Ordres bancaires frauduleux
La communication par courriels reste risquée
Célian Hirsch
Qui, de la banque ou des clients, doit supporter le dommage dû à l’exécution d’ordres provenant de hackers ? Peu après l’ATF 146 III 326 (cf. cdbf.ch/1150/), dans lequel le Tribunal fédéral a nié une faute grave d’une société de négoce, le Tribunal d’appello tessinois est confronté à la même problématique. Contrairement à la décision du Tribunal fédéral, il retient une faute grave de la banque, en soulignant le danger des communications par courriels (Arrêt 12.2019.148 du 18 septembre 2020).
Deux frères, actifs dans le conseil en lien avec le secteur minier, ouvrent un compte bancaire auprès d’une banque tessinoise. Ils communiquent essentiellement par courriels avec leur chargé de relation et investissent notamment un million de dollars dans l’or.
Plusieurs mois après l’ouverture du compte, la banque reçoit, en pièces jointes d’un courriel semblant provenir des clients, deux ordres de transfert à destination d’une banque chinoise. Ces ordres, portant sur USD 222’400, sont néanmoins bloqués par la compliance. Après quelques échanges de courriels, la banque reçoit les prétendues factures relatives aux ordres. Elles ont pour objet l’achat de pompes d’injection, de tuyaux et de connecteurs. La banque exécute alors les ordres.
Quelques jours plus tard, la fraude est découverte. Il est néanmoins trop tard pour récupérer les fonds partis vers la Chine. Une plainte pénale, déposée par la banque, n’aboutit à aucun résultat.
Les clients saisissent avec succès le Pretore de Lugano d’une demande en paiement contre la banque. Le juge considère en particulier que les parties n’étaient pas convenues de la possibilité de transmettre des ordres par courriels. Par ailleurs, les employés, qui n’avaient reçu aucune formation en matière de sécurité informatique, auraient dû déceler que les deux ordres étaient suspects et inhabituels. Ils auraient ainsi dû appeler les clients. De plus, le pays de destination des ordres, à savoir la Chine, est connu pour être à l’origine de fraudes informatiques. Partant, même si les ordres avaient été transmis conformément au contrat (par exemple par fax), la faute grave de la banque l’empêchait de répercuter le dommage sur les clients.
Dans son appel auprès du Tribunal d’appello tessinois, la banque soutient d’abord que les ordres ont été transmis par fax, et donc de manière conforme au contrat. En tout état de cause, la communication par courriels avait non seulement été imposée par les clients, mais ils l’avaient également acceptée par actes concluants. Enfin, les ordres étaient habituels et non suspects. La banque n’aurait ainsi commis aucune faute grave en les exécutant.
Le Tribunal cantonal commence par rappeler que la cause concerne l’exécution d’ordres bancaires frauduleux. Il s’agit donc de déterminer si la banque a exécuté les instructions conformément au contrat et si, dans l’affirmative, elle pouvait valablement reporter le préjudice subi sur ses clients.
Concernant le moyen de communication des ordres frauduleux, le Tribunal cantonal considère qu’il ne peut pas déterminer avec certitude si les ordres ont uniquement été transmis par pièce jointe d’un courriel, ou s’ils ont également été transmis par fax, comme le prétend la banque. Il ne tranche pas la question et passe à la seconde étape, qui porte sur la faute de la banque.
Le Tribunal d’appello reconnait que les clients ont opté eux-mêmes pour une communication avec la banque par courriels. Cela étant, la banque l’a acceptée et utilisée dès le début. Or les hackers, en ayant accès aux échanges électroniques, ont pu s’inspirer de ces communications afin de mieux se dissimuler. La banque a ainsi été négligente en n’attirant jamais l’attention des clients sur ce risque. En outre, la communication par courriels avec les clients étrangers constituait une pratique et une forme de communication habituelle pour la banque. L’ancien responsable informatique a d’ailleurs déclaré en procédure qu’il s’agissait d’une situation à risque connue. Le Tribunal d’appello en conclut que cette « situation de danger accru » imposait à la banque de prendre des mesures adéquates et d’agir avec une certaine prudence.
En l’espèce, la banque était consciente que les ordres demandaient une vérification plus approfondie puisqu’ils ont d’abord été bloqués. Ces vérifications sont néanmoins restées incomplètes. En effet, les factures transmises par les hackers ne concernaient en rien l’activité des clients (achat de pompes d’injection, de tuyaux et de connecteurs). En outre, il s’agissait d’un compte bancaire privé, et non commercial. Ces factures, destinées à justifier les ordres, étaient manifestement suspectes. Par ailleurs, il est notoire que la Chine, comme pays de destination de paiements, présente un risque élevé de fraude. La mention d’un caractère « urgent » pour l’exécution des ordres devait également faire naître des doutes. Enfin, la banque aurait simplement pu procéder à un call-back, ce d’autant plus que la banque avait déjà eu, par le passé, des contacts téléphoniques avec ses clients.
Au regard de l’ensemble de ces circonstances, du principe d’équité (art. 4 CC) et du pouvoir d’appréciation du juge, le Tribunal d’appello confirme l’appréciation du Pretore : la banque a commis une faute grave. Partant, elle ne peut pas reporter sur les clients le dommage dû à l’exécution des ordres frauduleux.
Comme annoncé en introduction, cet arrêt tessinois présente certaines similitudes avec l’ATF 146 III 326 (cf. cdbf.ch/1150/). Dans les deux affaires, la banque a exécuté des ordres de hackers transmis par courriels. Dans les deux affaires, les hackers ont pu s’inspirer des courriels entre la banque et son client, afin de passer, au moins à ce niveau-là, inaperçus. Cela étant, dans l’ATF, les ordres étaient exécutés en faveur d’une banque connue du Royaume-Uni, et non une banque d’un pays à risque. Ce critère, bien qu’insuffisant à lui seul, a néanmoins pu jouer un rôle important dans l’appréciation de la faute de la banque (concernant les autres critères pertinents, cf. Liégeois Fabien/Hirsch Célian, Ordres bancaires frauduleux : discours de la méthode, in La Semaine judiciaire II, Doctrine, 2021, n° 4, p. 135).