La responsabilité du prestataire de services de paiement face aux investissements frauduleux : quand l’anomalie apparente impose la vigilance

Un prestataire de services de paiement qui met ses comptes bancaires à la disposition d’un intermédiaire non agréé, permettant ainsi des virements au profit de sociétés inscrites sur la liste noire de l’Autorité des marchés financiers, engage sa responsabilité pour manquement à son obligation de vigilance

Présentation de l’arrêt

La Cour de cassation, chambre commerciale, a rendu le 1er octobre 2025 (pourvoi n° 22-23.136) un arrêt important en matière de responsabilité bancaire et de protection des investisseurs face aux fraudes en ligne.

Les faits de l’espèce sont révélateurs d’un schéma d’escroquerie désormais classique dans le domaine des investissements atypiques. Monsieur X., retraité domicilié en France, a été démarché par plusieurs sociétés (Finch Markets, BanQ of Broker, 50 Option et Triompheoption) lui proposant d’investir sur le marché des changes (Forex) et sur des options binaires. Courant 2014, il a procédé à des virements depuis son compte BNP Paribas vers un compte détenu en France par la société Worldpay AP Ltd, prestataire de services de paiement de droit anglais agréé par la Financial Conduct Authority britannique.

La complexité du montage apparaît rapidement : Worldpay avait mis ce compte français à la disposition de la société néerlandaise Seroph Holding BV, spécialisée dans la fourniture d’infrastructures de paiement sur Internet. C’est Seroph qui communiquait ensuite les références bancaires aux plateformes de trading en ligne, permettant aux investisseurs d’effectuer leurs virements.

Après la disparition totale de ses fonds et de ses interlocuteurs, Monsieur X. a assigné en responsabilité les sociétés Worldpay et Seroph. Le tribunal judiciaire de Paris, par jugement du 16 novembre 2020, a condamné la seule société Seroph à verser 20.000 euros au titre du préjudice financier et 1.500 euros pour le préjudice moral, tout en déboutant l’investisseur de ses demandes contre Worldpay.

Sur appel de Monsieur X., la cour d’appel de Paris, par arrêt du 18 octobre 2022, a infirmé cette décision en retenant la responsabilité conjointe de Worldpay et Seroph. Elle a considéré que ces deux sociétés avaient manqué à leur obligation de vigilance et a condamné in solidum les deux prestataires à verser 36.000 euros à l’investisseur, après avoir retenu une faute contributive de ce dernier à hauteur de 50%.

La société Worldpay s’est alors pourvue en cassation, contestant tant l’application du droit français au litige que l’existence d’un manquement à une quelconque obligation de vigilance de sa part.

Problème juridique

La question centrale posée à la Cour de cassation peut se formuler ainsi :

Cette question principale soulève en réalité deux interrogations distinctes :

D’une part, quelle est la loi applicable lorsqu’un investisseur français ordonne des virements depuis son compte français vers un compte détenu en France par un prestataire de services de paiement de droit anglais, dans le cadre d’investissements frauduleux ? Le simple fait que les fonds aient transité par un compte français suffit-il à justifier l’application de la loi française ?

D’autre part, et sur le fond, quels sont les contours de l’obligation de vigilance pesant sur un prestataire de services de paiement qui met ses infrastructures à la disposition d’un autre intermédiaire ? Doit-il vérifier l’agrément de son cocontractant ? L’inscription des bénéficiaires finaux sur une liste noire constitue-t-elle une anomalie apparente justifiant une vigilance accrue ? Le principe de non-ingérence, qui commande normalement au banquier de ne pas s’immiscer dans les affaires de ses clients, trouve-t-il ici à s’appliquer ?

Solution de la juridiction

La Cour de cassation rejette le pourvoi et confirme l’arrêt de la cour d’appel de Paris dans ses aspects essentiels.

Sur la loi applicable

S’agissant de la détermination de la loi applicable, la Haute juridiction rappelle d’abord le cadre normatif européen. L’article 4.1 du règlement Rome II du 11 juillet 2007 pose le principe selon lequel la loi applicable à une obligation non contractuelle résultant d’un fait dommageable est celle du pays où le dommage survient. Ce règlement doit être interprété de manière cohérente avec le règlement Bruxelles I relatif à la compétence juridictionnelle.

La Cour de justice de l’Union européenne a précisé que les juridictions du domicile du demandeur sont compétentes lorsque le dommage se réalise directement sur le compte bancaire de ce demandeur auprès d’une banque établie dans leur ressort, à condition que les autres circonstances particulières de l’affaire concourent également à attribuer cette compétence.

En l’espèce, la Cour de cassation relève que l’investisseur était domicilié en France, titulaire d’un compte ouvert auprès d’une banque établie en France, et qu’il avait ordonné les virements litigieux à la suite d’un démarchage dont il avait fait l’objet en France. Elle constate également que le préjudice financier a été directement subi sur le compte bancaire de l’investisseur ouvert en France et en déduit que le dommage est survenu en France.

La Cour juge donc que la loi française est applicable à l’action en responsabilité dirigée contre le prestataire de services de paiement, sans méconnaître le principe d’interprétation cohérente des règlements européens.

Sur le manquement à l’obligation de vigilance

Sur le fond, la Cour de cassation valide le raisonnement de la cour d’appel ayant retenu l’existence d’anomalies apparentes justifiant un manquement à l’obligation de vigilance.

Premièrement, elle approuve les juges du fond d’avoir relevé que la société Seroph, qui se présentait comme spécialisée dans les prestations de services de paiement, relevait de la catégorie des établissements prestataires de services de paiement soumis à agrément. Cette qualification ressortait notamment d’une publication sur internet de mai 2013 vantant les services de Seroph (sous son ancienne dénomination AlgoCharge) destinés spécifiquement aux « courtiers offshore et non régulés ».

Deuxièmement, la Cour constate que Seroph n’avait pas satisfait aux exigences d’information contractuelles (« Know Your Customer ») prévues dans la convention signée avec Worldpay, malgré l’obligation stipulée dans leur contrat.

Troisièmement, et c’est sans doute l’apport le plus significatif de cet arrêt, la Cour valide la caractérisation d’anomalies apparentes tirée du fait que deux des sociétés bénéficiaires des virements figuraient sur la liste noire des placements à haut risque publiée par l’Autorité des marchés financiers dès 2013. La détection de cette anomalie était d’autant plus aisée que les ordres de virement mentionnaient expressément le nom du bénéficiaire final (50 Option) ainsi que la référence correspondant à Seroph.

La Cour en déduit que la société Worldpay ne pouvait ignorer que Seroph relevait des professions réglementées et que le fonctionnement de son compte présentait des virements au bénéfice de sociétés inscrites sur la liste noire de l’AMF. Elle a donc pu retenir que Worldpay avait manqué à son obligation de vigilance et était, en conséquence, tenue de réparer in solidum avec Seroph le préjudice causé à l’investisseur.

La règle de droit qui se dégage de cet arrêt peut ainsi être formulée : un prestataire de services de paiement engage sa responsabilité lorsqu’il met ses services à disposition d’un intermédiaire en présence d’anomalies apparentes, notamment lorsque cet intermédiaire ne dispose pas des agréments requis, ne satisfait pas aux obligations contractuelles d’identification et que les bénéficiaires finaux des opérations figurent sur des listes noires d’autorités de régulation.

Analyse et portée de la décision

1/ Une clarification bienvenue du droit applicable

Le premier enseignement de cet arrêt concerne la détermination de la loi applicable dans les litiges transfrontaliers relatifs aux services de paiement. La Cour de cassation adopte une interprétation favorable aux victimes en considérant que le simple fait que le préjudice financier se soit matérialisé sur un compte français suffit, combiné avec d’autres circonstances (domicile en France, démarchage en France), à justifier l’application de la loi française.

Cette solution s’inscrit dans la lignée de la jurisprudence de la Cour de justice de l’Union européenne qui cherche à concilier deux impératifs : d’une part, la protection des consommateurs et investisseurs en leur permettant d’agir devant leurs juridictions naturelles ; d’autre part, la prévisibilité pour les prestataires de services qui doivent pouvoir anticiper les juridictions devant lesquelles ils peuvent être attraits.

En l’espèce, le fait que Worldpay détenait un compte en France et l’avait mis à disposition d’un intermédiaire pour des opérations impliquant des résidents français rendait raisonnablement prévisible l’application de la loi française. Cette solution évite que les prestataires de services de paiement puissent échapper à leurs responsabilités en invoquant leur agrément dans un État membre pour opérer dans toute l’Union européenne via le mécanisme du passeport européen.

2/ Une extension importante de la notion d’anomalie apparente

Le second apport majeur de cet arrêt réside dans la caractérisation des anomalies apparentes justifiant une obligation de vigilance accrue.

Traditionnellement, la jurisprudence considère qu’un prestataire de services de paiement est tenu à un devoir de non-ingérence : il ne doit pas s’immiscer dans les affaires de ses clients et n’a pas à vérifier la légitimité ou l’opportunité des opérations qui lui sont demandées. Ce principe fondamental du droit bancaire permet la fluidité des transactions et protège la vie privée des clients.

Toutefois, cette obligation de non-ingérence trouve sa limite dans le devoir de vigilance qui impose au prestataire de détecter et, le cas échéant, de refuser d’exécuter les opérations présentant des anomalies apparentes. L’anomalie peut être matérielle (par exemple, un chèque falsifié) ou intellectuelle (une opération d’un montant anormal au regard des habitudes du client).

L’innovation de la décision commentée tient au fait que l’inscription d’une société sur la liste noire de l’AMF est désormais expressément reconnue comme pouvant constituer une anomalie apparente. C’est la première fois que la Cour de cassation se prononce aussi clairement sur ce point en matière d’investissements atypiques.

Cette solution doit être approuvée pour plusieurs raisons. D’abord, les listes noires de l’AMF sont publiques et facilement accessibles sur le site internet de l’autorité de régulation. Un prestataire de services de paiement professionnel peut aisément, notamment par des outils informatiques de détection automatique, vérifier si une société bénéficiaire figure sur ces listes. Ensuite, l’inscription sur liste noire résulte d’une procédure contradictoire au cours de laquelle l’AMF établit que la société exerce illégalement une activité réglementée en France. Il ne s’agit donc pas d’une simple suspicion, mais d’un constat officiel d’exercice illégal. Enfin, l’objectif même de ces listes est de protéger le public contre les arnaques ; cet objectif serait largement vidé de sa substance si les prestataires de services de paiement pouvaient ignorer ces avertissements.

3/ Une responsabilité fondée sur l’accumulation d’indices

L’arrêt illustre bien que la caractérisation d’une anomalie apparente résulte d’un faisceau d’indices concordants. La Cour ne retient pas un seul élément isolé, mais l’accumulation de plusieurs facteurs :

– L’ambiguïté sur l’activité réelle de Seroph, qui se présentait comme fournisseur de « solutions de paiement » pour des entreprises non régulées, ce qui laissait planer un doute sur sa qualité de prestataire de services de paiement soumis à agrément ;

– Le non-respect des stipulations contractuelles prévoyant des obligations de « Know Your Customer » que ni Worldpay ni Seroph n’ont pu justifier avoir respectées ;

– La communication par Seroph à Worldpay de l’identité des sociétés bénéficiaires, parmi lesquelles figuraient des entités inscrites sur la liste noire de l’AMF ;

– La mention expresse sur les ordres de virement du nom du bénéficiaire final et de la référence de Seroph, permettant une détection aisée.

Cette approche par faisceau d’indices est satisfaisante car elle évite deux écueils : d’une part, imposer une responsabilité trop lourde fondée sur un seul élément isolé ; d’autre part, permettre aux prestataires de s’exonérer en arguant que chaque élément pris isolément n’était pas suffisant.

4/ Le partage de responsabilité avec la victime

La cour d’appel, approuvée implicitement par la Cour de cassation, a retenu une responsabilité partagée à parts égales entre les prestataires et l’investisseur. Cette solution mérite l’approbation.

En effet, il est constant que Monsieur X. avait continué à investir alors même qu’il disposait d’informations alarmantes. Les mises en garde de l’AMF concernant les investissements sur le Forex et les options binaires étaient publiques et accessibles par de simples recherches sur internet. De surcroît, certaines des plateformes vers lesquelles il effectuait des virements figuraient déjà sur des listes noires.

Le partage de responsabilité à hauteur de 50% reflète donc un juste équilibre : les prestataires professionnels ne peuvent se soustraire à leurs obligations de vigilance en invoquant la faute de la victime, mais celle-ci doit également assumer une part de responsabilité lorsqu’elle a fait preuve d’imprudence manifeste en ignorant les signaux d’alerte dont elle avait connaissance.

5/ Conséquences pratiques pour les prestataires de services de paiement

Cette décision emporte des conséquences significatives pour les prestataires de services de paiement, qu’ils soient établissements de crédit ou établissements de paiement.

Premièrement, elle impose une surveillance active des listes noires publiées par les autorités de régulation, en particulier celles de l’AMF concernant les investissements atypiques. Cette surveillance peut être automatisée par des systèmes informatiques détectant les noms de sociétés figurant sur ces listes dans les ordres de paiement.

Deuxièmement, elle invite à une vigilance particulière lors de la mise à disposition de comptes à des intermédiaires ou à des clients dont l’activité présente des caractéristiques suspectes (services destinés aux « entreprises non régulées », domiciliations dans des États à fiscalité avantageuse, activité dans des secteurs à risque comme les crypto-actifs ou le Forex).

Troisièmement, elle rappelle l’importance du respect effectif des stipulations contractuelles relatives à la connaissance du client (« Know Your Customer » ou « KYC »). Il ne suffit pas de prévoir contractuellement de telles obligations ; encore faut-il les mettre en œuvre effectivement et être en mesure d’en justifier.

Quatrièmement, elle souligne que le principe de non-ingérence n’est pas absolu et doit céder face à des anomalies apparentes. Le prestataire ne peut se retrancher derrière ce principe pour fermer les yeux sur des opérations manifestement suspectes.

6/ Une évolution vers plus de responsabilisation des intermédiaires de paiement

Au-delà de l’espèce, cet arrêt s’inscrit dans un mouvement plus large de responsabilisation des intermédiaires dans la lutte contre la fraude en ligne. Les directives européennes sur les services de paiement (DSP1 et DSP2) ont progressivement étendu et renforcé les obligations pesant sur les prestataires en matière de sécurité des paiements et de prévention de la fraude.

La jurisprudence accompagne ce mouvement en considérant que les prestataires, en tant que professionnels disposant de moyens techniques importants, sont les mieux placés pour détecter et prévenir les fraudes. Cette logique se heurte toutefois à une difficulté : comment concilier cette responsabilisation croissante avec le principe, également fondamental, selon lequel la victime d’agissements frauduleux ne peut invoquer le non-respect des obligations de lutte contre le blanchiment pour obtenir réparation ?

La Cour de cassation maintient en effet de manière constante sa jurisprudence selon laquelle les obligations de vigilance en matière de lutte contre le blanchiment, prévues aux articles L. 561-5 et suivants du code monétaire et financier, ne peuvent être invoquées par les victimes pour engager la responsabilité civile des prestataires. Ces obligations poursuivent un objectif d’intérêt général (la lutte contre le blanchiment et le financement du terrorisme) et non la protection des intérêts privés.

La solution adoptée dans l’arrêt commenté permet de contourner cette difficulté : ce n’est pas sur le fondement des obligations LCB-FT que la responsabilité de Worldpay est retenue, mais sur celui d’une obligation générale de vigilance issue du droit commun de la responsabilité civile. Cette distinction, bien que subtile, est juridiquement fondée et permet d’indemniser les victimes tout en préservant la cohérence du système.

7/ Questions en suspens et perspectives d’évolution

Malgré sa clarté, l’arrêt laisse subsister certaines interrogations qui appelleront de futures précisions jurisprudentielles.

D’abord, quid des situations où le nom figurant sur l’ordre de virement ne correspond pas exactement à celui inscrit sur la liste noire de l’AMF ? Faut-il une correspondance parfaite ou une simple ressemblance suffit-elle ? Dans l’affaire commentée, cette question ne se posait apparemment pas, mais elle pourra surgir dans d’autres litiges.

Ensuite, l’obligation de vérifier les listes noires concerne-t-elle uniquement celles de l’AMF ou s’étend-elle à d’autres listes tenues par d’autres autorités (ACPR, autorités européennes ou internationales) ? Une extension trop large risquerait de créer une charge disproportionnée pour les prestataires.

Par ailleurs, la solution retenue vaut-elle uniquement pour les investissements atypiques ou s’applique-t-elle à d’autres types de fraudes ? On pense notamment aux escroqueries en matière de vente en ligne ou aux fraudes au président. La transposition à ces situations n’est pas évidente car il n’existe pas toujours de listes noires aussi structurées que celles de l’AMF.

Enfin, comment articuler cette jurisprudence avec le régime spécial de responsabilité prévu par les articles L. 133-18 et suivants du code monétaire et financier pour les opérations de paiement non autorisées ? La Cour de cassation juge que ce régime est exclusif de toute autre action en matière d’opérations non autorisées. En l’espèce, les opérations étaient autorisées par l’investisseur, ce qui permettait l’application du droit commun. Mais cette distinction peut s’avérer ténue dans certains cas limites.

Conclusion : vers un renforcement de la vigilance collective

L’arrêt du 1er octobre 2025 marque une étape importante dans la protection des investisseurs contre les fraudes en ligne tout en responsabilisant les intermédiaires de paiement. Il rappelle que si le droit bancaire repose traditionnellement sur le principe de non-ingérence, ce principe doit céder face à des anomalies apparentes et manifestes.

La mention d’une société sur une liste noire d’une autorité de régulation constitue désormais un signal d’alerte que les prestataires de services de paiement ne peuvent ignorer. Cette solution s’inscrit dans une logique de vigilance collective : les autorités publiques identifient et signalent les acteurs frauduleux, les prestataires de paiement doivent prendre en compte ces signalements dans leurs procédures de contrôle, et les investisseurs doivent également se renseigner avant d’engager leurs fonds.

L’enjeu est considérable au regard du développement exponentiel des fraudes aux investissements atypiques qui causent chaque année des préjudices très importants à des milliers d’épargnants. Les plateformes de trading non régulées, les promesses de gains rapides et sans risque, l’utilisation de techniques de démarchage agressif sont autant de signaux d’alerte que cette jurisprudence invite à prendre au sérieux.

Pour les praticiens du droit bancaire et financier, cet arrêt impose une révision des procédures de conformité et de contrôle interne. Les prestataires devront intégrer dans leurs systèmes de détection les listes noires publiées par l’AMF et d’autres autorités pertinentes, former leurs équipes à la détection de ces anomalies et documenter leurs diligences pour pouvoir en justifier en cas de litige.

Pour les victimes d’escroqueries, cette décision offre une voie d’indemnisation supplémentaire, même si elle demeure subordonnée à la démonstration d’anomalies apparentes et n’exonère pas l’investisseur de sa propre obligation de prudence. Le partage de responsabilité rappelle que la protection juridique ne dispense pas de la vigilance individuelle.