Le fait pour le client d’une banque, sur l’initiative d’un tiers auteur d’une escroquerie, d’agir, au moyen de ses données de connexions conservées secrètes, directement sur l’interface internet de la banque dans la croyance qu’un préposé du cette dernière le lui demandait, ne constitue pas une négligence grave exonérant la banque de son obligation de remboursement.
Virement frauduleux : la Responsabilité de la banque
Dans cette affaire, il a été jugé que dès lors que les virements frauduleux en cause ne se sont étalés que pendant une durée de quinze jours, que Mme [U] a signalé leur caractère non autorisé bien avant l’expiration du délai de 13 mois prévu à l’article L133-24 du code monétaire et financier, la circonstance que ses connexions sont répertoriées pendant cette période mais sans que les opérations alors faites ne soient connues, ne vient pas exonérer la banque de son obligation de remboursement ou l’amoindrir.
En conséquence, la juridiction a condamné la société Bnp PARIBAS à rembourser à Mme [D] [U] la somme de 30 000 euros avec intérêts au taux légal à compter de la mise en demeure adressée par sa cliente.
Le contexte juridique
Les parties étaient dans les liens d’une convention d’ouverture de compte ancienne depuis 1984 et qu’à compter du 2 mars 2019, un service dit de ‘clé digitale’ a été instauré pour les opérations les plus sensibles parmi lesquelles l’adjonction d’un nouveau bénéficiaire potentiel de virement correspondant à l’emploi imposé, en plus des identifiants et code habituel de connexion au site internet de la banque, d’un code secret connu du seul client,
Mme [U] a déclaré aux services de police lors de sa plainte pénale du 11 juillet 2019 qu’elle avait reçu des courriels qu’elle pensait émaner de la société Bnp PARIBAS lui demandant de valider des clés digitales de modification des bénéficiaires dont les références bancaires auraient changé les 24 et 25 juin 2019 mais qu’elle n’y a pas répondu,
Elle a ensuite répondu au sixième appel du 25 juin 2019 au cours duquel une personne se présentant comme préposé de la banque a évoqué ces courriels, lui a exposé que les références de bénéficiaires de deux virements qu’elle avait effectivement demandés la semaine précédente au profit de la communauté de communes d’Aiguebelette et la Réunion des musées nationaux avaient changées et qu’il lui fallait valider les nouvelles références sur le site au moyen de clés digitales,
Elle s’est connectée à l’application mais que cette dernière ne répondait pas, que son interlocuteur lui a demandé de raccrocher et de réessayer, ce qu’elle a fait en validant la clé digitale qui est apparue ‘sans faire gaffe’ quant au point de savoir s’il s’agissait de virements plutôt que d’ajout d’un bénéficiaire,
Six virements auxquels elle n’a pas consentis sont ensuite venus débiter son compte, de 6 000 euros le 25 juin, de 4 000 et 2 000 euros le 26 juin, de 6 000 euros les 27, 28 juin et 1er juillet pour un total de 30 000 euros,
Elle a été alertée le 2 juillet par un préposé de la banque s’inquiétant de sa réelle volonté de procéder à un nouveau virement de 6 000 euros semblant faire double emploi.
La négligence du client
En l’espèce la banque ne conteste pas que les opérations litigieuses n’étaient pas autorisées, au sens où elles n’ont pas été consenties par Mme [U] selon l’article L 133-6 du code monétaire et financier, ce que les données techniques permettent de conforter puisque les connexions ayant donné lieu à des virements ont toutes été faites à partir d’une même adresse IP qui n’est pas l’une de celles habituellement utilisée par la cliente.
Etant observé, d’une part, qu’il est constant que seule la validation de la clé digitale faite à la demande de tiers a constitué une authentification forte et qu’en revanche les virements ont été demandé sans cette authentification forte et qu’en tout état de cause, les conséquences juridiques de l’usage d’une authentification forte ne sont tirées par l’entrée en vigueur des articles L133-44 et 133-19 du code monétaire et financier dans leur rédaction issue de l’ordonnance du 9 août 2017, postérieures aux faits litigieux comme étant du 14 septembre 2019, il résulte des textes rapportés ci-dessus que la banque est, en principe, tenue de rembourser à sa cliente les sommes virées sans son autorisation, sauf à démontrer que celle-ci a agi frauduleusement ou encore n’a pas satisfait à son obligation de préservation de la sécurité du dispositif de sécurité personnalisé, et ce, soit intentionnellement ou par négligence grave.
En l’espèce, il doit être relevé que c’est pertinemment que Mme [U] fait valoir qu’elle n’a pas divulgué à des tiers ses identifiants ou son mot de passe ou encore même un code réputé connu d’elle seule dont elle a seulement elle-même fait usage sur l’interface internet de la banque puisque le mode opératoire qu’elle décrit et qui n’est contredit par aucune donnée technique, ne l’établit pas.
Virements frauduleux : ce que prévoit le Code monétaire et financier
Pour rappel, Il résulte de l’article 34, VIII, 3°, de l’ordonnance n° 2017-1252 du 9 août 2017, que l’article L. 133-44 du code monétaire et financier, auquel renvoie son article L. 133-19, V est entré en vigueur le 14 septembre 2019, dix-huit mois après l’entrée en vigueur du règlement délégué (UE) 2018/389 de la Commission du 27 novembre 2017 complétant la directive (UE) 2015/2366 par des normes techniques de réglementation relatives à l’authentification forte du client et à des normes ouvertes communes et sécurisées de communication.
En conséquence, à la date des faits litigieux, les dispositions du code monétaire et financier applicables étaient les suivantes :
– article L133-18 :
‘en cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu.
– article L133-19 :
‘I. ‘ En cas d’opération de paiement non autorisée consécutive à la perte ou au vol de l’instrument de paiement, le payeur supporte, avant l’information prévue à l’article L. 133-17, les pertes liées à l’utilisation de cet instrument, dans la limite d’un plafond de 50 €.
Toutefois, la responsabilité du payeur n’est pas engagée en cas :
‘ d’opération de paiement non autorisée effectuée sans utilisation des données de sécurité personnalisées ;
‘ de perte ou de vol d’un instrument de paiement ne pouvant être détecté par le payeur avant le paiement ;
‘ de perte due à des actes ou à une carence d’un salarié, d’un agent ou d’une succursale d’un prestataire de services de paiement ou d’une entité vers laquelle ses activités ont été externalisées.
II. ‘ La responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées.
Elle n’est pas engagée non plus en cas de contrefaçon de l’instrument de paiement si, au moment de l’opération de paiement non autorisée, le payeur était en possession de son instrument.
III. ‘ Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si le prestataire de services de paiement ne fournit pas de moyens appropriés permettant l’information aux fins de blocage de l’instrument de paiement prévue à l’article L. 133-17.
IV . ‘ Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17. V et VI Inapplicables avant le 14 septembre 2019’
– article L133-16 :
‘Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés.
Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation’.
– article L133-17 alinéa 1er, le second étant relatif aux cartes de paiement :
‘I. ‘ Lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l’utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l’instrument, son prestataire ou l’entité désignée par celui-ci.’
Questions Réponses sur les Virements frauduleux
C’est quoi un virement frauduleux ?
Comment recuperer l’argent d’un virement frauduleux ?
Est-ce que les banques remboursent les fraudes ?
Comment savoir si c’est un faux virement bancaire ?
Vérifiez l’orthographe et la grammaire des courriels ou des messages liés au virement bancaire voir des faux RIB.
Assurez-vous que l’adresse du site Web de la banque est correcte et sécurisée (https://).
Consultez votre compte bancaire en ligne pour confirmer si le virement a été effectué.
Si vous avez des doutes, contactez votre banque directement pour vérifier l’authenticité du virement.
Soyez vigilant si vous recevez un virement d’une source inconnue ou si cela semble trop beau pour être vrai.