Gdroit

Header G-droit News - Premium Modernisé
    G-Droit — L'exécution des ordres de virement faux ou falsifiés
    🏦 Droit bancaire — Instruments de paiement

    L'exécution des ordres de virement
    faux ou falsifiés

    Fraude au Président, spoofing, phishing : régime de responsabilité, répartition des pertes et protection du titulaire du compte face aux ordres de paiement usurpés.

    ⚖️ 3 Régimes
    🔒 13 Mois de délai
    📜 DSP2 Cadre européen

    🎭 Les mécanismes de la fraude aux ordres de virement

    Le détournement de fonds au moyen d'ordres de virement frauduleux constitue l'un des contentieux les plus nourris du droit bancaire contemporain. Qu'il s'agisse de l'émission d'un ordre par un faussaire, de l'usurpation d'identité d'une personne habilitée ou encore de la falsification d'un ordre régulièrement émis, la question centrale demeure invariablement la même : sur qui doit peser la perte occasionnée par l'opération frauduleuse ?

    Avant d'examiner les régimes de responsabilité applicables, il convient de distinguer avec précision les trois principaux modes opératoires qui alimentent ce contentieux, tant leurs caractéristiques techniques conditionnent le régime juridique qui leur est applicable.

    📖 Définition — La fraude dite « au Président »

    Ce procédé repose sur l'ingénierie sociale appliquée aux structures décisionnelles des entreprises. Le fraudeur, disposant d'informations détaillées sur l'organisation interne de la société ciblée, contacte le service comptable en se faisant passer pour un dirigeant ou un interlocuteur de confiance. Il ordonne alors le virement d'une somme — souvent considérable — vers un compte situé à l'étranger. La particularité essentielle de ce type de fraude réside en ce que c'est le donneur d'ordre lui-même, abusé, qui procède à l'exécution du virement. Il s'agit donc, au sens juridique, d'une opération autorisée par une personne habilitée, bien que son consentement ait été vicié par la tromperie.

    Le spoofing et le phishing : deux déclinaisons complémentaires

    Le développement des moyens de communication numériques a permis l'essor de deux techniques frauduleuses qui visent plus particulièrement les particuliers, bien que les entreprises n'en soient pas exemptes. Ces procédés se distinguent par leur vecteur de contact et le rôle assigné à la victime dans le processus frauduleux.

    📞 Le spoofing (usurpation d'identité)

    L'imposteur appelle la victime en affichant le numéro officiel de son établissement bancaire grâce à un logiciel de falsification d'appel. Il endosse l'identité d'un conseiller ou d'un agent d'une autorité de régulation (ACPR, Banque de France, AMF). Le scénario se déploie en deux phases : alarmer d'abord la personne au sujet d'une prétendue tentative de piratage, puis gagner sa coopération pour « sécuriser » le compte. La victime est alors amenée à confirmer des opérations sur son application mobile ou à divulguer ses codes d'authentification. Certains fraudeurs vont jusqu'à manipuler des adresses de connexion numériques pour brouiller les pistes techniques.

    🎣 Le phishing (hameçonnage)

    Cette technique repose sur l'envoi de courriels ou la création de sites internet contrefaits, reproduisant l'apparence d'un interlocuteur de confiance (banque, administration, opérateur). L'objectif est d'amener l'internaute à saisir ses identifiants bancaires et mots de passe sur un support contrôlé par l'escroc. Ayant capté ces informations, ce dernier accède à l'espace bancaire de la victime et ordonne des virements vers des comptes qu'il contrôle, le plus souvent domiciliés à l'étranger.

    Synthèse comparative des modes opératoires

    Critère Fraude au Président Spoofing Phishing
    Cible privilégiée Entreprises (service comptable) Particuliers et professionnels Particuliers (internautes)
    Vecteur de contact Téléphone, courriel interne Téléphone (numéro usurpé) Courriel, faux site internet
    Qui exécute le virement ? Le donneur d'ordre lui-même La victime ou le fraudeur selon le cas Le fraudeur, avec les identifiants volés
    Qualification juridique Opération autorisée (consentement vicié) Variable selon les circonstances Opération non autorisée
    Régime applicable Droit commun + obligation de vigilance Art. L. 133-18 s. CMF si non autorisée Art. L. 133-18 s. CMF
    ⚠️ Point de vigilance — La qualification juridique conditionne le régime

    La distinction entre opération autorisée et opération non autorisée est déterminante pour l'application du régime de responsabilité. Lorsque le virement a été ordonné par une personne habilitée — fût-elle victime d'une manipulation —, le régime protecteur des articles L. 133-18 et suivants du Code monétaire et financier ne trouve pas à s'appliquer directement. Le donneur d'ordre ne pourra alors engager la responsabilité de sa banque que sur le terrain du droit commun, en démontrant un manquement à l'obligation de vigilance face à des anomalies apparentes (Cass. com., 12 juin 2025, n° 24-13.697 ; 19 nov. 2025, n° 24-19.776).

    ›› Ce qui précède : les mécanismes concrets de la fraude aux ordres de virement. Ce qui suit : l'architecture des régimes de responsabilité applicables, du droit commun au cadre issu des directives européennes sur les services de paiement.

    ⚖️ Le régime classique de responsabilité

    La détermination du régime applicable au banquier qui exécute un ordre de virement frauduleux a longtemps divisé la doctrine. Le débat portait sur un problème de principe apparemment simple mais aux implications considérables : l'établissement de crédit est-il libéré par la seule exécution de l'ordre, ou demeure-t-il responsable de plein droit ? La réponse à cette interrogation dépend de la qualité en laquelle le banquier intervient à l'égard du titulaire du compte, ce qui conduit à distinguer nettement deux hypothèses.

    Double qualité du banquier teneur de compte Mandataire du donneur d'ordre Ordre falsifié Mandat valable ab initio → Responsabilité pour faute Rôle Exécuter les instructions du titulaire du compte Obligation de vérification de la signature Dépositaire irrégulier Ordre faux ab initio Aucun mandat valablement conféré → Responsabilité de plein droit Fondement Res perit domino Art. 1342-2 et 1937 C. civ. Obligation de restitution au déposant

    L'ordre faux ab initio : la responsabilité de plein droit

    📐 Principe

    Il appartient au banquier qui exécute un ordre de virement émanant d'un tiers non habilité de supporter intégralement les conséquences financières de cette opération. La jurisprudence a posé ce principe avec une netteté remarquable, en considérant que l'absence de faute du banquier est indifférente à l'engagement de sa responsabilité (CA Paris, 3 janv. 1975 ; CA Paris, 21 janv. 1992 ; CA Paris, 19 nov. 1997).

    La justification théorique de cette sévérité apparente repose sur une analyse rigoureuse de la position juridique du banquier. Lorsqu'un ordre émane d'une personne dépourvue de tout pouvoir sur le compte, aucun mandat valable n'a été conféré à l'établissement de crédit. Celui-ci ne peut dès lors se prévaloir de sa qualité de mandataire pour échapper à sa responsabilité. Sa position ne peut être appréciée qu'au regard de ses obligations de dépositaire irrégulier, qualité qui emporte deux conséquences décisives.

    ⚖️ Fondements textuels — Articles 1342-2 et 1937 du Code civil

    Conséquence tirée du transfert de propriété : ayant acquis la propriété des sommes inscrites en compte en raison de l'irrégularité du dépôt, le banquier en supporte la disparition conformément à l'adage res perit domino. Le risque de perte — y compris par l'effet d'une fraude — retombe donc sur lui.

    Conséquence tirée de la qualité de débiteur : les articles 1342-2 et 1937 du Code civil subordonnent la validité d'un paiement libératoire à la condition que les fonds soient effectivement parvenus au créancier ou au mandataire que celui-ci a expressément habilité à les recevoir. L'établissement qui dessaisit les sommes au profit d'un tiers dépourvu de toute habilitation ne saurait se prévaloir ni d'un cas fortuit ni de l'irréprochabilité de sa conduite pour éluder cette exigence restitutoire.

    🔨 Jurisprudence — Consécration par la Cour de cassation

    La chambre commerciale de la Cour de cassation a définitivement consacré cette solution dans un arrêt du 10 octobre 2000 (n° 98-10.831), transposant au virement l'intégralité du régime retenu en matière de chèque faux. La Haute juridiction a confirmé par la suite que, quand bien même aucun manquement professionnel ne serait imputable à l'établissement dans le traitement des ordres contestés, cette seule circonstance ne peut le libérer de son obligation de ne restituer les sommes qu'au déposant ou à son représentant mandaté (Cass. com., 3 nov. 2004, n° 01-16.238 ; 8 nov. 2005, n° 03-20.402 ; 23 avr. 2013, n° 12-18.119).

    L'ordre falsifié postérieurement : de la faute prouvée à l'absence d'autorisation

    Lorsqu'un ordre de virement, régulièrement émis par le titulaire du compte, fait l'objet d'une falsification ultérieure par un tiers — notamment par la modification des coordonnées bancaires du bénéficiaire —, la situation juridique se présente différemment. En effet, il existait ab initio un mandat de payer valablement conféré au banquier. C'est pourquoi le teneur de compte ne pouvait être inquiété qu'au titre de ses obligations de mandataire, ce qui subordonnait son engagement à la preuve d'un manquement concret — insuffisance de contrôle ou inattention face à une anomalie décelable (CA Paris, 12 janv. 1996).

    Toutefois, la Cour de cassation a opéré un revirement majeur par un arrêt du 1er juin 2023, considérablement protecteur des intérêts du donneur d'ordre. La chambre commerciale a jugé que lorsque les références du bénéficiaire sont falsifiées à l'insu du client, ce dernier n'a pas consenti au paiement tel qu'il a été exécuté.

    🔨 Cass. com., 1er juin 2023, n° 21-19.289, F-B — L'absence de consentement au bénéficiaire

    La Cour de cassation a posé le principe selon lequel le caractère autorisé d'un transfert de fonds suppose que le payeur ait donné son accord non seulement sur le montant, mais également sur la personne destinataire, conformément aux exigences combinées des articles L. 133-3 et L. 133-6 du Code monétaire et financier. Il s'ensuit que la falsification des coordonnées du destinataire, fût-elle postérieure à l'émission de l'ordre, fait obstacle à cette double exigence et prive l'opération de toute autorisation valable. En conséquence, le régime protecteur des opérations non autorisées a vocation à s'appliquer : la banque supporte les conséquences financières du détournement, sauf à établir une négligence grave du payeur.

    📜 Régime antérieur (avant Cass. com. 1er juin 2023)

    Ordre falsifié = mandat valable préexistant. Le teneur de compte ne pouvait être inquiété que sur le terrain du mandat, pour faute prouvée (insuffisance de contrôle, anomalie ignorée). Le donneur d'ordre supportait la charge de la preuve du manquement bancaire, ce qui le plaçait dans une position défavorable lorsque la falsification s'avérait difficilement décelable.

    ⚡ Régime actuel (depuis Cass. com. 1er juin 2023)

    Ordre falsifié = opération non autorisée. Le consentement du payeur doit porter sur le bénéficiaire ; la falsification des coordonnées prive l'opération de son caractère autorisé. La banque doit rembourser immédiatement le payeur, sauf à prouver sa négligence grave. Le renversement de la charge de la preuve au profit du donneur d'ordre constitue un progrès considérable.

    Les conséquences patrimoniales : recrédit du compte et répétition de l'indu

    La mise en œuvre de la responsabilité du banquier — qu'elle soit de plein droit ou fondée sur l'absence d'autorisation — emporte une obligation immédiate : le rétablissement de la somme au crédit du compte du client. Il appartient au banquier de procéder à cette restitution dès lors que le faux ou la falsification est établi, sans qu'il puisse subordonner ce recrédit à l'issue d'un éventuel procès en responsabilité. Une jurisprudence ancienne mais toujours pertinente considère comme abusive l'attitude du banquier fautif qui retiendrait les fonds dans l'attente d'une décision judiciaire (CA Aix-en-Provence, 5 mai 1948).

    💡 En pratique — L'action en répétition de l'indu du banquier

    En contrepartie de cette obligation de recrédit, le teneur de compte dispose d'un recours fondé sur la répétition de l'indu dirigé contre le bénéficiaire effectif du virement frauduleux ou contre le destinataire ayant reçu une somme excédant celle qui lui était due (CA Paris, 17 déc. 1962 ; CA Versailles, 5 nov. 1986). Cependant, cette action lui sera refusée lorsque deux conditions sont cumulativement réunies : le titulaire du compte crédité détenait une créance sur le donneur d'ordre couvrant la somme reçue, et l'établissement a procédé au transfert en omettant les diligences élémentaires qu'imposait la prudence professionnelle (Cass. com., 12 janv. 1988, n° 86-14.347). De même, le banquier ayant effectué par erreur un double virement ne peut exercer cette action contre le banquier du bénéficiaire, celui-ci n'ayant que la qualité de simple mandataire et non d'accipiens (Cass. com., 10 janv. 1995).

    ›› Ce qui précède : le régime classique fondé sur la double qualité du banquier. Ce qui suit : le cadre normatif issu des directives européennes sur les services de paiement (DSP1 et DSP2), qui unifie le traitement des ordres frauduleux pour l'ensemble des instruments de paiement.

    🇪🇺 Le régime issu des directives « services de paiement »

    Les ordonnances n° 2009-866 du 15 juillet 2009 et n° 2017-1252 du 9 août 2017, transposant successivement les première et deuxième directives sur les services de paiement (DSP1 et DSP2), ont profondément reconfiguré l'architecture de la responsabilité en matière d'opérations de paiement non autorisées. Le législateur européen a fait le choix d'unifier le régime de répartition des pertes en l'étendant à tous les instruments de paiement — cartes, virements, prélèvements —, reprenant et généralisant le dispositif protecteur qui était antérieurement réservé aux seules cartes bancaires.

    Cette harmonisation technique, guidée par le principe de neutralité vis-à-vis du support utilisé, soulève toutefois des difficultés d'adaptation au virement. Certaines dispositions, pensées pour des instruments matériels susceptibles de soustraction, se transposent malaisément à un ordre dématérialisé. La doctrine a pu dénoncer le caractère excessivement abstrait d'un corpus réglementaire qui prétend régir indifféremment des moyens de paiement aussi hétérogènes que la carte à puce et le virement scriptural. Ainsi, la franchise de 50 euros destinée à couvrir les cas de perte ou de soustraction de l'instrument (art. L. 133-19 CMF) sied difficilement au virement, dont le support n'est pas susceptible d'être dérobé. Certains commentateurs estiment néanmoins que cette franchise devrait s'appliquer à tout dispositif au sens de l'article L. 133-4, c, du même code, tandis que d'autres préfèrent qualifier la situation de « détournement des données » liées à l'instrument — hypothèse couverte par l'article L. 133-19, II, qui ouvre droit à un remboursement intégral du payeur. De même, il convient de signaler que lorsque les données de connexion du payeur ont été captées à son insu — ce qui est caractéristique du phishing —, le texte prévoit son exonération totale dès lors que l'opération a été réalisée en détournant les éléments de sécurité sans sa connaissance.

    Le mécanisme de protection du payeur en cinq étapes

    1
    Signalement et opposition par le payeur — Le titulaire conteste l'opération ou constate un défaut d'exécution. L'article L. 133-17 du Code monétaire et financier lui impose d'alerter son prestataire sans délai dès qu'il prend connaissance d'un usage détourné de sa procédure de virement ou de ses éléments de sécurité, aux fins de blocage du dispositif. Une fois cette opposition notifiée, le client n'assume plus les suites des opérations réalisées en méconnaissance de celle-ci.
    2
    Transfert de la charge probatoire vers le prestataire — L'article L. 133-23 du Code monétaire et financier impose à l'établissement d'établir que l'opération litigieuse a été régulièrement vérifiée, correctement enregistrée et traitée sans défaillance technique. Le seul fait que le dispositif de sécurité ait été effectivement employé par un tiers ne suffit pas à démontrer l'implication du titulaire ni la réalité de son consentement (Cass. com., 18 janv. 2017, n° 15-18.102).
    3
    Remboursement immédiat — Si la preuve de l'autorisation n'est pas rapportée, le banquier rembourse sans délai le payeur de la totalité de la somme contestée et reconstitue le solde tel qu'il se serait présenté sans l'opération litigieuse, y compris les frais et intérêts que le débit indu aurait générés (art. L. 133-18 CMF).
    4
    Exception : l'imprudence caractérisée du payeur — Le remboursement peut être écarté si le prestataire démontre que le payeur a agi frauduleusement ou a méconnu, de manière délibérée ou par imprudence d'une gravité caractérisée, ses obligations de préservation du secret de ses éléments d'authentification et de signalement rapide des utilisations suspectes (art. L. 133-19, IV CMF, combiné avec les art. L. 133-16 et L. 133-17).
    5
    Exonération totale du payeur — Le titulaire du compte est intégralement déchargé si aucun dispositif de sécurité personnalisé n'a été utilisé par l'usurpateur, ou en cas de contrefaçon et de détournement de l'instrument, de ses données ou de son dispositif de sécurité (art. L. 133-19, II et V CMF). Les nouvelles exigences d'authentification forte renforcent cette protection.

    Les délais de contestation : une obligation de célérité

    ⚖️ Article L. 133-24 du Code monétaire et financier — Délai de forclusion

    Quiconque conteste une opération inscrite au débit de son compte doit porter réclamation auprès de son prestataire dans un délai de treize mois calculé à partir de la date d'inscription de l'opération, à peine de forclusion. Ce délai revêt un caractère impératif pour les personnes physiques intervenant en dehors du cadre professionnel. En revanche, les professionnels et les personnes morales peuvent convenir contractuellement de délais distincts, en général plus resserrés. La chambre commerciale a récemment rappelé la rigueur de cette déchéance temporelle (Cass. com., 2 juill. 2025, n° 24-16.590).

    Situation Délai de contestation Aménagement contractuel
    Personne physique non professionnelle 13 mois à compter du débit Impératif — Aucun aménagement possible
    Professionnel ou personne morale 13 mois (par défaut) Réductible par convention des parties
    PSP du payeur situé à Saint-Pierre-et-Miquelon ou Saint-Barthélemy, PSP du bénéficiaire hors de France 70 jours Extensible jusqu'à 120 jours maximum

    Le devoir de vérification du banquier exécutant

    Indépendamment du régime spécifique issu des DSP, le banquier auquel un ordre de virement est adressé conserve une obligation générale de vérification. En sa qualité de mandataire à titre onéreux, il engage sa responsabilité — de nature contractuelle — même pour des manquements légers dans le traitement des instructions reçues. Les clauses élusives ou limitatives de responsabilité peuvent figurer dans les conditions générales, mais elles sont inopposables aux consommateurs, nécessairement régis par l'article L. 133-22 du Code monétaire et financier, lequel consacre un principe de responsabilité objective du prestataire. Il lui incombe de contrôler que l'instruction provient bien d'une personne autorisée à mouvementer le compte et qu'elle ne recèle aucune irrégularité. Lorsque les circonstances n'exigent pas une exécution immédiate, le contrôle doit être exercé avec plus de rigueur que celui habituellement pratiqué pour le chèque ; toute circonstance inhabituelle impose au professionnel de solliciter la confirmation du client avant d'exécuter l'instruction.

    • Vérification de la signature : contrôle de la concordance avec le spécimen déposé, sans exiger du banquier qu'il soit un expert en graphologie, mais en attendant de lui la diligence d'un professionnel normalement prudent
    • Contrôle des dispositifs de sécurité : pour les ordres en ligne, mise en place et vérification des mesures d'authentification personnalisées convenues avec le client
    • Détection des anomalies apparentes : montant inhabituel, destination incohérente avec l'activité du client, numéro de compte inexact, circonstances suspectes
    • Vérification des pouvoirs : en présence d'un représentant de personne morale, contrôle de l'existence et de la régularité du pouvoir allégué, avec investigations approfondies en cas de doute
    • Rapprochement identifiant unique / bénéficiaire : l'article L. 133-21 du Code monétaire et financier (modifié par l'ordonnance du 9 août 2017) exonère toutefois le prestataire lorsque le payeur a fourni un identifiant unique (IBAN) erroné, fût-il accompagné d'informations complémentaires divergentes ; dans ce cas, l'établissement doit raisonnablement tenter de récupérer les fonds et, à défaut, transmettre au titulaire toutes les informations utiles pour agir en justice (Cass. com., 24 janv. 2018, n° 16-22.336)
    🔨 Jurisprudence récente — Fraude au Président et obligation de vigilance (2024-2025)

    La chambre commerciale a précisé les contours du devoir de vigilance dans le contexte des manipulations hiérarchiques. Elle a jugé que, face à des transferts entachés d'irrégularités perceptibles et accompagnés de circonstances inhabituelles évoquant une manipulation, l'établissement est tenu de vérifier la légitimité des instructions directement auprès du dirigeant (Cass. com., 2 oct. 2024, n° 23-13.282). À l'inverse, en l'absence d'anomalie décelable — opérations conformes aux seuils convenus, solde créditeur, destination non suspecte —, le prestataire n'engage pas sa responsabilité (Cass. com., 12 juin 2025, n° 24-10.168). En outre, la vulnérabilité personnelle du client qui procède à des transferts depuis le compte d'une entreprise dont il assure la direction vers son patrimoine personnel ne constitue pas une irrégularité perceptible ; le banquier, lié par son obligation de non-immixtion, n'est pas astreint à des investigations sur les motifs personnels de l'opération (Cass. com., 2 mai 2024, n° 22-17.233).

    Il convient enfin de rappeler que la responsabilité du banquier du faussaire peut être recherchée sur le terrain délictuel, notamment lorsque celui-ci a omis les vérifications imposées par la loi lors de l'ouverture du compte ayant servi de réceptacle aux fonds détournés.

    ›› Ce qui précède : le régime de protection issu des DSP et le devoir de vérification du banquier. Ce qui suit : le rôle du comportement du titulaire du compte dans la répartition finale des pertes, et en particulier la notion cardinale de négligence grave.

    🚨 La prise en compte du comportement du titulaire du compte

    Le régime protecteur mis en place au bénéfice du payeur n'opère pas de manière absolue. Le législateur et la jurisprudence ont ménagé des mécanismes d'allègement, voire d'exonération, de la responsabilité du banquier lorsque le titulaire du compte a lui-même contribué à la réalisation du préjudice par son comportement. Deux hypothèses méritent d'être distinguées : la faute du client ayant facilité l'établissement du faux, et la qualification plus exigeante de négligence grave au sens de l'article L. 133-19, IV du Code monétaire et financier.

    La faute du titulaire ayant facilité le faux

    Depuis les premières décisions en la matière, la jurisprudence reconnaît que le teneur de compte peut voir sa responsabilité réduite, voire totalement effacée, dès lors qu'il est démontré que le titulaire a contribué par son imprudence ou sa négligence à rendre possible la réalisation du détournement. Ce mécanisme trouve son fondement dans le droit commun de la responsabilité contractuelle : la faute de la victime vient réduire, en proportion de sa gravité, le droit à réparation intégrale.

    Les comportements susceptibles de caractériser une telle imprudence sont variés : la communication imprudente au faussaire du numéro de son compte ou de l'état de son solde, la remise d'un spécimen de sa signature, la négligence dans l'utilisation ou la conservation de documents portant les coordonnées bancaires (relevé d'identité bancaire, relevé de compte, carte de paiement), ou encore le défaut de surveillance des mouvements du compte ayant favorisé la répétition des détournements. Lorsque la fraude est le fait d'un salarié du titulaire, ce dernier en répond au titre de la responsabilité du commettant prévue à l'article 1242, alinéa 5, du Code civil — sous réserve de la possibilité de démontrer un manquement concurrent de l'établissement bancaire de nature à atténuer sa propre part de responsabilité.

    La négligence grave au sens de l'article L. 133-19, IV du CMF

    ⚖️ Article L. 133-19, IV du Code monétaire et financier

    Aux termes de l'article L. 133-19, IV, du Code monétaire et financier, l'intégralité des pertes résultant d'opérations non autorisées retombe sur le payeur dans deux hypothèses : soit lorsque ces pertes trouvent leur origine dans un comportement frauduleux de sa part, soit lorsqu'il a méconnu — de manière délibérée ou par une imprudence d'une gravité caractérisée — les obligations de préservation du secret de ses éléments d'authentification (art. L. 133-16 CMF) et de signalement rapide de toute utilisation suspecte (art. L. 133-17 CMF). Cette notion de négligence grave, consacrée par l'ordonnance du 9 août 2017 portant transposition de la DSP2, se substitue à l'ancienne référence à la négligence constitutive d'une « faute lourde ».

    En dehors des hypothèses de phishing et de spoofing — qui feront l'objet de développements spécifiques —, les situations dans lesquelles les juges ont caractérisé l'imprudence caractérisée du payeur à propos d'un virement demeurent extrêmement rares en jurisprudence. La raison tient à ce que le standard d'appréciation est élevé : il ne suffit pas d'établir une simple imprudence, il faut démontrer un comportement dont la gravité est telle qu'il dénote une indifférence caractérisée aux obligations élémentaires de sécurité.

    📌 Illustration — Négligence grave retenue (CA Colmar, 4 janv. 2023)

    Une cour d'appel a jugé constitutif d'une négligence grave le fait, pour le titulaire d'un compte, de laisser une assistante comptable bénéficier d'un code confidentiel lui permettant de réaliser sans contrôle des virements depuis l'interface bancaire du client. La transmission délibérée et sans encadrement d'identifiants personnels à un tiers caractérise le manquement à l'obligation de préservation de la sécurité des dispositifs personnalisés.

    🎣 Phishing et spoofing : la négligence grave en question

    C'est dans l'hypothèse où le client a été victime d'un hameçonnage (phishing) ou d'une usurpation d'identité (spoofing) que la notion de négligence grave suscite le débat le plus nourri. La question revêt une importance pratique considérable : la qualification de négligence grave permet au banquier de s'exonérer de toute obligation de remboursement, faisant ainsi peser l'intégralité des pertes sur le client victime de la fraude. La Cour de cassation a progressivement élaboré un cadre d'appréciation rigoureux, fondé sur la notion d'indices objectifs de fraude.

    Construction jurisprudentielle : les étapes décisives

    Cass. com., 18 janvier 2017 (n° 15-18.102)
    Principe fondateur : la seule circonstance que les éléments d'authentification du payeur aient été effectivement utilisés par un tiers ne suffit pas à caractériser son imprudence. Autrement dit, la qualité de victime d'un hameçonnage n'emporte pas, à elle seule, qualification d'un manquement aux obligations de sécurité.
    Cass. com., 28 mars 2018 (n° 16-20.018)
    Critère déterminant — les signaux d'alerte objectifs : commet une imprudence caractérisée l'utilisateur qui transmet ses identifiants en répondant à un message électronique comportant des anomalies de nature à éveiller les soupçons d'une personne raisonnablement vigilante, indépendamment de sa connaissance préalable des risques liés à l'hameçonnage.
    CA Versailles, 28 mars 2023
    Limite protectrice : lorsque le stratagème repose sur un dispositif de spoofing sophistiqué, susceptible de tromper un particulier exerçant une méfiance raisonnable — le fraudeur ou un complice endossant l'identité d'un agent de l'établissement bancaire —, aucune imprudence caractérisée ne saurait être imputée au payeur.
    Tendance récente des juges du fond (2021-2025)
    Les campagnes de sensibilisation contre le phishing et les messages bancaires rappelant que les identifiants ne seront jamais demandés par courriel ou téléphone conduisent les juridictions à retenir plus fréquemment la négligence grave, la méfiance élémentaire face à de telles sollicitations étant désormais considérée comme un comportement exigible de tout utilisateur (Cass. com., 6 juin 2018, n° 16-29.065 ; 2 juin 2021, n° 19-19.577 ; 24 nov. 2021, n° 20-13.767).
    À retenir — Le standard d'appréciation de la négligence grave

    L'appréciation de l'imprudence caractérisée repose sur l'identification de signaux d'alerte objectifs que le client était en mesure de repérer, tels que : des erreurs grammaticales ou orthographiques dans la communication frauduleuse, une adresse d'expédition inhabituelle ne reprenant pas le domaine officiel de l'établissement, un numéro de contrat erroné, ou toute autre anomalie perceptible par un utilisateur exerçant une vigilance raisonnable. On retrouve ici, en filigrane, la notion d'anomalie apparente qui irrigue l'ensemble du devoir de vigilance bancaire. A contrario, lorsque le stratagème frauduleux s'avère sophistiqué — numéro d'appel officiel reproduit, interface web fidèlement imitée, mise en scène crédible —, le client qui se laisse abuser ne saurait se voir reprocher un manquement à ses obligations de sécurité. La naïveté, néanmoins, n'est plus une circonstance exonératoire : le standard de vigilance requis est désormais objectif et ne dépend pas du degré d'expertise ou de la sensibilisation préalable du payeur.

    Il convient enfin de relever qu'en matière probatoire, le détournement d'une adresse de connexion numérique ne constitue pas un élément suffisant pour imputer au titulaire de l'ordinateur correspondant la paternité de l'opération contestée. L'établissement bancaire ne saurait se fonder sur ce seul indice technique pour reporter la charge du virement frauduleux sur son client.

    ›› Ce qui précède : l'appréciation nuancée de la négligence grave dans les hypothèses de phishing et de spoofing. Ce qui suit : la synthèse récapitulative de l'ensemble du régime applicable aux ordres de virement faux ou falsifiés.

    ✅ Synthèse récapitulative

    Tableau de synthèse : répartition des pertes selon le type de fraude

    Hypothèse Qualification Régime applicable Charge de la preuve Issue pour le client
    Ordre faux ab initio (émis par un faussaire) Aucun mandat — dépôt irrégulier Responsabilité de plein droit du banquier (res perit domino) Le client établit le faux Recrédit immédiat (sauf faute du client)
    Ordre falsifié (coordonnées du bénéficiaire modifiées) Opération non autorisée (depuis Cass. com. 1er juin 2023) Art. L. 133-18 s. CMF Banquier prouve l'authentification ou la négligence grave Remboursement immédiat sauf négligence grave
    Phishing / Spoofing (données dérobées) Opération non autorisée Art. L. 133-18 s. CMF Banquier prouve la négligence grave (indices objectifs) Remboursement sauf indices détectables par un utilisateur attentif
    Fraude au Président (virement ordonné par la victime) Opération autorisée (consentement vicié) Droit commun + obligation de vigilance Client prouve la faute du banquier (anomalies apparentes) Réparation si anomalies apparentes non détectées
    Les clefs essentielles à retenir

    1. La double qualité du banquier — mandataire et dépositaire irrégulier — demeure le fondement conceptuel de la répartition des pertes en cas d'ordre faux ab initio, même si le régime des DSP s'y superpose désormais.

    2. Depuis l'arrêt du 1er juin 2023, la falsification des coordonnées du bénéficiaire prive l'opération de son caractère autorisé, ce qui emporte application du régime protecteur des articles L. 133-18 et suivants du CMF.

    3. La négligence grave du payeur constitue le principal moyen d'exonération du banquier. Elle s'apprécie objectivement, au regard des indices de fraude que le client aurait pu détecter, et non au regard de son degré d'expertise ou de sa connaissance des risques.

    4. Le délai de 13 mois pour contester une opération non autorisée est un délai de forclusion, impératif pour les consommateurs, aménageable pour les professionnels.

    5. En matière de fraude au Président, le virement étant une opération autorisée, le client ne bénéficie pas du régime des DSP et doit démontrer un manquement du banquier à son obligation de vigilance face aux anomalies apparentes.