[ 10 avril 2026 ]

Droit bancaire - droit du crédit

Responsabilité bancaire en cas de fraude au RIB : retour au droit commun

Com. 4 mars 2026, n° 25-11.959

Dans une décision rendue le 4 mars dernier, la chambre commerciale de la Cour de cassation, atténuant le régime protecteur des prestataires de services de paiement prévu à l’article L. 133-21 du Code monétaire et financier, rejette le pourvoi formé par une banque, jugée contractuellement responsable, sur le fondement du droit commun, de la fraude au relevé d’identité bancaire dont ses clients avaient été victimes lors d’une acquisition immobilière financée par un prêt que la banque leur avait consenti.

Ses clients, des époux destinataires d’un RIB frauduleux usurpant l’identité de l’office notarial chargé de la vente, lui avaient transmis ce RIB, puis indiqué le décompte des sommes versées au notaire, correspondant à leur apport personnel, aux fins d’effectuer le paiement du coût de la transaction. En retour, la banque leur avait adressé un ordre de virement prérempli sur la base de cet identifiant, qu’ils avaient signé. Les fonds avaient ensuite été crédités sur un compte inconnu. Le couple assigna alors la banque en responsabilité contractuelle, sur le fondement du droit commun, soutenant qu'en effectuant cet ordre de virement, l’établissement bancaire avait manqué à son obligation de vigilance. La cour d’appel accueillit son action. Contestant l’engagement de sa responsabilité, la banque soutenait, devant la Cour de cassation, que le litige relevait exclusivement du régime spécial des articles L. 133-18 à L. 133-24 du Code monétaire et financier, transposant les articles 58, 59 et 60, §1, de la directive DSP1 2007/64/CE relatifs à la responsabilité du prestataire de services de paiement en raison d'une opération de paiement non autorisée ou mal exécutée, et notamment de l’article L. 133-21, selon lequel le prestataire de services de paiement n’engage pas sa responsabilité en cas d’identifiant erroné fourni par le client. Ainsi le pourvoi s’inscrivait-il dans la jurisprudence antérieure, consacrant la primauté d’un droit spécial exclusif de tout autre régime concurrent de responsabilité, dont celui relevant du droit commun. En effet, sous l’influence des magistrats européens (CJUE Boebank, 16 mars 2023, aff. C-351/21), la Cour de cassation a retenu qu’en principe, en cas d’opération de paiement non autorisée ou mal exécutée, la responsabilité contractuelle de droit commun fondée sur l'article 1231-1 du Code civil doit être écartée au profit de l’exclusivité du régime spécial de responsabilité du banquier (Com. 15 janv. 2025, n° 23-13.579 et n° 23-15.437, DAE 17 févr. 2025, note Merryl Hervieu). La thèse du pourvoi avait ainsi toutes les raisons de prospérer. Toutefois, méconnaissant la portée de l’interprétation que la Cour de justice a délivré de la directive (UE) 2015/2366 (Dir. sur les services de paiement 2, dite « DSP2 »), elle se trouve invalidée par la Cour de cassation, qui prend à nouveau appui sur la jurisprudence européenne. Pourtant, dans l’arrêt du 2 septembre 2021 auquel renvoie la chambre commerciale (CJUE, 2 sept 2021, aff. C-337/20, pt 36), les magistrats européens avaient réaffirmé que le régime harmonisé de responsabilité, spécialement prévu pour les opérations non autorisées ou mal exécutées, tel qu’il est défini par la directive, ne saurait être concurrencé par un régime alternatif de responsabilité prévu par le droit national. Transposant cette directive, le droit spécial édicté par le Code monétaire et financier devrait donc seul trouver application, à l’exclusion du droit commun de la responsabilité contractuelle, en sorte qu’il conviendrait d’écarter, au cas d’espèce, la responsabilité de la banque puisque, comme celle-ci le rappelait à l’appui de son pourvoi, l'article L. 133-21 du Code monétaire et financier, qui transpose l'article 88, intitulé « identifiants uniques inexacts » de la directive DSP 2, précise qu’en cas d’identifiant inexact fourni par l’utilisateur, le prestataire de services de paiement n'est pas responsable de la mauvaise exécution de l'opération de paiement. Cependant, les juges européens ont, par ce même arrêt, ménagé l’application résiduelle du droit commun en admettant le recours à un régime alternatif de responsabilité lorsque celui-ci ne porte pas préjudice au régime ainsi harmonisé, ni ne porte atteinte aux objectifs et à l’effet utile de cette directive. S’engouffrant dans cette brèche, la Cour de cassation précise alors les contours du domaine d’exclusion du droit commun : évincée lorsque la banque se borne à exécuter l’ordre de paiement conformément à l'identifiant unique fourni par son client, la responsabilité contractuelle de l’article 1231-1 retrouve à s’appliquer lorsque la banque ne s’est pas limitée à une exécution technique de l’ordre de paiement, mais qu’elle l’a elle-même établi, en rédigeant le contenu de cet ordre : « si la responsabilité contractuelle de droit commun fondée sur l’article 1231-1 du Code civil n’est pas applicable à l’exécution par le prestataire de services de paiement d’un ordre de paiement conformément à l’identifiant unique fourni par l’utilisateur, tel n’est pas le cas lorsque le prestataire de services de paiement ne s’est pas borné à exécuter l’ordre de paiement ». (pt n° 9). Cette nuance est justifiée : s’il est cohérent de prémunir le banquier de toute responsabilité lorsque celui-ci se contente d’exécuter un ordre libellé par son client, il en va autrement lorsque ce dernier en est directement l’auteur. Or en l’espèce, la banque ne s'était pas cantonnée, en sa qualité de prestataire de services de paiement, à exécuter l’ordre de virement sur la base de l'identifiant fourni par ses clients : elle avait elle-même rédigé cet ordre, à partir d’un RIB comportant des incohérences apparentes constitutives, pour un professionnel normalement diligent, d’un « faux grossier » (pt n° 10). Faute d’avoir décelé ces anomalies apparentes entachant l’identifiant à partir duquel elle avait adressé l’ordre de virement, la banque a manqué à son devoir de vigilance. Partant, elle engage sa responsabilité contractuelle sur le fondement, ici admis par les juges, de la responsabilité contractuelle de droit commun. On notera que même lorsque la banque rédige elle-même l’ordre de paiement, sa responsabilité n’est pas automatique ; encore faut-il ne pas être en présence d’un faux indécelable ne présentant, de ce fait, aucune anomalie apparente (sur ce dernier point, v. Com. 19 nov. 2025, nos 24-19.776, DAE 15 déc. 2025, note Merryl Hervieu). Confirmant le lien désormais établi entre l’existence d’une anomalie apparente et le manquement de la banque à son devoir de vigilance, la Cour condamne en définitive la banque à indemniser ses clients du préjudice résultant de ce manquement contractuel, en l’espèce évalué sur la base du montant du virement détourné.