du 15 octobre 2024

R.G : N° RG 23/01261 – N° Portalis DBVQ-V-B7H-FLZX

S.A. BNP PARIBAS

c/

[B] ÉPOUSE [F]

BD

Formule exécutoire le :

à :

la SCP BADRE HYONNE SENS-SALIS ROGER

la SCP DELVINCOURT – CAULIER-RICHARD – CASTELLO AVOCATS ASSOCIES

COUR D’APPEL DE REIMS

CHAMBRE CIVILE- SECTION INSTANCE

ARRET DU 15 OCTOBRE 2024

APPELANTE :

d’un jugement rendu le 19 juillet 2023 par le Juge des contentieux de la protection de Troyes

S.A. BNP PARIBAS

[Adresse 2]

[Localité 4]

Représentée par Me Jean ROGER de la SCP BADRE HYONNE SENS-SALIS ROGER, avocat au barreau de REIMS, et Maître Philippe METAIS, avocat au barreau de PARIS

INTIMEE :

Madame [E] [B] épouse [F]

[Adresse 3]

[Localité 5]

Représentée par Me Mélanie CAULIER-RICHARD de la SCP DELVINCOURT – CAULIER-RICHARD – CASTELLO AVOCATS ASSOCIES, avocat au barreau de REIMS

COMPOSITION DE LA COUR LORS DES DEBATS ET DU DELIBERE :

M. Bertrand DUEZ, président de chambre

Madame Christel MAGNARD, conseiller

Madame Claire HERLET, conseiller

GREFFIER :

Madame Lucie NICLOT, greffier

DEBATS :

A l’audience publique du 10 septembre 2024, où l’affaire a été mise en délibéré au 15 octobre 2024,

ARRET :

Contradictoire, prononcé par mise à disposition au greffe le 15 octobre 2024 et signé par M. Bertrand DUEZ, président de chambre, et Madame Lucie NICLOT, greffier, auquel la minute a été remise par le magistrat signataire.

Exposé du litige

Madame [E] [B] épouse [F] est titulaire auprès de la société BNP PARIBAS d’un compte chèque n° 30004 01905 00000xxxxxx28 auquel est lié une carte bancaire.

Le 20 décembre 2022, des paiements par carte bancaire pour la somme de 8.955,74 euros ont été effectués depuis le compte de Mme [B]-[F], paiements se détaillant comme suit et aux profits respectifs :

d’une société EMIRATES pour 1.113,10 €

de la société Conflans Moto pour 7.192 €

de la société Auchan (paiement par carte bancaire) pour 650,64 €.

Le 22 décembre 2022, Mme [B]-[F] a déposé plainte pour usage frauduleux de sa carte bancaire.

Par lettre recommandée du 29 décembre 2022, Mme [B]-[F] a mis en demeure la société BNP PARIBAS de procéder aux remboursements sous huitaine des sommes débitées.

Par lettre du 30 décembre 2022, la société BNP PARIBAS a fait savoir à Mme [F] quelle ne procéderait pas au remboursement sollicité.

Par acte d’huissier du 24 janvier 2023, Mme [B]-[F] a assigné la banque BNP PARIBAS devant le tribunal judiciaire de Troyes aux fins de remboursement des sommes débitées sur son compte, outre 1 000 euros à titre de dommages et intérêts et 3.000 euros au titre de l’article 700 du code de procédure civile.

Par jugement du 19 juillet 2023 le tribunal judiciaire de Troyes a :

Condamné la société BNP PARIBAS à payer à Mme [B]-[F] la somme de 8 955,74 euros.

Assorti la condamnation des intérêts au taux légal

– Majoré de 5 points à compter du 2 janvier 2023.

– Majoré de 10 points à compter du 9 janvier 2023,

– Majoré de 15 points à compter du 22 janvier 2023 et jusqu’au complet paiement.

Débouté Madame [B]-[F] de sa demande de dommages et intérêts pour résistance abusive ;

Condamné la société BNP PARIBAS aux dépens et à payer à Mme [B]-[F] la somme de 900 euros au titre de l’article 700 du code de procédure civile.

Les motifs décisoires de cette décision ont retenu que Mme [B]-[F] a été contactée par un tiers, se prétendant frauduleusement conseiller de sa banque et lui indiquant que des paiements frauduleux à destination du Sénégal avaient été ordonnés pour 7.000 € mais temporairement bloqués.

Ce tiers proposait alors à Mme [B]-[F] de restreindre le plafond de paiement sur transfert d’un code d’activation qu’elle allait recevoir par SMS.

En croyant transmettre à son conseiller bancaire les informations lui permettant de faire échec à un paiement frauduleux, Mme [B]-[F] a en réalité transmis à un tiers les clés d’authentification pour la validation des paiements.

La décision déférée a retenu que Mme [B]-[F] n’avait pas commis de négligence grave dans la gestion de ses identifiants personnels au sens des articles L. 133-16 et L. 133-17 du code monétaire et financier.

La décision déférée considère que le système de sécurité de double authentification de la banque suppose que le tiers à l’origine de la fraude ait pu avoir accès à deux éléments d’authentification simultanément par la négligence de l’utilisateur.

Le premier juge a estimé que :

Mme [B]-[F] avait transmis ses identifiants personnels sur appel frauduleux d’une personne utilisant une fausse qualité et sur réception concomitante d’un SMS de validation de provenance apparemment fiable puisque correspondant en tous points à ceux reçus antérieurement de la banque.

L’utilisation du lien de connexion contenu dans le SMS frauduleux ne permettait pas d’accéder aux données du compte bancaire de Mme [B]-[F] mais uniquement à la page de présentation de l’application bancaire, les données personnelles du client de la banque ne pouvaient être accessibles qu’après identification par un code secret ou une reconnaissance faciale.

Le premier juge en a déduit qu’en l’espèce, un tiers a pu se connecter à l’espace sécurisé de Mme [B]-[F] auprès de la BNP PARIBAS, et ce à plusieurs reprises dans l’après-midi du 20/12/2022, sans que la banque ne justifie que Mme [B]-[F] ait pu laisser à un tiers l’accès à ses codes et identifiants personnels, soit directement ou lors de précédents paiements sur des sites non sécurisés.

Le 27 juillet 2023 la SA BNP PARIBAS a interjeté appel de cette décision en toutes ses dispositions hormis celle rejetant la demande de dommages-intérêts pour résistance abusive.

Par conclusions signifiées par RPVA et déposées à la cour le 22 janvier 2024 Mme [B]-[F] a sollicité la confirmation de la décision déférée en toutes ses dispositions sauf celle rejetant sa demande de dommages-intérêts pour résistance abusive de la banque, formulée au visa de l’article 1231-1 du code civil.

Elle a formé appel incident sur cette disposition et réclame à la SA BNP PARIBAS la somme de 3.000 € à titre de dommages-intérêts.

Par conclusions récapitulatives N° 3 signifiées et déposées à la cour le 27 août 2024, la SA BNP PARIBAS sollicite de la cour l’infirmation de la décision déférée en toutes ses dispositions contestées sauf en son rejet de la demande de dommages-intérêts pour résistance abusive.

Statuant de nouveau la SA BNP PARIBAS demande de :

Juger que les transactions litigieuses ont été dûment authentifiées et que BNP Paribas a parfaitement respecté ses obligations en matière de sécurisation de l’instrument de paiement de Madame [F] ;

Juger que Madame [F] a commis une négligence grave au sens de l’article L. 133-19, IV du Code monétaire et financier ;

En conséquence :

Débouter Mme [F] de sa demande de remboursement des opérations litigieuses à hauteur de 8.955,74 euros.

Juger que BNP Paribas n’a commis aucune inexécution contractuelle ; Juger que le régime de responsabilité des prestataires de services de paiement fait l’objet d’une application exclusive et autonome ;

En conséquence :

Débouter Madame [F] de sa demande de paiement à hauteur de 3.000,00 euros au titre de la prétendue résistance abusive de BNP Paribas ;

En tout état de cause :

Débouter Madame [F] de l’intégralité de ses demandes, fins et conclusions à l’encontre de BNP Paribas ;

Condamner Madame [F] à verser à BNP Paribas la somme de 5.000 euros au titre de l’article 700 du Code de procédure civile ainsi qu’aux entiers dépens ;

Au soutien de ses prétentions la SA BNP PARIBAS expose principalement que Mme [B]-[F] ne peut avoir tenu qu’un rôle particulièrement actif dans la réalisation des opérations frauduleuses compte tenu des process de sécurisation des comptes bancaires.

Plus précisément, la banque appelante estime que l’intimée est la seule à avoir pu mettre à néant le dispositif de sécurité mis en place par la Banque en :

‘ Divulguant au fraudeur les identifiant et mot de passe de son espace sécurisé en ligne, et ce alors même qu’elle doit en assurer la confidentialité, – ce qui a permis au fraudeur de solliciter le transfert de la Clé Digitale de Madame [F] sur son propre appareil mobile ;

‘ Communiquant au fraudeur, à cinq reprises, le contenu des SMS permettant l’enrôlement de la Clé Digitale sur son propre appareil mobile – ce qui a permis au fraudeur d’activer la Clé Digitale sur son propre appareil mobile et ainsi de valider l’ensemble des Opérations Frauduleuses ;

‘ Communiquant au fraudeur les données confidentielles relatives à sa Carte Bancaire, en ce compris ses numéros, sa date d’expiration et son cryptogramme visuel ‘ ce qui a permis au fraudeur d’initier chacun des paiements frauduleux sur le site marchand ;

‘ Omettant de réagir au courriel d’information de la Banque relatif à l’enrôlement de la Clé Digitale, dont elle savait ne pas être à l’origine.

Aux termes de ses conclusions récapitulatives N° 3 signifiées et déposées à la cour le 02 septembre 2024, Mme [B]-[F] abandonne son appel incident, prenant acte de ce que le régime de responsabilité d’un prestataire de service en cas d’opération de paiement non autorisée ou mal exécutée ne relève pas du droit commun de l’article 1231-1 du code civil mais des articles L. 133-18 à L. 13324 du code monétaire et financier.

Elle sollicite :

La confirmation du jugement rendu par le tribunal judiciaire de Troyes le 19 juillet 2023.

La condamnation de la SA BNP PARIBAS à lui payer la somme de 10.000 euros sur le fondement de l’article 700 du code de procédure civile.

Répondant aux accusations de faute de sa part par la banque appelante Mme [B]-[F] expose principalement que la SA BNP PARIBAS affirme, mais sans en apporter la preuve, que la fraude aurait été ‘permise par la divulgation de trois éléments au fraudeur par Mme [F]: les codes d’accès à son espace en ligne, les données de sa carte bancaire et le SMS de transfert de sa clé digitale.’

Elle indique n’avoir jamais communiqué :

– ni les codes d’accès à son espace en ligne

– ni les données de sa carte bancaire.

Mme [B]-[F] précise que les SMS transférés ne contenaient aucun code secret permettant, soit de pénétrer dans l’application (l’espace en ligne), soit de réaliser ou finaliser un paiement.

Elle indique encore qu’elle n’avait pas reçu sur son adresse mail privée l’information sur l’enrôlement de sa clé digitale sur un autre téléphone portable que le sien et qu’en tout état de cause :

‘ l’enrôlement de la clé digitale sur « son » appareil Iphone (celui de Mme [F] donc) n’était pas de nature à faire suspecter une opération frauduleuse en cours consistant à installer la clé digitale sur un autre appareil que celui de Mme [F] (celui de l’escroc).

Et ce d’autant que Mme [F] n’avait communiqué aucune donnée personnelle permettant d’effectuer un paiement.’

*

Vu les conclusions récapitulatives de l’appelante signifiées le 27 août 2024 et auxquelles il sera renvoyé pour l’exposé des moyens et arguments, conformément à l’article 455 du code de procédure civile.

Vu les conclusions récapitulatives de l’intimée signifiées le 02 septembre 2024 et auxquelles il sera renvoyé pour l’exposé des moyens et arguments, conformément à l’article 455 du code de procédure civile.

Vu l’ordonnance de clôture de la procédure prononcée le 03 septembre 2024.

1/ Sur l’imputation des conséquences des opérations bancaires frauduleuses :

L’article L. 133-19 du code monétaire et financier dispose que :

I ‘ En cas d’opération de paiement non autorisée consécutive à la perte ou au vol de l’instrument de paiement, le payeur supporte, avant l’information prévue à l’article L. 133-17, les pertes liées à l’utilisation de cet instrument, dans la limite d’un plafond de 50 €.

Toutefois, la responsabilité du payeur n’est pas engagée en cas :

‘ d’opération de paiement non autorisée effectuée sans utilisation des données de sécurité personnalisées;

‘ de perte ou de vol d’un instrument de paiement ne pouvant être détecté par le payeur avant le paiement;

‘ de perte due à des actes ou à une carence d’un salarié, d’un agent ou d’une succursale d’un prestataire de services de paiement ou d’une entité vers laquelle ses activités ont été externalisées.

II. ‘ La responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées.

Elle n’est pas engagée non plus en cas de contrefaçon de l’instrument de paiement si, au moment de l’opération de paiement non autorisée, le payeur était en possession de son instrument.

III. ‘ Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si le prestataire de services de paiement ne fournit pas de moyens appropriés permettant l’information aux fins de blocage de l’instrument de paiement prévue à l’article L. 133-17.

IV. ‘ Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17.

V. ‘ Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L. 133-44.

VI. ‘ Lorsque le bénéficiaire ou son prestataire de services de paiement n’accepte pas une authentification forte du payeur prévue à l’article L. 133-44, il rembourse le préjudice financier causé au prestataire de services de paiement du payeur.

La ‘faute de négligence grave’, mentionnée par le IV de l’article ci-dessus énoncé, issu de l’ordonnance du 15 juillet 2009 se différencie désormais de la ‘faute lourde’ seule retenue sous l’empire de l’ancienne législation.

Cette ‘faute de négligence grave’ s’entend notamment comme le fait pour le titulaire du compte d’avoir laissé à disposition du fraudeur son code confidentiel d’utilisation de carte bancaire.

Il a encore été considéré que commet une négligence grave à la suite d’un hameçonnage, celui qui communique ses données personnelles de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance.

Com. 28 mars 2018, no 16-20.018 , P IV, no 34 ; D. actu. 10 avr. 2018

Dans tous les cas c’est au prestataire de services de paiement qu’il incombe, par application des articles L. 133-19 IV et L. 133-23, de rapporter la preuve que l’utilisateur n’a pas satisfait intentionnellement ou par négligence grave à ses obligations ; cette preuve ne peut résulter du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.

Com. 18 janv. 2017, no 15-18.102 , P IV, no 6 ; D. actu. 31 janv. 2017

En l’espèce, la cour constate en premier lieu que, pour satisfaire à ses obligations probatoires, la SA BNP PARIBAS justifie avoir respecté ses obligations en matière de sécurisation des paiements (conclusions appelante n° 3 pages 13-14), ce qui n’emporte toutefois pas preuve de la négligence grave de Mme [B]-[F] au sens de l’article L. 133-19 IV du code monétaire et financier précité tel qu’illustré par la jurisprudence.

Pour justifier de la ‘négligence grave’ de Mme [B]-[F] imposée par la Loi pour rejeter la prise en charge des opérations frauduleuses la SA BNP PARIBAS indique en pages 18 à 20 de ses conclusions récapitulatives que Mme [B]-[F] aurait commis cinq fautes inexcusables qu’il convient d’analyser :

1/ La banque estime que Mme [B]-[F] aurait commis une première négligence en permettant l’augmentation ou en augmentant, le 26 novembre 2022, le plafond de paiement de la carte bancaire de 8.000 euros à 15.000 euros, une telle augmentation des plafonds de paiements ayant eu pour conséquence d’augmenter le risque des montants frauduleusement débités. (Point 27 des conclusions)

Toutefois la cour ne retiendra pas cet élément comme faute de Mme [B]-[F] dans la mesure où l’infraction d’extorsion ou d’escroquerie a commencé le 20 décembre 2022 à 13h57 lorsque la personne malveillante a appelé Mme [B]-[F] sur son téléphone portable pour l’informer fallacieusement de l’existence d’un paiement douteux à destination du Sénégal.

Retenir une faute dans l’augmentation des plafonds d’une carte bancaire, effectuée par le titulaire légitime du compte auprès de sa banque, un mois avant une escroquerie dont les conséquences ont été certes aggravées par l’augmentation des plafonds de débits, relève d’une dénaturation manifeste effectuée par la SA BNP PARIBAS des règles de la responsabilité et de la causalité.

2/ La banque soutient que Mme [B]-[F] aurait commis une seconde faute en divulguant au fraudeur ses coordonnées d’accès à son espace bancaire en ligne. (Point 28 des conclusions de l’appelante)

La SA BNP PARIBAS estime que le tribunal judiciaire de Troyes a effectué une inversion de la charge de la preuve. Elle soutient : ‘qu’il n’incombe pas à la Banque de démontrer que Madame [F] a divulgué ces informations sur un site frauduleux ou directement au fraudeur. Au contraire, il appartient à celle-ci d’établir qu’elle a parfait à la garde des codes personnels et confidentiels d’accès à son espace en ligne.’

Toutefois en soutenant ce raisonnement la SA BNP PARIBAS commet une inversion de la charge de la preuve qui a été régulièrement appliquée par le premier juge.

La Cour de cassation, dans les décisions ci-dessus rappelées, considère au contraire comme constant le fait qu’il appartient à la banque de démontrer la faute de son client et non l’inverse.

Or, en l’espèce la SA BNP PARIBAS ne procède que par pétition de principe affirmant qu’au regard du process de fonctionnement de son site en ligne, les opérations de débits incriminées n’ont pu avoir lieu qu’avec la divulgation des codes d’accès de sa cliente.

Il est inexact de soutenir, comme le fait la banque appelante que la démonstration de la faute de Mme [B]-[F] par divulgation de ses identifiants et codes personnels relèverait de la ‘preuve impossible’.

En effet, à la lecture des pièces et conclusions des parties et notamment à l’examen de l’historique des messages du téléphone de Mme [B]-[F] relevé par constat de commissaire de Justice dressé par Me [G] [H] les 28 et 30 décembre 2022 (pièce intimée n° 16) et des dispositifs de sécurisation produits par la banque BNP (pièce appelante n° 14) il apparaît acquis que :

– Les retraits frauduleux ont été rendus possible par l’accès du fraudeur à l’espace bancaire de Mme [B]-[F].

– L’accès à cet espace bancaire et son utilisation suppose de connaître le mot de passe ou code d’identification à l’espace en ligne puis de connaître également une clé d’identification propre au client ou encore de connaître les données de sa carte bancaire.

Ainsi, il appartenait à tout le moins à la SA BNP PARIBAS de produire aux débats une expertise informatique reprenant les données techniques déterminant les adresses IP à partir desquelles les connexions frauduleuses à la page bancaire de Mme [B]-[F] avaient été effectuées, ainsi qu’une consultation informatique justifiant que les identifiants personnels dont se servait Mme [B]-[F] lorsqu’elle se connectait régulièrement sur le site de sa banque n’avaient pas fait l’objet d’un hameçonnage.

Ces éléments auraient été de nature à justifier que seule Mme [B]-[F] pouvait être à l’origine de la divulgation de ses codes et identifiants personnels.

Cependant en l’état lacunaire des productions de la SA BNP PARIBAS, force est de constater que l’appelante n’apporte pas la preuve dont elle a la charge.

3/ La SA BNP PARIBAS soutient encore que Mme [B]-[F] aurait commis une troisième négligence en divulguant au fraudeur les données relatives à sa carte bancaire, en ce compris ses numéros, sa date d’expiration et le cryptogramme visuel inscrit au dos de celle-ci. (Point 29 des conclusions)

La SA BNP PARIBAS expose que les trois opérations de paiement réalisées avec la carte bancaire de Madame [F] : ‘impliquaient nécessairement la connaissance et la saisie des informations confidentielles de l’instrument de paiement sur les sites marchands. Sans celles-ci, aucun paiement en ligne n’aurait pu être effectué.’

Toutefois la SA BNP PARIBAS procède par le même raisonnement que précédemment et n’apporte aucune preuve de ce que les données de la carte bancaire de Mme [B]-[F] (numéro – date d’expiration et cryptogramme visuel) aient été divulguées par cette dernière plutôt que captées frauduleusement par hameçonnage par le fraudeur sur le site de la BNP ou un autre site marchand sur lequel Mme [B]-[F] aurait acheté.

4/ La banque appelante évoque également la divulgation par Mme [B]-[F] du mécanisme spécifique de la Clé Digitale. (Point 30 des conclusions)

Au soutien de ce moyen la SA BNP PARIBAS expose que : ‘le 20 décembre 2022, madame [F] a suivi les instructions du fraudeur, en lui transférant à cinq reprises, sur trois numéros de mobiles différents dont l’indicatif était « +33 6 » et qui lui étaient inconnus, les SMS, reçus entre 14h08 et 14h20, permettant l’activation de la Clé Digitale et permettant à celui-ci d’enrôler ladite Clé Digitale sur son propre téléphone portable’.

Pour sécuriser davantage les opérations les plus sensibles de banque en ligne, BNP Paribas a mis en place une méthode d’authentification forte baptisée « clé digitale ».

Cette ‘clé digitale’ est liée à l’application mobile BNP et permet au client de la banque BNP à partir d’un téléphone mobile préalablement enregistré sur le site bancaire de réaliser toutes opérations de paiement en ligne au moyen du même code. À cet effet le client utilise le même code secret que celui qu’il applique pour se connecter à ses comptes pour valider systématiquement chaque paiement via Paylib et chaque achat sur Internet à partir de son téléphone mobile.

En l’espèce, il ressort du constat de Me [G] [H], commissaire de Justice en date des 28-30/12/20 que le SMS de transfert de la clé digitale qui a été activé par Mme [B]-[F] à cinq reprises sur l’appel frauduleux du 20/12/2022 ne permet d’activer qu’un lien qui amène seulement l’utilisateur à la page d’accès du site de la BNP, mais ne permet :

ni les opérations sur ce site sans les codes d’accès personnels de Mme [B]-[F],

ni la captation de la clé digitale de Mme [B]-[F].

Le commissaire de Justice mentionnant avoir lui-même cliqué sur le lien frauduleux et être arrivé sur la page personnelle de Mme [B]-[F] sur le site de la BNP via l’application mobile, mais ne pas avoir pu faire d’opération faute de pouvoir entrer le ‘code secret’ ou de s’être fait reconnaître par ‘visage reconnu’.

(Constat d’huissier page 11/27)

Il apparaît donc que, contrairement à ce que soutient la SA BNP PARIBAS dans ses conclusions l’activation du lien frauduleusement envoyé à Mme [B]-[F] et activé par cette dernière n’a pas été suffisant pour permettre au fraudeur de capter sur son téléphone mobile la ‘clé digitale’ propre à Mme [B]-[F], laquelle ne pouvait être modifiée que suite à l’entrée des identifiants personnels de Mme [B]-[F].

Or, en l’état des démonstrations versées à la cour, le mode opératoire par lequel le fraudeur a réussi à entrer en possession des identifiants et codes personnels de Mme [B]-[F] reste inconnu.

5/ Enfin la SA BNP PARIBAS estime que Madame [F] aurait commis une cinquième négligence, tout au long de la fraude subie, en suivant minutieusement les instructions de son interlocuteur, qu’elle ne connaissait pas et qui l’appelait depuis un numéro inconnu, et ce malgré les nombreuses incohérences dans ses propos.

La banque estime que Mme [B]-[F] n’a pas été victime de « spoofing » qui consiste à usurper un numéro de téléphone et permet ainsi au fraudeur d’afficher sur l’appareil mobile de la personne appelée le numéro de la banque, puisqu’en l’espèce, la SA BNP PARIBAS indique que le fraudeur l’a contactée depuis le numéro « [XXXXXXXX01] », soit depuis un numéro n’appartenant pas à BNP Paribas.

Elle en tire comme conclusions qu’il n’y a donc pas eu d’usurpation du numéro de la banque, et Madame [F] ne pouvait légitimement croire être en communication avec un conseiller de BNP Paribas.

Toutefois il ne saurait être reproché à un client d’une banque de ne pas avoir vérifié l’attribution à sa banque du numéro de téléphone qui le contacte, dès lors que, comme le relève justement le premier juge sans être démenti par les conclusions de la SA BNP PARIBAS , il ressort du constat de commissaire de Justice produit par l’intimée, que les messages reçus par madame [F] sur son téléphone le 20 décembre 2022 apparaissent comme des messages émanant de la BNP, correspondent en tous points à ceux reçus antérieurement de la banque et comportent un lien qui mène au site de la banque.

En conséquence aucune des fautes invoquées par la SA BNP PARIBAS ne relève de la qualification de ‘ faute de négligence grave’ permettant de laisser supporter au client de la banque les conséquences des opérations frauduleuses au sens de l’article L. 133-19 IV du code monétaire et financier.

La décision déférée sera donc confirmée sur ce point en toutes ses conséquences mettant à la charge de la SA BNP PARIBAS le paiement à Mme [B]-[F] de la somme de 8.955,74 euros avec intérêts au taux légal majoré des pénalités légales à compter du 02 janvier 2023.

2/ Sur les dommages-intérêts réclamés par Mme [B]-[F]

La décision déférée avait rejeté la demande de dommages-intérêts de Mme [B]-[F] relevant l’absence de démonstration d’un préjudice spécifique au visa de l’article 1231-1 du code civil.

Mme [B]-[F] a, aux termes de ses dernières conclusions abandonné son appel incident sur ce sujet, admettant que le régime de responsabilité de la banque en pareil cas ne relève pas de l’article 1231-1 du code civil.

La décision déférée sera donc confirmée de ce chef par abandon de la prétention incidente.

3/ Sur les dépens et les frais irrépétibles de procédure

Il ressort des articles 696 et 700 du code de procédure civile que la partie perdante est condamnée aux dépens et que, sauf considération d’équité, la partie tenue aux dépens doit supporter les frais irrépétibles de procédure exposés par l’autre partie.

En l’espèce la SA BNP PARIBAS qui succombe à son appel sera tenue des dépens.

L’appel de la SA BNP PARIBAS a indubitablement occasionné à Mme [B]-[F] des frais irrépétibles en l’obligeant à conclure à trois reprises successives. Toutefois les demandes présentées au visa d le’article 700 du code de procédure civile ne peuvent s’assimiler à des dommages-intérêts et devront être évaluées à l’aune des frais irrépétibles de procédure.

En conséquence, la SA BNP PARIBAS sera tenue au titre des frais irrépétibles de procédure d’appel, de payer à Mme [E] [B]-[F] la somme de 3.000 euros compte tenu des frais engagés auprès de son conseil et d’un commissaire de Justice aux fins de constat.

La cour, statuant publiquement par décision contradictoire dans les limites de l’appel :

Confirme en toutes ses dispositions déférées le jugement rendu par le tribunal judiciaire de Troyes le 19 juillet 2023 RG N° 23/00288.

Y ajoutant :

Condamne la SA BNP PARIBAS aux dépens de l’appel.

Condamne la SA BNP PARIBAS à payer à Mme [E] [B]-[F] la somme de 3.000 euros sur le fondement de l’article 700 du code de procédure civile au titre des frais irrépétibles de procédure d’appel.

Le greffier Le président