Par Alexandre Lazarègue, avocat spécialisé en droit du numérique
En 2024, Cybermalveillance.gouv.fr a recensé plus de 420 000 demandes d’assistance, en hausse de près de 50 %. Les escroqueries financières y occupent une place croissante, avec des hausses spectaculaires : +109 % pour les placements frauduleux, +603 % pour les fraudes au virement, +924 % pour la sextorsion. Des milliers de victimes, souvent désorientées, ont exécuté des virements sur la base de scénarios trompeurs. Parfois, cela s’est fait dans l’indifférence, voire avec l’assentiment passif de leur propre banque.
Dans un tel contexte, les établissements bancaires sont en première ligne. Leur rôle ne peut plus se réduire à celui d’un simple exécutant technique : la vigilance devient une exigence juridique. Le droit, désormais interprété de manière plus rigoureuse par les juridictions, redéfinit les contours de leur responsabilité en réponse à cette montée des risques. Ce mouvement jurisprudentiel invite les banques à revoir en profondeur leurs obligations face aux signalements de fraude.
Si l’on devait résumer cette évolution en une formule, on pourrait dire qu’il ne suffit plus d’exécuter les ordres du client pour s’exonérer de toute responsabilité. Encore faut-il, dans certaines circonstances, savoir s’en abstenir. En effet, la jurisprudence récente impose aux établissements bancaires un devoir autonome de vigilance, en particulier lorsqu’une opération présente un caractère inhabituel ou suspect.
Ce devoir est né de la combinaison du principe de bonne foi contractuelle et des impératifs de diligence inhérents à toute relation entre un prestataire de paiement et son client. Une exigence que les juridictions ont su faire émerger des principes généraux du droit des contrats là où les textes, sous la pression de l’industrie bancaire, étaient particulièrement limités.
La fin du confort de l’aveuglement
En matière de fraude, et plus particulièrement de cyber-escroqueries impliquant des virements, des investissements fictifs ou des flux suspects vers des structures opaques en cryptomonnaie, les juridictions ont ouvert une brèche nette dans le principe de non-ingérence bancaire — l’idée selon laquelle une banque n’a pas à juger de l’opportunité des opérations de ses clients. Ce principe, longtemps invoqué comme une ligne de défense, cède désormais devant les exigences de vigilance.
Plusieurs décisions récentes, notamment rendues par les tribunaux de Nanterre (21 avril 2023), Bordeaux (11 juillet 2024) et Créteil (21 janvier 2025), ont condamné des banques à indemniser des particuliers victimes de détournements massifs de fonds. Dans chacune de ces affaires, le grief n’était pas d’avoir initié la fraude, mais de ne pas l’avoir empêchée, malgré des indices objectivement inquiétants : multiplication de virements élevés, bénéficiaires non identifiés ou situés à l’étranger, confusion entre comptes professionnels et personnels, ou encore retraits d’espèces injustifiables.
Dans ces contentieux, la faute retenue n’est ni pénale ni issue d’une réglementation propre au secteur bancaire, mais relève du droit civil commun, sur le fondement de l’article 1240 du Code civil (ancien article 1382). Le manquement à la vigilance est ici analysé comme une faute quasi-délictuelle, en tant que défaut de diligence dans l’exécution d’une prestation. Ce manquement engage la responsabilité de l’établissement, et peut donner lieu à réparation intégrale du préjudice subi par le client.
Qu’on ne s’y trompe pas : il n’est pas exigé des banques qu’elles devinent l’intention frauduleuse derrière chaque virement. Mais lorsque l’anomalie devient manifeste, la passivité devient coupable.
Dans l’affaire jugée à Bordeaux, un client avait procédé à sept virements successifs pour un total de 101 000 €, destinés à un compte frauduleux domicilié en Espagne, sur la base d’un investissement fictif. La banque, informé, s’était contentée de relever le plafond de virement et d’expliquer comment procéder, sans jamais interroger la finalité de l’opération ni conseiller un rendez-vous. Le tribunal a estimé que cette abstention constituait un manquement à son obligation de vigilance générale, engageant sa responsabilité contractuelle à hauteur de 50 % du préjudice.
À Créteil, le raisonnement fut plus direct encore : en présence d’anomalies répétées, de virements inhabituels vers des comptes étrangers, et d’un profil client sans appétence connue pour ce type de risques, la banque ne pouvait se réfugier dans la neutralité technique de son rôle. Elle fut condamnée à indemniser le client à hauteur de 100 % de sa perte.
Quant à l’affaire de Nanterre, elle illustre de façon éclatante les conséquences systémiques d’une absence de contrôle sur un compte professionnel utilisé pour escroquer des centaines d’investisseurs : 58 millions d’euros collectés, 45 millions transférés à l’étranger sans vérification, pour des sociétés juridiquement inexistantes. L’inertie de la banque a permis à l’escroquerie de prospérer, et elle a été condamnée à indemniser les victimes à hauteur de 70 % de leurs pertes.
Le banquier, sentinelle raisonnable
Le dernier rapport de l’Autorité des marchés financiers (AMF) « Les arnaques à l’investissement », publié en octobre 2024, dresse un tableau alarmant : près de 70 % des victimes d’escroqueries en ligne affirment avoir effectué des virements avec l’assistance direct de leur banque, sans qu’aucune alerte n’ait été déclenchée.
Il ne s’agit pas ici de nier la part d’imprudence de certains épargnants. Mais le droit est clair : la victime d’une escroquerie, même légère ou crédule, ne décharge pas le banquier de son devoir de vigilance. Dès lors une banque qui laisse passer une opération manifestement suspecte, sans interroger ni alerter son client, engage pleinement sa responsabilité.
Cette responsabilité trouve sa justification dans une réalité technique et humaine : la banque dispose, mieux que quiconque, des informations et des outils pour détecter ce que le client ne voit pas — non par inattention, mais parce qu’il est pris dans une mise en scène soigneusement construite par des escrocs.
Dans un tel contexte, le banquier n’est pas un simple exécutant, mais le dernier rempart, la sentinelle raisonnable, dotée d’une capacité unique à détecter les comportements atypiques, à analyser les flux anormaux.
Repenser les contrats, réévaluer les pratiques
Alors que les fraudes numériques se professionnalisent et se mondialisent, il est impératif que les banques revoient leurs procédures internes, leurs systèmes d’alerte et leurs obligations contractuelles.
Les contrats type, qui enferment encore trop souvent le client dans une logique d’acceptation tacite des risques, doivent évoluer. L’inclusion d’une clause de vigilance renforcée pour les transferts à l’étranger ou en plusieurs fractions, de même qu’un mécanisme d’alerte en cas de dépassement de seuils inhabituels, n’est plus un luxe mais une nécessité juridique.
La passivité bancaire n’est plus une position défendable. L’époque où l’établissement financier n’était que l’exécutant neutre de la volonté de son client est révolu. En 2025, ne pas voir ce qui est visible, ne pas entendre ce qui alerte, c’est déjà faillir.