S'il entend faire supporter à l'utilisateur d'un instrument de paiement doté d'un dispositif de sécurité personnalisé les pertes occasionnées par une opération de paiement non autorisée rendue possible par un manquement de cet utilisateur, intentionnel ou par négligence grave, aux obligations des articles L. 133-16 et L 133-17 du code monétaire et financier, le prestataire de services de paiement doit au préalable prouver que l'opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre.
Une société était titulaire d'un compte ouvert dans les livres d'une banque et d'un accès à son service en ligne.
Le 26 novembre 2020, un ajout de bénéficiaire de virement par IBAN a été enregistré sur ce service. Puis, entre les 27 novembre et 3 décembre suivants, sept virements ont été débités sur le compte.
Invoquant des paiements non autorisés, la société a assigné la banque en paiement des sommes débitées et non recouvrées.
Pour rejeter cette demande, la cour d'appel de Rennes a retenu qu'il était acquis que le dirigeant de la société avait a fait preuve de négligence grave en cliquant sur le courriel, ayant permis l'ajout d'un bénéficiaire, puis les ordres de virements émis grâce à ses identifiants via le site internet de la banque, lui ayant été adressé comme provenant de celle-ci, lequel comportait des incohérences facilement décelables et ayant été précédé d'une première tentative d'escroquerie portée à sa connaissance par le conseiller clientèle peu de jours auparavant.
La Cour de cassation censure l'arrêt d'appel au visa des articles L. 133-19, IV, et L. 133-23 alinéa 1er du code monétaire et financier.
Dans un arrêt du 30 avril 2025 (pourvoi n° 24-10.149), la chambre commerciale énonce qu'il résulte de ces textes que s'il entend faire supporter à l'utilisateur d'un instrument de paiement doté d'un dispositif de sécurité personnalisé les pertes occasionnées par une opération de paiement non autorisée rendue possible par un manquement de cet utilisateur, intentionnel ou par négligence grave, aux obligations mentionnées aux articles L. 133-16 et L 133-17 de ce code, le prestataire de services de paiement doit au préalable prouver que l'opération en cause a été authentifiée, dûment enregistrée et comptabilisée (...)