Cour d’appel de Dijon, le 26 juin 2025, n°22/00654
Par un arrêt du 26 juin 2025, la Cour d’appel de Dijon, deuxième chambre civile, statue sur des virements frauduleux opérés après un hameçonnage touchant deux comptes professionnels. La représentante a renseigné ses identifiants sur un faux site et a validé, par code reçu sur smartphone, la modification de deux IBAN déjà enregistrés comme bénéficiaires de confiance. Six virements ont ensuite été exécutés vers des comptes ouverts sous des identités usurpées auprès d’établissements tiers, sans double authentification.
L’établissement teneur des comptes a refusé le remboursement et les bénéficiaires n’ont pas restitué les fonds. Le tribunal de commerce a rejeté les demandes indemnitaires contre l’ensemble des prestataires. En appel, les demanderesses sollicitent le remboursement des sommes sur le fondement du code monétaire et financier, subsidiairement de la responsabilité civile, tandis que les défendeurs opposent l’exclusivité du régime spécial et l’existence d’une négligence grave.
La question posée tient à l’articulation entre le régime harmonisé des opérations non autorisées, l’exigence d’authentification forte face à une liste de bénéficiaires de confiance, et la caractérisation d’une négligence grave du payeur. La Cour confirme le rejet, réserve l’application des articles L.133-18 et suivants, admet l’absence d’authentification forte pour les virements vers des bénéficiaires de confiance, et retient la négligence grave.
I. L’exclusivité du régime des opérations non autorisées et sa mise en œuvre
A — Harmonisation intégrale et exclusion du droit commun
La Cour place le litige sous l’empire des articles L.133-18 à L.133-24, conformément à l’interprétation européenne. Elle rappelle, à la suite de la Cour de justice, que « le régime de responsabilité des prestataires de services de paiement prévu à l’article 60, paragraphe 1, de la directive 2007/64 ainsi qu’aux articles 58 et 59 de cette directive a fait l’objet d’une harmonisation totale. » L’énoncé ferme l’accès à des fondements alternatifs, contractuels ou délictuels, pour les mêmes faits et le même préjudice.
Cette lecture s’adosse à la jurisprudence récente. La Cour énonce ainsi que « seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du code monétaire et financier […] à l’exclusion de tout autre régime de responsabilité résultant du droit national (Cass. Com., 27 mars 2024, n°22-21.200). » La conséquence est nette. Les demandes indemnitaires concurrentes, dirigées contre le teneur de compte ou les établissements des bénéficiaires, sont déclarées inopérantes dès lors qu’elles visent le remboursement des mêmes virements.
B — Authentification forte et liste de bénéficiaires de confiance
La solution distingue les opérations de modification d’IBAN, validées par une authentification forte, et les virements suivants, exécutés vers des bénéficiaires de confiance. La Cour constate que « l’escroc a par la suite procédé aux six virements litigieux, sans qu’une double authentification soit demandée. » Cette absence ne traduit pas un manquement si l’exemption prévue par le règlement délégué (UE) 2018/389, article 13, paragraphe 2, trouve à s’appliquer.
Le raisonnement s’inscrit dans la logique de l’open banking et du risk-based approach. L’authentification forte demeure obligatoire pour certaines actions sensibles, mais le régime autorise des allègements lorsque le risque est maîtrisé par listes de confiance. En présence de bénéficiaires préalablement validés, l’exonération d’authentification pour l’exécution des virements est admise, ce qui reporte l’enjeu sur la vigilance de l’utilisateur.
II. La négligence grave du payeur et la portée du rejet des demandes contre les banques des bénéficiaires
A — Indices de hameçonnage et manquement aux obligations de vigilance
La qualification pivot est la négligence grave. La Cour détaille les éléments objectifs du message piégé, l’accès via un lien inséré, puis la validation, à très bref délai, de modifications d’IBAN non initiées par l’utilisatrice. Elle retient, dans des termes dépourvus d’ambiguïté, que « c’est par conséquent par une juste appréciation des faits de la cause que le tribunal de commerce a considéré que les appelantes n’avaient pas pris les mesures raisonnables pour assurer la confidentialité des données de sécurité […] et qu’elles avaient commis des négligences graves au sens de l’article L. 133-19 V. »
L’analyse s’inscrit dans le texte de l’article L.133-16, qui impose la préservation des données de sécurité personnalisées. La combinaison d’indices patents de fraude et de validations non sollicitées constitue une défaillance grave. La solution privilégie une répartition des risques conforme au droit harmonisé, tout en rappelant que l’exonération du prestataire suppose la preuve de cette négligence caractérisée.
B — Inopérance des griefs dirigés contre les prestataires des bénéficiaires et du recours de “recall”
Les demandes contre les établissements des bénéficiaires, fondées sur l’ouverture à distance et la surveillance du fonctionnement des comptes, ne prospèrent pas. Elles reposent sur des manquements allégués extérieurs au régime des opérations non autorisées et heurtent l’exclusivité rappelée plus haut. La Cour marque le périmètre de l’article L.133-21, réservé aux opérations mal exécutées, étrangères à l’espèce.
La Cour indique, s’agissant du mécanisme de récupération, que « l’invocation par les appelantes des dispositions de l’article L. 133-21 alinéa 3 du code monétaire financier […] n’est pas plus opérante, dès lors que les virements litigieux constituent des opérations non autorisées, relevant des seuls articles L. 133-18 et suivants. » Le message est clair. Le “recall” n’a pas de portée normative autonome lorsque l’opération est non autorisée et que la négligence grave du payeur est caractérisée.
La décision articule ainsi, sans heurt, la protection du consommateur professionnel avec l’exigence de sécurité partagée, en renforçant la prévisibilité des risques. Elle conforte la centralité du standard de négligence grave, tout en confirmant le rôle déterminant des exemptions d’authentification forte dans les parcours de paiement à risque maîtrisé.
Nos données proviennent de la Cour de cassation (Judilibre), du Conseil d'État, de la DILA, de la Cour de justice de l'Union européenne ainsi que de la Cour européenne des droits de l'Homme.
Avocat Associé
Hassan Kohen
Avocat au Barreau de Paris • Droit Pénal & Droit du Travail
Maître Kohen, avocat à Paris en droit pénal et droit du travail, accompagne ses clients avec rigueur et discrétion dans toutes leurs démarches juridiques, qu'il s'agisse de procédures pénales ou de litiges liés au droit du travail.
Par un arrêt du 26 juin 2025, la Cour d’appel de Dijon, deuxième chambre civile, statue sur des virements frauduleux opérés après un hameçonnage touchant deux comptes professionnels. La représentante a renseigné ses identifiants sur un faux site et a validé, par code reçu sur smartphone, la modification de deux IBAN déjà enregistrés comme bénéficiaires de confiance. Six virements ont ensuite été exécutés vers des comptes ouverts sous des identités usurpées auprès d’établissements tiers, sans double authentification.
L’établissement teneur des comptes a refusé le remboursement et les bénéficiaires n’ont pas restitué les fonds. Le tribunal de commerce a rejeté les demandes indemnitaires contre l’ensemble des prestataires. En appel, les demanderesses sollicitent le remboursement des sommes sur le fondement du code monétaire et financier, subsidiairement de la responsabilité civile, tandis que les défendeurs opposent l’exclusivité du régime spécial et l’existence d’une négligence grave.
La question posée tient à l’articulation entre le régime harmonisé des opérations non autorisées, l’exigence d’authentification forte face à une liste de bénéficiaires de confiance, et la caractérisation d’une négligence grave du payeur. La Cour confirme le rejet, réserve l’application des articles L.133-18 et suivants, admet l’absence d’authentification forte pour les virements vers des bénéficiaires de confiance, et retient la négligence grave.
I. L’exclusivité du régime des opérations non autorisées et sa mise en œuvre
A — Harmonisation intégrale et exclusion du droit commun
La Cour place le litige sous l’empire des articles L.133-18 à L.133-24, conformément à l’interprétation européenne. Elle rappelle, à la suite de la Cour de justice, que « le régime de responsabilité des prestataires de services de paiement prévu à l’article 60, paragraphe 1, de la directive 2007/64 ainsi qu’aux articles 58 et 59 de cette directive a fait l’objet d’une harmonisation totale. » L’énoncé ferme l’accès à des fondements alternatifs, contractuels ou délictuels, pour les mêmes faits et le même préjudice.
Cette lecture s’adosse à la jurisprudence récente. La Cour énonce ainsi que « seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du code monétaire et financier […] à l’exclusion de tout autre régime de responsabilité résultant du droit national (Cass. Com., 27 mars 2024, n°22-21.200). » La conséquence est nette. Les demandes indemnitaires concurrentes, dirigées contre le teneur de compte ou les établissements des bénéficiaires, sont déclarées inopérantes dès lors qu’elles visent le remboursement des mêmes virements.
B — Authentification forte et liste de bénéficiaires de confiance
La solution distingue les opérations de modification d’IBAN, validées par une authentification forte, et les virements suivants, exécutés vers des bénéficiaires de confiance. La Cour constate que « l’escroc a par la suite procédé aux six virements litigieux, sans qu’une double authentification soit demandée. » Cette absence ne traduit pas un manquement si l’exemption prévue par le règlement délégué (UE) 2018/389, article 13, paragraphe 2, trouve à s’appliquer.
Le raisonnement s’inscrit dans la logique de l’open banking et du risk-based approach. L’authentification forte demeure obligatoire pour certaines actions sensibles, mais le régime autorise des allègements lorsque le risque est maîtrisé par listes de confiance. En présence de bénéficiaires préalablement validés, l’exonération d’authentification pour l’exécution des virements est admise, ce qui reporte l’enjeu sur la vigilance de l’utilisateur.
II. La négligence grave du payeur et la portée du rejet des demandes contre les banques des bénéficiaires
A — Indices de hameçonnage et manquement aux obligations de vigilance
La qualification pivot est la négligence grave. La Cour détaille les éléments objectifs du message piégé, l’accès via un lien inséré, puis la validation, à très bref délai, de modifications d’IBAN non initiées par l’utilisatrice. Elle retient, dans des termes dépourvus d’ambiguïté, que « c’est par conséquent par une juste appréciation des faits de la cause que le tribunal de commerce a considéré que les appelantes n’avaient pas pris les mesures raisonnables pour assurer la confidentialité des données de sécurité […] et qu’elles avaient commis des négligences graves au sens de l’article L. 133-19 V. »
L’analyse s’inscrit dans le texte de l’article L.133-16, qui impose la préservation des données de sécurité personnalisées. La combinaison d’indices patents de fraude et de validations non sollicitées constitue une défaillance grave. La solution privilégie une répartition des risques conforme au droit harmonisé, tout en rappelant que l’exonération du prestataire suppose la preuve de cette négligence caractérisée.
B — Inopérance des griefs dirigés contre les prestataires des bénéficiaires et du recours de “recall”
Les demandes contre les établissements des bénéficiaires, fondées sur l’ouverture à distance et la surveillance du fonctionnement des comptes, ne prospèrent pas. Elles reposent sur des manquements allégués extérieurs au régime des opérations non autorisées et heurtent l’exclusivité rappelée plus haut. La Cour marque le périmètre de l’article L.133-21, réservé aux opérations mal exécutées, étrangères à l’espèce.
La Cour indique, s’agissant du mécanisme de récupération, que « l’invocation par les appelantes des dispositions de l’article L. 133-21 alinéa 3 du code monétaire financier […] n’est pas plus opérante, dès lors que les virements litigieux constituent des opérations non autorisées, relevant des seuls articles L. 133-18 et suivants. » Le message est clair. Le “recall” n’a pas de portée normative autonome lorsque l’opération est non autorisée et que la négligence grave du payeur est caractérisée.
La décision articule ainsi, sans heurt, la protection du consommateur professionnel avec l’exigence de sécurité partagée, en renforçant la prévisibilité des risques. Elle conforte la centralité du standard de négligence grave, tout en confirmant le rôle déterminant des exemptions d’authentification forte dans les parcours de paiement à risque maîtrisé.