• Français
  • English

    • Actualité sur la fraude aux virements bancaires

    Posted on by Véronique MENASCE-CHICHE

    1. Discordance entre le nom du bénéficiaire et le numéro d’IBAN renseigné 

    Dans un contexte de fraude aux virements bancaires qui ne cessent d’augmenter, l’IBAN fourni est souvent inexact puisque la victime ignore que les fonds sont adressés sur un compte tiers.

    Bien que la Directive (UE) n°2015/2366 du Parlement Européen du 25 novembre 2015 (dite « DSP2 ») invite dans son considérant 88, les États membres à « demander au prestataire de services de paiement du payeur d’agir avec toute la diligence requise et, lorsque cela est techniquement possible et ne nécessite pas d’intervention manuelle, de vérifier la cohérence de l’identifiant unique, et, s’il apparaît que cet identifiant unique n’est pas cohérent, de refuser l’ordre de paiement et d’en informer le payeur », le droit positif actuel dégage de toute responsabilité les banques en cas de discordance entre le numéro d’IBAN renseigné et le nom du bénéficiaire.

    Pour la Cour de cassation, la victime de fraude ne saurait reprocher au prestataire de service de paiement, de ne pas avoir vérifié si l’identifiant unique du virement coïncide avec le numéro de compte du bénéficiaire (Cass. com., 24 janv. 2018, n°16-22.336) sur le fondement de de l’article L. 133-21, alinéa 2 du Code monétaire et financier « Si l’identifiant unique fourni par l’utilisateur du service de paiement est inexact, le prestataire de services de paiement n’est pas responsable de la mauvaise exécution ou de la non-exécution de l’opération de paiement. »

    La Cour de Justice de l’Union Européenne considère aussi que « lorsqu’un ordre de paiement est exécuté conformément à l’identifiant unique fourni par l’utilisateur de services de paiement, lequel ne correspond pas au nom du bénéficiaire indiqué par ce même utilisateur, la limitation de la responsabilité du prestataire de services de paiement, prévue par cette disposition, s’applique tant au prestataire de services de paiement du payeur qu’au prestataire de services de paiement du bénéficiaire. » ( CJUE, 21 mars 2019, aff. C-245/18), en s’appuyant sur le même fondement.

    En l’état actuel, le droit positif est donc en contradiction avec les intentions du législateur européen et insuffisamment protecteur des intérêts du consommateur alors pourtant que l’Observatoire de la sécurité des moyens de paiement (OSMP) préconisait l’utilisation d’outils de confirmation du bénéficiaire (« confirmation of payee ») (OSMP, Rapport annuel sur 2020, p. 47), c’est à dire un service de correspondance entre l’IBAN et le nom du compte en temps réel et qu’un auteur suggérait à juste titre que pour les ordres contenant des IBAN français, les prestataires de services de paiement avaient les moyens de systématiser l’application « Diamond » proposée par la société SEPAmail.eu, dont une centaine de banque sont adhérente (A. MARION, « La réglementation lutte-t-elle efficacement contre la fraude aux ordres de virement ? », Banque & Droit 2022, n°201, janv.-févr., p. 18-23)!

    2. Les banques tenues de vérifier l’identité du bénéficiaire à partir du 9 octobre 2025

    Le règlement (UE) n° 2024/886 du Parlement européen et du Conseil du 13 mars 2024 (article 5 quarter) modifiant les règlements (UE) no 260/2012 et (UE) 2021/1230 et les directives 98/26/CE et (UE) 2015/2366 en ce qui concerne les virements instantanés en euros vient désormais sécuriser les virements instantanés en euros en imposant aux banques de proposer à ses clients de vérifier la concordance entre le numéro d’IBAN du bénéficiaire et l’identité du bénéficiaire de ce numéro d’IBAN (JOUE L, 2024/886, 19 mars 2024) .

    Ainsi, lorsque les prestataires de services de paiement sont situés dans un État membre dont la monnaie est l’euro, « Le prestataire de services de paiement d’un payeur propose au payeur un service assurant la vérification du bénéficiaire auquel le payeur a l’intention d’envoyer un virement (service assurant la vérification). Le prestataire de services de paiement du payeur effectue le service assurant la vérification immédiatement après que le payeur a fourni les informations pertinentes sur le bénéficiaire et avant que le payeur ne se voie offrir la possibilité d’autoriser le virement concerné. (…) ».

    Ce règlement européen sera applicable en France à partir du 9 octobre 2025, et au plus tard le 9 juillet 2027, dans un État membre dont la monnaie n’est pas l’euro.

    Il s’agit là d’une nouvelle règlementation intervenue en raison de la recrudescence des fraudes en matière de virements le législateur européen s’étant rendu compte que la législation actuelle ne protégeait pas les victimes de fraude aux virements en cas de discordances entre l’IBAN et le bénéficiaire du virement, alors que le consommateur n’est pas en mesure de vérifier leur concordance en raison de la confidentialité liée au secret bancaire.

    Cette réglementation nouvelle, si elle constitue un pas important en vue de la réduction des fraudes aux virements bancaires, ne s’appliquera toutefois qu’aux virements SEPA instantanés.

    Afin de renforcer la protection des victimes contre les fraudes, l’article 5 bis, § 6 prévoit qu’ « à la demande de l’utilisateur de services de paiement, un prestataire de services de paiement offre à l’utilisateur de services de paiement la possibilité de fixer une limite établissant le montant maximal qui peut être envoyé au moyen d’un virement instantané ».

    Par ailleurs, le 28 juin 2023, la Commission européenne a présenté un projet de règlement pour les services de paiement (RSP) (Commission Européenne, Proposition de règlement concernant les services de paiement dans le marché intérieur et modifiant le règlement (UE) nº 1093/2010, COM /2023/367 final) et une troisième directive sur les services de paiement (DSP3).

    Le premier des deux textes propose dans son article 50 un service de rapprochement entre le nom du bénéficiaire et son identifiant unique dans le cas de virements :

    « Dans le cas de virements, le prestataire de services de paiement du bénéficiaire vérifie gratuitement, à la demande du prestataire de services de paiement du payeur, la concordance entre l’identifiant unique et le nom du bénéficiaire fournis par le payeur et communique le résultat de cette vérification au prestataire de services de paiement du payeur. Si l’identifiant unique et le nom du bénéficiaire ne concordent pas, le prestataire de services de paiement du payeur notifie au payeur toute divergence détectée et l’informe du degré de cette divergence. »

    3. Recours de la victime d’un virement frauduleux, avant l’entrée en vigueur de cette nouvelle législation

    Deux régimes de responsabilité différents peuvent s’appliquent et sont fonction du fait de savoir s’il s’agit d’un “virement autorisé” ou d’un virement “non autorisé”.

    Si l’opération n’est pas autorisée, la responsabilité spéciale des prestataires de services de paiement s’appliquera.

    Dans ce cas, la banque devra rembourser le prestataire de service de paiement (sauf si la négligence grave du payeur ou sa propre fraude est rapportée) (article L. 133-18 du Code monétaire et financier).

    Or, bien souvent, la victime initie elle-même les opérations de paiement en suivant les instructions de l’escroc ou en remettant un IBAN qu’elle ignore être falsifiée.

    Dans ce cas de figure, la victime s’expose à ce que la banque lui oppose qu’il s’agit d’une opération autorisée, et à tout le moins « mal exécutée », et donc elle opposera son absence de responsabilité sur le fondement de l’article L. 133-21 du Code monétaire et financier.

    La Cour de cassation a parfois exprimé dans sa jurisprudence que l’autorisation d’une opération de paiement ne se confondait pas strictement avec le consentement (Cass. com., 30 nov. 2022, 21-17.614 ; Publié au Bulletin ; Cass. com, 1er juin 2023, n°21-19.289 ; Publié au bulletin).

    Toutefois, en dernier lieu, dans un arrêt du 27 mars 2024  (Cass. com., 27 mars 2024, n°22-21200 ; Publié au Bulletin ; et déjà en ce sens CJUE, 16 mars 2023, n° C-351/21), la Cour de cassation a récemment retenu que dans le cas où le titulaire des comptes qui contestait être l’auteur des ordres de transfert des fonds litigieux, la responsabilité de la banque ne pouvait être recherchée que sur le fondement de l’article L. 133-18 du code monétaire et financier qui dispose que :

    « En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu.

    Lorsque l’opération de paiement non autorisée est initiée par l’intermédiaire d’un prestataire de services de paiement fournissant un service d’initiation de paiement, le prestataire de services de paiement gestionnaire du compte rembourse immédiatement, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, au payeur le montant de l’opération non autorisée et, le cas échéant, rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu. La date de valeur à laquelle le compte de paiement du payeur est crédité n’est pas postérieure à la date à laquelle il avait été débité.

    En cas de manquement du prestataire de services de paiement aux obligations prévues aux deux premiers alinéas du présent article, les pénalités suivantes s’appliquent :

    1° Les sommes dues produisent intérêt au taux légal majoré de cinq points ;

    2° Au-delà de sept jours de retard, les sommes dues produisent intérêt au taux légal majoré de dix points ;

    3° Au-delà de trente jours de retard, les sommes dues produisent intérêt au taux légal majoré de quinze points.

    Si le prestataire de services de paiement qui a fourni le service d’initiation de paiement est responsable de l’opération de paiement non autorisée, il indemnise immédiatement le prestataire de services de paiement gestionnaire du compte, à sa demande, pour les pertes subies ou les sommes payées en raison du remboursement du payeur, y compris le montant de l’opération de paiement non autorisée.

    Le payeur et son prestataire de services de paiement peuvent décider contractuellement d’une indemnité complémentaire ».

    La Cour de cassation a alors opposé à la responsabilité de la banque pour manquement à son devoir de vigilance posé par le droit interne, le fait que le droit européen prévalait sur le droit interne afin de dégager la banque de toute responsabilité!

    Il va sans dire que la réglementation européenne nouvelle, qui sera applicable à partir du 9 octobre 2025, viendra pallier au désarroi des victimes de fraude aux virements bancaires démunies face à une législation et à une jurisprudence en dernier lieu si protectrice à l’égard des banques.

     

    Back to top