Cour d'appel de Bordeaux, 1re chambre civile, 23 janvier 2026, n° 23/04130

TGI Angoulême 8 juin 2023

CA Bordeaux
Confirmation 23 janvier 2026

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.

Accepté
Inexécution des obligations contractuelles par la banque
La cour a jugé que la banque avait manqué à ses obligations de sécurité, entraînant la perte de la somme par la cliente.
Accepté
Préjudice moral dû à l'inexécution des obligations par la banque
La cour a reconnu le préjudice moral subi par la cliente en raison de l'inexécution des obligations de la banque.
Accepté
Droit aux frais irrépétibles en raison de la procédure
La cour a jugé que la banque, partie perdante, devait rembourser les frais engagés par la cliente.

Commentaire • 0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées.

Sur la décision

Référence :	CA Bordeaux, 1re ch. civ., 23 janv. 2026, n° 23/04130
Juridiction :	Cour d'appel de Bordeaux
Numéro(s) :	23/04130
Importance :	Inédit
Décision précédente :	Tribunal de grande instance d'Angoulême, 8 juin 2023, N° 21/02069
Dispositif :	Autre
Date de dernière mise à jour :	3 février 2026
Lire la décision sur le site de la juridiction

Sur les parties

Avocat(s) :	François-Xavier LAPERONNIESonia AIMARD-LOUBEREAnne-Gaëlle LE MERLUS
Cabinet(s) :	LUSSAN
Parties :	S.A. HSBC CONTINENTAL EUROPE, de banque de détail en France à la société CCF, société a apporté c/ S.A. CCF

Texte intégral

COUR D’APPEL DE BORDEAUX

PREMIÈRE CHAMBRE CIVILE

— -------------------------

ARRÊT DU : 23 JANVIER 2026

N° RG 23/04130 – N° Portalis DBVJ-V-B7H-NNMY

S.A. HSBC CONTINENTAL EUROPE

[Z] [Y]

S.A. CCF

Nature de la décision : AU FOND

Copie exécutoire délivrée le :

aux avocats

Décision déférée à la cour : jugement rendu le 08 juin 2023 par le tribunal judiciaire d’ANGOULEME (RG : 21/02069) suivant déclaration d’appel du 04 septembre 2023

APPELANTE :

S.A. HSBC CONTINENTAL EUROPE, agissant en la personne de ses représentants légaux domiciliés en cette qualité au siège social

En date du 1er janvier 2024, un apport partiel d’actif soumis au régime des scissions a été réalisé. La société a apporté son activité de banque de détail en France à la société CCF,

demeurant [Adresse 5]

Représentée par M^e Sonia AIMARD-LOUBERE de la SELARL AB VOCARE, avocat au barreau de CHARENTE

et assistée de M^e Anne-Gaëlle LE MERLUS de la SCP LUSSAN, avocat au barreau de PARIS

INTIMÉE :

[Z] [Y]

née le 30 Août 1968 à [Localité 9]

de nationalité Française,

demeurant [Adresse 8]

Représentée par M^e François-Xavier LAPERONNIE, avocat au barreau de CHARENTE

INTERVENANTE :

S.A. CCF, société anonyme à conseil d’administration au capital de 147.000.001 euros, immatriculée au registre du Commerce et des Sociétés de Paris sous le numéro 315 769 257, venant aux droits de HSBC Continental Europe à la suite de la réalisation, en date du 1er janvier 2024, de l’apport partiel d’actif soumis au régime des scissions par lequel la société HSBC Continental Europe a apporté son activité de banque de détail en France à la société CCF, agissant poursuites et diligences de son représentant légal domicilié en cette qualité audit siège

demeurant [Adresse 2]

Représentée par M^e Sonia AIMARD-LOUBERE de la SELARL AB VOCARE, avocat au barreau de CHARENTE

et assistée de M^e Anne-Gaëlle LE MERLUS de la SCP LUSSAN, avocat au barreau de PARIS

COMPOSITION DE LA COUR :

En application des dispositions des articles 805 et 907 du code de procédure civile, l’affaire a été débattue le 08 décembre 2025 en audience publique, les avocats ne s’y étant pas opposés, devant Madame Bénédicte LAMARQUE, conseillère, qui a fait un rapport oral de l’affaire avant les plaidoiries,

Ce magistrat a rendu compte des plaidoiries dans le délibéré de la cour, composée de :

Laurence MICHEL, présidente,

Emmanuel BREARD, conseiller,

Bénédicte LAMARQUE, conseillère,

Greffier lors des débats : Chantal BUREAU

Greffier lors du prononcé : Vincent BRUGERE

ARRÊT :

— contradictoire

— prononcé publiquement par mise à disposition de l’arrêt au greffe de la cour, les parties en ayant été préalablement avisées dans les conditions prévues à l’article 450 alinéa 2 du code de procédure civile.

* * *

EXPOSE DU LITIGE ET DE LA PROCÉDURE

1. Mme [Z] [Y] détient un compte bancaire n°[XXXXXXXXXX01] auprès de la SA HSBC Continental Europe.

À la suite du téléchargement d’une application mobile de la banque HSBC, Mme [Y] a reçu un mail le 15 mars 2021 présentant les caractéristiques de la Banque lui indiquant de cliquer sur un lien sécurisé afin de confirmer un «'secure key mobile'».

Le 17 mars 2021, Mme [Y] a reçu un mail provenant de la Banque HSBC lui indiquant qu’un nouveau bénéficiaire a pu faire l’objet d’un ajout à ses destinataires de virement. Souhaitant comprendre la raison de cet email Mme [Y] s’est connectée à son compte bancaire et a constaté un virement bancaire de son compte personnel au profit d’une société Kaprice pour un montant de 10'000 euros.

Mme [Y] a porté plainte auprès de la Gendarmerie de [Localité 7] et a informé la Banque HSBC.

2. Par acte du 3 décembre 2021, Mme [Y] a fait assigner la société HSBC Continental Europe devant le tribunal judiciaire d’Angoulême aux fins, notamment, de voir constater son inexécution contractuelle et d’obtenir sa condamnation au paiement des sommes de 10 000 euros relative à la fraude, de 2 000 euros en réparation de son préjudice d’agrément et de 1 000 euros sur le fondement des dispositions de l’article 1217 du code civil.

3. Par jugement contradictoire du 8 juin 2023, le tribunal judiciaire d’Angoulême a :

— constaté l’inexécution par la société HSBC Continental Europe de ses obligations légales et contractuelles à l’égard de Mme [Y].

En conséquence :

— condamné la société HSBC Continental Europe à payer à Mme [Y] [M] sommes de :

—  10 000 euros correspondant à la fraude dont a été victime cette dernière sur son compte HSBC ;

—  3 000 euros à titre de dommages et intérêts en application des dispositions des articles 1217 et 1231-1 du code civil ;

—  2 000 euros au titre de l’article 700 du code de procédure civile ;

— dit n’y avoir lieu à application des dispositions de l’article 700 du code de procédure civile au profit de la société HSBC Continental Europe ;

— ordonné l’exécution provisoire de la décision ;

— condamné la société HSBC Continental Europe aux dépens.

4. La société HSBC Continental Europe a relevé appel de ce jugement par déclaration du 4 septembre 2023, en ce qu’il a :

— constaté l’inexécution par la société HSBC Continental Europe de ses obligations légales et contractuelles à l’égard de Mme [Y] ;

— en conséquence condamné la société HSBC Continental Europe à payer à Mme [Y] les sommes de :

—  10 000 euros correspondant à la fraude dont a été victime cette dernière sur son compte HSBC ;

—  3 000 euros à titre de dommages et intérêts en application des dispositions des articles 1217 et 1231-1 du code civil ;

—  2 000 euros au titre de l’article 700 du code de procédure civile ;

— dit n’y avoir lieu à application des dispositions de l’article 700 du code de procédure civile au profit de la société HSBC Continental Europe ;

— ordonné l’exécution provisoire de la décision ;

— condamné la société HSBC Continental Europe aux dépens.

5. Par dernières conclusions déposées le 21 novembre 2025, la société HSBC Continent Europe demande à la cour de :

— donner acte à la CCF de son intervention volontaire aux lieu et place de la société HSBC Continental Europe ;

— infirmer le jugement rendu par le tribunal judiciaire d’Angoulême le 8 juin 2023 en toutes ses dispositions.

En conséquence :

— juger que Mme [Y] ne démontre pas le contexte frauduleux sur lequel elle fonde ses demandes ;

— juger en toute hypothèse que la société HSBC Continental Europe, aux droits de laquelle vient désormais la CCF, a respecté son obligation d’exécuter les opérations sollicitées au moyen des dispositifs sécurisés mis à disposition de Mme [Y] ;

— juger que la société HSBC Continental Europe n’a commis aucune faute susceptible d’avoir engagé sa responsabilité ;

— juger que Mme [Y] ne démontre aucun préjudice indemnisable ;

— juger que Mme [Y] a commis des négligences graves qui sont de nature à exonérer totalement CCF, ventant aux droits de la société HSBC Continental Europe de toute responsabilité.

En conséquence :

— débouter purement et simplement Mme [Y] de l’ensemble de ses demandes, fins, moyens et conclusions ;

— condamner Mme [Y] à verser à la société HSBC Continental Europe une somme de 10 000 euros au titre de l’article 700 du code de procédure civile ;

— condamner la même aux entiers dépens.

6. Par dernières conclusions déposées le 29 décembre 2023, Mme [Y] demande à la cour de :

— confirmer le jugement rendu par le tribunal judiciaire d’Angoulême le 8 juin 2023 en toutes ses dispositions.

En conséquence :

— constater l’inexécution contractuelle par la société HSBC Continental Europe de ses obligations à l’égard de Mme [Y] ;

— condamner la société Continental Europe à régler à Mme [Y] une somme s’élevant à 10'000 euros correspondant à la fraude dont a été victime cette dernière sur son compte bancaire HSBC ;

— condamner la société HSBC Continental Europe à payer à Mme [Y] une somme de 3 000 euros à titre de dommages et intérêts en application des dispositions des articles 1217 et 1231-1 du code civil ;

— condamner enfin la société HSBC Continental Europe à payer la somme de 5 000 euros en application de l’article 700 du code de procédure civile, outre les entiers dépens de l’instance.

7. L’affaire a été fixée à l’audience rapporteur du 8 décembre 2025. L’instruction a été clôturée par ordonnance du 24 novembre 2025.

8. Par conclusions du 24 novembre 2025, Mme [Y] a demandé, via son avocat, un report de la clôture au jour des plaidoiries, les conclusions de l’intimée ayant ét déposées avec de nouvelles pièces le vendredi 21 novembre 2025 à 16h57. Elle a ainsi déposé de nouvelles conclusions le 5 décembre 2025, reprenant les mêmes demandes en leur dispositif mais actualisée au vu notamment de la jurisprudence.

Compte tenu de l’accord des parties sur ce point, et afin d’assurer le respect du contradictoire, il convient d’ordonner la révocation de l’ordonnance de clôture, et de déclarer recevables les dernières conclusions de Mme [Y] en date du 5 décembre 2025.

La clôture de l’instruction est fixée au jour de l’audience, avant les plaidoiries.

MOTIFS DE LA DÉCISION

9. Contestant avoir été victime de 'phishing’ ou de piratage informatique, la banque appelante conteste toute faute dans la fraude dont a été victime Mme [Y], mettant en avant sa négligence.

Elle soutient que la charge de la preuve de ce que le virement litigieux était frauduleux appartient d’abord à l’utilisateur et ce n’est qu’ensuite si cette preuve était rapportée, qu’elle aurait la charge de démontrer que l’utilisateur a commis de graves négligences alors que le premier juge a omis la première étape de la charge probatoire qui revient à l’intimée.

Elle constate ainsi que Mme [Y] ne démontre pas l’existence d’une fraude dans le virement dès lors qu’il a été autorisé après l’enregistrement d’un nouvel IBAN, avec ses codes d’accès et que la seule plainte pénale dont il n’est pas précisé les suites qui ont été données ne permet pas d’établir les faits sur lesquels elle fonde ses prétentions.

Rappelant ses obligations en ayant reçu l’ordre de paiement via l’application mobile avec la saisie des codes personnels, tout en respectant son obligation de non-ingérence et en exécutant l’ordre de manière diligente sous peine de voir sa responsabilité engagée, la banque conteste sa responsabilité dans le transfert des 10.000 euros sollicité par l’intimée et alors que cette opération ne présentait pas de, signe manifeste d’anormalité.

Enfin l’appelante fait valoir la négligence de Mme [Y] qui a donné ses codes d’une manière ou d’une autre, ayant ainsi permis l’ajout d’un nouveau bénéficiaire dans ses virements puis une nouvelle fois pour autoriser les virements de ses livrets d’épargne vers son compte courant et une troisième fois pour autoriser le virement de la somme de son compte courant vers le nouveau tiers ajouté. Elle relève qu’elle a ainsi ouvert un mail dont elle savait qu’il était frauduleux de par son adresse, le nom du domaine ne se terminant pas par '.fr’ et le nom apparaissant en bas du courriel étant Crédit lyonnais alors que sa banque est le HSBC. AU surplus, elle rappelle informer régulièrement et par bandeau sur son site des risques de cybercriminalité par le phishing notamment.

10. Au soutien de la confirmation du jugement déféré, Mme [Y] indique avoir reçu un courriel provenant sans équivoque possible de sa banque et juste après avoir demandé de télécharger l’application mobile de la banque HSBC, lequel faisait référence à un 'Secure Key mobile'. Ayant refermé le courriel après avoir cliquer sur la 'messagerie sécurisée en cliquant ici', elle confirme ne jamais avoir communiqué d’identifiant ni mot de passe, ni RIB ni code.

Contestant ainsi toute négligence de sa part, elle sollicite le remboursement de la somme qui n’a pu être détournée que du fait d’un piratage dont a été victime la banque.

Elle soutient qu’il appartient à la banque non pas de démontrer qu’elle n’a pas commis de faute mais de démontrer que Mme [Y] aurait commis une négligence ou une fraude. Elle conteste avoir ouvert un courriel frauduleux mais avoir cliqué sur un lien HSBC qui renvoyait à une page frauduleuse.

Sur ce

11. Les opérations litigieuses ayant été réalisées en mars 2021, ce sont les dispositions issues de l’ordonnance n 2017-1252 du 9 août 2017, entrée en vigueur le 13 janvier 2018, ayant transposé en droit français la directive 2015/2366/UE du 25 novembre 2015 sur les services de paiement dite DSP2, qui sont applicables.

Les dispositions légales applicables en l’espèce sont les articles L. 133-12 et suivants du code monétaire et financier.

Selon l’article L. 133-4 du code monétaire et financier, un instrument de paiement s’entend, alternativement ou cumulativement, de tout dispositif personnalisé et des procédures convenues entre l’utilisateur de services de paiement et le prestataire de services de paiement et auquel l’utilisateur de services de paiement a recours pour donner un ordre de paiement.

Il convient de se référer plus particulièrement aux dispositions des articles L. 133-15 et suivants du code monétaire et financier sur les obligations et les responsabilités assumées par le prestataire de services de paiement et l’utilisateur de ces services en cas d’incident.

L’article L. 133-15, I, dans sa rédaction issue de l’ordonnance n 2017-1252 du 9 août 2017, énonce :

' I. ' Le prestataire de services de paiement qui délivre un instrument de paiement doit s’assurer que les données de sécurité personnalisées telles que définies à l’article L. 133-4 ne sont pas accessibles à d’autres personnes que l’utilisateur autorisé à utiliser cet instrument.'

L’article 133-16 du même code, dispose : 'dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés. Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées.'

Le code monétaire et financier envisage de manière spécifique les instruments de paiement dotés d’un dispositif de sécurité personnalisé, lequel dispositif, conformément à l’article L. 133-4, 'a) s’entend des données personnalisées fournies à un utilisateur de services de paiement par le prestataire de services de paiement à des fins d’authentification.

Ce dispositif, propre à l’utilisateur de services de paiement et placé sous sa garde, vise à l’authentifier.'

Selon l’article L.133-19 du code monétaire et financier, 'le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L133-16 et L133-17".

Par ailleurs, l’article L.133-18 du même code prévoit 'qu’en cas d’opération de paiement non autorisée signalée par l’utilisateur, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France'.

L’article L.133-23 du code monétaire et financier dispose que 'lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le

prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement.'

12. Il est constant que la responsabilité du payeur (client, titulaire de la carte) n’est pas engagée sans qu’ait été vérifié préalablement si l’opération de paiement a été autorisée – en particulier quant à son montant – et, dans la négative, sans constater que la responsabilité du payeur était engagée en application du I ou du IV de l’art. L.133-19 du code monétaire et financier, à savoir la preuve par l’établissement bancaire d’agissement frauduleux du payeur ou si celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 du code monétaire et financier. Contrairement à ce que soutient l’appelante, la charge de la preuve de la régularité de l’autorisation pèse sur le prestataire de services de paiement, qui doit établir que l’ordre émane bien de l’utilisateur du service.

13. Ainsi, la preuve que l’utilisateur qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés. (Cass.com, 23 oct 2019, n°18-15.823).

14. S’il entend faire supporter à l’utilisateur d’un instrument de paiement doté d’un dispositif de sécurité personnalisé les pertes occasionnées par une opération de paiement non autorisée rendue possible par un manquement de cet utilisateur, intentionnel ou par négligence grave, aux obligations mentionnées aux articles L. 133-16 et L 133-17 de ce code, le prestataire de services de paiement doit au préalable prouver que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre (Com, 12 novembre 2020, n° 19-12.112 et Com 30 avril 2025, n°24-10.149).

15. Le ' fichier des logs’ produit aux débats permet de comprendre la chronologie des faits qui est conforme à la description qu’en fait Mme [Y] dans sa plainte du 19 mars 2021 :

Ainsi, le 17 mars 2021,

à 10h07, la connexion s’établit via le boîtier secure key sur l’application,

à 10h08, Mme [Y] est authentifiée sur son compte en ligne,

à 10h08, un virement de 5.000 euros est effectué de son LDD vers son compte courant,

à 10h09, une tentative de virement de 1.500 euros est en échec,

à 10h09, un virement de 1.480 euros est effectué du CSL vers le compte courant,

à 10h11, un nouveau bénéficiaire est ajouté par IBAN, validé par la même secure key. Dans le même temps, un message est envoyé par SMS et par mail à Mme [Y] pour lui confirmer qu’un nouveau bénéficiaire a été ajouté,

à 10h21, un virement de 10.000 euros est effectué en faveur du nouveau bénéficiaire,

à 10h29, une nouvelle connexion est faite avec l’utilisation du secure key code

à 10h29, un nouveau virement est effectué vers le nouveau bénéficiaire IBAN KAPRICE

à 10h29, un nouveau virement de 3.000 euros est effectué vers le nouveau bénéficiaire IBAN KAPRICE,

à 17h41, une connexion de Mme [Y] est enregistrée avec question mémorable pendant son appel, réitéré le 18 mars à 15h12,

le 18 mars 2021 à 15h17, Mme [Y] se connecte après activation de son nouveau secure key mobile.

16. Il est donc établi que l’opération ayant permis d’ajouter un bénéficiaire au compte de Mme [Y] a bien été autorisée, ainsi que celles ayant permis des virements de ses comptes d’épargne vers son compte courant, puis de son compte courant au nouveau bénéficiaire ajouté avec un seul 'secure key’ sans demander de validation par SMS ou par mail.

17. Toutefois, il est admis que :

— ces opérations se sont réalisées dans un temps très bref,

— elles font suite à un courriel reçu par l’intimée le 17 mars lui portant entête de la banque HSBC et faisant référence à une 'secure Key mobile’ et lui demandant de cliquer sur un lien pour accéder à la messagerie sécurisée, qui va ouvrir une nouvelle fenêtre sans indication qu’elle va refermer aussitôt, les virements litigieux ayant tous été effectués avec cette seule 'secure Key mobile’ objet de ce courriel frauduleux,

— le courriel porte l’adressage suivant :

'HSBC cagencenklcclktdqyywaaskovd@videotron.ca>

lun 15/03/2021 18:37

A : [Courriel 6] '

et le pied du courriel l’adresse suivante :

'Credit Lyonnais- SA au capital de 2 037 713 591 € – SIREN 954 509 741 – RCS Lyon. Sociéte de courtage d’assurance inscrite sous le numéro d’immatriculation d’intermédiaire en assurance ORIAS : 07001878. Siege social : [Adresse 3] .

Pour tout courrier : HSBC, [Adresse 4]'

— l’accès de Mme [Y] à ses comptes en ligne était impossible pendant 48h,

— ayant contacté le service client le 17 mars 2021 à 17h41 pour pouvoir consulter son compte, et alors qu’elle devait le réinitialiser, son interlocuteur ne lui a pas donné d’information sur le virement qui avait été effectué,

— à la lecture des logs, à aucun moment une clé d’identification particulière a été demandé à Mme [Y] en dehors de cette 'secure key', notamment au moment de l’ajout du bénéficiaire, n’ayant pas permis une double sécurité, ni de ce qu’elle devait confirmer cet ajout par réponse au SMS ou au courriel qui l’en a informé,

— Mme [Y] a déposé plainte le 19 mars 2021.

18. Il se déduit de l’ensemble de ces éléments que Mme [Y] a été victime d’un phishing via ce courriel que la société HSBC reconnaît ne pas avoir envoyé et qui a servi à rentrer dans les données personnelles de l’intimée, par le biais d’un 'malware'.

19. Dès lors il n’est pas suffisant à la banque de soutenir que Mme [Y] a autorisé le nouveau bénéficiaire ainsi que les différents virements sur son application mobile après les moyens de connexion à l’espace sécurisé de son compte client laissant présumé que ces opérations ont été authentifiées par elle conformément aux conditions générales (article 3.4).

Il appartient au prestataire de services de paiement de démontrer que les opérations de paiement litigieuses ont été authentifiées, dûment enregistrées et comptabilisées et qu’elles n’ont pas été affectées par une déficience technique ou autre.

20. En l’espèce, l’appelante produit le détail des logs de connexion qui permettent de vérifier que les opérations ont été authentifiées. Mais elle ne produit aucun élément permettant de vérifier que ces opérations litigieuses n’ont pas été affectées par une déficience technique ou autre. Ainsi, la banque ne produit aucune information sur le destinataire des fonds ni l’identité du titulaire de l’IBAN associé au nom de la société KAPRICE, pas plus qu’elle n’explique les raisons pour lesquelles l’accès aux comptes a été techniquement impossible pour l’intimée pendant une journée suite à cette opération.

21. En l’absence de production d’éléments techniques probants visant à écarter toute trace d’attaque cybercriminelle qui aurait touchée l’appelante dans la journée du 17 mars 2021, la banque échoue à démontrer que Mme [Y] était bien à l’origine de l’autorisation de l’ajout du bénéficiaire et du virement à son profit en ce qu’elle l’aurait autorisé.

22. Conformément à l’article L. 133-18 du code monétaire et financier, ce n’est qu’en cas de fraude avérée de Mme [Y] que l’appelante pourrait être dispensée de son obligation de remboursement de la somme non autorisée.

23. Or en l’espèce, s’il n’est pas contesté que Mme [Y] a permis le hameçonnage en cliquant sur le faux lien, aucun élément apparent ne lui laissait présumer que le courriel reçu provenait d’un autre expéditeur que la banque, sauf à vérifier en détail une partie de l’adresse, l’autre portant la mention 'hsbc.fr’ et l’indication 'Crédit lyonnais’ figurant tout à la fin dans l’adresse avec également le nom de la banque HSBC et de plus, une fois redirigée vers le faux lien, elle a fermé la page sans transmettre ses informations personnelles de connexion et de code établissant ainsi la faille importante dans le système de sécurité de la banque qui a permis de détourner l’ensemble des éléments personnels nécessaires pour valider à la fois l’ajout d’un bénéficiaire et des virements internes et externes. Elle n’a donc pas agi avec une négligence avérée comme rappelé par la banque dans ses alertes régulières visant les cas où une personne tierce tenterait de soutirer des informations confidentielles.

24. En l’absence d’éléments permettant d’écarter toute déficience technique et alors que la fraude avérée de Mme [Y] n’est pas établie, il convient de confirmer le jugement déféré qui a retenu la faute de la banque conformément aux articles sus-mentionnés du code monétaire et financier.

25. Le préjudice est établi par la perte de 10.000 euros transférés sur un compte IBAN que la banque a identifié et validé et directement en lien avec la faute de l’appelante. Le jugement déféré qui a condamné la banque à indemniser Mme [Y] de cette même somme sera confirmer.

26. Le jugement a également retenu un préjudice moral d’un montant de 3.000 euros, au motif que la banque n’avait pas exécuté ses obligations légales. En effet, il appartenait à la banque, conformément à l’arille L. 133-18 du code monétaire et financier d’indemniser immédiatement Mme [Y] sauf à démontrer qu’elle avait de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement, ce qui n’est pas le cas, puisque le courriel reçu démontre la fraude subie par l’intimée et non causée par elle et en tout état de cause, ce que la banque ne pouvait ignorer n’ayant pas communiqué ces raisons par écrit à la Banque de France. Les faits ont été commis le 17 mars 2021, Mme [Y] a adressé une mise en demeure à la banque le 26 août 2021 sans que la banque n’y défère.

27. Le jugement déféré sera confirmé de ce chef.

28. La société HSBC, partie perdante sera condamnée aux dépens ainsi qu’au versement à Mme [Y] de la somme complémentaire de 4.000 euros.

PAR CES MOTIFS

La Cour,

Confirme le jugement déféré

Y ajoutant,

Condamne la société HSBC Continental Europe à verser à Mme [Y] la somme complémentaire de 4.000 euros au titre des frais irrépétibles engagés en cause d’appel,

Condamne la société HSBC aux dépens.

Le présent arrêt a été signé par Laurence MICHEL, présidente, et par Vincent BRUGERE, greffier, auquel la minute de la décision a été remise par le magistrat signataire.

Le Greffier, La Présidente,