon lui commis plusieurs manquements à son devoir de vigilance :
- à l’ouverture du compte bénéficiaire des virements, en ne vérifiant pas l’identité du client, qu’elle ne communique au demeurant pas, ne permettant ainsi pas une procédure de retour de fonds,
- lors de l’exécution des virements, en ne vérifiant pas la correspondance entre le nom du bénéficiaire et le numéro Iban indiqué, puisque le nom « [F] [O] » est mentionné comme étant le titulaire du compte bénéficiaire alors que ce n’est pas le cas,
- la banque a également manqué à son obligation de vigilance en ne prenant pas en compte le caractère inhabituel des opérations au regard des habitudes financières de la victime puisque son compte n’avait jamais été débiteur alors que dès le 5 novembre 2022, au lendemain du premier virement litigieux, son compte présentait un découvert important qui, lors du second virement, était encore plus conséquent puisque le transfert d’une somme de plus de 15 000 euros depuis son livret A n’a eu lieu que le 7 novembre, qu’il ne procédait normalement à des virements qu’à destination de son petit-fils et l’ajout d’un nouveau bénéficiaire 20 minutes avant le virement aurait dû alerter la banque sur l’anormalité des opérations.
Il concluait que ces manquements ont facilité l’escroquerie dont il a été l’objet et ce d’autant qu’il s’agissait d’une escroquerie bien réalisée et qu’il est âgé et vulnérable.
Sur la responsabilité de la banque
La cour a appuyé le fait qu’il résulte des dispositions de l’article L133-23 du Code monétaire et financier :
- que lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre,
- que la seule utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière et que le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement.
La cour a indiqué par ailleurs qu’il résulte de l’enchevêtrement des textes du Code monétaire et financier que pour éviter toute fraude, la banque se doit de mettre en œuvre des procédés techniques de protection des opérations au moyen d’éléments personnels d’identification de l’utilisateur, et :
1/ prouver que ce sont bien les données d’authentification de l’utilisateur qui ont été utilisées et qu’il n’y a pas eu de défaillance technique,
et 2/ même dans le cas où l’authentification est renforcée et où ces données ont été utilisées, fournir des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement.
La cour a constaté ensuite qu’en l’espèce, la victime nie avoir autorisé les opérations passées sur son compte, et que même si la banque versait aux débats diverses captures d’écran, celle-ci ne prouve toutefois pas que la procédure d’autorisation a été effectivement réalisée correctement alors que M. [F] nie avoir opéré les trois opérations litigieuses.
La cour conclut qu’au vu des pièces versées, l’hypothèse d’une défaillance technique ne peut être écartée.
S’agissant de la négligence grave imputée par la banque à la victime, la cour a relevé que l’appel qui a eu lieu un vendredi en fin de journée sur le téléphone personnel de la victime l’avertissant qu’un piratage de son compte bancaire était en train de se commettre et qu’il fallait rapidement réagir en opérant des virements de son compte habituel, afin de le préserver, sur un nouveau compte ouvert dans le même établissement bancaire, avait légitimement créé un sentiment d’urgence chez la victime alors âgé de 92 ans.
Cet appel, à la différence d’un courriel, diminuait également la vigilance du client, et ce d’autant que le transfert de fonds se faisait à l’intérieur du même établissement bancaire au nom du client.
La cour a soulevé au surplus que la victime n’avait commis aucune négligence, n’ayant jamais transmis ses coordonnées personnelles, telles que ses identifiants ou ses codes secrets, à son interlocuteur téléphonique ou par courriel.
Cette dernière n’avait pas non plus commis de faute dans le cadre de la dénonciation de la fraude puisqu’elle a tenté d’y procéder dès l’ouverture des banques le lundi 7 novembre matin, après avoir déposé plainte au commissariat de police et expliquant être allé dans une autre agence que la sienne, fermée le lundi, qui n’a pas voulu prendre son formulaire de contestation comme n’étant pas un client habituel de cette agence.
Par ailleurs, en application de l’article L133-21 du Code monétaire et financier, il incombait à la Société Générale en tant que prestataire de services de paiement du donneur d’ordre à défaut de récupérer les fonds, de communiquer le plus rapidement possible au payeur toutes les informations utiles qu’il détient pouvant documenter le recours en justice du payeur en vue de récupérer les fonds ; or lors de son dépôt de plainte le 7 novembre 2022 la victime ne disposait pas de ces informations et ce n’est que le 22 novembre 2022 lors de son complément de plainte qu’il pouvait indiquer que le bénéficiaire s’appelait [T] [X] et communiquer aux services de police le numéro de téléphone portable de ce dernier.
La cour a jugé que la Société Générale ne pouvait donc invoquer l’impossibilité de faire prospérer une procédure de recall des fonds dont elle était de fait informée dès le 7 novembre 2022 et officiellement le 8 novembre 2022, alors que d’une parla victime a bien, dans le délai de cinq jours prévus par l’article L133-17 du Code de monétaire et financier, informé la banque de l’escroquerie, et que d’autre part, le bénéficiaire du compte pouvait être ou était déjà identifié, que le compte litigieux avait été ouvert dans la même banque que celle de la victime avant que les fonds ne soient réexpédiés dans un autre établissement, simplifiant ainsi les démarches.
En raison de ces informations tardives, le client n’a jamais pu récupérer par sa banque les fonds qui ont été frauduleusement virés sur un autre compte que le sien.
La cour a confirmé le jugement en ce qu’il a condamné la société générale à rembourser le montant des sommes détournées.
Cette décision doit être approuvée, protectrice des clients bancaires, démunis face aux fraudes dont ils sont les victimes du fait même des défaillances de leur établissement bancaire.
Virginie Audinot, Avocat
Barreau de Paris
Audinot Avocat
www.audinot-avocat.com
Notes de l'article:
[1] https://www.doctrine.fr/d/CA/Paris/2025/CAP57E7B40807A387F441FC
Pas de contribution, soyez le premier