Condamnation de la Banque FIDUCIAL en raison de virements frauduleux opérés depuis le compte d’un client en l’absence d’authentification forte (Tribunal judiciaire de LYON, 11 juin 2024, RG 22/03529)
Une société d’architectes était titulaire d’un compte courant professionnel. Le 31 décembre 2021 les deux dirigeants de la société se sont aperçus que deux nouveaux bénéficiaires de virements portant les noms de tiers avaient été ajoutés sans leur autorisation, et que cinq virements frauduleux avaient été effectués à leur bénéfice.
Ils ont immédiatement contacté leur Banque et sollicité le remboursement des sommes détournées pour un montant de 40.473,37 €.
Le dirigeant de la société a également déposé plainte contre X pour les faits exposés.
Malgré une mise en demeure la Banque a refusé de procéder au remboursement des fonds.
Afin d’échapper à sa responsabilité elle a, classiquement, invoqué deux arguments :
- D’une part elle a contesté le caractère non-autorisé du règlement
- D’autre part elle a invoqué la négligence grave de la société d’architecte
Elle a néanmoins reconnu dans son courrier en réponse ne pas avoir à l’époque mis en place d’authentification forte.
La société d’architecte a alors assigné la Banque devant le Tribunal judiciaire de LYON.
Quelles sont les règles applicables en cas d’opérations de paiement non autorisées ?
En cas d’opérations de paiement non autorisées, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération, ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant (article L133-18 du code monétaire et financier).
Il en résulte que l’établissement bancaire est tenu de rembourser de plein droit le payeur qui n’a pas consenti à l’opération de paiement.
Dans cette espèce la Banque invoquait le caractère non autorisé du règlement, argument écarté par le Tribunal judiciaire de LYON.
Comment le caractère autorisé ou non est apprécié ?
De façon assez contestable les Banques tentent de prouver le caractère autorisé en produisant des documents internes démontrant selon elles l’accord du client lors de la connexion à travers la fourniture de l’identifiant et du mot de passe.
Ces documents sont dans la quasi-totalité des cas illisibles et non probants.
Tel était le cas, la Banque FIDUCIAL renvoyant dans ses écritures qu’à un seul document, une feuille au format A3, sur lequel était imprimé un tableau comportant une ligne pour chacun des virements en cause et soixante-dix colonnes parmi lesquelles cinq ont été surlignées en jaune, sous les intitulés suivants : NOM DESTINATAIRE, MOTIF, TIMESTAMP _ CRE, TIMESTAMP_MOD et DATE_ETAT, les trois dernières colonnes laissant apparaître des dates et heures.
Le Tribunal a considéré que cette pièce était particulièrement peu éclairante, en ce que certaines rubriques étaient désignées sous forme codée et qu’elle n’était accompagnée d’aucun élément permettant d’étayer son contenu tout en facilitant sa lecture.
Cette pièce a dès lors été rejetée et le virement a été considéré comme étant « non autorisé ».
La Banque Fiducial a dès lors été condamnée à rembourser la somme de 40.473,37 € à la société d’architecte.
En tout état de cause même si cette pièce avait été considérée comme probante l’absence d’authentification forte excluait le caractère autorisé du règlement.
Quelles sont les conséquences de l’absence d’authentification forte ?
L’obligation de mise en place de l’authentification forte a été évoquée dans ces lignes.
Celle-ci est devenue obligatoire à compter du 14 septembre 2019 (https://www.avocats-desbosbarou.fr/blog/articles/quelle-est-la-date-d-application-de-l-obligation-de-mise-en-place-de-l-authentification-forte-cour-de-cassation-30-aout-2023-n-22-11-707 )
Il y a une double conséquence à cette absence d’authentification forte :
- tout d’abord en l’absence d’authentification forte le virement ne peut être considéré comme autorisé, et ce peu importe la preuve produite
- par ailleurs l’absence de mise en place évacue toute discussion sur l’éventuelle négligence grave de la victime du virement non autorisé susceptible d’exclure l’obligation de remboursement de l’opération par la Banque
Dès lors l’argumentation de la Banque ne pouvait être que de plus fort rejetée.
