Une salariée détourne plus de 260 000 euros à son employeur en 13 mois, par 58 virements successifs, sur ses comptes personnels. Les banques réceptrices auraient-elles dû réagir ? Par un arrêt publié au bulletin du 14 janvier 2026, la Chambre commerciale de la Cour de cassation répond fermement : non, pas en l’absence d’indice de falsification. Une décision qui redessine, une fois de plus, les contours du devoir de vigilance du banquier — dans un sens de plus en plus favorable aux établissements de crédit, et ce au moment même où leurs capacités de détection n’ont jamais été aussi puissantes.
Cass. com., 14 janvier 2026, n° 24-19.102, Publié au bulletin
Les faits : un stratagème bien rodé
L’affaire débute entre 2015 et 2016. Mme T., employée depuis 1999 de la société Heppner, société de transports de marchandises, est chargée de la gestion des avances de frais de douane auprès de l’État pour le compte des clients de son employeur. À ce poste, elle occupe une position stratégique dans la chaîne de paiements.
Son stratagème est simple mais efficace. Elle transmet à deux sociétés clientes de Heppner — les sociétés Magetec et Tec Loisirs — des RIB falsifiés portant le nom de son employeur mais comportant en réalité les IBAN de ses comptes personnels, l’un ouvert à la BNP Paribas, l’autre à la Caisse Régionale de Crédit Agricole Mutuel Toulouse 31. Elle fait mieux encore : pour conforter l’apparence de légitimité de ces coordonnées bancaires, elle fabrique un faux courrier censé émaner du directeur financier et de la responsable douane de Heppner, validant ce prétendu changement de compte.
Les sociétés clientes, trompées de bonne foi, versent alors directement sur les comptes personnels de Mme T. les sommes qu’elles devaient à Heppner. Pour dissimuler le tout, la salariée crée des avoirs fictifs, émet de fausses factures au nom d’autres sociétés clientes, et maquille ainsi la comptabilité pendant de longs mois.
Le bilan est lourd : 166 701 euros détournés via les virements de Magetec, 93 509 euros via ceux de Tec Loisirs, auxquels s’ajoutent 9 504 euros soustraits au comité d’établissement dont elle était trésorière. Au total, ce sont 260 210 euros qui transitent sur ses comptes personnels en à peine 13 mois, par 58 virements allant de 773 à 20 163 euros.
Condamnée définitivement le 9 octobre 2018 par le tribunal correctionnel de Toulouse pour escroqueries, faux et usage de faux, Mme T. expliquera son geste par la nécessité de rembourser les échéances cumulées d’une vingtaine de prêts personnels, soit environ 6 500 euros par mois, alors que son salaire net s’élevait à seulement 1 910 euros.
La position de la cour d’appel de Toulouse : des anomalies « tout à fait apparentes »
Par un arrêt du 18 juin 2024, la cour d’appel de Toulouse avait confirmé le jugement de première instance en retenant la responsabilité des deux banques réceptrices — la BNP Paribas et le Crédit Agricole — pour manquement à leur devoir de vigilance.
La société Heppner, victime des détournements, avait agi contre les banques sur le fondement de la responsabilité délictuelle de droit commun (article 1240 du Code civil), et non sur le régime spécial du Code monétaire et financier. Ce choix était stratégique : en tant que tiers à la relation bancaire entre Mme T. et ses banques, Heppner ne pouvait invoquer les dispositions de l’article L. 133-21 du Code monétaire et financier, réservées au seul client de la banque. Elle devait donc démontrer l’existence d’une faute de droit commun.
Et c’est précisément ce que la cour d’appel avait admis. Selon les juges toulousains, les comptes de Mme T. présentaient des « anomalies importantes tout à fait apparentes ». Leur raisonnement reposait sur un faisceau d’indices convergents : les comptes d’une salariée gagnant 1 910 euros nets par mois, déjà régulièrement ponctionnés d’échéances de prêt importantes, avaient reçu 260 210 euros en provenance de personnes morales sans aucun lien préalable avec elle, par le biais de 58 virements en 13 mois. La cour en avait déduit qu’en ne réalisant « aucune vérification complémentaire » et en ne sollicitant de Mme T. « aucune explication », les banques avaient chacune commis une faute ayant contribué au dommage.
La BNP Paribas avait ainsi été condamnée à payer 188 178 euros à la société Heppner, le Crédit Agricole 72 032 euros, chaque banque répondant des sommes reçues sur les comptes ouverts dans ses livres.
La cassation : le principe de non-ingérence avant tout
La BNP Paribas forme un pourvoi. La Cour de cassation lui donne raison et casse partiellement l’arrêt d’appel, dans une formule de principe appelée à marquer la jurisprudence :
« La banque, tenue à une obligation de non-ingérence dans les affaires de son client, n’a pas à procéder à des investigations sur l’origine et l’importance des fonds versés sur ses comptes ni même à l’interroger sur l’existence de mouvements de grande ampleur, dès lors que ces opérations ont une apparence de régularité et qu’aucun indice de falsification ne peut être décelé. »
En d’autres termes, la Cour de cassation reproche à la cour d’appel de ne pas avoir caractérisé de véritables « anomalies apparentes aisément décelables » affectant les virements exécutés. Les motifs retenus par les juges du fond — le montant élevé des sommes, la multiplication des virements, la provenance de personnes morales, le décalage avec les revenus de la bénéficiaire — étaient, selon la Haute juridiction, « impropres » à justifier une obligation de vérification à la charge de la banque.
L’affaire est renvoyée devant la cour d’appel de Toulouse, autrement composée.
Les enseignements de la décision
Cet arrêt, publié au bulletin, est riche d’enseignements. Il s’inscrit dans un mouvement jurisprudentiel récent qui redéfinit, par petites touches successives, les contours de l’anomalie apparente en matière bancaire.
La primauté du devoir de non-ingérence
La décision rappelle d’abord avec force que le devoir de non-ingérence reste le principe directeur de la relation entre le banquier et son client. Ce principe est fondamental : la banque n’a pas à se transformer en contrôleur des finances de ses clients. Elle n’a pas à scruter l’origine des fonds, à s’interroger sur la cohérence entre les revenus déclarés et les sommes reçues, ni à demander des justifications à chaque mouvement inhabituel.
Le devoir de vigilance, quant à lui, n’est qu’une exception à ce principe. Et comme toute exception, il doit être strictement encadré. C’est ce que la Cour de cassation fait ici avec une netteté remarquable.
Le montant et la répétition des opérations ne suffisent plus
L’un des apports majeurs de cette décision réside dans le fait que ni l’importance des sommes virées au regard des revenus du bénéficiaire, ni le fait que le donneur d’ordre n’ait jamais réalisé de versement sur le compte, ni la multiplication des opérations sur une période resserrée, ne constituent à eux seuls des anomalies apparentes imposant au banquier réceptionnaire de surseoir à l’inscription des fonds.
Ce raisonnement n’est d’ailleurs pas totalement nouveau. Par trois arrêts du 19 novembre 2025, la Cour de cassation avait déjà amorcé ce recentrage, en précisant les critères de l’anomalie apparente en matière d’investissements atypiques (Cass. com., 19 nov. 2025, n° 24-18.534) et de fraude au président (Cass. com., 19 nov. 2025, n° 24-17.780 et n° 24-17.056). La décision du 14 janvier 2026 confirme et prolonge cette lecture, en l’étendant cette fois au cas spécifique du détournement commis par un salarié.
Avec cette jurisprudence, on comprend que la Cour de cassation ne veut plus de condamnations fondées sur de simples « anomalies intellectuelles », c’est-à-dire sur le raisonnement rétrospectif qui consiste à dire : « au vu du profil de ce client, ces virements auraient dû alerter la banque ». Ce type de raisonnement, aussi logique qu’il puisse paraître après coup, ne suffit plus à engager la responsabilité du banquier.
L’émergence du critère de l’« indice de falsification »
C’est peut-être là l’apport le plus novateur de la décision. En exigeant que la banque ne puisse être tenue pour fautive que lorsqu’un « indice de falsification » est décelable, la Cour de cassation introduit un critère concret et matériel, distinct de la simple disproportion financière.
Qu’est-ce qu’un indice de falsification ? La Cour ne le définit pas encore précisément, et c’est tout l’enjeu des développements jurisprudentiels à venir. On peut toutefois raisonnablement penser qu’il pourrait s’agir d’éléments objectivement vérifiables, tels qu’un RIB comportant des incohérences matérielles visibles (un nom de bénéficiaire ne correspondant pas au titulaire du compte, par exemple), une signature manifestement contrefaite, un document bancaire présentant des altérations détectables, ou encore des données techniques incohérentes dans l’ordre de virement.
En revanche, le fonctionnement anormal d’un compte au regard du profil de son titulaire — qui relève de l’anomalie intellectuelle — ne semble plus pouvoir être qualifié d’indice de falsification au sens de cette jurisprudence.
Cette distinction est cruciale. Elle signifie concrètement que pour engager la responsabilité de la banque réceptrice, il ne suffira plus de démontrer que les opérations étaient « suspectes » par leur ampleur ou leur fréquence. Il faudra prouver que les virements eux-mêmes, ou les documents qui les accompagnaient, portaient un signe tangible de falsification que la banque aurait dû déceler.
Un courant jurisprudentiel en décalage avec la réalité technologique et réglementaire
Si la décision est parfaitement cohérente sur le plan des principes classiques du droit bancaire, elle appelle néanmoins un regard critique. Car le raisonnement de la Cour de cassation repose, en filigrane, sur une conception du banquier qui n’a peut-être plus grand-chose à voir avec la réalité d’aujourd’hui.
Des capacités de détection sans précédent
Lorsque le devoir de non-ingérence a été forgé par la jurisprudence, les banques travaillaient avec des moyens rudimentaires : des relevés papier, des guichets physiques, des vérifications humaines nécessairement limitées. Exiger d’elles qu’elles scrutent chaque opération revenait effectivement à leur imposer une charge disproportionnée et une ingérence injustifiable dans les affaires de leurs clients.
Mais ce temps est révolu. En 2026, les établissements bancaires disposent d’outils technologiques d’une puissance considérable. Les systèmes de monitoring transactionnel automatisé, les algorithmes de détection d’anomalies fondés sur l’intelligence artificielle, le scoring comportemental en temps réel, les dispositifs de profilage des clients et de leurs habitudes de consommation : tout cela permet aux banques de détecter instantanément des schémas transactionnels atypiques, sans même qu’un œil humain n’ait besoin de se poser sur l’opération.
Le cas de Mme T. est à cet égard particulièrement parlant. Une salariée percevant un salaire net de 1 910 euros par mois, dont le compte est régulièrement ponctionné par des échéances de prêt, reçoit soudainement des virements récurrents de plusieurs milliers d’euros en provenance de personnes morales avec lesquelles elle n’a jamais eu aucun lien. N’importe quel système de monitoring transactionnel moderne aurait été capable de signaler cette anomalie, automatiquement, dès les premiers virements. Il est difficilement concevable que les algorithmes de BNP Paribas, l’un des plus grands groupes bancaires européens, n’aient pas été en mesure de déceler un tel schéma.
Affirmer, dans ce contexte, que la banque n’avait rien à vérifier parce qu’aucun « indice de falsification » n’était décelable revient, en pratique, à ignorer ce que la banque savait — ou, plus exactement, ce qu’elle ne pouvait pas ne pas savoir.
Des obligations réglementaires de plus en plus strictes
Le décalage est d’autant plus frappant que, parallèlement à cette montée en puissance technologique, le cadre réglementaire n’a cessé de renforcer les obligations de surveillance des établissements bancaires.
Le Règlement délégué (UE) 2018/389 de la Commission du 27 novembre 2017, complétant la directive (UE) 2015/2366 (DSP2) par des normes techniques de réglementation relatives à l’authentification forte du client (dites « RTS SCA »), illustre parfaitement cette évolution. Son article 2 impose aux prestataires de services de paiement de mettre en place des mécanismes de suivi des opérations permettant de détecter les opérations de paiement non autorisées ou frauduleuses. Plus précisément, ces mécanismes doivent reposer sur l’analyse de paramètres tels que les listes de données compromises, le montant de chaque opération, les scénarios de fraude connus, ou encore les signes d’infection par des logiciels malveillants.
L’article 2, paragraphe 3, du même règlement va plus loin encore : il exige que ces mécanismes de suivi tiennent compte, « au minimum », d’une liste de facteurs de risque incluant notamment le profil de dépenses habituel de l’utilisateur, le montant anormal de l’opération au regard de ce profil, et les schémas opérationnels inhabituels.
Or, que constate-t-on dans l’affaire Heppner ? Précisément ce type de schéma : des opérations dont le montant et la fréquence étaient radicalement incompatibles avec le profil habituel de la titulaire du compte. Autrement dit, les éléments que la cour d’appel de Toulouse avait retenus comme constitutifs d’anomalies apparentes correspondent, presque mot pour mot, aux facteurs de risque que le droit européen impose aux banques de surveiller.
Un paradoxe difficile à justifier
Il y a donc un paradoxe saisissant dans la situation actuelle. D’un côté, le droit européen impose aux banques de mettre en place des dispositifs de détection sophistiqués, capables d’identifier les opérations inhabituelles en temps réel. De l’autre, la Cour de cassation considère que ces mêmes opérations inhabituelles ne constituent pas des anomalies apparentes justifiant une obligation de vérification.
Le résultat est pour le moins singulier : les banques sont tenues, par la réglementation, de disposer d’outils qui leur permettent de voir. Mais la jurisprudence les autorise à ne pas regarder.
Ce décalage entre le droit positif européen et la jurisprudence de la Cour de cassation mérite d’être questionné. Il revient, en pratique, à décharger les banques de toute responsabilité dès lors que le virement ne présente pas de vice matériel apparent (faux RIB, signature contrefaite, document altéré), quand bien même tous les indicateurs comportementaux auraient dû déclencher une alerte. C’est faire comme si l’anomalie apparente ne pouvait être que matérielle, jamais intellectuelle — ce qui, au-delà de la logique juridique, heurte le bon sens.
À qui profite cette lecture ?
Il est difficile de ne pas remarquer que ce courant jurisprudentiel, qui se dessine depuis les arrêts du 19 novembre 2025, est remarquablement favorable aux établissements bancaires. En rehaussant le seuil de l’anomalie apparente au point de n’y admettre pratiquement que l’indice de falsification matérielle, la Cour de cassation rend de plus en plus difficile, pour les victimes de détournements, d’obtenir réparation auprès des banques réceptrices.
Il faut le dire clairement : dans une affaire comme celle-ci, où 260 210 euros ont transité en 13 mois sur les comptes personnels d’une salariée gagnant moins de 2 000 euros par mois, en provenance de sociétés sans aucun lien avec elle, estimer que la banque n’avait aucune raison de s’interroger est une fiction juridique. C’est une fiction utile au système bancaire, certes, mais c’est une fiction.
Les victimes de ces montages — souvent des entreprises, parfois de taille modeste — se retrouvent ainsi face à un mur : l’auteur du détournement est le plus souvent insolvable, et la banque, seul débiteur solvable dans la chaîne de responsabilité, est protégée par un devoir de non-ingérence dont l’interprétation se veut de plus en plus stricte.
Perspectives : vers quel équilibre ?
Par petites touches, le droit se dessine devant nous — mais la direction qu’il prend interroge. L’enjeu, pour les années à venir, sera de déterminer si cette lecture restrictive de l’anomalie apparente est durablement tenable face à l’évolution des obligations réglementaires et des capacités technologiques des banques.
Plusieurs pistes mériteraient d’être explorées par la doctrine et par les juridictions du fond. La première consisterait à intégrer, dans la notion même d’anomalie apparente, les alertes que les systèmes de monitoring bancaire sont réglementairement tenus de générer. Si la banque est obligée par le droit européen de détecter les opérations anormales, peut-elle encore prétendre qu’elle ne les a pas vues ? La seconde piste tiendrait à une articulation plus fine entre le devoir de non-ingérence de droit civil et les obligations prudentielles issues du droit européen, en considérant que les normes techniques de réglementation participent de la définition du standard de comportement du banquier normalement diligent.
En attendant, les praticiens devront s’adapter à cette nouvelle donne. Pour les victimes de détournements, cela signifie que l’argumentation devra désormais se concentrer, non plus sur le profil du titulaire du compte ou sur le caractère disproportionné des opérations, mais sur la démonstration d’indices concrets et matériels de falsification — ou, peut-être, sur le terrain réglementaire, en invoquant directement les obligations de surveillance issues du droit européen pour tenter de caractériser la faute bancaire.
Un terrain qui reste, pour l’heure, largement inexploré devant les juridictions civiles françaises.
Références :
Cass. com., 14 janv. 2026, n° 24-19.102, Publié au bulletin
CA Toulouse, 2e ch., 18 juin 2024, n° 21/04745
Cass. com., 19 nov. 2025, n° 24-18.534 (investissements atypiques)
Cass. com., 19 nov. 2025, n° 24-17.780 et n° 24-17.056 (fraude au président)
Règlement délégué (UE) 2018/389 de la Commission du 27 novembre 2017 (RTS SCA), art. 2
Directive (UE) 2015/2366 du 25 novembre 2015 (DSP2)
