Le tribunal d’instance de Munich a récemment dû se prononcer sur la question de savoir si une cliente bancaire peut prétendre à un remboursement de la part de son établissement de crédit, suite à une opération de paiement non autorisée, lorsqu’elle a transmis un code SMS-TAN nécessaire à la validation de la transaction à des tiers inconnus (affaire n° 271 C 16677/24, jugement du 14 mai 2024). Ce jugement illustre l’importance fondamentale du devoir de diligence dans le cadre des opérations de banque en ligne, ainsi que les principes centraux du droit des contrats-cadres pour services de paiement.
Situation factuelle et contexte du litige
Une cliente avait perdu une somme importante sur son compte bancaire en ligne au profit de tiers inconnus jusqu’alors. Le virement avait été effectué après la réception d’un code SMS-TAN, que la cliente avait communiqué à une personne extérieure à son foyer. Peu après, elle constatait le débit non autorisé et réclamait des dommages et intérêts à la banque concernée, en invoquant avoir été victime d’une attaque de phishing trompeuse et ne pas avoir pu reconnaître le caractère frauduleux de la prise de contact. Selon la cliente, le risque de telles manipulations sophistiquées devrait incomber à la banque.
Points essentiels du raisonnement juridique
Pertinence de la loi sur la surveillance des services de paiement (ZAG) et de l’article 675u du BGB
Dans les motifs du jugement, le tribunal a précisé qu’en vertu de l’article 675u du BGB, s’agissant d’opérations de paiement électroniques non autorisées, la banque est en principe tenue de rembourser au client le montant de l’opération litigieuse. Cette obligation ne s’applique cependant que si le client n’a pas lui-même autorisé l’opération ou n’a pas contribué, du moins par négligence grave, à l’utilisation abusive de ses dispositifs d’authentification.
Définition et importance de l’authentification dans la banque en ligne
Dans les systèmes bancaires modernes, l’authentification à deux facteurs — par exemple, la combinaison d’une identification personnelle (comme le code PIN) et d’un code de transaction à usage unique (TAN) — constitue la règle. La transmission de ces identifiants, et notamment de la TAN, à des tiers est expressément interdite et contrevient à l’obligation de diligence qui incombe à chaque titulaire de compte. Malgré les avertissements nécessaires de la banque et des explications claires quant au caractère confidentiel de la TAN, la demanderesse avait communiqué le code SMS-TAN.
Comportement gravement négligent comme motif d’exclusion du droit au remboursement
Le tribunal a considéré que le comportement de la cliente constituait une négligence grave, ce qui, conformément à l’article 675v, alinéa 3 du BGB, exclut toute indemnisation. Les juges ont exposé que les banques informent régulièrement leurs clients, au moyen d’avertissements clairs et d’informations de sécurité, qu’il ne faut jamais communiquer un code TAN à un tiers, y compris en cas de demande téléphonique ou électronique. Toute personne ignorant ces mécanismes de protection et révélant des données d’accès sensibles accepte sciemment et de manière significative le risque d’une opération frauduleuse. Dans de tels cas, la réclamation en remboursement contre la banque n’a pas lieu d’être.
Conséquences pour la relation contractuelle entre le titulaire et la banque
Répartition du risque dans les opérations de paiement
Le jugement confirme qu’avec l’utilisation des modèles modernes de banque en ligne, un transfert partiel du risque s’opère au détriment du titulaire du compte dès lors qu’il ne respecte pas par négligence les mesures de sécurité contractuellement prévues. En l’absence de négligence grave, la charge de la preuve et du risque au sens de l’article 675u du BGB continuerait à incomber à la banque.
Importance pour la protection des consommateurs
Certes, les dispositions relatives au contrat-cadre pour services de paiement visent à assurer une protection complète du consommateur, mais — ainsi que le souligne le tribunal — cela implique de manière décisive la collaboration active du client lui-même. En l’espèce, la banque avait rempli toutes ses obligations légales et contractuelles d’information et de protection ; en revanche, la cliente a manqué à son obligation accessoire de diligence dans la gestion des mesures d’authentification.
Positionnement dans le contexte global et recommandations supplémentaires
La décision du tribunal de district de Munich clarifie qu’en cas de transmission d’un code TAN à des tiers, la probabilité d’obtenir un remboursement de la banque est pratiquement nulle — quelle que soit la sophistication de la fraude organisée. La relation contractuelle dans le cadre de la banque en ligne repose sur une coopération implicite des devoirs de diligence de la part des deux parties contractantes.
Dans la pratique, le phishing et d’autres méthodes de fraude représentent un risque récurrent pour les clients bancaires. La complexité de l’évaluation au cas par cas exige ici un examen approfondi afin de prendre en considération à la fois les intérêts de la banque et ceux de la clientèle.
Remarque finale
La situation juridique concernant les opérations de paiement non autorisées et les obligations des parties contractantes continue d’être source de débats judiciaires et juridiques. En cas de questions juridiques concrètes relatives à la banque en ligne, à la responsabilité ou au droit des paiements, les avocats de MTR Legal Rechtsanwalt se tiennent à votre disposition en tant qu’interlocuteurs fiables.
