CA Montpellier, ch. com., 18 mars 2025, n° 23/05199
MONTPELLIER
Arrêt
Autre
ARRÊT n°
Grosse + copie
délivrées le
à
COUR D'APPEL DE MONTPELLIER
Chambre commerciale
ARRET DU 18 MARS 2025
Numéro d'inscription au répertoire général :
N° RG 23/05199 - N° Portalis DBVK-V-B7H-P7YT
Décision déférée à la Cour :
Jugement du 13 SEPTEMBRE 2023
TRIBUNAL DE COMMERCE DE MONTPELLIER
N° RG 2022001248
APPELANTS :
Monsieur [L] [O]
né le 20 mars 1949 à [Localité 7] (ESPAGNE)
de nationalité française
[Adresse 2]
[Localité 1]
Représenté par Me Jean denis CLERMONT, avocat au barreau de MONTPELLIER
Madame [D] [G] épouse [O]
née le 31 décembre 1951 à [Localité 6] (ESPAGNE)
de nationalité française
[Adresse 2]
[Localité 1]
Représentée par Me Jean denis CLERMONT, avocat au barreau de MONTPELLIER
INTIMEE :
S.A BOURSORAMA représenté par son représentant légal en exercice domicilié en cette qualité au siège social
[Adresse 3]
[Adresse 5]
[Localité 4]
Représentée par Me Emily APOLLIS de la SELARL SAFRAN AVOCATS, avocat au barreau de MONTPELLIER et Me CHATAIN Amélie, avocat au barreau de LYON
Ordonnance de clôture du 24 janvier 2024
COMPOSITION DE LA COUR :
En application des dispositions des articles 805 et 907 du code de procédure civile, l'affaire a été débattue le 06 février 2025,en audience publique, les avocats ne s'y étant pas opposés, devant Mme Danielle DEMONT, présidente de chambre, chargée du rapport.
Ce magistrat a rendu compte des plaidoiries dans le délibéré de la cour, composée de :
Mme Danielle DEMONT, présidente de chambre
M. Thibault GRAFFIN, conseiller
M. Fabrice VETU, conseiller
Greffier lors des débats : Mme Gaëlle DELAGE
ARRET :
- Contradictoire ;
- prononcé par mise à disposition de l'arrêt au greffe de la cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l'article 450 du code de procédure civile ;
- signé par Mme Danielle DEMONT, présidente de chambre, et par Mme Gaëlle DELAGE, greffière.
*
* *
FAITS ET PROCÉDURE :
M. [L] [O] né le 20 mars 1949 est titulaire d'un compte bancaire ouvert dans les livres de la banque en ligne Boursorama et Mme [D] [G] épouse [O] née le 31 décembre 1951 est titulaire d'un compte bancaire ouvert auprès de la SA ING.
Les époux [O] ont été informés de la reprise du portefeuille des clients de la société ING par la société Boursorama.
Le transfert, assorti d'une gratification de plusieurs centaines d'euros, lorsqu'il était accepté par les clients, devait être opéré par les clients eux-mêmes, en ligne.
Le 21 avril 2022, Mme [O] a reçu un SMS qui lui a été adressé par ING un code à cinq caractères pour qu'elle puisse entreprendre sur son espace en ligne les démarches nécessaires au transfert de son compte vers Boursorama.
Le même jour elle a reçu un appel téléphonique de la part d'un dénommé M. [R] [J], se présentant comme un conseiller de la société ING, indiquant l'assister dans ses démarches.
Il a montré disposer de ses données personnelles (nom, prénom, adresse postale, mail, n° de téléphone).
Le lendemain 22 avril 2022, l'individu lui a confirmé la création de son compte et communiqué un faux RIB Boursorama (n° 40618 80378 00040051462 33), en indiquant qu'afin de finaliser l'activation de ce compte, la cliente devait réaliser un virement bancaire de 600 euros vers ce compte.
Le même jour, M. [L] [O] a ajouté à la liste de ses bénéficiaires l'IBAN de ce compte et demandé le virement de la somme de 600 euros et il a reçu une confirmation par courriel de Boursorama de l'exécution du virement.
Par la suite, le supposé conseiller de la société ING leur a indiqué que pour bénéficier de la gratification maximale au titre du transfert du compte, il convenait d'indiquer sur le libellé du virement « migration compte ING » et de verser la somme de 20'000 euros.
M. [L] [O] a procédé au virement de la somme de 19'400 euros supplémentaire de son compte Boursorama vers ce nouveau bénéficiaire.
Le 25 avril 2022, la société Boursorama a demandé à M. [O] dans le cadre de ses obligations Tracfin quel était son lien avec le dénommé [W] [Z] ayant reçu un virement de 19'400 € le 22 avril 2022 et le motif de ce virement.
Le 3 juin 2022, M. [L] [O] a déposé plainte pénale du chef d'escroquerie.
La banque refusant de rembourser les fonds soustraits, par exploit du 19 octobre 2022, les époux [O] ont assigné la société Boursorama en paiement de la somme de 20'000 euros.
Par jugement contradictoire en date du 13 septembre 2023, le tribunal de commerce de Carcassonne a'débouté M. [L] [O] et Mme [D] [G] de l'ensemble de leurs demandes dirigées à l'encontre de la société Boursorama, et les a condamnés à lui payer la somme de 1'000 euros au titre de l'article 700 du code de procédure civile ainsi qu'aux entiers dépens.
Par déclaration du 24 octobre 2023, M. [L] [O] et Mme [D] [G] ont relevé appel de ce jugement.
Par conclusions du 12 juillet 2024, ils demandent à la cour, au visa des articles L.'133-6, L.'133-16, L.'133-17, L.'133-18, L.'133-22, L.'133-24, L.'133-44 du code monétaire et financier et des articles 1231-1 et 1240 du code civil :
- de les recevoir en leur appel';
- d'infirmer le jugement entrepris en toutes ses dispositions';
- de débouter la société Boursorama de l'ensemble de ses demandes'reconventionnelles ;
À titre principal,
- de la condamner à payer à M. [L] [O] la somme de 20'000 euros au titre du remboursement des virements querellés non autorisés';
- de la condamner à leur payer la somme de 1'800 euros à parfaire au titre de leur préjudice financier découlant de sa résistance abusive et correspondant aux intérêts au taux de 3 % l'an qu'ils auraient dû percevoir, à ce jour et depuis le 22 avril 2024, s'ils n'avaient pas été privés de leur épargne de 20'000 euros'et celle de 1'000 euros au titre de leur préjudice moral découlant de sa résistance abusive';
À titre subsidiaire,
- de condamner la société Boursorama aux mêmes montants sur le fondement d'une négligence fautive';
Et en tout état de cause,
- de la condamner à leur payer la somme de 3'450 euros au titre de l'article 700 du code de procédure civile ainsi qu'aux entiers dépens.
Par conclusions du 15 avril 2024, la SA Boursorama demande à la cour, au visa des articles L. 133-3 et suivants, L.'133-8, L.'133-19 IV, L.'133-21 et L.'133-24 du code monétaire et financier, de'confirmer le jugement entrepris en toutes ses dispositions, et de condamner in solidum les époux [O] à lui payer la somme de 3'500 euros au titre de l'article 700 du code de procédure civile ainsi qu'aux entiers dépens.
Il est renvoyé, pour l'exposé exhaustif des moyens des parties, aux conclusions susvisées, conformément aux dispositions de l'article 455 du code de procédure civile.
L'ordonnance de clôture est datée du 16 janvier 2025.
MOTIFS :
Les appelants soutiennent les moyens suivants :
' la banque a enregistré le faux RIB fourni pour le compte sans procéder à une authentification forte imposée par la directive DSP2 transposée à l'article L 133-44 du code monétaire et financier ;
' à la demande du faux conseiller il a été inscrit « migration compte ING » ce qui aurait dû également alerter la banque ;
' lundi 25 avril la banque a confirmé le virement et a procédé à la demande de M. [O] au blocage de son compte en ligne outre le blocage des fonds ;
' il n'a reçu ensuite aucune nouvelle et s'est aperçu le 7 mai 2022 que les fonds n'avaient été ni bloqués ni recrédités par la banque ;
' les virements querellés doivent être qualifiés d'opérations « non autorisées » au sens de l'article L 133-6 du code monétaire et financier et par conséquent être remboursés ;
' subsidiairement, la banque a commis une négligence dans l'exécution des virements outre l'absence de tentative de mise en 'uvre d'une procédure de retour des fonds ;
' s'agissant d'une présomption simple, le donneur d'ordre à l'opération peut établir qu'il n'a pas consenti au bénéficiaire du virement et donc au virement dès lors non autorisé, notamment lorsqu'une escroquerie a vicié son consentement ;
' en application des articles L 133-18 et L 133-24 du code monétaire et financier, la banque à l'obligation de rembourser son client des pertes occasionnées par l'opération non autorisée qui a été effectuée sans que le prestataire de services de paiement du payeur exige une authentification forte du payeur prévue à l'article L 133-44 ;
' l'ajout d'un bénéficiaire de virement et la réalisation d'un ordre de virement ne sont pas subordonnés au système d'authentification forte imposé par L 133-44 du code monétaire et financier : Boursorama demande seulement à ses clients de rentrer une seule fois leur identifiant et mot de passe dans leur espace en ligne pour réaliser l'opération ;
' à titre subsidiaire, la banque a manqué à son obligation générale de vigilance. Elle aurait dû vérifier que l'ordre était dépourvu d'anomalie apparente ;
' elle a confirmé que le premier virement querellé avait bien été effectué au bénéfice de [O] [D] ;
' conformément à la jurisprudence, notamment de la cour d'appel de Paris, il appartenait à Boursorama de vérifier l'identité du bénéficiaire du virement, ce qui lui aurait permis de déceler la fraude puisque le RIB falsifié était relatif à un compte ouvert dans ses propres livres ;
' ayant sollicité des explications le 25 avril 2022, la banque pouvait encore à cette date bloquer le virement ;
' la banque doit dans les meilleurs délais mettre en 'uvre une procédure de recall des fonds, une fois alertée, or elle ne verse aux débats aucun élément de nature à démontrer qu'elle aurait à tout le moins initié une telle tentative ;
' elle ne prouve pas que le retour des fonds était impossible, alors qu'elle ne conteste pas avoir été alertée le 25 avril.
Mais la SA Boursorama lui répond que suite au retrait de l'ING du marché français son partenariat permettait aux clients d'ING de devenir clients de Boursorama mais selon un parcours indiqué en ligne à partir du seul site boursorama-banque.com, et non par un démarchage par téléphone ; et que de surcroît dès le mois d'avril 2022, une alerte figurait sur le site signalant des escrocs se faisant pour des conseillers ING Direct.
La banque ajoute exactement que, pour effectuer le 22 avril 2022 à partir de son compte Boursorama chacun des deux virements, M. [O] a dû concrètement:
' se connecter à Internet pour accéder au site de Boursorama ;
' saisir son identifiant personnel ;
' saisir son mot de passe ;
' enregistrer les coordonnées bancaires d'un nouveau bénéficiaire auquel il a lui-même attribué un nom, et un prénom en l'espèce ceux de son épouse ;
' renseigner les paramètres des virements qu'il a entendu effectuer, à savoir en particulier l'IBAN, c'est-à-dire l'identifiant unique du bénéficiaire ;
' disposer de la provision suffisante sur son compte Boursorama ;
' et enfin confirmer le virement.
L. 133-4 du code monétaire et financier, prévoit :
« Pour l'application du présent chapitre :
a) Les données de sécurité personnalisées s'entendent des données personnalisées fournies à un utilisateur de services de paiement par le prestataire de services de paiement à des fins d'authentification ;
b) Un identifiant unique s'entend d'une combinaison de lettres, de chiffres ou de symboles indiquée à l'utilisateur de services de paiement par le prestataire de services de paiement, que l'utilisateur de services de paiement doit fournir pour permettre alternativement ou cumulativement l'identification certaine de l'autre utilisateur de services de paiement et de son compte de paiement pour l'opération de paiement ;
c) Un instrument de paiement s'entend, alternativement ou cumulativement, de tout dispositif personnalisé et de l'ensemble de procédures convenu entre l'utilisateur de services de paiement et le prestataire de services de paiement et utilisé pour donner un ordre de paiement ;
d) Un jour ouvrable est un jour au cours duquel le prestataire de services de paiement du payeur ou celui du bénéficiaire exerce une activité permettant d'exécuter des opérations de paiement ;
e) Une authentification s'entend d'une procédure permettant au prestataire de services de paiement de vérifier l'identité d'un utilisateur de services de paiement ou la validité de l'utilisation d'un instrument de paiement spécifique, y compris l'utilisation des données de sécurité personnalisées de l'utilisateur ;
f) Une authentification forte du client s'entend d'une authentification reposant sur l'utilisation de deux éléments ou plus appartenant aux catégories " connaissance " (quelque chose que seul l'utilisateur connaît), " possession " (quelque chose que seul l'utilisateur possède) et " inhérence " (quelque chose que l'utilisateur est) et indépendants en ce sens que la compromission de l'un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d'authentification ;
L. 133-6 -I. ' « Une opération de paiement est autorisée si le payeur a donné son consentement à son exécution. »
L 133-7 « Le consentement est donné sous la forme convenue entre le payeur et son prestataire de services de paiement. »
L.133-21 « Un ordre de paiement exécuté conformément à l'identifiant unique fourni par l'utilisateur du service de paiement est réputé dûment exécuté pour ce qui concerne le bénéficiaire désigné par l'identifiant unique.
Si l'identifiant unique fourni par l'utilisateur du service de paiement est inexact, le prestataire de services de paiement n'est pas responsable de la mauvaise exécution ou de la non-exécution de l'opération de paiement.
Toutefois, le prestataire de services de paiement du payeur s'efforce de récupérer les fonds engagés dans l'opération de paiement. Le prestataire de services de paiement du bénéficiaire communique au prestataire de services de paiement du payeur toutes les informations utiles pour récupérer les fonds. Si le prestataire de services de paiement du payeur ne parvient pas à récupérer les fonds engagés dans l'opération de paiement, il met à disposition du payeur, à sa demande, les informations qu'il détient pouvant documenter le recours en justice du payeur en vue de récupérer les fonds. »
En l'espèce, l'exécution de l'opération de paiement a été conforme aux instructions du donneur d'ordre auquel il a été fourni par le prestataire de services l'identifiant unique défini à l'article L. 133-4 b) du code monétaire et financier et qui a fourni l'IBAN du bénéficiaire.
En application de l'article L. 133-3 du code monétaire et financier « I. ' Une opération de paiement est une action consistant à verser, transférer ou retirer des fonds, indépendamment de toute obligation sous-jacente entre le payeur et le bénéficiaire, initiée par le payeur, ou pour son compte, ou par le bénéficiaire. » ; la banque n'est dès lors pas tenue de vérifier les coordonnées bancaires du bénéficiaire indiquées sur l'ordre de virement, ni la concordance entre le nom du bénéficiaire et l'identifiant unique fourni par M. [O].
Le prestataire de services de paiement a appliqué l'authentification forte du client définie au f de l'article L 133-4 lorsque le payeur a accédé à son compte de paiement en ligne, conformément à l'article L 133-44-1°du code monétaire et financier, dans sa version en vigueur du 13 janvier 2018 au 11 mars 2023 applicable au litige.
Le moyen subsidiaire des appelants sera écarté dans la mesure où la responsabilité contractuelle de droit commun résultant de l'article 1231-1 du code civil n'est pas applicable en présence d'un régime de responsabilité exclusif.
En effet dès lors que la responsabilité d'un prestataire de services de paiement est recherchée en raison d'une opération de paiement non autorisée ou mal exécutée, comme le soutiennent les époux [O], seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du code monétaire et financier, qui transposent les articles 71 à 74 de la directive (UE) 2015/2366 du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) n°1093/2010, et abrogeant la directive 2007/64/CE, à l'exclusion de tout régime alternatif de responsabilité résultant du droit national (Cass. Com., 15 janvier 2025, n°23-13.579 et n°23-15.437).
Il convient de relever de surcroît qu'en réalité aucune anomalie apparente n'affectait l'opération ordonnée.
Les époux [O] ne sont pas fondés à rechercher la responsabilité de Boursorama à raison d'un virement que celle-ci a exécuté conformément à la rédaction du mandat de payer qu'ils lui avaient donné, et alors que la banque avait indiqué au titulaire du compte que le transfert des comptes se pratiquerait exclusivement sur l'application Boursorama.com. ; et que les époux ont commis une grave négligence en suivant imprudemment les instructions téléphoniques d'un faux conseiller qui n'a pas même usé d'une méthode de spoofing, soit l'usurpation de la ligne téléphonique de Boursorama.
Sur la tentative de recall des fonds, la société Boursorama plaide utilement que M. [O], interrogé sur son opération, ayant répondu qu'il ne connaissait pas M. [Z] le 25 avril 2022, le rappel des fonds s'est révélé impossible, dans la mesure où dès l'exécution de l'ordre de virement le 22 avril précédent, leur bénéficiaire les avait aussitôt virés vers d'autres comptes, ce qui est le principe même de l'escroquerie dont les époux [O] ont été victimes.
En définitive le jugement qui a rejeté toutes les demandes en paiement de ces derniers ne peut qu'être confirmé.
PAR CES MOTIFS
La cour,
Confirme le jugement déféré en toutes ses dispositions ;
Y ajoutant
Condamne in solidum M. [L] [O] et Mme [D] [G] à payer à la SA Boursorama la somme de 2'000 euros au titre de l'article 700 du code de procédure civile ainsi qu'aux entiers dépens.
La greffière La présidente
Grosse + copie
délivrées le
à
COUR D'APPEL DE MONTPELLIER
Chambre commerciale
ARRET DU 18 MARS 2025
Numéro d'inscription au répertoire général :
N° RG 23/05199 - N° Portalis DBVK-V-B7H-P7YT
Décision déférée à la Cour :
Jugement du 13 SEPTEMBRE 2023
TRIBUNAL DE COMMERCE DE MONTPELLIER
N° RG 2022001248
APPELANTS :
Monsieur [L] [O]
né le 20 mars 1949 à [Localité 7] (ESPAGNE)
de nationalité française
[Adresse 2]
[Localité 1]
Représenté par Me Jean denis CLERMONT, avocat au barreau de MONTPELLIER
Madame [D] [G] épouse [O]
née le 31 décembre 1951 à [Localité 6] (ESPAGNE)
de nationalité française
[Adresse 2]
[Localité 1]
Représentée par Me Jean denis CLERMONT, avocat au barreau de MONTPELLIER
INTIMEE :
S.A BOURSORAMA représenté par son représentant légal en exercice domicilié en cette qualité au siège social
[Adresse 3]
[Adresse 5]
[Localité 4]
Représentée par Me Emily APOLLIS de la SELARL SAFRAN AVOCATS, avocat au barreau de MONTPELLIER et Me CHATAIN Amélie, avocat au barreau de LYON
Ordonnance de clôture du 24 janvier 2024
COMPOSITION DE LA COUR :
En application des dispositions des articles 805 et 907 du code de procédure civile, l'affaire a été débattue le 06 février 2025,en audience publique, les avocats ne s'y étant pas opposés, devant Mme Danielle DEMONT, présidente de chambre, chargée du rapport.
Ce magistrat a rendu compte des plaidoiries dans le délibéré de la cour, composée de :
Mme Danielle DEMONT, présidente de chambre
M. Thibault GRAFFIN, conseiller
M. Fabrice VETU, conseiller
Greffier lors des débats : Mme Gaëlle DELAGE
ARRET :
- Contradictoire ;
- prononcé par mise à disposition de l'arrêt au greffe de la cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l'article 450 du code de procédure civile ;
- signé par Mme Danielle DEMONT, présidente de chambre, et par Mme Gaëlle DELAGE, greffière.
*
* *
FAITS ET PROCÉDURE :
M. [L] [O] né le 20 mars 1949 est titulaire d'un compte bancaire ouvert dans les livres de la banque en ligne Boursorama et Mme [D] [G] épouse [O] née le 31 décembre 1951 est titulaire d'un compte bancaire ouvert auprès de la SA ING.
Les époux [O] ont été informés de la reprise du portefeuille des clients de la société ING par la société Boursorama.
Le transfert, assorti d'une gratification de plusieurs centaines d'euros, lorsqu'il était accepté par les clients, devait être opéré par les clients eux-mêmes, en ligne.
Le 21 avril 2022, Mme [O] a reçu un SMS qui lui a été adressé par ING un code à cinq caractères pour qu'elle puisse entreprendre sur son espace en ligne les démarches nécessaires au transfert de son compte vers Boursorama.
Le même jour elle a reçu un appel téléphonique de la part d'un dénommé M. [R] [J], se présentant comme un conseiller de la société ING, indiquant l'assister dans ses démarches.
Il a montré disposer de ses données personnelles (nom, prénom, adresse postale, mail, n° de téléphone).
Le lendemain 22 avril 2022, l'individu lui a confirmé la création de son compte et communiqué un faux RIB Boursorama (n° 40618 80378 00040051462 33), en indiquant qu'afin de finaliser l'activation de ce compte, la cliente devait réaliser un virement bancaire de 600 euros vers ce compte.
Le même jour, M. [L] [O] a ajouté à la liste de ses bénéficiaires l'IBAN de ce compte et demandé le virement de la somme de 600 euros et il a reçu une confirmation par courriel de Boursorama de l'exécution du virement.
Par la suite, le supposé conseiller de la société ING leur a indiqué que pour bénéficier de la gratification maximale au titre du transfert du compte, il convenait d'indiquer sur le libellé du virement « migration compte ING » et de verser la somme de 20'000 euros.
M. [L] [O] a procédé au virement de la somme de 19'400 euros supplémentaire de son compte Boursorama vers ce nouveau bénéficiaire.
Le 25 avril 2022, la société Boursorama a demandé à M. [O] dans le cadre de ses obligations Tracfin quel était son lien avec le dénommé [W] [Z] ayant reçu un virement de 19'400 € le 22 avril 2022 et le motif de ce virement.
Le 3 juin 2022, M. [L] [O] a déposé plainte pénale du chef d'escroquerie.
La banque refusant de rembourser les fonds soustraits, par exploit du 19 octobre 2022, les époux [O] ont assigné la société Boursorama en paiement de la somme de 20'000 euros.
Par jugement contradictoire en date du 13 septembre 2023, le tribunal de commerce de Carcassonne a'débouté M. [L] [O] et Mme [D] [G] de l'ensemble de leurs demandes dirigées à l'encontre de la société Boursorama, et les a condamnés à lui payer la somme de 1'000 euros au titre de l'article 700 du code de procédure civile ainsi qu'aux entiers dépens.
Par déclaration du 24 octobre 2023, M. [L] [O] et Mme [D] [G] ont relevé appel de ce jugement.
Par conclusions du 12 juillet 2024, ils demandent à la cour, au visa des articles L.'133-6, L.'133-16, L.'133-17, L.'133-18, L.'133-22, L.'133-24, L.'133-44 du code monétaire et financier et des articles 1231-1 et 1240 du code civil :
- de les recevoir en leur appel';
- d'infirmer le jugement entrepris en toutes ses dispositions';
- de débouter la société Boursorama de l'ensemble de ses demandes'reconventionnelles ;
À titre principal,
- de la condamner à payer à M. [L] [O] la somme de 20'000 euros au titre du remboursement des virements querellés non autorisés';
- de la condamner à leur payer la somme de 1'800 euros à parfaire au titre de leur préjudice financier découlant de sa résistance abusive et correspondant aux intérêts au taux de 3 % l'an qu'ils auraient dû percevoir, à ce jour et depuis le 22 avril 2024, s'ils n'avaient pas été privés de leur épargne de 20'000 euros'et celle de 1'000 euros au titre de leur préjudice moral découlant de sa résistance abusive';
À titre subsidiaire,
- de condamner la société Boursorama aux mêmes montants sur le fondement d'une négligence fautive';
Et en tout état de cause,
- de la condamner à leur payer la somme de 3'450 euros au titre de l'article 700 du code de procédure civile ainsi qu'aux entiers dépens.
Par conclusions du 15 avril 2024, la SA Boursorama demande à la cour, au visa des articles L. 133-3 et suivants, L.'133-8, L.'133-19 IV, L.'133-21 et L.'133-24 du code monétaire et financier, de'confirmer le jugement entrepris en toutes ses dispositions, et de condamner in solidum les époux [O] à lui payer la somme de 3'500 euros au titre de l'article 700 du code de procédure civile ainsi qu'aux entiers dépens.
Il est renvoyé, pour l'exposé exhaustif des moyens des parties, aux conclusions susvisées, conformément aux dispositions de l'article 455 du code de procédure civile.
L'ordonnance de clôture est datée du 16 janvier 2025.
MOTIFS :
Les appelants soutiennent les moyens suivants :
' la banque a enregistré le faux RIB fourni pour le compte sans procéder à une authentification forte imposée par la directive DSP2 transposée à l'article L 133-44 du code monétaire et financier ;
' à la demande du faux conseiller il a été inscrit « migration compte ING » ce qui aurait dû également alerter la banque ;
' lundi 25 avril la banque a confirmé le virement et a procédé à la demande de M. [O] au blocage de son compte en ligne outre le blocage des fonds ;
' il n'a reçu ensuite aucune nouvelle et s'est aperçu le 7 mai 2022 que les fonds n'avaient été ni bloqués ni recrédités par la banque ;
' les virements querellés doivent être qualifiés d'opérations « non autorisées » au sens de l'article L 133-6 du code monétaire et financier et par conséquent être remboursés ;
' subsidiairement, la banque a commis une négligence dans l'exécution des virements outre l'absence de tentative de mise en 'uvre d'une procédure de retour des fonds ;
' s'agissant d'une présomption simple, le donneur d'ordre à l'opération peut établir qu'il n'a pas consenti au bénéficiaire du virement et donc au virement dès lors non autorisé, notamment lorsqu'une escroquerie a vicié son consentement ;
' en application des articles L 133-18 et L 133-24 du code monétaire et financier, la banque à l'obligation de rembourser son client des pertes occasionnées par l'opération non autorisée qui a été effectuée sans que le prestataire de services de paiement du payeur exige une authentification forte du payeur prévue à l'article L 133-44 ;
' l'ajout d'un bénéficiaire de virement et la réalisation d'un ordre de virement ne sont pas subordonnés au système d'authentification forte imposé par L 133-44 du code monétaire et financier : Boursorama demande seulement à ses clients de rentrer une seule fois leur identifiant et mot de passe dans leur espace en ligne pour réaliser l'opération ;
' à titre subsidiaire, la banque a manqué à son obligation générale de vigilance. Elle aurait dû vérifier que l'ordre était dépourvu d'anomalie apparente ;
' elle a confirmé que le premier virement querellé avait bien été effectué au bénéfice de [O] [D] ;
' conformément à la jurisprudence, notamment de la cour d'appel de Paris, il appartenait à Boursorama de vérifier l'identité du bénéficiaire du virement, ce qui lui aurait permis de déceler la fraude puisque le RIB falsifié était relatif à un compte ouvert dans ses propres livres ;
' ayant sollicité des explications le 25 avril 2022, la banque pouvait encore à cette date bloquer le virement ;
' la banque doit dans les meilleurs délais mettre en 'uvre une procédure de recall des fonds, une fois alertée, or elle ne verse aux débats aucun élément de nature à démontrer qu'elle aurait à tout le moins initié une telle tentative ;
' elle ne prouve pas que le retour des fonds était impossible, alors qu'elle ne conteste pas avoir été alertée le 25 avril.
Mais la SA Boursorama lui répond que suite au retrait de l'ING du marché français son partenariat permettait aux clients d'ING de devenir clients de Boursorama mais selon un parcours indiqué en ligne à partir du seul site boursorama-banque.com, et non par un démarchage par téléphone ; et que de surcroît dès le mois d'avril 2022, une alerte figurait sur le site signalant des escrocs se faisant pour des conseillers ING Direct.
La banque ajoute exactement que, pour effectuer le 22 avril 2022 à partir de son compte Boursorama chacun des deux virements, M. [O] a dû concrètement:
' se connecter à Internet pour accéder au site de Boursorama ;
' saisir son identifiant personnel ;
' saisir son mot de passe ;
' enregistrer les coordonnées bancaires d'un nouveau bénéficiaire auquel il a lui-même attribué un nom, et un prénom en l'espèce ceux de son épouse ;
' renseigner les paramètres des virements qu'il a entendu effectuer, à savoir en particulier l'IBAN, c'est-à-dire l'identifiant unique du bénéficiaire ;
' disposer de la provision suffisante sur son compte Boursorama ;
' et enfin confirmer le virement.
L. 133-4 du code monétaire et financier, prévoit :
« Pour l'application du présent chapitre :
a) Les données de sécurité personnalisées s'entendent des données personnalisées fournies à un utilisateur de services de paiement par le prestataire de services de paiement à des fins d'authentification ;
b) Un identifiant unique s'entend d'une combinaison de lettres, de chiffres ou de symboles indiquée à l'utilisateur de services de paiement par le prestataire de services de paiement, que l'utilisateur de services de paiement doit fournir pour permettre alternativement ou cumulativement l'identification certaine de l'autre utilisateur de services de paiement et de son compte de paiement pour l'opération de paiement ;
c) Un instrument de paiement s'entend, alternativement ou cumulativement, de tout dispositif personnalisé et de l'ensemble de procédures convenu entre l'utilisateur de services de paiement et le prestataire de services de paiement et utilisé pour donner un ordre de paiement ;
d) Un jour ouvrable est un jour au cours duquel le prestataire de services de paiement du payeur ou celui du bénéficiaire exerce une activité permettant d'exécuter des opérations de paiement ;
e) Une authentification s'entend d'une procédure permettant au prestataire de services de paiement de vérifier l'identité d'un utilisateur de services de paiement ou la validité de l'utilisation d'un instrument de paiement spécifique, y compris l'utilisation des données de sécurité personnalisées de l'utilisateur ;
f) Une authentification forte du client s'entend d'une authentification reposant sur l'utilisation de deux éléments ou plus appartenant aux catégories " connaissance " (quelque chose que seul l'utilisateur connaît), " possession " (quelque chose que seul l'utilisateur possède) et " inhérence " (quelque chose que l'utilisateur est) et indépendants en ce sens que la compromission de l'un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d'authentification ;
L. 133-6 -I. ' « Une opération de paiement est autorisée si le payeur a donné son consentement à son exécution. »
L 133-7 « Le consentement est donné sous la forme convenue entre le payeur et son prestataire de services de paiement. »
L.133-21 « Un ordre de paiement exécuté conformément à l'identifiant unique fourni par l'utilisateur du service de paiement est réputé dûment exécuté pour ce qui concerne le bénéficiaire désigné par l'identifiant unique.
Si l'identifiant unique fourni par l'utilisateur du service de paiement est inexact, le prestataire de services de paiement n'est pas responsable de la mauvaise exécution ou de la non-exécution de l'opération de paiement.
Toutefois, le prestataire de services de paiement du payeur s'efforce de récupérer les fonds engagés dans l'opération de paiement. Le prestataire de services de paiement du bénéficiaire communique au prestataire de services de paiement du payeur toutes les informations utiles pour récupérer les fonds. Si le prestataire de services de paiement du payeur ne parvient pas à récupérer les fonds engagés dans l'opération de paiement, il met à disposition du payeur, à sa demande, les informations qu'il détient pouvant documenter le recours en justice du payeur en vue de récupérer les fonds. »
En l'espèce, l'exécution de l'opération de paiement a été conforme aux instructions du donneur d'ordre auquel il a été fourni par le prestataire de services l'identifiant unique défini à l'article L. 133-4 b) du code monétaire et financier et qui a fourni l'IBAN du bénéficiaire.
En application de l'article L. 133-3 du code monétaire et financier « I. ' Une opération de paiement est une action consistant à verser, transférer ou retirer des fonds, indépendamment de toute obligation sous-jacente entre le payeur et le bénéficiaire, initiée par le payeur, ou pour son compte, ou par le bénéficiaire. » ; la banque n'est dès lors pas tenue de vérifier les coordonnées bancaires du bénéficiaire indiquées sur l'ordre de virement, ni la concordance entre le nom du bénéficiaire et l'identifiant unique fourni par M. [O].
Le prestataire de services de paiement a appliqué l'authentification forte du client définie au f de l'article L 133-4 lorsque le payeur a accédé à son compte de paiement en ligne, conformément à l'article L 133-44-1°du code monétaire et financier, dans sa version en vigueur du 13 janvier 2018 au 11 mars 2023 applicable au litige.
Le moyen subsidiaire des appelants sera écarté dans la mesure où la responsabilité contractuelle de droit commun résultant de l'article 1231-1 du code civil n'est pas applicable en présence d'un régime de responsabilité exclusif.
En effet dès lors que la responsabilité d'un prestataire de services de paiement est recherchée en raison d'une opération de paiement non autorisée ou mal exécutée, comme le soutiennent les époux [O], seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du code monétaire et financier, qui transposent les articles 71 à 74 de la directive (UE) 2015/2366 du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) n°1093/2010, et abrogeant la directive 2007/64/CE, à l'exclusion de tout régime alternatif de responsabilité résultant du droit national (Cass. Com., 15 janvier 2025, n°23-13.579 et n°23-15.437).
Il convient de relever de surcroît qu'en réalité aucune anomalie apparente n'affectait l'opération ordonnée.
Les époux [O] ne sont pas fondés à rechercher la responsabilité de Boursorama à raison d'un virement que celle-ci a exécuté conformément à la rédaction du mandat de payer qu'ils lui avaient donné, et alors que la banque avait indiqué au titulaire du compte que le transfert des comptes se pratiquerait exclusivement sur l'application Boursorama.com. ; et que les époux ont commis une grave négligence en suivant imprudemment les instructions téléphoniques d'un faux conseiller qui n'a pas même usé d'une méthode de spoofing, soit l'usurpation de la ligne téléphonique de Boursorama.
Sur la tentative de recall des fonds, la société Boursorama plaide utilement que M. [O], interrogé sur son opération, ayant répondu qu'il ne connaissait pas M. [Z] le 25 avril 2022, le rappel des fonds s'est révélé impossible, dans la mesure où dès l'exécution de l'ordre de virement le 22 avril précédent, leur bénéficiaire les avait aussitôt virés vers d'autres comptes, ce qui est le principe même de l'escroquerie dont les époux [O] ont été victimes.
En définitive le jugement qui a rejeté toutes les demandes en paiement de ces derniers ne peut qu'être confirmé.
PAR CES MOTIFS
La cour,
Confirme le jugement déféré en toutes ses dispositions ;
Y ajoutant
Condamne in solidum M. [L] [O] et Mme [D] [G] à payer à la SA Boursorama la somme de 2'000 euros au titre de l'article 700 du code de procédure civile ainsi qu'aux entiers dépens.
La greffière La présidente