55logo mikael le bot avocat

Responsabilité bancaire limitée face à une fraude au président : négligence du client sanctionnée – CA Versailles, ch. com. 3-2, 3 février 2026, n° 25/00812

  • Droit bancaire
En février 2022, une société française spécialisée dans la construction de machines pour boucherie et charcuterie a perdu plus de 352 000 euros à la suite d’une fraude au président. Sa responsable administrative, trompée par des courriels et appels téléphoniques frauduleux, a ordonné six virements vers l’Italie entre le 16 et le 22 février 2022. La banque, partenaire de l’entreprise depuis trente ans, n’a émis aucune alerte malgré plusieurs anomalies dans ces opérations. La Cour d’appel de Versailles, dans un arrêt du 3 février 2026, a condamné l’établissement bancaire pour manquement à son devoir de vigilance, mais a retenu une responsabilité très majoritaire de l’entreprise victime (environ 94%) pour ses défaillances organisationnelles, n’allouant que 20 000 euros de dommages-intérêts sur les 352 452 euros réclamés.

Cour d’appel de Versailles, chambre commerciale 3-2, 3 février 2026, n° 25/00812

🔑 Points clés à retenir

  • Le devoir de vigilance bancaire impose à l’établissement de détecter et de signaler toute anomalie apparente dans les opérations de paiement, même si celles-ci sont formellement autorisées par le client
  • Constituent des anomalies apparentes : plusieurs virements au profit d’un même bénéficiaire inconnu dans la même journée, un montant cumulé inhabituel, l’absence de lien entre le bénéficiaire et l’activité du client
  • En présence d’anomalies apparentes, la banque doit impérativement contacter le dirigeant habilité pour obtenir confirmation des ordres de paiement avant exécution
  • La responsabilité de la banque peut être engagée sur le fondement de la responsabilité contractuelle de droit commun pour manquement au devoir de vigilance, même si les virements frauduleux sont des opérations autorisées
  • L’entreprise victime voit sa propre responsabilité retenue lorsqu’elle présente des carences organisationnelles graves (absence de contrôle interne, signature unique, défaut de vérification)
  • La condamnation de la banque peut être réduite en proportion de la négligence fautive du client, pouvant aboutir à un partage de responsabilité très défavorable à la victime (dans cet arrêt : seulement 6% du préjudice indemnisé)
  • Le régime spécial du Code monétaire et financier pour les opérations non autorisées ne s’applique pas lorsque les virements ont été formellement consentis par le payeur
Sommaire

Quel est le contexte factuel de cette affaire de fraude au président ?

La fraude au président constitue aujourd’hui l’une des escroqueries les plus redoutables auxquelles sont confrontées les entreprises françaises. Le schéma frauduleux repose sur une usurpation d’identité sophistiquée : un escroc se fait passer pour le dirigeant d’une entreprise ou un mandataire de confiance et ordonne à un salarié du service comptable ou financier de réaliser des virements urgents et confidentiels.

📖 Définition — Fraude au président
Technique d’escroquerie par laquelle un fraudeur usurpe l’identité d’un dirigeant ou d’un cadre supérieur d’entreprise pour ordonner à un employé, généralement du service comptable, d’effectuer des virements bancaires urgents vers des comptes contrôlés par les escrocs. La fraude repose sur la manipulation psychologique, l’urgence invoquée et le secret imposé.

Dans l’affaire soumise à la Cour d’appel de Versailles, la SAS Groupe PSV, entreprise spécialisée dans la construction de machines pour boucherie et charcuterie, entretenait une relation bancaire de longue date avec la Banque Populaire Val de France. Cette relation, vieille de trente années, se caractérisait par des échanges réguliers sur la situation financière de l’entreprise.

Entre le 16 et le 22 février 2022, Mme I., responsable administrative et financière de la société PSV, a été la cible d’une opération frauduleuse particulièrement élaborée. Les escrocs ont utilisé deux canaux de communication complémentaires :

  • Des courriels semblant provenir de M. P., président de la société, mais expédiés depuis une adresse électronique frauduleuse
  • Des conversations téléphoniques avec une personne se présentant comme une avocate du cabinet Deloitte, dont l’identité avait été usurpée

Les messages frauduleux faisaient état d’une prétendue opération confidentielle d’acquisition d’une entreprise italienne, invoquant même une « procédure imposée par l’AMF » (Autorité des marchés financiers), alors que la société PSV n’était nullement cotée en bourse.

Convaincue de l’authenticité de ces communications, Mme I. a passé six ordres de virement entre le 16 et le 22 février 2022, pour un montant cumulé de 352 452 euros, à destination d’un compte bancaire ouvert en Italie au nom d’une société dénommée « Eurogrid Cycles ».

📊 Chronologie des virements frauduleux

16 février 2022
1 virement de 49 452 € → Exécuté tel quel
17 février 2022
2 virements (60 784 € + 53 216 €) → Regroupés par la banque en 1 virement de 114 000 €
22 février 2022
3 virements (70 260 € + 49 982 € + 68 758 €) → Regroupés par la banque en 1 virement de 189 000 €
TOTAL
352 452 euros détournés

Un point technique mérite d’être souligné : Mme I. disposait des moyens d’authentification forte mis à disposition par la banque dans le cadre d’un contrat « Pack connexion par protocole EBICS » souscrit le 10 décembre 2015. Ce dispositif, destiné à sécuriser les virements SEPA et les paiements internationaux, comprenait des codes d’accès et une clé physique de cryptage.

Les virements ont donc été techniquement « autorisés » au sens du Code monétaire et financier, puisqu’ils ont été ordonnés par une personne disposant des moyens d’authentification valides. Cette caractéristique technique aura une incidence majeure sur le régime juridique applicable au litige.

Après avoir découvert la fraude, la société PSV a mis en demeure la banque de la rembourser intégralement. Face au refus de l’établissement bancaire, elle a saisi le tribunal de commerce de Versailles le 11 décembre 2023. Par jugement du 4 décembre 2024, ce tribunal l’a déboutée de l’intégralité de ses demandes et l’a condamnée aux dépens ainsi qu’à verser 1 500 euros au titre de l’article 700 du Code de procédure civile à la banque.

Pourquoi l’absence d’authentification forte n’a-t-elle pas suffi à engager la responsabilité de la banque ?

La société PSV avait initialement fondé une partie substantielle de son argumentation sur un prétendu manquement de la banque à son « devoir d’authentification forte ». Ce moyen, qui pouvait sembler attractif de prime abord, s’est révélé juridiquement inopérant. Comprendre pourquoi nécessite de distinguer clairement deux régimes de responsabilité bancaire radicalement différents.

📖 Définition — Authentification forte
Procédure de vérification de l’identité d’un utilisateur de services de paiement reposant sur au moins deux éléments indépendants parmi trois catégories : quelque chose que seul l’utilisateur connaît (mot de passe, code), quelque chose que seul l’utilisateur possède (carte bancaire, téléphone mobile, clé physique) et quelque chose que l’utilisateur est (empreinte digitale, reconnaissance faciale).

Le Code monétaire et financier prévoit un régime spécial de responsabilité bancaire pour les opérations de paiement non autorisées. Selon l’article L. 133-18 de ce code, lorsqu’un client signale une opération de paiement non autorisée, le prestataire de services de paiement doit le rembourser immédiatement, sauf s’il démontre une fraude du client ou une négligence grave de sa part.

Ce régime protecteur repose sur une présomption simple : toute opération réalisée sans le consentement effectif du payeur doit être remboursée. La charge de la preuve du caractère autorisé de l’opération pèse sur l’établissement bancaire.

⚖️ Deux régimes de responsabilité bancaire distincts

↓ Opération NON autorisée
Fondement : Articles L. 133-18 et suivants du Code monétaire et financier
Principe : Remboursement automatique par la banque
Exception : Fraude ou négligence grave du client
Charge de la preuve : La banque doit prouver que l’opération était autorisée
↓ Opération autorisée mais frauduleuse
Fondement : Droit commun de la responsabilité contractuelle (articles 1231-1 et suivants du Code civil)
Principe : Responsabilité pour manquement au devoir de vigilance
Condition : Existence d’anomalies apparentes
Charge de la preuve : Le client doit démontrer la faute de la banque

Or, dans l’affaire jugée par la Cour d’appel de Versailles, la société PSV a elle-même reconnu expressément que les opérations litigieuses constituaient des opérations autorisées. Cette admission, consignée dans ses propres conclusions, était fatale à son argumentation fondée sur l’article L. 133-18 du Code monétaire et financier.

La Cour d’appel rappelle que la responsabilité des prestataires de services de paiement en raison d’une opération de paiement autorisée ne peut être engagée que sur le fondement de la responsabilité contractuelle de droit commun, à l’exclusion du régime spécial du Code monétaire et financier. Cette solution jurisprudentielle, désormais bien établie, a été réaffirmée par plusieurs décisions récentes.

Pourquoi les virements étaient-ils « autorisés » malgré la fraude ? Parce que Mme I., responsable administrative et financière, disposait effectivement :

  • De la signature unique sur le compte bancaire concerné
  • Des codes d’accès personnels au système de banque en ligne
  • De la clé physique de cryptage EBICS permettant de sécuriser les virements
  • De l’habilitation formelle à émettre des ordres de paiement pour le compte de la société

Les virements ont donc été passés par une personne habilitée, avec les moyens d’authentification valides, selon les procédures convenues contractuellement avec la banque. Du point de vue strictement technique et procédural, ces opérations présentaient tous les attributs d’ordres réguliers.

La Cour d’appel en tire une conséquence logique : le moyen tiré d’une prétendue absence d’authentification forte est « inopérant ». Ce qualificatif juridique signifie que l’argument, même s’il était fondé en fait, serait sans portée juridique compte tenu de la qualification retenue pour les opérations litigieuses.

Cette conclusion ne signifie nullement que la banque échappe à toute responsabilité. Elle signifie simplement que cette responsabilité doit être recherchée sur un autre terrain juridique : celui du manquement au devoir de vigilance relevant du droit commun de la responsabilité contractuelle. Ce déplacement du débat juridique entraîne des conséquences majeures sur la charge de la preuve et sur les conditions d’engagement de la responsabilité bancaire.

Quelles sont les obligations de vigilance qui pèsent sur les établissements bancaires ?

Le principe du devoir de vigilance bancaire

Le devoir de vigilance bancaire constitue une obligation contractuelle implicite qui pèse sur tout établissement de crédit dans le cadre de ses relations avec sa clientèle. Cette obligation, d’origine jurisprudentielle, découle du principe général selon lequel le banquier, professionnel du maniement des fonds, doit mettre en œuvre sa compétence technique et son expérience pour protéger les intérêts légitimes de son client.

Toutefois, ce devoir de vigilance doit s’articuler avec un autre principe fondamental : l’obligation de non-ingérence dans les affaires du client. La banque n’a pas vocation à contrôler l’opportunité commerciale des choix de son client ni à s’immiscer dans sa gestion. Elle doit exécuter diligemment les ordres qui lui sont donnés, sans se substituer au chef d’entreprise dans ses décisions.

⚖️ Équilibre entre vigilance et non-ingérence

DEVOIR DE VIGILANCE
La banque doit détecter les anomalies apparentes et alerter son client face à des opérations suspectes
NON-INGÉRENCE
La banque ne doit pas contrôler l’opportunité des choix commerciaux ni se substituer au dirigeant

C’est précisément pour concilier ces deux exigences contradictoires que la jurisprudence a forgé le concept d’anomalie apparente. La banque n’est tenue de s’interroger sur la régularité d’un ordre de paiement et d’alerter son client que lorsque cet ordre présente des caractéristiques objectivement anormales, suffisamment évidentes pour qu’un professionnel normalement diligent les détecte.

La Cour d’appel de Versailles reprend fidèlement cette jurisprudence constante en énonçant que « la responsabilité pour manquement au devoir de vigilance du prestataire de services de paiement, tenu à une obligation de non-ingérence dans les affaires de son client, peut être engagée si des opérations de paiement présentent une anomalie apparente, dont l’existence l’oblige à procéder à des vérifications particulières ».

La notion centrale d’anomalie apparente

📖 Définition — Anomalie apparente
Caractéristique objective d’une opération de paiement qui, par sa nature ou son ampleur, s’écarte manifestement des pratiques habituelles du client ou présente des incohérences formelles ou intellectuelles aisément décelables par un professionnel bancaire normalement diligent, de nature à éveiller un soupçon légitime sur la régularité de l’ordre.

L’anomalie apparente constitue le critère déclencheur du devoir d’alerte de la banque. Sans anomalie apparente, la banque doit exécuter l’ordre sans questionnement. Avec anomalie apparente, elle doit procéder à des vérifications complémentaires avant d’exécuter l’opération.

La jurisprudence distingue deux catégories d’anomalies apparentes, que la Cour d’appel mentionne expressément :

  • Les anomalies formelles : elles concernent la forme même de l’ordre de paiement ou ses modalités d’exécution (signature inhabituelle, supports documentaires non conformes, absence de pièces justificatives habituelles)
  • Les anomalies intellectuelles : elles concernent le contenu économique de l’opération (montant disproportionné, destination inhabituelle, fréquence anormale, absence de lien avec l’activité du client)

Un élément essentiel : l’anomalie doit être « aisément décelable par un professionnel normalement diligent ». La banque n’est pas tenue de mener des investigations poussées ni de se transformer en détective privé. Elle doit simplement faire preuve de l’attention et de la compétence qu’on attend raisonnablement d’un établissement bancaire professionnel.

La jurisprudence a progressivement affiné les critères permettant de caractériser une anomalie apparente dans le contexte spécifique de la fraude au président. Elle a ainsi admis que constituaient des anomalies apparentes le fait que le montant des virements excède les plafonds convenus contractuellement avec la banque, le fait que les virements excèdent le solde créditeur disponible sur le compte, ou encore la destination des fonds vers une banque non agréée implantée hors de l’Union européenne.

Toutefois, l’arrêt commenté apporte une précision importante : toutes les opérations vers l’étranger ne constituent pas automatiquement des anomalies. La Cour rappelle expressément que lorsqu’un virement international est réalisé vers un compte localisé dans un État hors zone SEPA et qu’il présente des anomalies apparentes, le banquier est tenu de vérifier sa régularité.

Cette formulation révèle que la localisation géographique de la banque destinataire ne suffit pas, à elle seule, à caractériser une anomalie. Encore faut-il que cette localisation soit inhabituelle au regard des pratiques commerciales connues du client.

L’obligation de vérification en présence d’anomalies

Lorsqu’une anomalie apparente est détectée, la banque ne peut pas simplement exécuter l’ordre en fermant les yeux. Elle doit procéder à des « vérifications particulières ». Ces vérifications comportent deux volets complémentaires :

Premier volet : vérifier que les opérations ne sont pas inhabituelles dans la pratique commerciale du client. La banque doit confronter les caractéristiques de l’opération litigieuse avec l’historique des opérations habituellement réalisées par le client. Cette vérification suppose que l’établissement bancaire conserve une connaissance minimale de l’activité de son client et de ses habitudes de paiement.

Second volet : demander confirmation des ordres suspects à la personne habilitée à émettre des ordres de paiement. Cette obligation de confirmation constitue le cœur du dispositif de protection. La banque doit prendre contact directement avec le représentant légal de la société cliente ou avec la personne expressément mandatée pour valider les ordres de paiement.

⚠️ Attention
La confirmation doit être obtenue auprès du dirigeant ou d’un mandataire spécialement habilité, et non auprès de la personne qui a émis l’ordre initial. Dans le cas contraire, la démarche de vérification serait dépourvue de toute utilité, puisque c’est précisément cette personne qui a été trompée ou qui pourrait être complice de la fraude.

L’arrêt de la Cour d’appel de Versailles illustre parfaitement ce principe. La banque soutenait que si elle avait contacté Mme I., seule habilitée à émettre des ordres de paiement selon l’organisation interne de l’entreprise, celle-ci aurait nécessairement confirmé les ordres frauduleux puisqu’elle était elle-même victime de la manipulation.

La Cour d’appel écarte cet argument : « Quant à l’argument de la banque selon lequel, si elle avait pris l’attache de Mme I., seule habilitée à émettre des ordres de paiement, celle-ci aurait forcément confirmé les ordres litigieux, il est inopérant, dès lors qu’elle n’a pas effectivement pris son attache, comme elle le devait en présence d’anomalies apparentes. »

Cette motivation laisse entendre que la banque aurait dû contacter directement M. P., président de la société, ou à tout le moins solliciter une double validation incluant ce dernier, plutôt que de s’en remettre exclusivement à Mme I.

Un dernier élément renforce l’obligation de vigilance : la connaissance que la banque a de son client. L’arrêt souligne qu’« il n’est pas contesté que la banque était, au moment des faits, en relation d’affaires avec la société PSV depuis une trentaine d’années et avait une bonne connaissance de sa situation financière, de sorte que les anomalies constatées étaient pour elle spécialement apparentes ».

Plus la relation bancaire est ancienne et étroite, plus la banque est censée connaître les habitudes de son client, et plus les anomalies deviennent apparentes. Cette connaissance approfondie accroît corrélativement le devoir de vigilance.

Quelles anomalies apparentes ont été retenues par la Cour dans cette affaire ?

Les éléments écartés comme non suspects

Avant d’examiner les anomalies effectivement retenues, il est instructif de comprendre quels éléments la Cour d’appel a écartés comme ne constituant pas, en eux-mêmes, des anomalies apparentes. Cette analyse « en creux » permet de mieux cerner les contours de la notion.

La destination italienne des virements

La société PSV arguait que les virements vers l’Italie auraient dû alerter la banque. La Cour d’appel rejette cet argument pour plusieurs raisons cumulatives :

  • La société PSV exporte une partie importante de sa production de machines pour boucherie et charcuterie
  • Son site internet mentionne expressément des relations d’affaires avec plusieurs pays européens, dont l’Italie
  • Entre avril 2019 et février 2022, l’entreprise avait déjà effectué 11 virements vers l’Italie à partir du même compte
  • La banque destinataire est implantée dans un État membre de l’Union européenne, en zone SEPA, et n’est pas une banque non agréée

La Cour en conclut que « la réalisation des paiements litigieux vers un compte ouvert dans les livres d’une banque italienne, en zone SEPA, ne constituait donc pas une anomalie apparente ».

Les virements au crédit concomitants

La société PSV faisait valoir que son compte à la Banque Populaire avait été abondé, les 18 et 22 février 2022, par des virements provenant de son compte au CIC, juste avant ou concomitamment aux virements frauduleux sortants. Ces mouvements de trésorerie inhabituels auraient dû, selon elle, alerter la banque.

La Cour écarte également cet argument. Les virements au crédit provenaient d’un compte ouvert au nom de la société PSV elle-même dans les livres d’une autre banque. Il s’agissait donc de simples mouvements de trésorerie internes entre deux comptes appartenant au même titulaire. La banque n’avait pas à s’immiscer dans la gestion de trésorerie de son client pour déterminer s’il était opportun ou non de transférer des fonds d’un compte à un autre.

Du reste, grâce à ces abondements, les virements litigieux n’ont provoqué aucun découvert du compte, ce qui écarte un autre critère jurisprudentiel classique d’anomalie apparente.

Les montants individuels des ordres

Pris isolément, chaque ordre de virement ne dépassait pas les montants habituellement pratiqués par la société PSV. L’arrêt relève que l’entreprise réalisait un chiffre d’affaires annuel compris entre 5,5 et 7,5 millions d’euros, et qu’entre 2019 et 2021, elle avait passé 12 ordres de virement d’un montant supérieur à 50 000 euros, le plus élevé atteignant environ 81 000 euros.

Les six ordres litigieux, dont les montants s’échelonnaient entre 49 452 euros et 70 260 euros, s’inscrivaient donc dans la fourchette haute mais restaient cohérents avec les pratiques antérieures. La Cour constate : « Pris individuellement, le montant des ordres litigieux passés ne constituait donc pas une anomalie apparente. »

Le faisceau d’indices constitutif d’anomalies

C’est l’accumulation de plusieurs caractéristiques inhabituelles, prises dans leur ensemble, qui constitue le faisceau d’indices révélateur d’une anomalie apparente. La Cour d’appel identifie quatre anomalies intellectuelles majeures.

Première anomalie : plusieurs virements au profit du même bénéficiaire le même jour

La banque ne contestait pas qu’entre avril 2019 et février 2022, la société PSV n’avait jamais passé dans la même journée plusieurs ordres de virement au profit d’un même bénéficiaire. Or, le 17 février 2022, deux ordres ont été passés le même jour (60 784 euros et 53 216 euros), et le 22 février 2022, trois ordres ont été passés le même jour (70 260 euros, 49 982 euros et 68 758 euros).

Cette concentration d’ordres au profit d’un destinataire unique, en l’espace de quelques heures, constituait une rupture manifeste avec les habitudes de paiement de l’entreprise.

Deuxième anomalie : montant cumulé exceptionnel sur une courte période

Les quatre années de relevés de compte produites par la société PSV démontraient qu’elle n’avait jamais opéré autant de virements d’un montant cumulé aussi important au profit d’un même bénéficiaire en l’espace de sept jours. Sur la période du 16 au 22 février 2022, ce sont 352 452 euros qui ont été transférés vers le même compte italien.

Pour une entreprise dont le chiffre d’affaires annuel se situe entre 5,5 et 7,5 millions d’euros, un tel transfert représente environ 5 à 6 % du chiffre d’affaires annuel, concentré sur une semaine et au profit d’un seul destinataire. Cette proportion était manifestement exceptionnelle.

Troisième anomalie : bénéficiaire inconnu à la dénomination sans lien avec l’activité

L’entreprise italienne bénéficiaire, dénommée « Eurogrid Cycles », n’avait jamais été destinataire d’aucun paiement émanant de la société PSV avant février 2022. Il s’agissait donc d’un fournisseur totalement nouveau dans les relations commerciales de l’entreprise.

De surcroît, la dénomination sociale « Eurogrid Cycles » évoque manifestement le secteur du cycle et de la bicyclette, sans lien apparent avec l’activité de construction de machines pour boucherie et charcuterie exercée par la société PSV. Cette incohérence sectorielle, connue de la banque qui entretenait des relations suivies avec son client, constituait un signal d’alerte supplémentaire.

Quatrième anomalie : le pic exceptionnel du 22 février 2022

Les trois opérations réalisées le 22 février 2022 représentaient un montant cumulé de 189 000 euros en une seule journée. Ce chiffre dépassait très largement les pratiques habituelles de la société PSV, qui n’avait jamais effectué, au cours des trois années précédentes, un paiement supérieur à environ 80 000 euros au profit d’un même fournisseur.

Le 22 février 2022 marquait donc une rupture quantitative brutale : un montant journalier plus de deux fois supérieur au record précédent, au profit d’un destinataire inconnu.

🔍 Les quatre anomalies intellectuelles cumulées

🔴 Anomalie n°1
Plusieurs virements le même jour au profit du même bénéficiaire (jamais pratiqué auparavant)
🔴 Anomalie n°2
Montant cumulé exceptionnel de 352 452 € sur 7 jours au profit d’un seul bénéficiaire
🔴 Anomalie n°3
Bénéficiaire inconnu (« Eurogrid Cycles ») sans lien avec l’activité de machines pour boucherie
🔴 Anomalie n°4
Pic de 189 000 € en une journée (22 février), plus du double du record antérieur (80 000 €)

La Cour souligne que ces anomalies étaient « d’autant plus visibles » que la banque avait spontanément regroupé les ordres : deux virements en un seul de 114 000 euros le 17 février, trois virements en un seul de 189 000 euros le 22 février. En procédant à ces regroupements, sans instruction expresse de son client, la banque avait nécessairement dû constater qu’elle créait des opérations de montants particulièrement élevés, chacune dépassant 100 000 euros.

Ces regroupements spontanés révèlent d’ailleurs une incohérence dans l’argumentation de la banque : si elle a jugé opportun de regrouper les ordres pour des raisons de commodité technique ou de frais bancaires, c’est bien qu’elle avait identifié leur caractère répétitif et leur destination commune. Comment, dès lors, n’a-t-elle pas détecté l’anomalie globale que représentaient ces opérations massives vers un destinataire inconnu ?

La Cour d’appel conclut fermement : « Ces anomalies auraient dû, à tout le moins le 22 février 2022, conduire tout prestataire de services de paiement normalement diligent à alerter son client, à prendre son attache et à lui demander de confirmer ses ordres de paiement. »

La date du 22 février 2022 est expressément mentionnée comme un seuil critique : c’est à cette date que le cumul des anomalies devenait tellement évident qu’aucun banquier normalement diligent ne pouvait l’ignorer. Même si l’on pouvait éventuellement admettre que les premiers virements, pris isolément, ne constituaient pas des signaux d’alerte suffisamment clairs, le troisième épisode du 22 février, avec trois virements totalisant 189 000 euros, franchissait incontestablement le seuil de l’anomalie apparente.

Comment la responsabilité de l’entreprise victime a-t-elle été retenue ?

Les carences organisationnelles de l’entreprise

Après avoir retenu le manquement de la banque à son devoir de vigilance, la Cour d’appel ne s’arrête pas là. Elle examine minutieusement le comportement de l’entreprise victime elle-même et identifie plusieurs défaillances graves dans son organisation interne.

📖 Définition — Négligence fautive du client
Faute imputable au client d’une banque, caractérisée par un défaut d’organisation, de contrôle ou de vigilance ayant contribué de manière significative à la réalisation d’un préjudice, et de nature à exonérer partiellement ou totalement la responsabilité du prestataire de services de paiement qui a lui-même manqué à ses obligations.

La Cour d’appel relève d’abord une carence structurelle majeure : au moment des faits, Mme I., responsable administrative et financière de la société PSV, disposait d’une signature unique sur le compte bancaire et était la seule habilitée à consulter le solde et à réaliser toutes les opérations sécurisées.

Cette centralisation excessive des pouvoirs financiers entre les mains d’une seule personne, sans aucun contrôle du dirigeant social, constitue une vulnérabilité organisationnelle manifeste. L’absence totale de double validation ou de contrôle a posteriori rendait l’entreprise particulièrement exposée aux manipulations frauduleuses.

La situation était d’autant plus problématique que M. P., président de la société, n’était plus délégataire de signature sur le dispositif « Pack Connection EBICS » au moment des faits. Il ne pouvait donc même pas, s’il l’avait souhaité, vérifier les ordres de paiement passés par sa collaboratrice.

Pire encore : en mars 2018, la société avait résilié le contrat « Suite entreprise mobile » qui aurait permis à M. P. de consulter les comptes à distance. Cette résiliation avait coupé le dirigeant de tout accès direct aux mouvements bancaires de son entreprise, le rendant totalement dépendant des informations que Mme I. voudrait bien lui communiquer.

Au-delà de ces carences organisationnelles générales, la Cour identifie des négligences spécifiques de Mme I. dans le traitement des messages frauduleux. L’analyse du courriel du 16 février 2022 est particulièrement éclairante.

Ce message, prétendument expédié par M. P. mais provenant en réalité d’une adresse électronique frauduleuse (et non de son adresse professionnelle réelle), contenait plusieurs incohérences flagrantes :

  • Il invitait Mme I. à « ne parler à personne de l’affaire », y compris au président lui-même
  • Il lui interdisait d’échanger de vive voix ou par téléphone avec M. P., n’autorisant que les échanges via une adresse électronique « sécurisée »
  • Il invoquait une prétendue « procédure imposée par l’AMF » alors que la société PSV, non cotée, n’était soumise à aucune réglementation de l’Autorité des marchés financiers
  • Il demandait de prendre contact avec « Maître Bouvard-Decot, du cabinet Deloitte », mélange incongru entre un titre d’avocat et le nom d’un grand cabinet d’audit
⚠️ Les signaux d’alerte ignorés par Mme I.
La Cour relève que « les incongruités de ce message interdisant à Mme I. de communiquer de vive voix avec le dirigeant de l’entreprise, lui enjoignant de suivre une procédure « imposée par l’AMF » alors même que la société PSV n’est pas cotée, enfin à prendre contact avec une avocate dont une vérification simple aurait permis de découvrir qu’elle n’appartenait pas au cabinet parisien Deloitte, sont telles qu’elles auraient dû la conduire, sinon à détecter la tentative de fraude, du moins à s’ouvrir de ses doutes à son supérieur hiérarchique. »

Le constat est sévère : Mme I. n’a pas exercé la vigilance élémentaire qu’on pouvait attendre d’une responsable administrative et financière face à un message aussi suspect. Une simple recherche sur Internet lui aurait permis de vérifier que l’avocate mentionnée n’appartenait pas au cabinet Deloitte. Un bref appel téléphonique direct à M. P., malgré l’interdiction contenue dans le courriel, aurait immédiatement révélé la supercherie.

La Cour ajoute qu’« il est constant que Mme I. n’a pas pris la précaution de discuter de vive voix avec M. P. de la prétendue opération d’achat d’entreprise à l’étranger en vue de laquelle elle a passé seule les ordres de paiement litigieux ». Cette absence totale de vérification auprès du dirigeant, alors qu’il s’agissait prétendument d’une opération stratégique majeure (l’acquisition d’une société italienne) impliquant plus de 350 000 euros, constitue une négligence professionnelle caractérisée.

La banque avait d’ailleurs tenté, sans succès, de sensibiliser l’entreprise aux risques de fraude. Lors d’entretiens téléphoniques les 4 et 8 février 2022, soit quelques jours avant les virements frauduleux, elle avait proposé à Mme I. et à M. P. de souscrire des outils de validation des opérations de nature à prévenir les fraudes. Ces propositions n’avaient pas été suivies d’effet.

Le partage de responsabilité et ses conséquences

Sur le fondement de ces constatations, la Cour d’appel énonce un principe jurisprudentiel désormais bien établi : « Lorsque le prestataire de services de paiement a manqué à son obligation de vigilance, la négligence fautive de son client peut conduire à l’exonérer en tout ou partie de sa responsabilité. »

Cette règle de partage de responsabilité, issue du droit commun de la responsabilité contractuelle, permet au juge d’apprécier souverainement la contribution respective de chaque partie à la réalisation du dommage. Il ne s’agit pas d’une exonération automatique, mais d’une modulation de l’indemnisation en fonction de la gravité comparée des fautes commises.

Dans le cas d’espèce, la Cour d’appel opère une pondération sévère pour la société PSV : « L’escroquerie dont la société PSV a été victime a ainsi révélé des carences dans son organisation interne telles qu’elle était anormalement vulnérable aux manipulations frauduleuses. La cour retient que la société appelante est, pour cette raison, en majeure partie responsable de son propre préjudice. »

⚖️ Répartition de la responsabilité

~94%
Responsabilité de la société PSV
Carences organisationnelles graves
~6%
Responsabilité de la banque
Manquement au devoir de vigilance
Montant réclamé : 352 452 €
Montant alloué : 20 000 €

L’expression « en majeure partie » ne laisse aucune ambiguïté : la Cour estime que la responsabilité principale du préjudice incombe à l’entreprise elle-même, en raison de son organisation défaillante et des négligences de sa collaboratrice.

Cette appréciation se traduit par une condamnation symbolique de la banque au paiement de la somme de 20 000 euros à titre de dommages-intérêts, soit moins de 6 % du préjudice total réclamé (352 452 euros).

Cette solution illustre la sévérité croissante des juridictions à l’égard des entreprises victimes de fraude au président qui n’ont pas mis en place des procédures de contrôle interne minimales. La jurisprudence adresse un message clair : la responsabilité bancaire pour manquement au devoir de vigilance ne constitue qu’un filet de sécurité subsidiaire, qui ne saurait compenser les négligences graves des entreprises dans leur propre organisation.

Il convient néanmoins de souligner que ce partage de responsabilité n’est pas systématique. La jurisprudence retient parfois une responsabilité intégrale ou quasi-intégrale de la banque lorsque les anomalies apparentes sont particulièrement flagrantes et que l’entreprise victime n’a commis aucune négligence significative. Chaque affaire fait l’objet d’une appréciation souveraine en fonction des circonstances particulières.

Quels enseignements pratiques tirer de cet arrêt pour les entreprises et les banques ?

Cet arrêt de la Cour d’appel de Versailles offre des enseignements précieux tant pour les entreprises que pour les établissements bancaires confrontés à la recrudescence de la fraude au président.

Pour les entreprises : l’impératif d’une organisation interne robuste

La première leçon est sans équivoque : aucune entreprise ne peut s’en remettre exclusivement à la vigilance de sa banque pour se protéger contre les fraudes. La mise en place de procédures de contrôle interne constitue une obligation de sécurité qui incombe prioritairement au chef d’entreprise lui-même.

Les recommandations minimales découlent directement des carences identifiées par l’arrêt :

  • Instaurer systématiquement une double validation pour tout virement d’un montant significatif ou présentant un caractère inhabituel, en impliquant nécessairement le dirigeant ou un cadre de direction
  • Maintenir un accès de consultation permanent du dirigeant sur tous les comptes bancaires de l’entreprise, y compris à distance via les outils de banque en ligne
  • Définir contractuellement avec la banque des plafonds de virement adaptés aux besoins réels de l’entreprise, et prévoir une procédure de confirmation obligatoire pour tout dépassement
  • Former régulièrement les collaborateurs ayant accès aux moyens de paiement aux techniques de fraude au président et aux réflexes de prudence (vérification systématique des adresses électroniques, confirmation orale par téléphone en cas de demande inhabituelle)
  • Établir une liste fermée de bénéficiaires autorisés pour les virements récurrents, et imposer une validation renforcée pour tout nouveau bénéficiaire

L’arrêt montre également qu’une formation sommaire ne suffit pas. Il ne s’agit pas seulement de sensibiliser les collaborateurs à l’existence du risque de fraude au président, mais de leur inculquer des réflexes concrets : vérifier l’adresse électronique de l’émetteur, ne jamais se fier à un nom d’expéditeur affiché, appeler systématiquement le dirigeant en cas de demande inhabituelle, même si le message lui interdit de le faire.

Pour les banques : affiner la détection des anomalies apparentes

L’arrêt confirme que la responsabilité bancaire repose sur un critère objectif : l’existence d’anomalies apparentes aisément décelables par un professionnel normalement diligent. Les établissements bancaires doivent donc développer des outils de détection automatisée capables d’identifier les ruptures dans les habitudes de paiement de leurs clients.

Les critères de détection pertinents, validés par la jurisprudence, incluent la fréquence inhabituelle d’ordres de virement (plusieurs virements le même jour au profit du même bénéficiaire), le montant cumulé exceptionnel sur une période courte (quelques jours ou semaines), l’apparition d’un nouveau bénéficiaire, surtout si sa dénomination n’a pas de lien apparent avec l’activité du client, le dépassement des plafonds habituels ou des montants unitaires historiquement pratiqués, et la concomitance entre des crédits inhabituels (abondement du compte) et des virements sortants immédiats vers l’étranger.

L’arrêt rappelle aussi que la banque ne peut se retrancher derrière l’argument selon lequel « si elle avait appelé la personne habilitée, celle-ci aurait confirmé les ordres ». Ce raisonnement est jugé inopérant : dès lors qu’une anomalie apparente existe, la banque doit prendre contact avec le client. L’obligation de vigilance n’est pas conditionnée à l’utilité supposée de l’alerte.

Pour les juridictions : une appréciation souveraine du partage de responsabilité

L’arrêt illustre la marge d’appréciation dont disposent les juges du fond pour déterminer le partage de responsabilité entre la banque et l’entreprise victime. Ce partage n’obéit à aucune règle mathématique : il résulte d’une analyse concrète de la gravité respective des manquements de chacune des parties.

Dans le cas présent, la condamnation de la banque à verser 20 000 euros sur les 352 452 euros réclamés traduit une responsabilité bancaire d’environ 6 %, et une responsabilité de l’entreprise victime d’environ 94 %. Ce ratio particulièrement défavorable à la victime s’explique par l’accumulation de carences organisationnelles graves : signature unique, absence de contrôle du dirigeant, non-réaction face à des signaux d’alerte manifestes.

Quels enseignements pratiques tirer de cet arrêt pour les entreprises et les banques ?

Cet arrêt de la Cour d’appel de Versailles offre des enseignements précieux tant pour les entreprises que pour les établissements bancaires confrontés à la recrudescence de la fraude au président.

Pour les entreprises : l’impératif d’une organisation interne robuste

La première leçon est sans équivoque : aucune entreprise ne peut s’en remettre exclusivement à la vigilance de sa banque pour se protéger contre les fraudes. La mise en place de procédures de contrôle interne constitue une obligation de sécurité qui incombe prioritairement au chef d’entreprise lui-même.

Les recommandations minimales découlent directement des carences identifiées par l’arrêt :

  • Instaurer systématiquement une double validation pour tout virement d’un montant significatif ou présentant un caractère inhabituel, en impliquant nécessairement le dirigeant ou un cadre de direction distinct de la personne initiatrice
  • Maintenir un accès de consultation permanent du dirigeant sur tous les comptes bancaires de l’entreprise, y compris à distance via les outils de banque en ligne
  • Définir contractuellement avec la banque des plafonds de virement adaptés aux besoins réels de l’entreprise, et prévoir une procédure de confirmation obligatoire pour tout dépassement
  • Former régulièrement les collaborateurs ayant accès aux moyens de paiement aux techniques de fraude au président et aux réflexes de prudence : vérification systématique des adresses électroniques, confirmation orale par téléphone avec le dirigeant en cas de demande inhabituelle, même si le message l’interdit
  • Établir une liste fermée de bénéficiaires autorisés pour les virements récurrents, et imposer une validation renforcée avec délai de réflexion pour tout nouveau bénéficiaire
  • Ne jamais résilier les outils de consultation à distance permettant au dirigeant de suivre en temps réel les mouvements bancaires

L’arrêt montre que les incongruités manifestes du courriel frauduleux (interdiction de communiquer de vive voix avec le dirigeant, référence à une « procédure imposée par l’AMF » pour une société non cotée, mélange entre titre d’avocat et cabinet d’audit) auraient dû alerter Mme I. Cette absence de réaction face à des signaux aussi grossiers a pesé lourdement dans l’appréciation de la responsabilité de l’entreprise.

Pour les banques : développer des outils de détection performants

Les établissements bancaires doivent investir dans des systèmes automatisés de détection des anomalies, capables d’identifier les ruptures comportementales dans les habitudes de paiement de chaque client professionnel. L’arrêt valide les critères suivants comme constitutifs d’anomalies apparentes :

  • Plusieurs virements passés le même jour au profit d’un même bénéficiaire (pratique jamais observée auparavant)
  • Montant cumulé exceptionnel sur une courte période (7 jours en l’espèce) dépassant largement les pratiques antérieures
  • Nouveau bénéficiaire dont la dénomination sociale n’a aucun lien apparent avec l’activité connue du client
  • Pic ponctuel dépassant massivement les montants unitaires historiques (189 000 euros en une journée alors que le record antérieur était de 80 000 euros)

L’arrêt souligne que l’ancienneté et l’intensité de la relation bancaire accroissent le devoir de vigilance : une banque partenaire depuis trente ans, qui tient des réunions régulières avec son client, dispose d’une connaissance approfondie de son activité et de ses pratiques habituelles. Les anomalies lui sont donc « spécialement apparentes ».

Enfin, la banque ne peut invoquer l’inutilité d’une prise de contact au motif que « la personne habilitée aurait de toute façon confirmé les ordres ». L’obligation de vérification existe dès lors que l’anomalie apparente est caractérisée, indépendamment de son résultat supposé.

Conclusion

L’arrêt de la cour d’appel de Versailles du 3 février 2026 illustre l’équilibre délicat que les juridictions doivent trouver en matière de fraude au président : sanctionner les manquements des banques à leur devoir de vigilance tout en tenant compte des négligences des entreprises victimes qui ont facilité la réalisation de l’escroquerie.

La décision confirme que la responsabilité bancaire peut être engagée sur le fondement du droit commun de la responsabilité contractuelle lorsque des virements frauduleux, bien qu’autorisés au sens technique, présentent des anomalies apparentes que la banque aurait dû détecter. Ces anomalies s’apprécient au regard d’un faisceau d’indices : fréquence inhabituelle, montant cumulé exceptionnel, nouveau bénéficiaire sans lien avec l’activité du client, concomitance suspecte entre abondements et virements sortants.

Toutefois, la responsabilité de la victime peut être retenue de manière écrasante lorsque son organisation interne présente des failles graves : signature unique sans contrôle du dirigeant, absence de double validation, résiliation des outils de consultation à distance, non-réaction face à des signaux d’alerte manifestes dans les courriels frauduleux. Le partage de responsabilité qui en résulte peut être massivement défavorable à la victime, comme en témoigne l’indemnisation limitée à environ 6 % du préjudice dans la présente affaire.

Au-delà des solutions juridiques, cet arrêt constitue un signal d’alerte pour toutes les entreprises : la protection contre la fraude au président repose d’abord sur des procédures internes rigoureuses et sur la formation des collaborateurs. La vigilance bancaire, bien que nécessaire, ne peut compenser les carences organisationnelles de l’entreprise elle-même.

FAQ — Questions fréquentes

Ma banque peut-elle être tenue responsable si j’ai moi-même validé des virements frauduleux suite à une fraude au président ?
Oui, la banque peut être tenue responsable si les virements que vous avez validés présentaient des anomalies apparentes qu’un professionnel normalement diligent aurait dû détecter. Ces anomalies peuvent être de plusieurs ordres : montant inhabituel, fréquence anormale, destination vers un pays avec lequel vous n’avez pas de relations d’affaires habituelles, bénéficiaire inconnu dont la dénomination n’a aucun lien avec votre activité. Si de telles anomalies existaient, la banque avait l’obligation de vous alerter et de vous demander confirmation avant d’exécuter les virements. Toutefois, votre propre responsabilité pourra également être retenue si votre organisation interne présentait des failles (absence de contrôle, pas de double validation, non-respect de règles élémentaires de prudence), ce qui conduira à un partage de responsabilité pouvant être très défavorable et à une indemnisation seulement partielle.
Quels sont les délais pour agir en justice contre ma banque après une fraude au président ?
L’action en responsabilité contractuelle contre la banque se prescrit par cinq ans à compter du jour où le titulaire du compte a connu ou aurait dû connaître les faits lui permettant d’exercer son action (article 2224 du code civil). En pratique, ce délai court à compter de la découverte de la fraude, c’est-à-dire du moment où vous avez pris connaissance des virements frauduleux. Il est toutefois vivement conseillé d’agir rapidement, non seulement pour respecter ce délai de prescription, mais surtout pour maximiser les chances de récupération des fonds (rappel SWIFT, blocage du compte bénéficiaire) et pour rassembler les preuves alors qu’elles sont encore disponibles. Une mise en demeure adressée à la banque dans les semaines suivant la découverte de la fraude est fortement recommandée.
Comment prouver que les virements frauduleux présentaient des anomalies apparentes ?
Pour prouver l’existence d’anomalies apparentes, vous devez rassembler un faisceau de preuves démontrant que les virements en cause sortaient de vos pratiques habituelles. Produisez vos relevés bancaires sur plusieurs années pour établir vos usages en matière de virements (montants moyens, fréquence, destinations, bénéficiaires habituels). Ajoutez la liste de vos fournisseurs et partenaires commerciaux pour prouver que le bénéficiaire des virements frauduleux était totalement inconnu. Fournissez également vos contrats bancaires, les comptes-rendus de réunions avec votre chargé de clientèle, et tout élément établissant que la banque avait une connaissance approfondie de votre activité. Enfin, réalisez un tableau comparatif faisant apparaître les ruptures entre les virements frauduleux et vos pratiques antérieures. Plus votre dossier sera étayé, plus vos chances de succès seront élevées.
La banque peut-elle refuser d’exécuter un virement si elle le juge suspect ?
Oui, la banque a non seulement le droit, mais aussi le devoir de suspendre l’exécution d’un virement présentant des anomalies apparentes, le temps de procéder à des vérifications auprès du client. Ce n’est pas une ingérence dans vos affaires, mais l’exercice normal de son obligation de vigilance destinée à vous protéger contre la fraude. La banque doit alors prendre contact avec vous (ou avec la personne habilitée à passer des ordres de virement) pour vous demander de confirmer l’ordre. Si vous confirmez l’ordre après avoir été dûment alerté des anomalies, la banque sera en principe dégagée de sa responsabilité. En revanche, si elle exécute le virement sans vous alerter alors que des anomalies apparentes existaient, sa responsabilité pourra être engagée. Notez que ce droit de suspension ne doit pas se transformer en blocage arbitraire : la banque doit agir rapidement et vous informer des raisons de sa démarche.
Mon assurance peut-elle prendre en charge les pertes liées à une fraude au président ?
Cela dépend des garanties souscrites dans votre contrat d’assurance. Certaines polices d’assurance multirisques professionnelles incluent une garantie « fraude » ou « cybercriminalité » couvrant les pertes consécutives à une fraude au président. Toutefois, ces garanties sont souvent assorties de conditions strictes : respect de procédures internes de sécurisation des paiements (double validation, plafonds, formation du personnel), mise en place de dispositifs techniques de protection, déclaration rapide du sinistre à l’assureur. Si ces conditions ne sont pas remplies, l’assureur peut refuser sa garantie ou appliquer une franchise importante. Il est donc essentiel de vérifier précisément l’étendue de votre couverture et de vous assurer que votre organisation interne respecte les exigences de l’assureur. En cas de doute, rapprochez-vous de votre courtier ou de votre assureur pour évaluer votre niveau de protection et, le cas échéant, souscrire une garantie complémentaire.
Que faire immédiatement après avoir découvert que j’ai été victime d’une fraude au président ?
Dès la découverte de la fraude, vous devez agir dans l’urgence en suivant ces étapes : (1) Alertez immédiatement votre banque par téléphone puis par écrit (email et courrier recommandé) pour tenter de bloquer les virements non encore exécutés ou demander un rappel des fonds (procédure SWIFT recall) ; (2) Déposez plainte sans délai auprès du commissariat ou de la gendarmerie, en fournissant tous les justificatifs (courriels frauduleux, relevés bancaires, attestations) ; (3) Signalez l’escroquerie sur la plateforme PHAROS (internet-signalement.gouv.fr) ; (4) Contactez la banque bénéficiaire des virements (souvent à l’étranger) pour demander le gel du compte destinataire ; (5) Informez votre assureur si vous disposez d’une garantie fraude ; (6) Conservez tous les éléments de preuve (courriels avec headers complets, captures d’écran, enregistrements téléphoniques, relevés bancaires, contrats). Plus vous agirez vite, plus vous aurez de chances de récupérer tout ou partie des fonds détournés et de constituer un dossier solide pour engager la responsabilité de votre banque si nécessaire.
Puis-je obtenir le remboursement intégral des virements frauduleux par ma banque ?
Le remboursement intégral est possible, mais il n’est pas automatique en cas de fraude au président. Si les virements ont été passés par une personne habilitée de votre entreprise (ce qui est le cas dans la plupart des fraudes au président), vous ne pouvez pas invoquer le régime protecteur du code monétaire et financier réservé aux opérations non autorisées. Votre action repose alors sur le droit commun de la responsabilité contractuelle pour manquement au devoir de vigilance de la banque. Le juge appréciera l’existence d’anomalies apparentes et le comportement respectif de la banque et de votre entreprise. Si votre organisation interne présentait des failles (absence de double validation, pas de contrôle du dirigeant, non-réaction face à des signaux d’alerte évidents dans les courriels frauduleux), le juge pourra retenir un partage de responsabilité et réduire en conséquence le montant de l’indemnisation de façon très significative. Comme le montre l’arrêt commenté, ce partage peut être massivement défavorable à la victime si ses propres négligences sont jugées graves. Il est donc essentiel de démontrer à la fois l’existence d’anomalies apparentes et l’absence de faute de votre part.

1521 2281 max

Besoin de conseils juridiques personnalisés ?

Ne restez pas seul face à vos questions. Un avocat peut vous rappeler gratuitement pour faire le point sur votre situation.

Être recontacté par un avocat

Besoin de conseils juridiques personnalisés ?

RGPD :

Articles similaires

contrat

Que risque un emprunteur lorsqu’il transmet de faux documents pour sa demande de prêt ?

La transmission de faux documents lors d’une demande de prêt bancaire constitue un acte lourd de conséquences, tant sur le plan civil que pénal. Dans ...

le sms peut il vraiment être un « facteur de possession »

Le SMS peut-il vraiment être un « facteur de possession » pour l’Authentification Forte du Client (SCA) au regard de la DSP2 et du RTS ? – Directive 2015/2366/UE) – Règlement Délégué (UE) 2018/389

La question de la validité du SMS comme méthode d’authentification est centrale pour l’industrie des paiements. La Directive sur les Services de Paiement 2 (DSP2) (Directive 2015/2366/UE) et ...

emxn1y8qxwogdxbsb2fkeg55bgfilxn0dw50lxnncbpfa2xpbmcvuhdprf9wmxa3xy1btzu3zghkn2w5qs8zedjfqv9yzwfsaxn0awnfyw5kx2vszwdhbnrfymxhy2tfyw4ucg5n

Forclusion biennale et surendettement : la recevabilité emporte suspension – Cass. 2e civ., 23 octobre 2025, n°23-12.623, publié au bulletin

Le droit de la consommation, et particulièrement la question de la prescription des actions en recouvrement par les professionnels, est un domaine où la jurisprudence ...