[ 25 novembre 2024 ]

Droit des obligations

« Fraude au président » : responsabilité du banquier en cas d’exécution d’un ordre de virement émis par un tiers usurpant l’identité du dirigeant d’une société

Com. 2 oct. 2024, n° 23-13.282 P

Poursuivant sa jurisprudence sur les ordres de paiement comportant des anomalies apparentes (v. par ex., Com. 2 mai 2024, n° 22-17.233 ; sur les virements dans une devise autre que l’euro, Com. 14 févr. 2024, n° 22-11.654 ; à propos des chèques, Com. 9 nov. 2022, n° 20-20.031), la chambre commerciale a publié, le 2 octobre dernier, une nouvelle décision promise au Bulletin et aux Lettres de chambre. Elle concerne plus particulièrement la question de l’usurpation d’identité du dirigeant de société, manœuvre frauduleuse de plus en plus répandue.

Au cas d’espèce, sept ordres de virement émis pour un montant global très élevé (2 121 903,81 €) avaient été adressés entre le 11 et le 22 décembre 2017 par la comptable d’une société au profit d’un compte détenu par une entité située à Hong Kong. La société débitée des virements avait alors informé sa banque qu’elle n’avait jamais émis ces ordres. La comptable salariée de la société avait en réalité réalisé ces opérations en respectant les consignes reçues par courriel du dirigeant social, dont l’identité avait été usurpée par un tiers. Après que cette fraude fut découverte, la société assigna donc sa banque en responsabilité à l’effet d’obtenir la restitution des sommes indûment débitées. En cause d’appel, la cour condamna la banque à réparer le préjudice subi par la société, au motif que des anomalies apparentes affectant les ordres de paiement litigieux auraient dû inspirer à l’établissement bancaire la crainte que son client ait été victime d’une usurpation d’identité. Divers éléments convergeaient en effet pour établir des circonstances inhabituelles qui auraient dû alerter la banque de l’éventualité d’une fraude par usurpation de l’identité du président de la société. Les juges du fond ont alors considéré que la régularité des ordres de virement aurait dû être vérifiée par l’établissement bancaire en amont de l’exécution de ces opérations. Saisie d’un pourvoi formé par la banque, la chambre commerciale confirme l’analyse retenue au fond et engage la responsabilité de la banque n’ayant pas décelé la fraude commise.

Il est acquis qu’une anomalie apparente affectant un ordre de paiement engage la responsabilité du banquier. Définie comme l’irrégularité qui « ne peut pas échapper au banquier diligent » (N. Éréséo, M. Mignot, J. Lasserre Capdeville, J.-P. Kovar et M. Storck, Droit bancaire, 3^e éd., Dalloz, coll. « Précis », 2021, n° 278), la notion d’anomalie apparente reste toutefois délicate à manier, en raison de l’appréciation contextuelle qu’elle exige. La méthode du faisceau d’indices est en effet convoquée pour établir l’éventuelle faute du banquier, soumis à un devoir de contrôle de la régularité des opérations qu’il exécute.

Au cas d’espèce, les juges du fond ont en ce sens relevé plusieurs indices concordant vers un tel manquement : caractère rapproché et répété des virements, ordonnés à une période de l’année inhabituelle, effectués pour un montant anormalement élevé par comparaison aux autres ordres émis et établis au profit de sociétés situées hors des relations d’affaires de la cliente et de son espace d’activité habituel et vers un pays destinataire rarement désigné (en l’espèce, la Chine). Cette réunion d’indices de l’anormalité des opérations projetées par le client et communiquées à sa banque par son comptable établissait l’existence d’une anomalie apparente que la banque aurait dû déceler. Au titre de son devoir de vigilance et de contrôle de la régularité des opérations bancaires, celle-ci aurait dû contacter son client pour lever le doute, soit lui demander si les ordres de virement étaient réguliers. Ce qui signifie que dans ce type de configurations, le risque de fraude prive la banque de la possibilité d’arguer de son devoir de non-ingérence pour éviter l’engagement de sa responsabilité.

La solution est sur ce point classique. Son importance pratique doit toutefois être soulignée au regard de la multiplication des piratages d’adresses, qui constituent désormais le premier vecteur de fraude. L’originalité de cette affaire tient certainement dans la « fraude au président » (pt 9), expression singulière mais idoine pour désigner la fraude en l’espèce commise, soit l’usurpation de l’identité du dirigeant social. Il est intéressant d’observer que le devoir de vigilance du banquier semble, dans ce cadre, renforcé puisqu’en l’espèce, la banque avait détecté une anomalie puis, en conséquence, appelé le comptable de la société ayant reçu les courriels du dirigeant. Cependant, les juges du fond ont considéré qu’il ne suffisait pas qu’elle prenne contact avec le comptable de sa cliente ; il eût, en outre, fallu qu’il entrât directement en relation avec le dirigeant social (pt 8, 2^e branche du 3^e moyen). Analyse partagée par la chambre commerciale qui souligne, en effet, que le dirigeant est la « seule personne contractuellement habilitée » (pt 9) à valider les ordres de paiement, ce qui revient à considérer qu’il est également la seule personne à pouvoir déjouer les ordres de virement frauduleux.

Le fait qu’en l’espèce, le dirigeant social ait confié à son comptable la réalisation d’opérations bancaires ne change rien à l’obligation qui lui incombe de contrôler les ordres de virement. Lui seul aurait donc pu informer la banque que le courriel frauduleux envoyé à son comptable ne provenait pas de ses services mais d’un pirate informatique. La solution peut paraître rigoureuse pour les établissements bancaires mais les faits de cette affaire permettent de la justifier : en effet, la comptable salariée de la société ayant reçu les courriels frauduleux n’était pas en mesure de mettre à jour la fraude réalisée puisque celle-ci pensait légitimement que la consigne émanait de sa hiérarchie.

À retenir : la réunion de plusieurs éléments factuels faisant présumer l’anomalie d’un ordre de virement oblige la banque à avertir directement la personne habilitée à réaliser cette opération, en sorte de pouvoir déjouer la fraude constituée, par exemple, par l’usurpation de l’identité du dirigeant de la société.