La Cour de cassation a décidé de durcir les règles en matière d'escroquerie bancaire. Désormais, les banques peuvent échapper à leur obligation de remboursement dans deux cas spécifiques de négligence du client.
La plus haute juridiction de l'ordre judiciaire a tranché la question du remboursement d'un usager victime d'une fraude bancaire. Dans deux arrêts rendus le 15 janvier 2025, la Cour de cassation a précisé les conditions dans lesquelles les banques sont libérées de leur obligation de remboursement en cas d'escroquerie.
Le principe est désormais bien établi et vient faire jurisprudence. Si le client commet une négligence grave ou fournit lui-même un IBAN erroné, la banque est dégagée de toute responsabilité, même en cas de manquement à son devoir de vigilance. Voyons les détails ô combien intéressants de ces deux affaires.
Des cas révélateurs des nouvelles fraudes bancaires
Le premier arrêt opposait la Caisse d'Épargne et de prévoyance du Languedoc-Roussillon à un couple ayant effectué deux virements pour l'achat d'un véhicule. Leur messagerie électronique a été piratée et l'IBAN du vendeur a été remplacé par celui d'un escroc. Le véritable vendeur n'a jamais reçu l'argent, et la banque a refusé tout remboursement.
Dans la secondaire affaire, les sociétés Artemis ont été victimes d'une attaque via leur service de banque en ligne « Transbred.com ». Un cheval de Troie, installé après l'ouverture d'un e-mail frauduleux, a permis aux pirates d'effectuer six virements non autorisés totalisant près de 498 000 euros. Artemis a mis en cause la BRED Banque Populaire.
Les cours d'appel avaient initialement retenu un partage des responsabilités, considérant que les banques avaient aussi manqué à leur obligation de vigilance, notamment en ignorant des alertes de sécurité et de nombreuses tentatives de connexion suspectes. La plus haute juridiction en a décidé autrement.
Une application stricte du droit européen
La Cour de cassation a en effet rejeté cette approche, en s'appuyant sur l'arrêt Beobank de la Cour de justice européenne du 16 mars 2023. Elle a rappelé que le régime spécial du Code monétaire et financier, issu de la directive européenne 2007/64/CE, est d'application exclusive.
Selon ce régime, la banque est libérée de son obligation de remboursement dans deux situations précises : en cas de négligence grave du client (comme l'ouverture d'un e-mail manifestement frauduleux) ou lorsque le client fournit lui-même un IBAN erroné, même si celui-ci a été substitué à son insu.
Dans ces deux cas spécifiques, la responsabilité de la banque ne peut plus être recherchée sur d'autres fondements, comme le manquement à son devoir de vigilance. Ce régime harmonisé au niveau européen exclut donc toute application du droit commun national.
Un impact pour les utilisateurs de services bancaires
Cette jurisprudence vient significativement renforcer les obligations de vigilance des clients bancaires. Pour conserver leur droit au remboursement en cas d'escroquerie, ils devront redoubler de prudence dans la gestion de leurs opérations bancaires en ligne et la vérification des coordonnées des bénéficiaires.
Les entreprises, en particulier, devront mettre en place des protocoles de sécurité renforcés. Le Centre d'alerte et de réaction aux attaques informatiques recommande d'ailleurs une vigilance accrue face aux courriers électroniques suspects, et une vérification systématique des coordonnées bancaires par un canal de communication alternatif.
Ces arrêts, repérés par l'association UFC-Que Choisir, marquent en tout cas un tournant dans la protection des victimes d'escroqueries bancaires, qui savent désormais à quoi s'en tenir. Si la banque conserve une obligation générale de remboursement en cas d'opération non autorisée, il faut avoir à l'esprit que cette protection disparaît totalement dès lors que le client a commis une négligence grave ou fourni lui-même un IBAN incorrect.
