Virements en ligne frauduleux : la responsabilité du client

Notez ce point juridique

Avoir des doutes quant à l’authenticité d’un message reçu par sa banque supposée et cliquer sur celui-ci apparaît comme une particulière négligence pour le client d’une banque.

Il appartient à l’utilisateur de services de paiement (le client de la banque) de prendre toute mesure raisonnable pour préserver la sécurité des dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées.

Mme [I] a été victime de prélèvements frauduleux totalisant 6 000 euros sur son compte bancaire, effectués les 20 et 21 avril 2020. Elle a contesté être à l’origine de ces virements et a nié avoir adhéré au service d’authentification de la Banque postale. Elle a assigné la banque en justice pour obtenir le remboursement de cette somme avec intérêts et des dommages-intérêts pour résistance abusive.

Le tribunal a condamné la Banque postale à rembourser les 6 000 euros avec intérêts, mais a rejeté la demande de dommages-intérêts pour résistance abusive. La Banque postale a fait appel de ce jugement, arguant que Mme [I] avait été victime de phishing et avait commis une négligence grave en cliquant sur un lien malveillant, ce qui aurait permis à un tiers de réaliser les virements frauduleux.

La Banque postale soutient également que les virements ont été effectués depuis l’espace personnel en ligne de Mme [I], avec toutes les étapes de sécurité respectées, et que par conséquent, sa responsabilité ne peut être engagée. Elle demande donc l’annulation du jugement initial et le rejet des demandes de Mme [I], tout en réclamant des dommages-intérêts pour les frais de justice.

Mme [I], de son côté, maintient qu’elle n’a jamais adhéré au service d’authentification mentionné et conteste avoir transmis volontairement des informations permettant l’accès à son espace bancaire en ligne. Elle demande la confirmation du jugement initial et une indemnisation supplémentaire pour les frais de justice encourus lors de l’appel.

L’affaire est en attente de jugement en appel, prévu pour le 24 janvier 2024.

Affaire Labanquepostale

En l’espèce, il apparaît sur les enregistrements sur support informatique produits par la banque, que les identifiant et mot de passe personnels du service de banque en ligne de Mme [I] ont bien été saisis et que le code reçu par SMS sur le téléphone portable dont Mme [I] ne conteste pas être titulaire, a été composé afin d’ajouter le bénéficiaire des opérations et effectuer les virements litigieux.

Il doit donc être considéré que cette négligence fautive est à l’origine des virements frauduleux effectués par un tiers dès le lendemain.

MOTIFS DE LA DÉCISION

Sur la demande de remboursement des sommes prélevées au titre des virements

Aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité des dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées.

Cependant, c’est à ce prestataire qu’il appartient en application des articles L. 133-19 IV et L. 133-23 du même code de rapporter la preuve que l’utilisateur qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave, à ses obligations.

Il est admis que cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.

En cas d’utilisation d’un dispositif de sécurité personnalisé, il appartient également au prestataire de prouver que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

RÉSUMÉ DE L’AFFAIRE JUGÉE

En l’espèce, il est établi que deux virements d’un montant chacun de 3 000 euros ont été débités du compte de Mme [I] les 20 et 21 avril 2020 à destination d’un compte bénéficiaire identifié sous l’appellation « [B] [I] », que Mme [I] a toujours contesté être à l’origine de ces virements et les avoir autorisés, ayant sollicité de sa banque le remboursement de la somme de 6 000 euros dès le 27 avril 2020 tout en ayant déposé plainte auprès du commissariat central de [Localité 6] le 23 avril 2020.

La cour constate que lors des débats devant le premier juge, et encore à hauteur d’appel, Mme [I] reste taisante quant à la réception d’un courriel qu’elle a reconnu avoir reçu le 19 avril 2020 aux termes de la plainte qu’elle a déposée auprès du Commissariat central de [Localité 6] le 23 avril 2020. Elle ne produit à cet égard ni le courriel en question malgré sommation qui lui en a été faite ni copie de sa plainte communiquée par la Banque Postale.

Il ressort de cette plainte que Mme [I] a reconnu avoir reçu le dimanche 19 avril 2020, un mail avec l’entête de la Banque Postale qui lui demandait de réinitialiser ses données et de s’identifier pour accéder à ses comptes en ligne. Elle a également reconnu avoir suivi le lien, entré ses identifiants, puis avoir tout arrêté et ne pas être allée au bout de la démarche ayant eu un doute sur le contenu de ce message.

Outre le fait que cet aveu permet de constater que Mme [I] est bien utilisatrice de son espace en ligne, elle reconnaît en outre qu’elle a eu des doutes quant à l’authenticité du message reçu, ce qui ne l’a pas empêché de cliquer sur le lien inclus dans le mail, ce qui apparaît comme une particulière négligence, y compris de la part d’un particulier normalement attentif, permettant vraisemblablement à un tiers de s’approprier ses identifiant et mot de passe utiles à une authentification sur l’espace en ligne.

Il apparaît de surcroît sur les enregistrements sur support informatique produits par la banque, que les identifiant et mot de passe personnels du service de banque en ligne de Mme [I] ont bien été saisis et que le code reçu par SMS sur le téléphone portable dont Mme [I] ne conteste pas être titulaire, a été composé afin d’ajouter le bénéficiaire des opérations et effectuer les virements litigieux.

Il doit donc être considéré que cette négligence fautive est à l’origine des virements frauduleux effectués par un tiers dès le lendemain.

Il doit également être rappelé que le banquier qui exécute les ordres du client n’a pas de pouvoir d’appréciation sur les opérations financières ou commerciales à l’origine des mouvements de fonds.

– Mme [B] [I] est déboutée de l’intégralité de ses demandes.
– Mme [B] [I] est condamnée aux dépens de première instance et d’appel.
– Mme [B] [I] doit payer à la société Banque Postale 1 000 euros sur le fondement de l’article 700 du code de procédure civile.
– Les parties sont déboutées de toute autre demande plus ample ou contraire.

Sommaire

Réglementation applicable

Il est admis que cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.

Avocats

Bravo aux Avocats ayant plaidé ce dossier :

– Me Jean-Philippe GOSSET de la SELEURL CABINET GOSSET, avocat au barreau de PARIS, toque : B0812
– Me Armand COULON de la SELEURL CABINET GOSSET, avocat au barreau de PARIS, toque : B0812
– Me Sandrine NELSOM, avocat au barreau de PARIS, toque : B0966

Mots clefs associés

– Remboursement
– Sécurité des dispositifs de paiement
– Utilisation non autorisée
– Preuve de l’utilisateur
– Fraude
– Défense de l’utilisateur
– Virements frauduleux
– Plainte
– Courriel suspect
– Négligence
– Authentification
– Identifiants et mot de passe
– Enregistrements informatiques
– Responsabilité de la banque
– Dommages et intérêts
– Dépens et frais irrépétibles
– Article 700 du code de procédure civile

– Remboursement : Action de restituer une somme d’argent qui avait été payée précédemment, souvent suite à une réclamation ou un retour de produit.

– Sécurité des dispositifs de paiement : Ensemble des mesures et des techniques mises en place pour protéger les dispositifs utilisés pour réaliser des transactions financières contre les accès non autorisés ou frauduleux.

– Utilisation non autorisée : Utilisation d’un bien ou service sans le consentement du propriétaire ou du détenteur légal.

– Preuve de l’utilisateur : Ensemble des éléments de preuve que l’utilisateur peut fournir pour démontrer son identité ou justifier ses actions dans le cadre d’une transaction ou d’une opération.

– Fraude : Acte délibéré visant à obtenir un avantage illégitime, souvent financier, par des moyens trompeurs ou illégaux.

– Défense de l’utilisateur : Ensemble des moyens juridiques ou procédures que l’utilisateur peut invoquer pour se défendre contre des accusations ou des réclamations non fondées.

– Virements frauduleux : Transferts de fonds initiés par des personnes non autorisées ou dans le but de tromper et de détourner des fonds.

– Plainte : Déclaration formelle accusant une personne ou une entité de quelque chose, souvent déposée dans un contexte légal.

– Courriel suspect : Email qui semble être frauduleux ou malveillant, souvent utilisé pour obtenir des informations personnelles ou financières de manière trompeuse.

– Négligence : Manquement à un devoir de soin qui entraîne un dommage ou un préjudice à autrui.

– Authentification : Processus de vérification de l’identité d’un utilisateur, généralement par des moyens tels que les mots de passe, les empreintes digitales, ou d’autres formes de preuves biométriques.

– Identifiants et mot de passe : Informations utilisées pour accéder à un système ou à un service, où les identifiants sont généralement un nom d’utilisateur et le mot de passe est une forme de preuve secrète.

– Enregistrements informatiques : Documents ou fichiers stockés électroniquement qui contiennent des informations sur les activités des utilisateurs et des systèmes informatiques.

– Responsabilité de la banque : Obligations légales d’une banque envers ses clients, incluant la protection de leurs fonds et la fourniture de services sécurisés.

– Dommages et intérêts : Compensation financière accordée à une partie lésée pour réparer le préjudice subi.

– Dépens et frais irrépétibles : Frais de justice non couverts par les dépens habituels, tels que les honoraires d’avocat, que la partie perdante peut être condamnée à payer à la partie gagnante.

– Article 700 du code de procédure civile : Disposition légale en France qui permet à une partie dans un procès de demander une indemnisation pour les frais non couverts par les dépens.

* * *

REPUBLIQUE FRANÇAISE

AU NOM DU PEUPLE FRANÇAIS

Copies exécutoires RÉPUBLIQUE FRANÇAISE

délivrées aux parties le : AU NOM DU PEUPLE FRANÇAIS

COUR D’APPEL DE PARIS

Pôle 4 – Chambre 9 – A

ARRÊT DU 21 MARS 2024

(n° , 6 pages)

Numéro d’inscription au répertoire général : N° RG 22/13072 – N° Portalis 35L7-V-B7G-CGE7Q

Décision déférée à la Cour : Jugement du 21 juin 2022 – Juge des contentieux de la protection de PARIS – RG n° 11-22-000145

APPELANTE

LA BANQUE POSTALE, société anonyme à direction et conseil de surveillance prise en la personne de ses dirigeants sociaux domiciliés audit siège en cette qualité

N° SIRET : 421 100 645 00033

[Adresse 1]

[Localité 4]

représentée par Me Jean-Philippe GOSSET de la SELEURL CABINET GOSSET, avocat au barreau de PARIS, toque : B0812,

substitué à l’audience par Me Armand COULON de la SELEURL CABINET GOSSET, avocat au barreau de PARIS, toque : B0812

INTIMEE

Madame [B] [I]

née le [Date naissance 3] 1971 à [Localité 6] (87)

[Adresse 2]

[Localité 5]

représentée par Me Sandrine NELSOM, avocat au barreau de PARIS, toque : B0966

COMPOSITION DE LA COUR :

En application des dispositions des articles 805 et 907 du code de procédure civile, l’affaire a été débattue le 24 janvier 2024, en audience publique, les avocats ne s’y étant pas opposés, devant Mme Laurence ARBELLOT, Conseillère, chargée du rapport.

Ce magistrat a rendu compte des plaidoiries dans le délibéré de la Cour, composée de :

Mme Muriel DURAND, Présidente de chambre

Mme Laurence ARBELLOT, Consiellère

Mme Sophie COULIBEUF, Conseillère

Greffière, lors des débats : Mme Camille LEPAGE

ARRÊT :

– CONTRADICTOIRE

– par mise à disposition de l’arrêt au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile.

– signé par Mme Muriel DURAND, Présidente et par Mme Camille LEPAGE, Greffière à laquelle la minute de la décision a été remise par le magistrat signataire.

FAITS, PROCÉDURE ET PRÉTENTIONS DES PARTIES

Mme [B] [I] est titulaire d’un compte courant ouvert dans les livres de la société Banque postale.

Par acte d’huissier du 10 décembre 2021, Mme [I] a fait assigner la société Banque postale devant le juge des contentieux de la protection du tribunal judiciaire de Paris, afin d’obtenir sa condamnation au paiement de la somme de 6 000 euros, somme frauduleusement prélevée sur son compte bancaire par virements des 20 et 21 avril 2020, avec intérêts au taux légal à compter du 27 avril 2020 avec capitalisation des intérêts, outre une somme de 800 euros à titre de dommages intérêts pour résistance abusive avec intérêts au taux légal à compter de l’assignation.

Par jugement réputé contradictoire rendu le 21 juin 2022, le juge des contentieux de la protection a :

– condamné la société Banque postale au paiement de la somme de 6 000 euros avec intérêts au taux légal à compter du 27 avril 2020,

– ordonné la capitalisation des intérêts dus depuis plus d’un an à compter de l’assignation du 10 décembre 2021,

– débouté Mme [I] de sa demande de dommages intérêts pour résistance abusive,

– condamné la société Banque postale au paiement à Mme [I] d’une somme de 1 000 euros au titre de l’article 700 du code de procédure civile, ainsi qu’aux dépens de l’instance,

– rejeté toute demande des parties plus amples ou contraires.

Pour statuer ainsi, le juge des contentieux de la protection a retenu que deux virements d’un montant de 3 000 euros chacun avaient été effectués à partir du compte de Mme [I], cette dernière contestant en être à l’origine ainsi que le fait d’avoir adhéré au service de solution d’authentification mise en place par sa banque le 27 avril 2020. Il a relevé que la banque qui ne comparaissait pas, ne justifiait pas de ce que le processus de validation des deux virements litigieux avait bien fonctionné, de ce qu’il était suffisamment sécurisé et n’avait pas subi d’éventuelles défaillances ou de ce que Mme [I] avait agi frauduleusement ou n’avait pas satisfait intentionnellement ou par négligence grave à ses obligations.

Pour rejeter la demande de dommages et intérêts, il a considéré que Mme [I] ne justifiait pas d’un dommage distinct de celui né du refus du remboursement de la somme de 6 000 euros.

Par déclaration enregistrée le 9 juillet 2022, la société Banque Postale a formé appel de ce jugement.

Par ses dernières conclusions du 9 novembre 2023, elle demande à la cour :

– à titre liminaire, de prendre acte qu’elle fait sommation à Mme [I] de communiquer la copie intégrale du mail dont elle a été destinataire le 19 avril 2020, cette pièce étant nécessaire à la solution du présent litige,

– à titre principal, de la recevoir en ses conclusions, l’y déclarant bien fondée,

– d’infirmer le jugement du 21 juin 2022, sauf en ce qu’il a débouté Mme [I] de sa demande de dommages intérêts pour résistance abusive,

– statuant à nouveau, de juger que Mme [I] a été victime d’un « phishing » ayant comme conséquence la communication à un tiers de toutes ses informations confidentielles ayant permis d’effectuer les deux virements litigieux d’un montant total de 6 000 euros,

– de juger que Mme [I] a fait preuve d’une négligence grave de nature à l’exonérer de toute éventuelle responsabilité à son encontre,

– de juger qu’elle n’a commis aucun manquement légal ou contractuel de nature à engager sa responsabilité à l’encontre de Mme [I],

– de débouter ainsi Mme [I] de l’intégralité de ses demandes, fins et prétentions,

– en tout état de cause, de condamner Mme [I] à lui verser la somme de 3 000 euros au titre des dispositions de l’article 700 du code de procédure civile, ainsi qu’aux entiers dépens.

L’appelante soutient que Mme [I] a été victime d’un hameçonnage et a fait preuve d’une grave négligence en cliquant sur le lien inclus dans l’objet du mail reçu permettant que les virements litigieux soient effectués.

Elle précise que Mme [I] a volontairement omis de verser aux présents débats le procès-verbal de sa plainte pénale du 23 avril 2020 aux termes duquel elle a énoncé avoir été destinataire d’un courriel le 19 avril 2020, parfaitement consciente de sa négligence de sorte qu’elle lui a fait sommation de communiquer la copie intégrale de ce courriel, cette pièce étant nécessaire à la solution du présent litige. Elle indique qu’il ressort de la plainte que le 19 avril 2020, elle a ainsi reçu, ouvert et cliqué sur le lien inclus dans le mail qui a ainsi permis à un tiers d’effectuer les deux virements litigieux de 6 000 euros, que ce courriel a ainsi permis au tiers d’appréhender les informations confidentielles de Mme [I] afin de pouvoir procéder de manière frauduleuse aux opérations de paiement contestées ce qui est constitutif d’une négligence grave de nature à exonérer la banque de toute éventuelle responsabilité. Elle ajoute que l’intimée a sciemment dissimulé l’existence du courriel litigieux au tribunal.

Elle indique que le tribunal n’avait pas non plus connaissance que les virements litigieux ont été réalisés depuis l’accès personnel Banque en ligne (BEL) de l’intéressée comme cela est démontré par les documents de saisie d’un code à usage unique reçu par SMS sur le téléphone portable de Mme [I] afin d’ajouter le bénéficiaire des virements, d’ajout du bénéficiaire sur l’espace de banque en ligne et de validation des opérations litigieuses et que dès lors, les virements litigieux ayant été autorisés, sa responsabilité contractuelle ne peut être engagée.

Elle rappelle être tenue d’un principe de non-ingérence qui lui interdit de s’immiscer dans les affaires de ses clients.

Elle soutient également que les demandes indemnitaires de Mme [I] doivent être rejetées car elle ne démontre pas l’existence d’une faute, d’un préjudice et d’un lien de causalité.

Aux termes de ses dernières conclusions déposées le 21 décembre 2022, Mme [I] demande à la cour :

– de la recevoir en l’intégralité de ses moyens et prétentions,

– de juger que la banque n’a jamais communiqué l’historique de son adhésion au dispositif Certicode Plus dont elle se prévaut,

– de juger que la banque ne démontre pas l’imprudence ou la négligence grave dont elle prétend qu’elle aurait fait preuve,

– en conséquence, de débouter la société Banque postale de toutes ses demandes, fins et prétentions,

– de confirmer en toutes ses dispositions le jugement du 21 juin 2022 et y ajoutant,

– de condamner la société Banque Postale à lui verser la somme de 4 000 euros sur le fondement de l’article 700 du code de procédure civile, ainsi qu’aux entiers dépens de l’instance d’appel.

L’intimée soutient qu’elle n’a jamais adhéré au service Certicode de solution d’authentification mis en place par la Banque postale, qu’elle n’a donc jamais réceptionné de code spécifique sur son téléphone portable et réfute avoir transmis à un tiers des informations confidentielles permettant d’accéder à son espace de banque en ligne. Elle conteste avoir, même par imprudence ou négligence, autorisé les virements litigieux. Elle précise que la sommation du 18 novembre 2021 d’avoir à communiquer l’historique de l’adhésion au dispositif Certicode Plus est restée lettre morte, ce qui démontre la mauvaise foi de la banque.

Elle rappelle que c’est à l’établissement bancaire qu’il incombe de prouver que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations.

Sur ses déclarations dans la plainte du 23 avril 2020, elle prétend n’avoir jamais validé son action après avoir renseigné ses identifiants, de sorte que le tiers n’a jamais pu accéder à ses données personnelles afin d’effectuer les virements contestés en ses lieu et place.

Pour un plus ample exposé des faits, moyens et prétentions des parties, il est renvoyé aux écritures de celles-ci conformément aux dispositions de l’article 455 du code de procédure civile.

L’ordonnance de clôture a été rendue le 28 novembre 2023 et l’affaire a été appelée à l’audience le 24 janvier 2024.

MOTIFS DE LA DÉCISION

Sur la demande de remboursement des sommes prélevées au titre des virements

Il est admis que cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.

Il doit donc être considéré que cette négligence fautive est à l’origine des virements frauduleux effectués par un tiers dès le lendemain.

Ainsi, aucun manquement contractuel ne peut être reproché à la Banque Postale et elle ne saurait être tenue au remboursement des virements litigieux.

Le jugement doit donc être infirmé en ce qu’il a fait droit à la demande de remboursement de Mme [I]. Il doit être confirmé en ce qu’il a débouté Mme [I] de sa demande de dommages et intérêts pour résistance abusive de la banque.

Sur les autres demandes

Le jugement est infirmé quant aux dispositions relatives aux dépens et frais irrépétibles et Mme [I] est tenue aux dépens de première instance et d’appel et condamnée à payer à la société La Banque Postale la somme de 1 000 euros en application de l’article 700 du code de procédure civile.

PAR CES MOTIFS

LA COUR,

Statuant par arrêt contradictoire,

Infirme le jugement en toutes ses dispositions sauf en ce qu’il a débouté Mme [B] [I] de sa demande de dommages intérêts pour résistance abusive ;

Statuant à nouveau et y ajoutant,

Déboute Mme [B] [I] de l’intégralité de ses demandes ;

Condamne Mme [B] [I] aux dépens de première instance et d’appel ;

Condamne Mme [B] [I] à payer à la société Banque Postale la somme de 1 000 euros sur le fondement de l’article 700 du code de procédure civile ;

Déboute les parties de toute autre demande plus ample ou contraire.

La greffière La présidente