Virements frauduleux
La S.A Lyonnaise de Banque (CIC) a été condamnée à verser la somme provisionnelle de 74 500 euros à l’un de ses clients au titre de virements frauduleux. Si la banque CIC peut établir que la comptable de la société a pu faire preuve d’un manque de prudence en acceptant de suivre les instructions d’un individu, très bien renseigné, qui s’est présenté comme un technicien de l’organisme bancaire, il lui appartient de fournir des éléments permettant de considérer que le manque de prudence est tellement important qu’il y aurait de la place pour qu’un juge du fond puisse considérer qu’il s’agit d’un cas de négligence grave.
Responsabilité de plein droit de la banque
En application des articles L 133-18, L 133-23 et L 133-24 du Code monétaire et financier, en cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée, immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique par écrit ces raisons à la Banque de France. Le cas échéant, le prestataire de service de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement n’avait pas eu lieu.
Le remboursement est exclu dans l’hypothèse d’une opération dont l’utilisateur nie l’avoir autorisée lorsque la banque arrive à prouver que l’opération a été authentifiée dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique.
Preuve à la charge de la banque
Ces textes de droit bancaire ont institué une responsabilité de plein droit de la banque qui a la charge de la preuve de l’existence de contestations sérieuses pour faire échec à son obligation de paiement. La banque du payeur doit pour ce faire prouver de manière cumulative une absence de déficience technique ainsi qu’une négligence grave de l’utilisateur, et pas uniquement d’un manque de prudence.
REPUBLIQUE FRANCAISE
AU NOM DU PEUPLE FRANCAIS
N° RG 22/03169 – N° Portalis DBVX-V-B7G-OIUL
Décision du Tribunal de Commerce de Lyon en référé
du 19 avril 2022
RG : 2022r41
S.A.R.L. NODIV FINANCES
C/
S.A. LYONNAISE DE BANQUE
RÉPUBLIQUE FRANÇAISE
AU NOM DU PEUPLE FRANÇAIS
COUR D’APPEL DE LYON
8ème chambre
ARRÊT DU 22 Mars 2023
APPELANTE :
La société NODIV FINANCES, société à responsabilité limitée (SARL) au capital de 606 000 euros, inscrite au registre du commerce et des sociétés de Lyon sous le numéro 800 390 346 et ayant son siège social sis [Adresse 1], représentée par l’un de ses gérants en exercice, Monsieur [X] [Z], domicilié en cette qualité audit siège.
Représentée par Me Bertrand BESNARD de la SELARL NOVALIANS, avocat au barreau de LYON, toque : 1566
INTIMÉE :
La société LYONNAISE DE BANQUE, société anonyme à conseil d’administration au capital de 260 840 262 euros, immatriculée au Registre du commerce et des sociétés de Lyon sous le numéro 954 507 976, dont le siège social est sis [Adresse 2], poursuite et diligences de son représentant légal en exercice
domicilié ès-qualité audit siège
Représentée par Me Antoine ROUSSEAU de la SELARL B2R & ASSOCIÉS, avocat au barreau de LYON, toque : 781
* * * * * *
Date de clôture de l’instruction : 07 Février 2023
Date des plaidoiries tenues en audience publique : 07 Février 2023
Date de mise à disposition : 22 Mars 2023
Composition de la Cour lors des débats et du délibéré :
– Karen STELLA, président
– Véronique MASSON-BESSOU, conseiller
– Géraldine AUVOLAT, conseiller, désigné pour siéger dans le cadre de la présente affaire par ordonnance de la première présidence du 7 février 2023
assistés pendant les débats de Séverine POLANO, greffier
A l’audience, un membre de la cour a fait le rapport, conformément à l’article 804 du code de procédure civile.
Arrêt Contradictoire rendu publiquement par mise à disposition au greffe de la cour d’appel, les parties en ayant été préalablement avisées dans les conditions prévues à l’article 450 alinéa 2 du code de procédure civile,
Signé par Karen STELLA, président, et par William BOUKADIA, greffier, auquel la minute a été remise par le magistrat signataire.
* * * *
La société Nodiv Finances a un compte courant entreprise dans les livres de la société Lyonnaise de Banque (banque CIC) numéroté 18512 000889909.
La banque CIC a mis en place un système de virements sécurisé avec deux procédés.
Le 16 novembre 2021, la comptable de la SARL Nodiv Finances a reçu un appel téléphonique d’une personne se disant technicien de la banque. Il a exposé qu’il devait intervenir car les écritures au compte courant entre le 2 et le 16 novembre 2021 n’étaient pas remontées. Cette personne parlait français, sans accent et connaissait la société pour être déjà en possession de l’identifiant de connexion.
Il savait aussi que la société était connectée sur son espace dédié sur son compte en ligne.
La comptable a, sur ses instructions, opéré les manipulations suivantes’:
*se déconnecter, se reconnecter de son compte en ligne ;
*faire un test en validant un RIB depuis son téléphone portable.
La notification, selon la comptable, est apparue directement sur son application mobile’: elle n’a pas eu à utiliser son code personnel, ni sa clé de sécurité. Elle n’a eu qu’à cliquer. Elle n’a pas eu à donner son mot de passe sécurisé ni à valider un virement. Elle n’a pas non pluseu à répondre à un mail douteux ou constitutif d’un hameçonnage.
*enfin, elle ne devait pas se connecter pendant environ 5 minutes.
Prise d’un doute, elle a pris attache avec son conseiller bancaire qui a vérifié qu’il n’y avait pas eu de difficulté signalée nécessitant une intervention.
Entre-temps, la société Nodiv Finances a reçu un mail de la société Euro Information, prestataire informatique du Crédit Mutuel et de la banque CIC, l’informant qu’un second téléphone portable avait été validé et enregistré sous l’appellation «’Iphone de carrosserie Vidon’».
Conformément à la demande de son conseiller bancaire, la SARL Nodiv Finances a immédiatement changé son mot de passe. La banque a vérifié qu’aucune opération en débit n’avait été enregistrée.
En fait, les virements étaient en cours et la banque n’a pas interféré pour stopper leur exécution.
Le nombre de virements non autorisés et indépendants de sa volonté est très important. Le préjudice est de 74 500 euros au profit de deux personnes inconnues’: [W] [B] et [T] [M]. La SARL Nodiv Finances en a informé sa banque le jour même. Il lui a été indiqué que le service fraude avait demandé à la banque réceptrice un retour de fonds dès réception de la plainte pénale déposée le 18 novembre 2021 et transmise à la banque qui en a accusé réception mais que le retour des fonds n’avait pas été possible car il exigeait l’accord du bénéficiaire.
La société Nodiv Finances a demandé à sa banque CIC des explications sur l’exécution des virements qui n’ont pas été validés par la clé sécurisée ou son mot de passe. En vain.
Puis, elle l’a relancée par mail du 22 novembre 2021. En vain.
Le 26 novembre 2021, la Lyonnaise de Banque a, par courriel, expliqué que les règles sécuritaires avaient fonctionné justifiant ainsi son refus de recréditer le compte courant des fonds détournés.
L’avocat de la SARL Nodiv Finances a adressé à la banque CIC un courrier le 8 décembre 2021 pour lui demander de la recréditer sous 10 jours, compte tenu de sa responsabilité de plein droit sauf à prouver que sa cliente a commis une faute grave ayant entraîné l’utilisation frauduleuse du moyen de paiement, ce qui n’est pas le cas en espèce. En vain.
En conséquence, le 11 janvier 2022, la société Novid Finances a assignée la S.A Lyonnaise de Banque en référé pour obtenir qu’elle s’exécute.
Par ordonnance du 19 avril 2022, le juge des référés du tribunal de commerce de Lyon, a :
dit qu’il existe des contestations sérieuses ;
dit que l’absence de démonstration de l’existence d’un dommage imminent ou d’un trouble manifestement illicite fait obstacle à la demande ;
dit n’y avoir lieu à référé ;
renvoyé les parties au fond ;
dit n’y avoir lieu à application de l’article 700 du Code de procédure civile ;
condamné la société Nodiv Finances SARL aux dépens.
Le juge a retenu en substance que’:
en principe, selon les articles L 133-18 et suivants du Code monétaire et financier, la banque qui ne peut prouver une faute grave de son client et en l’absence de déficience technique de l’opération, est tenue de restituer les fonds dont elle a la garde ;
la demanderesse dit qu’elle n’a jamais effectué les virements mais seulement accepté la création d’un RIB sans utiliser son code de sécurité. La banque rappelle que les clients sont avisés des fraudes et que la comptable n’a pas été suffisamment vigilante en ne respectant pas la procédure de contre appel auprès de son conseiller ;
le manque de vigilance ne peut constituer une contestation sérieuse ;
mais, la banque a versé la procédure de son système de sécurité en plusieurs étapes. L’échange entre l’escroc et la comptable n’a pas pu se limiter à quelques clics ;
la société Nodiv Finances a reconnu avoir cliqué sur une notification reçue non produite aux débats, ce qui aurait permis de récupérer l’identifiant et le mot de passe. Un nouveau numéro de portable a été enregistré. La comptable a validé le RIB de trois nouveaux bénéficiaires sur son portable, ce qui impliquerait selon la banque l’utilisation du code sur la carte d’identification ;
ainsi il existe une contestation sérieuse et une absence de démonstration d’un dommage imminent ou d’un trouble manifestement illicite.
Par déclaration électronique du 2 mai 2022, le conseil de la société Nodiv Finances a interjeté appel total de l’ordonnance.
La procédure a été orientée à bref délai suivant les dispositions des articles 905 à 905-2 du code de procédure civile et les plaidoiries fixées au 24 janvier 2023 à 9 heures.
La société Nodiv Finances a exposé qu’après le rejet de sa demande de provision par ordonnance de référé du 19 avril 2022, son conseil a, par courrier officiel du 28 avril 2022, sollicité le conseil du CIC pour la tenue d’un constat contradictoire en présence des parties afin de faire constater si elle pouvait ou non créer un nouveau bénéficiaire sans utilisation de sa carte de clés personnelles. Il s’agissait de répondre à une demande de constat formulée par la banque en première instance. Il était loisible à la banque de faire intervenir un ou plusieurs experts informatiques. Malgré une relance, aucune réponse n’a été donnée par la banque ou son avocat par rapport à cette proposition. Une expertise au contradictoire de la banque n’a pas pu être conduite.
De ce fait, la SARL Nodiv Finances a donc fait procéder à sa propre mesure technique par un huissier de justice, le 7 juin 2022 qui s’est rendu à son siège, sous le contrôle de [O] [I], expert judiciaire près la Cour d’appel de Lyon. Son rapport a mis en évidence que’:
son matériel informatique est sain et non infecté ;
il y a la possibilité de faire des virements sans avoir recours à la carte clés personnelles contrairement à ce que prétend la banque CIC ;
il existe une possibilité qu’une notification «’push’» soit intervenue sur le téléphone portable de Madame [S] sans besoin d’ouvrir l’application ;
il est probable que la banque aurait pu annuler les virements non encore exécutés alors qu’elle dit qu’aucun virement à l’étranger ou opération anormale n’avait été constaté ;
Nodiv Finances a reçu un courriel du Crédit Mutuel (la société Euro Information, filiale informatique du crédit mutuel traitant les opérations informatique du CIC) l’informant qu’un second téléphone portable avait été validé ;
le nom de domaine de l’adresse mail appartient bien à Euro Information.
Ce qui implique deux choses selon l’expert judiciaire’:
soit le logiciel de la banque a été piraté ;
soit la validation du RIB et les opérations subséquentes ont été faites grâce à un complice escroc travaillant au sein de la banque. Or, il est rappelé que l’escroc était déjà en possession des identifiants de la société Nodiv Finances et savait que la comptable était connectée à son espace bancaire dédié.
L’expert a conclu que pour découvrir la vérité seul un examen des serveurs de la banque qui conserve trace de toutes les notifications envoyées permettraient de retrouver ou non la notification litigieuse. En cas d’absence de cette notification sur les serveurs de la banque cela prouverait que cette notification était bien frauduleuse et a été envoyée par un logiciel de fraude visant à faire valider par la comptable non seulement des RIB mais aussi des virements non souhaités.
De manière subséquente, le 22 septembre 2022, la SARL Novid Finances a saisi le Premier Président de la Cour d’appel de Lyon pour obtenir une mesure urgente d’instruction par voie de requête non contradictoire dans le cadre de l’article 958 du Code de procédure civile compte tenu de la nécessité de bénéficier de l’effet de surprise eu égard à des éléments aisément supprimables. Elle a exposé qu’elle rapporte la preuve d’une probable escroquerie avec intervention d’un complice au sein de la société Euro Information sous traitante de la Banque CIC. Les serveurs de la banque sont accessibles, soit depuis son établissement bancaire, soit directement au sein de l’établissement de Euro Information qui a ce jour ne peut être identifié.
Le 5 juillet 2022, il a été fait droit à la demande. Maître [A] s’est rendu au siège de la société Lyonnaise de Banque accompagné de Monsieur [I], expert judiciaire. Il a été reçu par la directrice juridique qui a opposé le secret bancaire opposable, selon elle, aux juridictions civiles. Or, en l’espèce la banque est la partie au procès. Le secret bancaire de l’article L 511-33 du Code monétaire et financier n’empêche pas l’application de l’article 145 du Code de procédure civile lorsque la demande de communication de pièces est dirigée contre l’établissement de crédit non pas comme tiers confident mais comme partie au procès pour rechercher son éventuelle responsabilité dans la réalisation de l’opération contestée. Le recours à la force publique qui est autorisé nécessite plus de temps et justifie la requête en prorogation du délai d’exécution jusqu’au 31 décembre 2022.
Par ordonnance du 19 octobre 2022, il n’a pas été fait droit à la demande à la demande de prorogation, l’effet de surprise ne se justifiant plus.
Suivant ses dernières conclusions d’appelante n°2 notifiées par RPVA le 21 octobre 2022, la société Nodiv Finances demande à la Cour, de’:
Vu l’article 873 du Code de procédure civile, L 133-18 et L 133-23 et L 133-24 du Code monétaire et financier et 1343-2 du Code civil :
Infirmer l’ordonnance.
Statuant à nouveau,
condamner la société Lyonnaise de Banque à lui verser la somme de 74 500 euros augmentée des intérêts au taux légal avec anatocisme à compter du 8 décembre 2021, date de la réception par la Lyonnaise de Banque de la mise en demeure qui lui a été transmise par son avocat ;
la condamner à lui payer 6 000 euros au titre de l’article 700 du Code de procédure civile, outre les entiers dépens.
La société Nodiv Finances soutient essentiellement que’:
le Code monétaire et financier établit une responsabilité de plein droit et d’ordre public de la banque qui doit restituer immédiatement le montant d’une opération bancaire non autorisée sauf soupçon d’une fraude de l’utilisateur et si la banque communique ses raisons à la Banque de France. En cas de refus, le juge des référés peut contraindre la banque au versement d’une provision. La banque supporte la charge de la preuve d’une fraude ou d’une négligence grave. La circonstance que le moyen de paiement ait été utilisé par un tiers avec composition du code confidentiel est à elle seule insusceptible de constituer la preuve d’une telle fraude. En cas de négligence grave, la banque doit en outre prouver une absence de déficience technique de l’opération. La jurisprudence est très stricte sur l’interprétation de la négligence grave. Ainsi n’est pas une négligence grave, le fait d’ouvrir un fichier joint à un mail contenant un virus surtout en l’absence d’alerte de la banque sur l’existence de cyberattaques. Le fait de laisser une clé sécurisée en permanence sur l’ordinateur non plus. Le fait d’avoir fait l’objet d’un piratage et n’avoir pas pris de contre-mesure pour la protection des données personnelles pas plus que le fait que les pirates connaissent la signature du dirigeant et de son compte social.
est en revanche une négligence grave, le fait de communiquer à un tiers ses informations personnelles et coordonnées personnelles bancaires, notamment celles de ses clés de sécurité en réponse à un courriel contenant des indices de fraude.
la banque en l’espèce ne démontre pas un manque anormal de prudence dans la communication d’informations personnelles et de sécurité. Elle n’a pas prouvé non plus une absence de déficience technique de l’opération. Elle n’a donné aucune explication ni raison alors que la société Nodiv Finances l’avait avisée de la fraude. Le fait de s’être déconnectée, puis d’avoir validé un RIB depuis son application n’est pas une négligence grave. Le RIB est directement apparu en outre sur son mobile. Elle n’a pas eu à utiliser son code personnel ni sa clé mais uniquement à valider un bénéficiaire. Elle n’a validé aucun ordre de virement.
le rapport d’expertise [I] a validé que le virement n’avait pas besoin d’une clef et qu’Euro Information était intervenue dans la validation du RIB outre le fait que la banque CIC aurait pu s’interposer. La banque a refusé le constat d’huissier autorisé judiciairement alors que cela aurait éclairé sur l’existence d’un escroc et d’un complice en interne. Elle a fait illicitement échec à la mesure d’instruction. Elle a également refusé une expertise amiable contradictoire. Il est demandé à la Cour de tirer les conséquences de cette obstruction pour en déduire qu’elle ne rapporte pas la preuve d’une fraude ou de défaillance technique ;
le premier juge a eu une motivation absconse’: il n’a pas cherché l’existence d’éléments prouvant la négligence grave de la comptable de la SARL Nodiv Finances. Il lui a à tort reproché le fait de ne pas avoir produit la notification apparue sur le portable de la comptable sur laquelle elle a cliqué «’accepter’» pour valider le bénéficiaire. Or, une telle preuve est impossible’: il s’agit d’une opération fugace qui disparaît. Or,elle n’a pas eu le temps de faire une capture d’écran et ne pensait pas à ce moment à être victime d’une fraude ;
le juge a fait sien le raisonnement de la banque qui estime que l’exposé de la technique de fraude est mensonger puisque selon elle la validation du bénéficiaire requérait l’utilisation d’une carte clés personnelles, en possession du seul client qu’il doit conserver précieusement, ce qui est contesté ;
la banque prétend qu’un nouveau bénéficiaire de virement ne peut être ajouté sans la participation active de la société. Or, lorsqu’il a été proposé à la banque de faire constater contradictoirement que tel n’était pas le cas, la démarche n’a pas été suivie d’effet ;
elle a déposé une requête non contradictoire pour obtenir la mesure d’instruction pour éviter que la banque CIC ne modifie le processus d’authentification avant le constat d’huissier ;
en tout état de cause, Monsieur [I] valide sa thèse ;
enfin, le juge des référés s’est trompé lorsqu’il a écrit qu’elle avait validé trois RIB pour trois bénéficiaires. Elle n’a validé qu’un RIB comme elle l’a dit à la police en cliquant sur une notification sur son mobile. Toutefois, la banque ne veut pas faire la lumière sur ces virements sans autorisation du client et s’est opposée à la mesure d’instruction autorisée par voie de justice ;
l’intimée ne développe que ses arguments de première instance en croyant pouvoir s’exonérer de sa responsabilité de plein droit. Elle produit pourtant une jurisprudence sans rapport avec les faits. Il n’y a pas eu hameçonnage et piratage ni livraison d’informations confidentielles imprudente. La comptable n’a autorisé aucun virement. La Lyonnaise de Banque ne prouve toujours pas la négligence grave de sa cliente ni l’absence de défaillance technique. Cela suppose des éléments concrets et non des supputations. La banque tente de renverser la charge de la preuve. Le fait de produire ses processus de sécurisation des transactions bancaires ou les relevés bancaires de la SARL Nodiv Finances montrant en bas de page une alerte à la fraude voire une capture d’écran sur son site internet relatif à un article sur les arnaques et fraudes en ligne n’est pas suffisant à rapporter la preuve d’une négligence ni celle de l’absence d’une défaillance technique.
la pièce 3 n’a jamais été communiquée à la société Nodiv Finances. D’ailleurs, la documentation informe sur les ordres de virement frauduleux, ce qui n’est pas le cas.
le procès-verbal d’huissier, qu’elle produit, fait foi qu’elle n’a pas eu à utiliser ses codes de sécurité pour ajouter un bénéficiaire. La probabilité du piratage de son application n’est pas à exclure, ce que la banque ne veut pas reconnaître.
Suivant ses conclusions n°2 notifiées par RPVA le 16 janvier 2023, la société S.A Lyonnaise de Banque demande à la Cour de’:
A titre principal,
confirmer l’ordonnance ;
constater l’existence d’une contestation sérieuse s’opposant à la demande ;
débouter la société Nodiv Finances de sa demande ;
la condamner à lui payer 1 500 euros au titre de l’article 700 du Code de procédure civile.
A titre subsidiaire,
avant dire droit et vu les articles 249 et suivants du Code de procédure civile ;
nommer un huissier de justice ou un expert pour faire le constat suivant’:
se rendre dans les locaux de la société Nodiv Finances après convocation des parties, recueillir leurs explications, prendre connaissance des documents de la cause notamment ses pièces 4 et 12, constater si la société Nodiv Finances peut ou non créer un nouveau bénéficiaire de virement sur le site de la banque sans utilisation de sa carte de clés personnelles ou de la clé USB qui lui a été remise ;
établir un procès-verbal de ses constatations et l’adresser à la Cour et aux parties ;
lui donner acte qu’elle fait offre de préfinancer le coût du constat d’huissier ou de l’expertise ;
réserver les dépens ;
dire que l’affaire sera réinscrite au rôle de la Cour à la demande de la partie la plus diligente après dépôt du constat d’huissier ou du rapport de l’expert.
L’intimée fait notamment valoir que sa cliente la société Nodiv Finances ne prouve pas l’existence d’une obligation non sérieusement contestable’:
les principes juridiques applicables ne sont pas contestés ;
de la jurisprudence exonère les banques ;
elle apporte un soin particulier à la sécurisation de ses opérations bancaires qui implique une participation du client quant au respect des règles de gestion de ses comptes en bon père de famille. Il importe que le client soit prudent face au risque de fraude. Sur les relevés de compte, figure une mention «’alerte’: fraude aux modifications des IBAN de vos fournisseurs, fraude aux dirigeants’. Restez vigilants, consultez nos pages sécurité et sensibilisez tous vos collaborateurs’».
de même sur son site, figure un test quiz pour identifier les dangers d’internet, les règles d’or sur la cybersécurité, un inventaire des fraudes pour déjouer les arnaques et un article sur la carte de clés personnelles.
pour la fiche ordre de virement des entreprises, il existe neuf réflexes de sécurité. Elle montre les différents types d’escroqueries dont celle dont a été victime la société Nodiv Finances soit l’escroquerie à l’usurpation d’identité. Cela consiste à usurper l’identité d’une autorité ou d’une personnalité pour obtenir l’exécution d’un virement par un collaborateur de l’entreprise. Il est recommandé à chaque nouveau RIB reçu ou envoyé par mail et avant tout virement d’appeler son interlocuteur habituel pour vérifier que c’est le bon IBAN. En l’espèce, l’escroc s’est fait passer pour un personnel du service technique de la banqueet a tenté d’obtenir l’exécution de virements tests par le collaborateur de l’entreprise.
une procédure écrite pour les virements doit figurer dans les entreprises. Les personnes habilitées aux virements doivent avoir une formation en sécurité. La vérification impose un contre-appel au partenaire commercial et financier. Les comptables sont les cibles privilégiées. En l’espèce, avec une bonne formation, la société n’aurait pas subi le détournement. La responsabilité du client est prévue à la convention de compte. (article 11.2.4)
elle a mis en place un parcours d’authentification forte suivant la directive européenne DSP2. Pour entrer un nouveau bénéficiaire et un nouveau RIB, il faut rentrer son code de carte de clés personnelles qui est en possession du seul client avant validation sur le téléphone mobile du client’lequel confirme l’opération qu’il valide en saisissant son code à six chiffres, à moins qu’il y ait eu utilisation de la clé Usb cryptée et d’un mot de passe car l’entreprise Novid Finances disposait des deux systèmes.
lors de la plainte au service de police, il a été fait état d’une notification sur laquelle il fallait cliquer mais la société Novid Finances ne fournit pas le mail. Elle ne concourt pas à la manifestation de la vérité. L’escroc a sollicité l’enregistrement d’un nouveau portable sur le site. Cela signifie que l’escroc avait l’identifiant de la société et son mot de passe. Cela n’a pu être obtenu que par un clic ou par une captation par un hameçonnage. En tout état de cause, une banque n’appelle jamais un client pour lui faire faire des manipulations et cliquer sur un lien.
la comptable a validé trois RIB pour trois nouveaux bénéficiaires. Elle n’a pas exigé l’identité du technicien. Elle a validé un téléphone qu’elle ne connaissait pas. Elle a forcément utilisé son mot de passe ou une reconnaissance faciale et son code personnel à six chiffres sur son téléphone portable’: il ressort des recherches internes que la comptable a utilisé sa carte de clés personnelles le 16 novembre à 10h42 et à 11h12. La capture d’écran de sécurité montre que l’Iphone de [U] de la Carrosserie [Z] a ensuite validé la création d’un nouveau bénéficiaire au nom de [T] [M] à 10h43, au nom de [Y] [G] à 10h49 et au nom de [W] [B] à 11h13. Il y a eu négligence grave de la comptable qui n’a pas suffisamment été formée. Il s’agit de contestations sérieuses à la demande de provision. D’ailleurs, elle a immédiatement après l’opération douté de la situation et appelé la banque, ce qui montrait le caractère anormal de l’opération.
la banque a immédiatement fait changer le mot de passe d’accès aux comptes à 11h18 mais des virements sont intervenus à 10h47, 10h54, et 11h15. Il était trop tard pour avoir restitution des fonds car cela implique l’accord du bénéficiaire.
la seule explication est la communication par la comptable de son identifiant et mot de passe aux escrocs.
en première instance, elle a demandé à titre subsidiaire un huissier ou un expert pour un constat entre les parties afin de vérifier comment enregistrer un bénéficiaire. La société Nodiv Finances s’y est opposée. Après l’ordonnance, elle a proposé un constat qui a été accepté par la banque. En définitive, elle a fait venir un expert qui a procédé de manière non contradictoire. La clé Usb cryptée était en place. Il est ressorti que l’accès à l’application bancaire a nécessité la saisie du code secret de même que pour saisir un RIB ou initier un virement. En revanche, la carte de clés personnelles n’a pas été nécessaire. Ainsi, contrairement à ce que soutient Nodiv Finances, une clé cryptée a été utilisée. Il a également été argumenté que le mail renvoyait à Euro Information. Monsieur [I] n’a pas dit ce que Nodiv Finances lui fait conclure. Le mail de la banque était un élément de sécurité et non la preuve d’un piratage du logiciel ou d’une complicité interne. Il n’en reste pas moins que la comptable a validé trois nouveaux bénéficiaires.
le fait que la comptable, Madame [S], ait attesté n’avoir pas cliqué sur un mail de phishing n’est pas probant, vu son lien de subordination. Il existe d’ailleurs des divergences entre les déclarations à la police et l’attestation.
Pour l’exposé des moyens développés par les parties, il sera fait référence conformément à l’article 455 du code de procédure civile à leurs écritures déposées et débattues à l’audience du 24 janvier 2023 à 9 heures renvoyée au 7 février 2023 à 9 heures.
A l’audience, qui a été prise en double rapporteur sans opposition des parties, les conseils des parties ont pu faire leurs observations et/ou déposer ou adresser leurs dossiers respectifs. Puis, l’affaire a été mise en délibéré au 22 mars 2023.
MOTIFS
A titre liminaire, les demandes des parties tendant à voir la Cour «’constater’» ou «’dire et juger’» ne constituant pas des prétentions au sens des articles 4, 5, 31 et 954 du code de procédure civile mais des moyens ou arguments au soutien des véritables prétentions, il n’y a pas lieu de statuer sur celles-ci.
Sur la demande de provision de la société Nodiv Finances SARL
Selon l’article 484 du Code de procédure civile, «’l’ordonnance de référé est une décision provisoire rendue à la demande d’une partie, l’autre présente ou appelée, dans les cas où la loi confère à un juge qui n’est pas saisi du principal le pouvoir d’ordonner immédiatement les mesures nécessaires’».
Le juge des référés ne peut pas trancher des questions de fond. Il est le juge de l’évidence et de l’urgence. Statuant au provisoire, il ne peut prononcer des mesures définitives.
La Cour constate que la société Nodiv Finances a également visé l’article 873 al 1 sur les mesures conservatoires ou de remise en état en cas de dommage imminent ou de trouble manifestement illicite même en présence d’une contestation sérieuse mais comme elle sollicite une condamnation à une somme d’argent et qu’elle soutient expressément dans ses conclusions page 17, sans jamais faire de référence à l’existence d’un dommage imminent ni d’un trouble manifestement illicite, que la Cour doit retenir l’absence de contestation sérieuse, le litige doit être tranché au regard des dispositions spéciales de l’article 873 alinéa 2 du code de procédure civile, qui dispose que’:
« Le président peut (‘) dans les cas où l’existence de l’obligation n’est pas sérieusement contestable, accorder une provision au créancier, ou ordonner l’exécution de l’obligation même s’il s’agit d’une obligation de faire. »
En application des articles L 133-18, L 133-23 et L 133-24 du Code monétaire et financier, en cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée, immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique par écrit ces raisons à la Banque de France. Le cas échéant, le prestataire de service de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement n’avait pas eu lieu.
Le remboursement est exclu dans l’hypothèse d’une opération dont l’utilisateur nie l’avoir autorisée lorsque la banque arrive à prouver que l’opération a été authentifiée dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique.
Ces textes de droit bancaire ont institué, comme l’expose à juste titre la société Nodiv Finances, une responsabilité de plein droit de la banque qui a la charge de la preuve de l’existence de contestations sérieuses pour faire échec à son obligation de paiement.
La banque du payeur doit pour ce faire prouver de manière cumulative une absence de déficience technique ainsi qu’une négligence grave de l’utilisateur, et pas uniquement d’un manque de prudence.
En l’espèce, la banque CIC ne justifie aucunement d’une absence de déficience technique. Il ne suffit pas d’alléguer ce point pour le prouver.
Au surplus, s’agissant de la contestation relative à la négligence grave de la comptable de la SARL Nodiv Finances’:
le fait que la banque CIC dispose de systèmes et de protocoles de sécurité et qu’elle adresse des messages d’alerte sur les relevés bancaires ou expose sur son site les moyens pour se prémunir des fraudes n’est pas suffisant à établir le sérieux de sa contestation au cas particulier d’autant qu’il s’agit de ses obligations légales et réglementaires.
la banque CIC continue de prétendre en appel que la société Nodiv Finances ne produit pas le mail qu’elle a dit avoir reçu alors qu’elle se base sur un procès-verbal de police qui n’est pas l’audition précise de la comptable, Madame [S], qui est la seule personne à avoir eu le contact direct avec le fraudeur mais sur l’audition du dirigeant de la société Nodiv Finances qui n’a pu fournir, dans le cadre de sa plainte, qu’un témoignage indirect qui ne peut revêtir le caractère de précision du témoignage de la comptable. En outre, le procès-verbal de plainte du 18 novembre 2021 fait mention d’une notification mais sans préciser qu’il s’agit d’une notification par mail. Or, la comptable, Madame [S], a expliqué dans son attestation (pièce 6) qu’il s’agissait d’un test pour valider un RIB via un portable et qu’aucun mail ne lui avait été envoyé. Ces déclarations correspondent à celles données à l’expert [I] lors de son examen technique. La notification s’est faite sur son portable hors de l’application bancaire du portable. Il s’agit de notifications éphémères qui disparaissent. La preuve sollicitée par la banque CIC est ainsi impossible à produire par la SARL Nodiv Finances et c’est bien à tort que le premier juge a reproché à l’entreprise Nodiv Finances de ne pas l’avoir communiquée.
si la banque CIC peut établir que la comptable Madame [S] a pu faire preuve d’un manque de prudence en acceptant de suivre les instructions d’un individu, très bien renseigné, qui s’est présenté comme un technicien de l’organisme bancaire, il lui appartient de fournir des éléments permettant de considérer que le manque de prudence est tellement important qu’il y aurait de la place pour qu’un juge du fond puisse considérer qu’il s’agit d’un cas de négligence grave. Contrairement à ce qui est prétendu par la banque, il n’a jamais été indiqué par Madame [S] qu’elle avait vu un RIB lors de la notification sous forme de test sur son téléphone portable et encore moins plusieurs RIB qu’elle aurait validés ni même qu’elle avait eu conscience qu’elle validait un nouvel appareil mobile le 16 novembre 2021 à 10h40.
la banque CIC soutient que ses documents internes prouvent que la comptable a utilisé sa carte clés personnelles à deux reprises, une carte codée dont elle est l’unique détentrice, le 16 novembre 2021 à 10h42 puis à 11h12. Les deux premiers virements ont été réalisés, selon la banque, lors de la session ouverte par la saisie du premier code de la carte clés personnelles demandé de manière aléatoire et le dernier virement litigieux a été opéré lors de la session ouverte par la saisie du second code de la carte clés personnelles demandé également de manière aléatoire (pièce 18). Or, la comptable a exposé qu’elle n’utilisait jamais la sécurité type carte clés personnelles mais la clé cryptée Usb qui est toujours insérée dans son ordinateur, ce dont l’huissier de justice et l’expert [I] ont pu attester. Or, la SA Lyonnaise de Banque n’a pas produit d’éléments permettant d’établir que Madame [S] avait déjà utilisé sa carte clés personnelles par le passé. Au surplus, le document interne produit par la banque qui a été établi le 13 janvier 2023 par [V] [H] est comme une preuve faite à soi-même qui n’a pas été contrôlée sur un plan technique et contradictoire. En effet, la banque CIC a refusé la mesure d’instruction qui aurait permis de concourir à la manifestation de la vérité.
elle soutient sans apporter d’éléments probants que la comptable a validé personnellement trois nouveaux bénéficiaires inconnus d’elle, avec l’application mobile de son portable, ce qui nécessite de composer le mot de passe ou une reconnaissance faciale et un code personnel à six chiffres.Toutefois, de simples captures d’écran (pièce 6, 8, 9 de l’intimée) sans analyse technique l’accompagnant n’est d’aucune utilité pour établir ce fait.
or, la banque CIC avait toute latitude pour participer à la manifestation de la vérité en répondant en temps utiles à la sollicitation de la société Nodiv Finances. Mais, elle n’a jugé bon de répondre à son mail du 28 avril 2022 que très tardivement par mail du 13 juin 2022 à 18h09 (pièce 13) soit 6 jours après la date à laquelle Nodiv Finances a dû se résigner à faire son constat à son siège de manière non contradictoire. Prétendre que la société Nodiv Finances a fait preuve de duplicité à son égard est audacieux d’autant que par la suite, la banque CIC a continué à adopter un comportement d’obstruction en s’opposant à la mesure d’instruction pourtant autorisée par la justice, ce qui aurait permis de savoir, ainsi que l’expert [I] le suggérait, si la notification présentée comme un test par téléphone apparaissait ou non sur les serveurs de la banque ce qui aurait permis de déduire que la notification était frauduleuse et envoyée via un logiciel de fraude ou si elle pouvait mettre en lumière une complicité interne à la banque. Cette mesure aurait également permis d’horodater les ordres de virement du 16 novembre 2021 et d’horodater les virements effectifs le 17 novembre 2021 puisqu’ils n’ont pas été détectés par le conseiller bancaire lors de l’appel de Madame [S] et enfin de confirmer ou non le fait que Madame [S] était l’auteur d’une utilisation à deux reprises de sa carte clés personnelles ainsi que le soutient l’intimée.
Il n’y a pas lieu avant dire droit d’ordonner une mesure d’expertise ou de constat, ce qui reviendrait à pallier la carence de la S.A Lyonnaise de Banque alors que en application de l’article 11 du Code de procédure civile, les parties étant tenues d’apporter leur concours aux mesures d’instruction, le juge peut tirer en toutes conséquences d’une abstention ou d’un refus.
En l’espèce, la banque CIC aurait pu participer contradictoirement à la mesure qu’elle sollicitait déjà en justice en première instance et qui s’est réalisée, du fait de sa carence à répondre entre fin avril et mi juin 2022, au siège de Nodiv Finances en son absence.
Postérieurement, elle a opposé un refus catégorique mais illégitime à la mesure d’instruction autorisée judiciairement en ses locaux.
De tels comportements ne sauraient contribuer à donner un caractère sérieux aux contestations qu’elle soulève pour faire échec à son obligation de paiement fondée sur sa responsabilité de plein droit.
En conséquence, la Cour infirme l’ordonnance déférée en toutes ses dispositions et statuant à nouveau :
condamne la société S.A Lyonnaise de Banque (CIC) à verser la somme provisionnelle de 74 500 euros, montant de la dette non sérieusement contestable, augmentée des intérêts au taux légal avec anatocisme à compter du 8 décembre 2021, date de la réception par la Lyonnaise de Banque de la mise en demeure qui lui a été transmise par son avocat portant sommation de payer ;
rejette la demande avant dire droit de la SA Lyonnaise de Banque CIC.
Sur les demandes accessoires
Partie succombante, la S.A Lyonnaise de Banque doit supporter les entiers dépens de première instance comme d’appel. La Cour, qui a infirmé l’ordonnance en toutes ses dispositions y compris sur les frais irrépétibles et les dépens, et statuant à nouveau, condamne la S.A Lyonnaise de Banque à supporter les dépens de première instance et les entiers dépens d’appel.
En équité, la Cour condamne la S.A Lyonnaise de Banque à payer la somme de 5 000 euros au titre de l’article 700 du Code de procédure civile à la société Nodiv Finances.
Corrélativement, la Cour déboute la S.A Lyonnaise de Banque de ses demandes au titres des dépens et des frais irrépétibles.
PAR CES MOTIFS
La Cour,
Statuant à nouveau :
Infirme l’ordonnance déférée en toutes ses dispositions,
Rejette la demande de mesure d’instruction avant dire droit de la SA Lyonnaise de Banque (CIC),
Condamne la société S.A Lyonnaise de Banque (CIC) à verser à la société SARL Nodiv Finances la somme provisionnelle de 74 500 euros augmentée des intérêts au taux légal avec anatocisme à compter du 8 décembre 2021,
Condamne la S.A Lyonnaise de Banque à supporter les dépens de première instance et les entiers dépens d’appel,
Condamne la S.A Lyonnaise de Banque à payer à la société SARL Nodiv Finances la somme de 5 000 euros au titre de l’article 700 du Code de procédure civile à hauteur d’appel,
Déboute la S.A Lyonnaise de Banque de ses demandes au titres des dépens et des frais irrépétibles.
LE GREFFIER LE PRÉSIDENT