Banque rédactrice de l'ordre de virement : responsabilité de droit commun applicable (Cass. com. 4 mars 2026)

Publié en mai 2026 · Actualités juridiques · Droit bancaire

Cass. com., 4 mars 2026, n° 25-11.959, rejet (F-B)
Mots-clés : ordre de virement, identifiant unique, responsabilité contractuelle de droit commun, régime exclusif DSP 2, article L. 133-21 CMF, devoir de vigilance, faux RIB, fraude au virement.

Les faits

Des particuliers préparent un achat immobilier financé en partie par un prêt de leur banque, BNP Paribas. Au cours du montage, la banque leur transmet par courriel trois relevés d’identité bancaire : deux au nom de l’étude notariale qui les assiste et un troisième au nom de l’étude du vendeur, censée recevoir les fonds le jour de la signature.

Le jour dit, la banque rédige un ordre de virement reprenant les coordonnées de ce troisième RIB et l’envoie aux clients pour signature. Les clients signent l’ordre et le retournent à la banque, qui exécute le virement. Leur apport personnel part sur le compte indiqué.

Il s’avère que le troisième RIB provenait d’une adresse électronique imitant celle de l’étude notariale. C’était un faux. Les fonds ont été crédités sur le compte d’un bénéficiaire inconnu. Les clients assignent la banque en responsabilité pour manquement à son obligation de vigilance.

L’argument de la banque

BNP Paribas se défend en invoquant le régime de responsabilité issu de la directive DSP 2, transposé aux articles L. 133-18 à L. 133-24 du Code monétaire et financier. Son raisonnement : ce régime est exclusif. Quand un virement est exécuté conformément à l’identifiant unique fourni par le client (l’IBAN), la banque n’est pas responsable de la mauvaise exécution, même si l’identifiant était erroné. L’article L. 133-21 du CMF est clair : l’opération exécutée conformément à l’identifiant unique fourni par l’utilisateur est réputée dûment exécutée.

La banque s’appuie aussi sur la jurisprudence de la CJUE, qui a posé le principe dans un arrêt du 2 septembre 2021 (aff. C-337/20, CRCAM) : le régime harmonisé de responsabilité de la DSP 2 ne peut pas être concurrencé par un régime alternatif de droit national reposant sur les mêmes faits.

L’argument est sérieux, et la banque avait de bonnes raisons de le soulever. C’est pourtant ce même arrêt CJUE qui va servir à justifier la solution retenue par la Cour de cassation.

La distinction opérée par la Cour de cassation

La chambre commerciale rejette le pourvoi. Elle ne conteste pas le principe d’exclusivité du régime DSP 2 pour les opérations de paiement. Elle opère une distinction factuelle.

Quand le prestataire de services de paiement se borne à exécuter un ordre de paiement conformément à l’identifiant unique fourni par le client, le régime spécial des articles L. 133-18 et suivants du CMF s’applique seul. La responsabilité contractuelle de droit commun (article 1231-1 du Code civil) est exclue. C’est la règle classique : le client fournit l’IBAN, la banque exécute, et si l’IBAN est faux, la banque n’est pas responsable.

Mais en l’espèce, la banque ne s’était pas bornée à exécuter. Elle avait elle-même rédigé l’ordre de virement en y intégrant les coordonnées bancaires du bénéficiaire, avant de soumettre le document à la signature des clients. La Cour de cassation considère que, dans cette configuration, on sort du champ de l’article L. 133-21 du CMF. La banque n’a pas simplement exécuté un ordre qu’on lui a donné. Elle a participé à la rédaction de l’ordre, ce qui la soumet au devoir de vigilance de droit commun.

La clé de la décision. Le critère n’est pas la nature de l’opération (virement SEPA) ni le type d’erreur (faux RIB). C’est le rôle joué par la banque dans le processus. Si la banque rédige l’ordre de paiement, elle ne peut pas se retrancher derrière le régime protecteur de l’identifiant unique. Son intervention active dans la chaîne de paiement la soumet au droit commun de la responsabilité contractuelle, et notamment au devoir de vigilance.

La cour d’appel d’Amiens avait relevé que le RIB intégré par la banque dans l’ordre de virement comportait des incohérences apparentes et manifestes, visibles à un simple examen visuel, et qu’un professionnel normalement diligent ne pouvait ignorer qu’il s’agissait d’un faux grossier. La Cour de cassation valide cette analyse.

Ce que cet arrêt change pour les victimes de fraude au virement

Un deuxième fondement juridique disponible

Jusqu’ici, les victimes de virements frauduleux se heurtaient souvent à l’article L. 133-21 du CMF. La banque opposait l’identifiant unique : vous avez fourni l’IBAN, j’ai exécuté, je ne suis pas responsable. Cet arrêt ouvre une brèche lorsque la banque a fait davantage qu’exécuter. Si elle a rédigé l’ordre, préparé le formulaire, intégré les coordonnées bancaires du bénéficiaire, elle ne peut plus invoquer le régime exclusif de la DSP 2. La responsabilité de droit commun reprend le dessus, avec la charge de la preuve qui en découle : c’est à la banque de démontrer qu’elle a agi avec la diligence d’un professionnel.

L’importance du devoir de vigilance

L’arrêt confirme que le devoir de vigilance du banquier ne disparaît pas quand il participe activement à la rédaction de l’ordre de paiement. En l’espèce, les incohérences sur le RIB étaient qualifiées de « faux grossier » par les juges du fond. La banque avait en main un document suspect et l’avait intégré dans l’ordre de virement sans vérification. Ce manquement fonde la condamnation.

Pour les victimes de fraudes comparables, l’enjeu est de documenter le rôle de la banque dans le processus de paiement. Si la banque a préparé le virement, pré-rempli le formulaire ou transmis elle-même les coordonnées du bénéficiaire, l’argument de l’identifiant unique fourni par le client est contestable.

Attention : la distinction est étroite. L’arrêt ne remet pas en cause le principe d’exclusivité du régime DSP 2. Si le client saisit lui-même l’IBAN sur l’interface de sa banque en ligne et valide le virement, le régime spécial s’applique et la banque reste protégée par l’article L. 133-21 du CMF. La responsabilité de droit commun ne s’ouvre que lorsque la banque ne s’est pas bornée à exécuter l’ordre. La frontière entre exécution passive et participation active est factuelle, et les juges du fond l’apprécient au cas par cas.

L’articulation avec le règlement 2024/886 (Verification of Payee)

Cet arrêt se lit aussi à la lumière du cadre européen de lutte contre la fraude. Le règlement (UE) 2024/886, en application progressive depuis octobre 2025, impose aux banques de vérifier la concordance entre l’IBAN et le nom du bénéficiaire avant d’exécuter un virement. Si la banque avait procédé à cette vérification, elle aurait détecté l’incohérence entre le RIB frauduleux et l’identité du bénéficiaire réel. Le raisonnement de la Cour de cassation et les obligations du règlement convergent : quand la banque a les moyens de détecter la fraude, son inaction engage sa responsabilité.

Référence. Cass. com., 4 mars 2026, n° 25-11.959, rejet (F-B). La responsabilité contractuelle de droit commun (article 1231-1 du Code civil) s’applique lorsque le prestataire de services de paiement ne s’est pas borné à exécuter l’ordre de paiement conformément à l’identifiant unique fourni par le client, mais a lui-même rédigé cet ordre. L’article L. 133-21 du CMF ne protège la banque que dans l’hypothèse d’une exécution passive de l’identifiant fourni par l’utilisateur.

Virement frauduleuxQue faire si la banque refuse de rembourser Spoofing bancaireUsurpation d’identité du conseiller Responsabilité bancaireLes obligations de la banque Recall virementProcédure, délais et recours

La banque a exécuté un virement frauduleux ?

J’analyse le rôle de votre banque dans le processus de paiement pour déterminer le fondement juridique le plus adapté à votre situation.

Prendre rendez-vous

Guillaume Pierre - Avocat

Inscrit au Barreau de Paris depuis 2003, Maître Pierre accompagne ses clients en droit bancaire et financier
(litiges, crédit, caution, recouvrement, responsabilité de la banque). Vous avez une question sur votre situation ?

Me contacter