Cour de cassation, comm, 4 mars 2026 — n° 25-11.959

Faits et procédure 1. Selon l'arrêt attaqué (Amiens, 19 décembre 2024), M. et Mme [K], titulaires d'un compte dans les livres de la société Bnp Paribas (la banque) et projetant une acquisition immobilière partiellement financée par un prêt consenti par celle-ci, ont été rendus successivement destinataires, par courriels des 27 et 28 octobre 2020, de deux relevés d'identité bancaire distincts au nom de la SCP de notaires Allauzen Cochin de Koninck Duthion, les assistant à la vente, puis, le 10 novembre 2020, d'un troisième relevé d'identité bancaire au nom de la SCP de notaires assistant les vendeurs et devant recevoir l'acte. 2. Le 10 novembre 2020, en réponse à la demande de la banque et pour effectuer le paiement du coût de la transaction, M. et Mme [K] lui ont adressé un décompte des sommes à verser ainsi que le troisième relevé d'identité bancaire. 3. Le même jour, la banque leur a envoyé, par courriel, un ordre de virement comportant les références de ce troisième relevé d'identité bancaire, sur lequel M. et Mme [K] ont apposé leurs signatures, avant d'en faire retour à la banque. 4. Il s'est avéré que ledit relevé d'identité bancaire avait été envoyé à M. et Mme [K] à partir d'une adresse électronique imitant frauduleusement celle de la SCP de notaires les assistant et que le virement, d'une somme représentant leur apport personnel, est venu créditer un compte dont le bénéficiaire est demeuré inconnu. 5. Les 12 et 17 février 2021, M. et Mme [K] ont assigné la banque, soutenant qu'elle avait manqué à son obligation de vigilance.

Réponse de la Cour 7. Selon l'article L. 133-21 du code monétaire et financier, qui transpose l'article 88, intitulé « identifiants uniques inexacts » de la directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015, un ordre de paiement exécuté conformément à l'identifiant unique fourni par l'utilisateur du service de paiement est réputé dûment exécuté pour ce qui concerne le bénéficiaire désigné par l'identifiant unique. Si l'identifiant unique fourni par l'utilisateur du service de paiement est inexact, le prestataire de services de paiement n'est pas responsable de la mauvaise exécution ou de la non-exécution de l'opération de paiement. 8. La Cour de justice de l'Union européenne, dans son arrêt du 2 septembre 2021, CRCAM (C-337/20, point 36), a énoncé que « le régime harmonisé de responsabilité pour les opérations non autorisées ou mal exécutées établi par la directive (...) ne saurait être concurrencé par un régime alternatif de responsabilité prévu par le droit national reposant sur les mêmes faits et le même fondement qu'à condition de ne pas porter préjudice au régime ainsi harmonisé et de ne pas porter atteinte aux objectifs et à l'effet utile de cette directive ». 9. En conséquence, si la responsabilité contractuelle de droit commun fondée sur l'article 1231-1 du code civil n'est pas applicable à l'exécution par le prestataire de services de paiement d'un ordre de paiement conformément à l'identifiant unique fourni par l'utilisateur, tel n'est pas le cas lorsque le prestataire de services de paiement ne s'est pas borné à exécuter l'ordre de paiement. 10. Après avoir retenu que l'identité bancaire figurant sur l'ordre de paiement établi par la banque pour être ensuite soumis à la signature de M. et Mme [K] comportait des incohérences apparentes et manifestes qui ne pouvaient laisser aucun doute, pour un professionnel normalement diligent, sur le fait que l'identifiant était un faux grossier, la cour d'appel en a exactement déduit, par motifs propres et adoptés, que, la banque ne s'étant pas bornée, en sa qualité de prestataire de services de paiement, à exécuter un ordre de virement conformément à l'identifiant unique fourni par M. et Mme [K], mais avait elle-même rédigé cet ordre, cette dernière était tenue d'indemniser, sur le fondement du droit commun, ses clients du préjudice causé par ce manquement à son devoir de vigilance. 11. Le moyen n'est donc pas fondé.

PAR CES MOTIFS, la Cour : REJETTE le pourvoi ; Condamne la société Bnp Paribas aux dépens ; En application de l'article 700 du code de procédure civile, rejette les demandes formées par la société Bnp Paribas et par la SCP Allauzen Cochin de Koninck Duthion et condamne la société Bnp Paribas à payer à M. et Mme [K] la somme globale de 3 000 euros ; Ainsi fait et jugé par la Cour de cassation, chambre commerciale, financière et économique, et prononcé publiquement le quatre mars deux mille vingt-six par mise à disposition de l'arrêt au greffe de la Cour, les parties ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l'article 450 du code de procédure civile.