Fraude au RIB : le sursaut de la responsabilité contractuelle de droit commun du banquier

Le prestataire de services de paiement qui ne se borne pas à exécuter l’ordre de paiement fourni par son client, mais en assure lui-même la rédaction, engage sa responsabilité sur le fondement de l’article 1231-1 du code civil en cas de mauvaise exécution de l’opération.

Rien n’est absolu… pas même le régime protecteur des prestataires de services de paiement prévu à l’article L. 133-21 du code monétaire et financier. Tel est l’enseignement délivré par la Cour de cassation, dans le présent arrêt rendu par la chambre commerciale le 4 mars 2026.

En l’espèce, des particuliers projetaient d’acquérir un bien immobilier financé partiellement à l’aide d’un prêt consenti par leur banque. Faisant suite à la demande de cette dernière, les futurs acquéreurs lui communiquèrent par courriel un décompte des diverses sommes versées à l’étude notariale chargée de la vente ainsi qu’un relevé d’identité bancaire reçu le 10 novembre 2020. En retour, la banque leur adressa un ordre de virement prérempli sur lequel les clients apposèrent leur signature. Or, il s’avéra que le relevé d’identité bancaire fourni était un faux envoyé aux clients à partir d’une adresse électronique imitant frauduleusement celle de l’étude notariale ; l’argent fut versé sur le compte d’une personne demeurée inconnue.

Le 19 décembre 2024, la Cour d’appel d’Amiens retint la responsabilité contractuelle de la banque ; en conséquence de quoi celle-ci fut condamnée à verser à ses clients le montant du virement détourné. Faisant grief à la cour d’appel de violer les articles L. 133-21 du code monétaire et financier et 1231-1 du code civil, la banque forma un pourvoi en cassation. En effet, cette dernière soutenait « que la responsabilité contractuelle de droit commun de l’article 1231-1 du code civil n’est pas applicable en présence du régime de responsabilité exclusif résultant des articles L. 133-18 à L. 133-24 du code monétaire et financier ; qu’ainsi, dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles (…) précités, qui transposent les articles 58, 59 et 60, § 1, de la directive 2007/64/CE, à l’exclusion de tout régime alternatif de responsabilité résultant du droit national » (pt 6).

La Cour de cassation rejeta le pourvoi en énonçant que « la Cour de justice de l’Union européenne, dans son arrêt du 2 septembre 2021, CRCAM (CJUE 2 sept. 2021, aff. C-337/20, spéc. pt 36), a énoncé que "le régime harmonisé de responsabilité pour les opérations non autorisées ou mal exécutées établi par la directive (…) ne saurait être concurrencé par un régime alternatif de responsabilité prévu par le droit national (…) qu’à condition de ne pas porter préjudice au régime ainsi harmonisé et de ne pas porter atteinte aux objectifs et à l’effet utile de cette directive" » (pt 8).

Qu’ainsi, « si la responsabilité contractuelle de droit commun fondée sur l’article 1231-1 du code civil n’est pas applicable à l’exécution par le prestataire de services de paiement d’un ordre de paiement conformément à l’identifiant unique fourni par l’utilisateur, tel n’est pas le cas lorsque le prestataire de services de paiement ne s’est pas borné à exécuter l’ordre de paiement ».

Chemin faisant, l’apparente exclusivité du régime spécial de responsabilité du banquier s’efface au profit d’une complémentarité des règles spéciales et du régime de droit commun.

L’exclusivité apparente du régime spécial de responsabilité du banquier

Aux termes de l’article L. 133-21 du code monétaire et financier, le prestataire de services de paiement est tenu de restituer le montant de l’opération à son client en cas de mauvaise ou de non-exécution de celle-ci. Encore faut-il, toutefois, que les informations relatives à l’identifiant unique fournies par le client (IBAN) soient correctes ; à défaut, le prestataire de services de paiement n’engage pas sa responsabilité (v. Com. 24 janv. 2018, n° 16-22.336, Dalloz actualité, 7 mars 2018, obs. X. Delpech ; D. 2018. 501 , note J. Lasserre Capdeville ; RTD com. 2018. 751, obs. D. Legeais ).

Plus encore, l’action en responsabilité de droit commun prévue à l’article 1231-1 du code civil – sur ce point, rappelons qu’en dépit du principe de non-ingérence qui incombe aux établissements de crédit, le banquier est normalement soumis à une obligation générale de prudence, aussi appelée devoir de vigilance (v. not., T. Bonneau, Droit bancaire, 16^e éd., LGDJ, 2025, n° 628, p. 466) – n’est pas applicable. En effet, tirant les conséquences de la décision Boebank de la Cour de justice (CJUE, 6^e ch., 16 mars 2023, aff. C-352/21), qui interprète elle-même les articles 58, 59 et 60 de la directive 2007/64/CE du 13 novembre 2007 (Dir. sur les services de paiement 1, dite « DSP1 »), la Cour de cassation considère que « le régime harmonisé de responsabilité pour les opérations non autorisées ou mal exécutées ne saurait être concurrencé par un régime alternatif de responsabilité prévu dans le droit national (…). Il s’ensuit que, dès lors que la responsabilité d’un prestataire de service est recherchée en raison d’une opération non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à 133-24 du code monétaire et financier (…) à l’exclusion de tout régime alternatif de responsabilité résultant du droit national » (v. Com. 15 janv. 2025, n° 23-13.579 et n° 23-15.437, Dalloz actualité, 21 janv. 2025, obs. C. Hélaine ; D. 2025. 522 , note J. Lasserre Capdeville ; ibid. 196, point de vue P. Storrer ; ibid. 2104, obs. N. Binctin, A. Favreau, A. Mendoza-Caminade et C. Le Stanc ; RTD com. 2025. 173, obs. D. Legeais ).

Aussi, l’argument soulevé par le demandeur au pourvoi dans l’arrêt sous commentaire ne pouvait que prospérer (pt 6). C’était sans compter sur la lecture que la Cour de cassation fit de la décision du 2 septembre 2021 de la Cour de justice (CJUE 2 sept. 2021, aff. C-337/20, préc., spéc. pt 36).

La complémentarité réelle des régimes spécial et général de responsabilité du banquier

L’exclusion du recours au droit commun de la responsabilité, en cas d’erreur commise par le client, n’est pas le signe d’une complaisance de la chambre commerciale à l’égard des prestataires de services de paiement. La Cour de cassation est bien plutôt tenue par l’interprétation que la Cour de justice délivre de la directive (UE) 2015/2366 (Dir. sur les services de paiement 2, dite « DSP2 »). Or, si la décision de la Cour de justice citée dans l’arrêt commenté indique que « le régime harmonisé de responsabilité (…) ne saurait être concurrencé par un régime alternatif de responsabilité prévu par le droit national », elle ménage néanmoins la possibilité d’appliquer un tel régime alternatif lorsque celui-ci « ne [porte] pas préjudice au régime ainsi harmonisé », ni ne « [porte] atteinte aux objectifs et à l’effet utile de cette directive » (pt 8).

En d’autres termes, le régime harmonisé n’exclut pas mécaniquement l’application d’un autre régime de droit national. Fort de cette précision, la chambre commerciale distingue selon que le prestataire de services de paiement se borne à exécuter l’ordre de paiement conformément à l’identifiant unique fourni par son client ou qu’il en rédige lui-même le contenu (pt 9). Dans ce dernier cas, le prestataire de services de paiement pourra voir sa responsabilité engagée sur le fondement de l’article 1231-1 du code civil, avec les avantages qu’un tel fondement présente pour le client (prescription quinquennale, réparation intégrale du préjudice subi).

Par suite, contrairement à ce qu’une lecture hâtive pourrait induire, la présente décision ne constitue pas une exception au régime protecteur de l’article L. 133-21 du code monétaire et financier, mais s’inscrit dans la continuité logique de ce texte. En effet, selon la maxime latine, jura vigilantibus subveniunt, non dormientibus : le droit vient au secours des vigilants, non des dormeurs (sur cet adage, v. H. Roland et L. Boyer, Adages du droit français, 4^e éd., Litec, 1999, n° 463). Or, s’il est cohérent de prémunir le banquier de toute responsabilité lorsque celui-ci se contente d’exécuter un ordre libellé par son client, il en va autrement lorsque le professionnel en est l’auteur. Cette solution pourrait ainsi contraindre les prestataires de services de paiement à une vigilance accrue, bien qu’il soit plus probable qu’elle les incite à ne plus établir eux-mêmes les ordres soumis à la signature de leurs clients.

Enfin, il est à noter que la Cour de cassation réserve l’application de ce texte à l’hypothèse dans laquelle « l’identifiant unique établi par la banque sur l’ordre de paiement (…) comportait des incohérences apparentes et manifestes qui ne pouvaient laisser aucun doute, pour un professionnel normalement diligent, sur le fait que l’identifiant était un faux grossier » (pt 10). Ainsi, même lorsque la banque rédige elle-même l’ordre de paiement, sa responsabilité n’est pas systématique ; encore faut-il ne pas être en présence d’un faux indécelable ne présentant, de ce fait, aucune anomalie apparente (sur ce dernier point, v. Com. 19 nov. 2025, n^os 24-19.776, 24-17.780, 24-17.056 et 24-18.534, Dalloz actualité, 27 nov. 2025, obs. M. Zaffagnini ; D. 2026. 273 , note N. Ida ).

par Kevin Arthur Lévy, Docteur en droit privé, Chargé d’enseignement à l’Université Paris 1 Panthéon-Sorbonne

Com. 4 mars 2026, F-B, n° 25-11.959

Source

© Lefebvre Dalloz