RÉPUBLIQUE FRAN’AISE

AU NOM DU PEUPLE FRAN’AIS

COUR D’APPEL DE PARIS

Pôle 5 – Chambre 6

ARRÊT DU 02 JUILLET 2025

(n° , 11 pages)

Numéro d’inscription au répertoire général : N° RG 23/10415 – N° Portalis 35L7-V-B7H-CHY2B

Décision déférée à la Cour : Jugement du 02 Mars 2023 – tribunal judiciare de Paris 9ème chambre 3ème section – RG n° 22/02112

APPELANT

Monsieur [Z] [K]

né le [Date naissance 3] 1966 à [Localité 10]

[Adresse 5]

[Localité 7]

Représenté par M^e Michel GUIZARD de la SELARL GUIZARD ET ASSOCIES, avocat au barreau de Paris, toque : L0020

Ayant pour avocat plaidant M^e Laurent GUIZARD de la SELARL GUIZARD ET ASSOCIES, avocat au barreau de Paris, toque : L0020

INTIMÉE

S.A. HSBC CONTINENTAL EUROPE

[Adresse 4]

[Localité 8]

agissant poursuites et diliugences de ses représentants légaux domiciliés en cette qualité audit siège

Représentée par M^e Anne-Gaëlle LE MERLUS de la SCP LUSSAN, avocat au barreau de Paris, toque : P 77, avocat plaidant

PARTIE INTERVENANTE

Société CCF VENANT aux droits de la SA HSBC Continental Europe à la suite de la réalisation, en date du 1er janvier 2024, d l’apport partiel d’actif soumis au régime des scissionspar lequel la société HSBC Continental Europe a apporté son activité de banque de détail en France à la société CCF

[Adresse 2]

[Localité 6]

N°SIREN : 315 769 257

agissant poursuites et diligences de ses représentants légaux domiciliés en cette qualité audit siège

Représentée par M^e Anne-Gaëlle LE MERLUS de la SCP LUSSAN, avocat au barreau de Paris, toque : P77, avocat plaidant

COMPOSITION DE LA COUR :

L’affaire a été débattue le 20 Mai 2025, en audience publique, devant la Cour composée de :

M. Marc BAILLY, président de chambre

M^me Pascale SAPPEY-GUESDON, conseillère

M^me Laurence CHAINTRON, conseillère

qui en ont délibéré, un rapport a été présenté à l’audience par M^me Pascale SAPPEY-GUESDON, dans les conditions prévues par l’article 804 du code de procédure civile.

Greffier, lors des débats : M^me Mélanie THOMAS

ARRÊT :

— contradictoire

— par mise à disposition de l’arrêt au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile.

— signé par Marc BAILLY, président de chambre et par Mélanie THOMAS, greffier, présent lors de la mise à disposition.

* * * * *

PROCEDURE ET PRETENTIONS DES PARTIES

Par déclaration reçue au greffe de la cour le 12 juin 2023, M. [Z] [K] a interjeté appel du jugement rendu le 2 mars 2023 en ce que le tribunal judiciaire de Paris saisi par voie d’assignation en date du 11 février 2022 délivrée à sa requête à l’encontre de la société HSBC Continental Europe, l’a débouté de l’ensemble de ses demandes, et l’a condamné aux dépens ainsi qu’au paiement de la somme de 2 500 euros à titre d’indemnité procédurale.

***

À l’issue de la procédure d’appel clôturée le 6 mai 2025 les prétentions des parties s’exposent de la manière suivante.

Au dispositif de ses dernières conclusions, communiquées par voie électronique le 2 mai 2025, l’appelant

présente, en ces termes, ses demandes à la cour :

'Vu notamment les articles L. 133-6, L. 133-15, L. 133-16, L. 133-17, L. 133-18, L. 133-19, L. 133-23, L. 133-24, du Code Monétaire et Financier, L. 421-3 du Code de la Consommation, 1217, 1231-1, 1231-2, du Code Civil,

Vu l’intervention volontaire de la société CCF, venant aux droits de la société HSBC Continental Europe,

DECLARER Monsieur [K] recevable et bien fondé en son appel,

INFIRMER le jugement entrepris en toutes ses dispositions,

STATUANT A NOUVEAU,

JUGER que Monsieur [K] n’a pas consenti aux virements frauduleux réalisés le 9 juillet 2021 à partir de son compte courant HSBC,

JUGER que la société CCF, venant aux droits de la société HSBC Continental Europe, ne rapporte pas la preuve qui lui incombe de ce que les virements frauduleux auraient été authentifiés, dument enregistrés et comptabilisés,

JUGER que Monsieur [K] n’a commis aucune négligence grave dans l’exécution des obligations prévues aux articles L. 133-16 et L. 133-17 du Code Monétaire et Financier,

JUGER que la société HSBC Continental Europe aux droits de laquelle vient la société CCF a manqué à ses obligations de sécurisation et de vigilance,

EN CONSEQUENCE,

CONDAMNER la société CCF, venant aux droits de la société HSBC Continental Europe, à rembourser à Monsieur [Z] [K] la somme de 19.850 € correspondant aux deux virements non autorisés qui n’ont pu être recouvrés, avec intérêts au taux légal à compter du 9 juillet 2021.

SUBSIDIAIREMENT ET EN TOUT ETAT DE CAUSE,

JUGER que la société HSBC Continental Europe, aux droits de laquelle vient la société CCF, a commis une faute en ne procèdant pas au rétablissement des plafonds standards de virement alors que ces plafonds n’avaient été réhaussés que dans le cadre d’une opération ponctuelle et de manière censée être purement provisoire.

JUGER que si les plafonds standards des virements avaient été rétablis après l’exécution de l’opération ponctuelle dans le cadre de laquelle ils avaient été rehaussés, les deux virements dont le montant n’a pu être récupéré n’auraient pu être réalisés, les plafonds standards étant alors dépassés.

JUGER que la société HSBC Continental Europe, aux droits de laquelle vient la société CCF a manqué à son obligation de vigilance.

EN CONSEQUENCE

CONDAMNER la société CCF, venant aux droits de la société HSBC Continental Europe à payer à Monsieur [Z] [K] la somme de 19.850 € avec intérêts au taux légal à compter du 9 juillet 2021.

DEBOUTER la société CCF, venant aux droits de la société HSBC Continental Europe de toutes ses demandes, fins et conclusions.

CONDAMNER la société CCF, venant aux droits de la société HSBC Continental Europe à payer à Monsieur [Z] [K] la somme de 8.000 € au titre de l’article 700 du CPC.

LA CONDAMNER en outre, aux entiers dépens de première instance et d’appel dont distraction au profit de la SELARL GUIZARD & ASSOCIES selon les dispositions de

l’article 699 du CPC.'

Au dispositif de ses dernières conclusions, communiquées par voie électronique le 7 avril 2025, l’intimé

présente, en ces termes, ses demandes à la cour :

'Vu l’article 1240 du code civil,

Vu l’article L. 133-19 IV du code monétaire et financier,

Il est demandé à la Cour de :

CONFIRMER le jugement rendu le 2 mars 2023 par le Tribunal Judiciaire de Paris en l’ensemble de ses dispositions

En conséquence,

DEBOUTER purement et simplement Monsieur [Z] [K] de l’ensemble de ses demandes, fins, moyens et conclusions

Et y ajoutant :

CONDAMNER Monsieur [Z] [K] à verser à CCF, venant aux droits de HSBC Continental Europe, une somme de 5.000 € au titre de l’article 700 du code de procédure civile ;

CONDAMNER Monsieur [Z] [K] aux entiers dépens.'

Par application des dispositions de l’article 455 du code de procédure civile, il est renvoyé, pour un plus ample exposé des prétentions et moyens des parties, à leurs conclusions précitées.

MOTIFS DE LA DECISION

Depuis le 22 février 2006, M. [K] (conjointement avec son épouse) est titulaire d’un compte bancaire ouvert dans les livres de la société HSBC France [devenue depuis lors, HSBC Continental Europe, et aux droits de laquelle vient désormais la société CCF]. Il est à ce titre bénéficiaire des services en ligne mis à disposition de ses clients par la banque HSBC.

Le 8 juillet 2021 le nom de quatre nouveaux bénéficiaires a été ajouté à la liste de ceux antérieurement enregistrés sur l’application personnelle de M. [K], et par suite, neuf virements ont été effectués pour un montant total de 89 610 euros, au profit de ces nouveaux bénéficiaires. La banque, qui soutient que l’enregistrement de ces IBAN n’a pu se faire qu’à l’initiative d’un des titulaires du compte ou d’une personne à laquelle il aurait communiqué les codes d’accès du service sécurisé de banque à distance nécessitant la frappe de plusieurs informations confidentielles, indique que ce compte joint a été préalablement abondé par un virement depuis le Livret 2A de M. [K], pour un total de 88 800 euros.

M. [K] détaille avoir reçu, le 8 juillet 2021, vers 20h54, un appel sur son téléphone portable, le numéro affiché étant le [XXXXXXXX01], soit le numéro du service client HSBC figurant notamment au dos de sa carte bancaire. Son interlocuteur, lequel s’est présenté comme un employé de la banque HSBC, l’a informé de ce qu’une opération suspecte avait été effectuée au moyen de sa carte bancaire sur le site de Rowenta. M. [K] ayant confirmé qu’il n’était pas à l’origine d’une telle transaction, son interlocuteur lui a indiqué mettre sa carte en opposition et lui a demandé de générer un code de transaction sur son application mobile HSBC en vue de commander une nouvelle carte. Cet interlocuteur disposant du numéro complet et de la date d’expiration de sa carte bancaire, de son adresse, de sa date de naissance et bien entendu de son numéro de téléphone portable, M. [K], préoccupé par l’utilisation frauduleuse de ses moyens de paiement qui venait de lui être révélée, n’a, a aucun moment, envisagé qu’il puisse être un escroc. M. [K], usant de ses identifiant et mot de passe s’est connecté au moyen de son téléphone portable à son application mobile de sa banque puis a généré un code transaction qu’il a transmis à son interlocuteur de même qu’il a répondu à diverses questions habituelles en matière de sécurité telles profession du père etc.., en vue de commander une nouvelle carte.

Ce n’est que le 9 juillet 2021, que M. [K] a pris connaissance de quatre courriels adressés par HSBC sur son adresse électronique [Courriel 9], transmis le 8 juillet respectivement à 23h11, 23h16, 23h38 et 23h41, indiquant, dans chaque cas, qu’un nouveau bénéficiaire, dont l’identité n’était pas précisée, avait été ajouté dans son application mobile HSBC. Chacun de ces courriels indiquait ainsi : 'Conformément à votre saisie, le compte se terminant par xxxx a été ajouté à vos bénéficiaires sur HSBC.FR. Si vous n’êtes pas à l’origine de cette opération, merci de contacter HSBC Relations Clients'. N’étant pas à l’origine de ces ajouts, M. [K] a répondu immédiatement sans toutefois obtenir de réponse en retour, cette boite mail, ainsi que cela lui sera ultérieurement confirmé, ne réceptionnant pas de réponse. Constatant de surcroit qu’il n’avait plus accès à son application mobile, il a, ce même jour à 7 heures du matin, tenté de joindre HSBC, sans succès, son service client n’étant pas joignable avant 8 heures. C’est donc à 8h03 que M. [K] a pu joindre le service clients d’HSBC qui lui a alors indiqué qu’il bloquait son application et prévenait le service fraude qui devait le rappeler incessamment. En l’absence de rappel, M. [K] a, à 8h30, de nouveau contacté le service clients de la banque et sa nouvelle interlocutrice lui a à nouveau indiqué bloquer l’application, lui précisant qu’elle voyait de nombreux virements apparaitre sur ses comptes. Elle a en outre préparé des demandes de retour de fonds, que M. [K] a signées électroniquement et a retournées dans la journée. À 9h03, M. [K] a contacté son conseiller à la banque HSBC lequel lui acommuniqué le montant de neuf virements effectués à partir de son compte, pour un montant total de 89 610 euros, puis, dans la journée, lui a indiqué qu’avec son assistante, ils essayaient de récupérer les virements sortants. Ce même jour, 9 juillet 2021, à la demande de la banque, HSBC lui ayant indiqué en avoir besoin pour demander le retour des fonds auprès des banques destinataires, M. [K] a porté plainte, et a transmis le procès-verbal en justifiant. Aux termes de la plainte ainsi déposée, M. [K] a exposé les faits qui précèdent et précisé ne pas avoir donné à l’auteur de la fraude le mot de passe permettant de se connecter à l’application : 'Je précise que je n’ai jamais donné mon mot de passe d’appli, je pense donc que l’appli HSBC a été piratée'.

M. [K] contestant auprès de sa banque être à l’origine tant de l’ajout des bénéficiaires que des virements qui en ont été la suite, et la procédure de rappel des fonds mise en oeuvre n’ayant permis de récupérer que la somme totale de 69 760 euros, M. [K] réclame le remboursement de la somme de 19 850 euros représentant le montant des fonds définitivement perdus (89 610 euros ' 69 760 euros).

Aussi M. [K] persiste à soutenir qu’il s’agit d’opérations non autorisées et pour soutenir le contraire la banque intimée fait valoir qu’a été utilisée l’application dédiée sécurisée pour y procéder, et par suite, développe sur le devoir de non immixtion qui s’impose au banquier, l’absence d’anomalies apparentes, et son absence de faute.

Ceci étant exposé,

L’article L. 133-19 IV du code monétaire et financier dispose que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17.

Aussi, en cas d’opération de paiement non autorisée, réalisée au moyen d’un instrument de paiement doté de données de sécurité personnalisées, et signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée, sauf si la responsabilité du payeur est engagée en application de l’article L. 133-19.

En l’espèce il résulte des explications des parties, concordantes sur ce point, qu’a bien été utilisé un tel dispositif, pour la réalisation des opérations à distance que M. [K] entend contester.

Par ailleurs, en vertu de l’article L. 133-23 du code monétaire et financier, lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de service de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée, et qu’elle n’a pas été affectée par une déficience technique ou autre.

En l’espèce, M. [K] pointe l’absence de preuve par la banque de ce que les opérations ont été authentifiées, dument enregistrées et comptabilisées et que le système n’a pas été affecté d’une déficience technique ou autre, alors que la banque doit faire cette démonstration au préalable.

— M. [K] estime que cette preuve ne saurait résulter des quatre messages que la banque HSBC lui a envoyé sur sa boite mail le 8 juillet indiquant que de nouveaux bénéficiaires avaient été ajoutés 'conformément à la saisie'. En effet de tels messages automatiques ne permettant pas de réponse, en cas de contestation il convient d’appeler le Service fraude, et en l’espèce M. [K] était dans l’incapacité de mener à bien sa démarche puisque ce service était injoignable hors heures ouvrables ; en d’autres termes, M. [K] était dans l’impossibilité d’éviter la fraude.

— M. [K] soupçonne que le site de la banque a été piraté. Il indique que l’hypothèse du spoofing ne vient pas de lui mais des premières explications que lui a données HSBC qualifiant la situation de fraude malheureusement classique. M. [K] explique que le tout premier appel passé par l’escroc vient d’un numéro qui est celui figurant au verso de la carte bancaire à appeler en cas de fraude, et HSBC ne donne aucune explication sur ce point, sauf à écrire en définitive que M. [K] ne rapporte aucune preuve de ce qu’il avance. La banque ne donne aucun élément pour établir qu’elle aurait sécurisé son réseau téléphonique pour éviter le piratage dudit numéro. M. [K] maintient qu’il n’a jamais donné ses codes à son interlocuteur, et relève que le tribunal n’a pas tenu compte des faits de la cause, des pièces produites, et surtout des pièces non produites par HSBC.

M. [K] affirme qu’il n’a transmis qu’une chose : sur les instructions de son interlocuteur disant que devant l’escroquerie commise dont il venait de l’informer il fallait mettre sa carte en opposition et en commander une nouvelle, il a utilisé lui-même son application, sans communiquer ni son code identifiant ni son code personnel, et en retour a transmis le 'code transaction’ généré par l’application, à ces fins. Il n’a pas validé d’ajout de bénéficiaire ni de virements : cela veut dire que les ajouts et virements ont été réalisés sans que l’authentification forte ait été utilisée.

M. [K] ajoute que la banque intimée ne produit pas les éléments techniques utiles, dont notamment le terminal utilisé pour connexion de M. [K] à son application mobile aux alentours de 21 heures et sa localisation, en opposant le 'secret bancaire'. Dès lors que l’on ne dispose pas tous les logs, qu’il manque les premiers, il est impossible de vérifier quelle est l’adresse IP du téléphone utilisé, ni les SMS envoyés, ne figurant sur le listing produit par la banque que les opérations effectuées à partir de 23 heures. Il s’ensuit que la banque ne démontre pas que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée, et qu’elle n’a pas été affectée par une déficience technique ou autre.

— M. [K] termine en indiquant qu’en tout état de cause les logs produits démontrent les failles du système de HSBC. Selon les éléments communiqués par HSBC les connexions suivantes ont été effectuées :

Horodatage adresse IP Slot Idconnexion SendToken

08/07/2021 à 23h09 92.184.117.232 27 35638159004 N

08/07/2021 à 23h12 92.184.117.232 4 35638159004 N

08/07/2021 à 23h36 92.184.117.105 8 35638159004 N

09/07/2021 à 05h28 92.184.104.161 0 35638159004 N

Il en ressort que les quatre connexions ont été effectuée avec le même identifiant de session (Idconnexion 35638159004). Alors que cet identifiant est censé représenter une session utilisateur unique et temporaire, ce n’est pas le cas ici puisque cet identifiant a été réutilisé sur plus de 6 heures à l’occasion de quatre sessions distinctes, sans renouvellement et donc sans expiration automatique, ce qui constitue en soi une faille de sécurité. Il en résulte également que ces connexions proviennent de trois adresses IP différentes, appartenant à des terminaux ou des localisations distincts, adresses dont aucune ne correspond à celle du téléphone portable de M. [K] qui est toujours resté en sa possession. Or, un changement d’adresse IP intervenant entre deux connexions utilisant le même identifiant de session témoigne de la déficience du système mis en place par HSBC ce d’autant que chacune de ces connexions comme les opérations de paiement ont été effectuées sans qu’aucune authentification forte ne soit requise ainsi que démontre la mention SendToken : N.

HSBC ne saurait dès lors prétendre avoir respecté les dispositions de l’article L. 133-44. I du code monétaire et financier dans sa version applicable à l’époque des faits, aucune authentification forte n’ayant été requise lors des quatre connexions à l’application bancaire comme lors des opérations de paiement qui ont été frauduleusement effectuées.

HSBC ne saurait pas plus prétendre avoir respecté les dispositions de l’article L. 133-44. II du code monétaire et financier qui prévoit : 'Pour les opérations de paiement électronique à distance, l’authentification forte du client définie au f de l’article L. 133-4 comporte des éléments qui établissent un lien dynamique entre l’opération, le montant et le bénéficiaire donnés'. L’article 5 du réglement délégué n°2018/389 du 27 novembre 2017, apporte des précisions sur les exigences techniques liées au lien dynamique susvisé dont il résulte, d’une part, que le payeur doit être informé du montant de l’opération et de l’identité du bénéficiaire avant de valider l’opération, d’autre part, que le code d’authentification généré pour la transaction doit être spécifique au montant et au bénéficiaire approuvés par le payeur. Or, HSBC ne justifie en aucun cas de l’authentification forte qui aurait été requise à l’occasion de chacun des neuf virements qui ont été effectués à destination de tiers.

HSBC ne saurait pas plus prétendre avoir respecté les dispositions de l’article L. 133-44. III. En effet, la continuité d’utilisation d’un identifiant de session censé n’être unique sur plusieurs heures et depuis plusieurs adresses IP différentes, à partir de slots différents (navigateurs différents) sans que le système ne déclenche aucune alerte ou blocage constitue une faille manifeste du système d’authentification lequel permet, de fait, les détournements de session.

En ne mettant pas en oeuvre à chaque connexion et donc de manière systématique une authentification forte, un temps raisonnable d’expiration des sessions, outre un contrôle de cohérence entre adresses IP, géolocalisation, navigateur, HSBC ne saurait prétendre avoir mis en place des mesures de sécurité adéquates afin de protéger la confidentialité et l’intégrité des données de sécurité personnalisées de M. [K].

De surcroit la Cour constatera, alors que spoofing et vishing sont des techniques de fraude

parfaitement connues de la banque HSBC, que l’ajout de bénéficiaires ne nécessite manifestement aucune confirmation du client. Aucun code de confirmation n’est adressé au client au numéro pourtant en possession de la banque. La banque HSBC se contente dans un tel cas d’adresser un courriel faisant état de l’ajout d’un bénéficiaire sans autre précision mais il est en outre impossible de répondre à ces courriels tandis que son service clients ne peut être joint que de 8 heures à 20 heures, de telle sorte que, sans aucune confirmation du client, des bénéficiaires peuvent être ajouté à la volée entre 20 heures et 8 heures du matin et recevoir des virements frauduleusement. La banque HSBC n’a prévu aucun délai entre l’ajout d’un bénéficiaire sur l’application en ligne et la possibilité de le faire bénéficier d’un virement ainsi qu’en atteste la pièce adverse 32 nouvellement transmise par HSBC.

Or, l’article L. 421-3 du code de la consommation prévoit : 'Les produits et les services doivent présenter, dans des conditions normales d’utilisation ou dans d’autres conditions raisonnablement prévisibles par le professionnel, la sécurité à laquelle on peut légitimement s’attendre et ne pas porter atteinte à la santé des personnes'. Par application de cet article la banque HSBC est tenue d’une obligation générale de sécurité à l’égard de son client consommateur comme c’est le cas en l’espèce, de M. [K]. Mais elle est également tenue à une obligation de sécurisation de son client, puisqu’elle est tenue de prendre toutes mesures pour prévenir la commission de faits délictueux susceptibles de préjudicier aux biens de son client. Il en va ainsi en matière de coffre-fort, il en va de même a fortiori en matière de dépôt des fonds sur un compte et il s’agit là d’une obligation de résultat (Com. 15 janvier 1985 n°83-12.226 ; Civ 1ere 29 mars 1989 n°87-17.262). Force est de constater en l’espèce que cette obligation n’a pas plus été respectée à raison des failles que présente le système censé assurer la sécurisation des fonds du client lorsqu’un bénéficiaire est ajouté sur l’application en ligne et qu’un virement est immédiatement opéré a son profit. La banque HSBC ne saurait le contester, son directeur général à l’époque des faits l’ayant reconnu, indiquant : 'Je ne sais pas si les mails des clients contestant une création de nouveaux bénéficiaires sont monitorés. C’est un point de procédure important. Tout ceci est désolant et inquiétant je vais refaire un point sur nos procédures de sécurité (Pièce n°7). Or, précisément il n’est pas possible de répondre à un courriel faisant état de l’ajout de bénéficiaire pas plus qu’il n’est possible de joindre le service clients si l’ajout et par suite le virement sont effectués entre 20 heures et 8 heures du matin.

Il convient également de noter que l’auteur de la fraude a pu, sans qu’aucune demande de confirmation ne soit adressée à M. [K], modifier le mode d’authentification à son application de telle sorte qu’il n’y avait plus accès, ce qui constitue également une faille de sécurité.

Le site HSBC indique à ce jour : 'Secure Key est le système de sécurité HSBC qui génère des codes à usage unique pour :

— vous connecter à vos comptes,

— valider vos opérations sensibles depuis l’application mobile HSBC France et le site hsbc.fr… il vous assure une protection élevée contre la fraude … Une gestion simple de vos bénéficiaires… Ajoutez en ligne et en toute sécurité grâce à Secure Key vos comptes bénéficiaires et réalisez vos virements immédiatement.

Sécurité :

sur Internet et mobile, l’ajout d’un bénéficiaire est sécurisé par la saisie d’un code à usage unique généré par votre Secure Key’ (Piece n°21).

Ainsi, aujourd’hui, l’ajout d’un bénéficiaire ne peut être effectif que pour autant qu’il soit valide au moyen d’un code à usage unique réceptionné par le client sur son mobile. Or, en l’espèce, alors que quatre nouveaux bénéficiaires ont été ajoutés, aucun code à usage unique n’a pu être adressé à M. [K] sur son mobile dès lors qu’à son insu et alors qu’il n’avait pas communiqué son identifiant et son code secret, l’application mobile avait été réinitialisée, sans que, parallélement, aucun email ne lui soit adressé, aucunSMS ne lui soit transmis sur le portable initialement enrôlé dans l’application.

Il va de soi que si de tels codes avaient été générés et transmis sur le téléphone portable de

M. [K], il n’aurait validé aucun des ajouts de bénéficiaire faute de les avoir initiés.

HSBC, qui ne peut ignorer la faille de sécurité existante et eu égard à la connaissance qu’elle a des techniques de vishing ou spoofing ne saurait prétendre avoir appliqué une authentification forte et avoir mis en place des mesures de sécurité adéquates protégeant la confidentialité et l’intégrité des données de sécurité personnalisées de M. [K] mais en outre il est patent qu’elle en outre manqué à son obligation de vigilance.

HSBC n’établissant pas avoir exigé l’authentification du payeur, elle ne saurait alléguer d’une négligence grave de M. [K] pour s’affranchir des dispositions de l’article L. 133-19 V du code monétaire et financier qui prévoient que dans un tel cas, sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière de l’opération de paiement non autorisée (Com 30 août 2023 n°22-11.707 ; Paris 18 janvier 2024 n°22/08830).

La banque intimée en défense renvoie à sa pièce 32 (en réalité 23, qui est la dernière pièce communiquée par elle) qui constitue selon elle la preuve suffisante qui est attendue d’elle.

Pourtant, c’est à tort qu’elle critique le tribunal en ce qu’il a écrit que 'l’utilisation des identifiants du client ne permet pas à la banque de prétendre démontrer ainsi l’autorisation qu’aurait donnée M. [K]'. En effet l’alinéa 2 de l’article L. 133-23 du code monétaire et financier prévoit que 'l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière'. C’est pourquoi le tribunal a rappelé, exactement, que l’utilisation des identifiants du client ne permet pas à la banque de prétendre démontrer ainsi l’autorisation qu’aurait donnée M. [K].

À l’argumentation essentiellement technique longuement développée par l’appelant, qui vient d’être exposée, la banque répond en ces termes :

'En deuxième lieu, c’est donc de façon tout à fait artificielle que Monsieur [K] conteste tout à coup, dans ses conclusions d’appelant n°2, la mise en oeuvre d’une authentification forte à l’occasion des opérations litigieuses. En tout état de cause, CCF, venant aux droits de HSBC Continental Europe, verse aux débats le récapitulatif des logs des différentes connexions qui en justifie. De façon parfaitement logique, les juridictions amenées à connaître ce type de contentieux liés aux fraudes aux moyens de paiement admettent évidemment ces historiques de connexion comme modes de preuve parfaitement valables et de nature à emporter leur conviction sur le caractère autorisé des opérations litigieuses (pièce n°32). La Cour d’appel de céans en fera de même en la présente instance.'

'En troisième lieu, c’est également vainement que Monsieur [K] tente en cause d’appel de se prévaloir d’une faille de sécurisation du site HSBC dont il allègue avoir été en l’espèce la victime. Il ne procède là que par pure affirmation, sans preuve, laquelle ne saurait raisonnablement être établie par un piratage de comptes de clients américains, survenu en 2018, soit trois ans auparavant (pièce adverse n°16), ni par celui ayant pu atteindre un prestataire de HSBC lequel n’ayant jamais disposé d’aucune des données bancaires des clients (pièce adverse n°17)'.

Force est de constater que la société CCF ne répond pas précisément aux arguments développés par M. [K], qui appelaient en toute hypothèse un commentaire à l’interprétation qui en est donnée par la partie adverse, et il ne peut être considéré qu’elle rapporterait, par la seule production d’un document sur lequel elle ne fournit aucun éclaircissement, la preuve qui est attendue d’elle. Dans ces conditions, la banque est donc tenue de rembourser au payeur le montant de l’opération non autorisée.

En tout état de cause il sera rappelé que selon le dernier alinéa de l’article L. 133-23 du code monétaire et financier, le prestataire de services de paiement fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement.

S’agissant des négligences qu’aurait pu commettre M. [K] le tribunal a retenu la caractérisation d’une 'négligence grave’ au sens de l’article L. 133-19 IV du code monétaire et financier en ce que M. [K] a reconnu lui-même à plusieurs reprises que la fraude résulterait d’un 'spoofing’ au moyen duquel les fraudeurs seraient parvenus à ce qu’il communique ses informations confidentielles nécessaires à l’enregistrement de nouveaux RIB puis à l’émission des ordres de virement, et qu’il admet avoir délivré à ses interlocuteurs 'des renseignements qui ont par la suite permis les opérations frauduleuses sur son compte'.

La preuve de la négligence grave incombe au prestataire de service de paiement et à cet égard la banque souligne que M. [K] tant dans sa plainte pénale que dans ses conclusions en première instance, a donné des explications qui étaient tout autres. Elle renvoie aux termes de la plainte pénale de M. [K] et à des extraits de ses conclusions de première instance, dans lesquelles sans dénier ses fautes il tentait de les expliquer par 'le stress et l’urgence'. Or la lecture de ces conclusions de première instance et de la plainte pénale permet de constater que M. [K] n’a jamais donné d’autre version que celle exposée dans ses présentes écritures. En particulier, il a toujours indiqué n’avoir communiqué à son interlocuteur qu’un code généré à sa demande et prétendûment destiné à procéder à la commande d’une nouvelle carte bancaire, et ne pas avoir révélé ni son identifiant, ni son code d’accès à son application.

Ainsi M. [K] dans ses conclusions d’appel dénie avoir commis une quelconque négligence grave, et insiste sur le fait que la banque ne démontre pas, préalablement, l’ 'absence de déficience technique ou autre'. Aussi, selon lui le jugement est critiquable en ce que le tribunal a omis d’examiner si la preuve en a bien été rapportée, ce que M. [K] conteste, et en définitive, a inversé la charge de la preuve ou tout du moins en a par une erreur de droit, déchargé la banque.

Ce comportement de M. [K] – communication à un tiers qu’il pensait légitimement appartenir au personnel de HSBC, d’un code qui diffère des données permettant l’accès aux comptes du client – ne caractérise pas une négligence grave, dans la mesure où M. [K] du fait du stratagème abouti mis en place par l’escroc a pu croire être en relation avec un représentant de sa banque, que celle-ci n’établit pas que M. [K] aurait communiqué à son interlocuteur son identifiant et son code personnel, et au surplus n’apporte pas le moindre élément pour contredire utilement l’exposé que fait M. [K] du déroulement de la fraude en amont de l’ajout des nouveaux bénéficiaires et des virements qui en ont été la suite.

Par conséquent, conformément à la demande qui en est faite par M. [K] la banque devra rembourser en leur intégralité les sommes qui ont été débitées du compte de M. [K] et n’ont pu lui être restituées. Cette somme de 19 850 euros portera intérêts au taux légal à compter du 11 février 2022 date de l’assignation.

Sur les dépens et les frais irrépétibles

La société CCF, partie qui succombe, supportera la charge des dépens et ne peut prétendre à aucune somme sur le fondement de l’article 700 du code de procédure civile. En revanche pour des raisons tenant à l’équité il y a lieu de faire droit à la demande de M. [K] formulée sur ce même fondement, mais uniquement dans la limite de la somme de 3 000 euros.

PAR CES MOTIFS

La cour, statuant dans les limites de l’appel,

INFIRME le jugement déféré ;

Statuant à nouveau :

CONDAMNE la société CCF venant aux droits de la société HSBC Continental Europe, à rembourser à M. [Z] [K] la somme de 19 850 euros, qui portera intérêts au taux légal à compter du 11 février 2022 ;

CONDAMNE la société CCF à payer à M. [Z] [K] la somme de 3 000 euros en application des dispositions de l’article 700 du code de procédure civile ;

DÉBOUTE la société CCF de sa propre demande formulée sur ce même fondement ;

CONDAMNE la société CCF aux entiers dépens d’appel et admet la Selarl Guizard & Associés avocat constitué, du Barreau de Paris, au bénéfice des dispositions de l’article 699 du code de procédure civile.

* * * * *

LE GREFFIER LE PRÉSIDENT