12 septembre 2023Calcul en cours...

Décisions des tribunaux canadiens sur la responsabilité dans les cas de fraude par interception de virement bancaire

Auteurs

Un type de fraude répandue sur le marché touche les virements bancaires et consiste à détourner un virement, souvent en piratant un compte ou en usurpant l’identité de personnes représentant une entreprise de façon à changer les coordonnées du destinataire des fonds. Une fois la fraude découverte, une certaine ambiguïté demeure quant à la responsabilité de la perte financière : appartient-elle à l’entreprise qui a envoyé des fonds par erreur à la mauvaise institution financière ou à l’entreprise dont le compte a été piraté?

On observe récemment une évolution du droit en matière de responsabilité dans les cas de fraude par interception de virement bancaire, notamment par les tribunaux de l’Ontario et du Québec. Les entreprises font de plus en plus face à une responsabilité lorsque le tribunal juge qu’elles n’ont pas fait preuve de prudence afin de détecter et prévenir ce type de fraude, de sorte que les entreprises devraient revoir et renforcer leurs pratiques à ce sujet. Les institutions financières, en particulier, devraient s’assurer que leurs processus respectent une norme de diligence raisonnable.

Les entreprises ne faisant pas suffisamment d’efforts quant à la détection de la fraude peuvent être tenues responsables

Un scénario typique de fraude par interception de virement bancaire se déroule comme suit : un fraudeur se fait passer pour un employé de l’entreprise, soit en piratant le compte de courriel de l’employé, soit par d’autres moyens, et donne des instructions frauduleuses relatives à un virement bancaire (habituellement par courriel) demandant à verser une somme importante, par exemple pour le paiement d’une facture. Il en résulte que le destinataire vire les fonds dans un compte frauduleux. La fraude est généralement découverte lorsque l’entreprise ne reçoit pas les fonds et procède à une enquête. L’institution financière qui autorise ou exécute le virement bancaire frauduleux est également souvent impliquée dans tout dénouement suivant ce type d’incident, incluant toutes poursuites judiciaires.

Dans le cas où une perte survient en raison d’un tel scénario, les tribunaux canadiens ont statué que celle-ci devrait être assumée par la partie qui était en mesure de la prévenir. Lorsque les deux parties en cause avaient au moins une certaine capacité à prévenir la perte, les tribunaux ont conclu que la responsabilité incombe à la partie la mieux placée pour détecter et prévenir la fraude, dans la mesure où il est démontré que cette partie a fait preuve de négligence en exposant l’autre partie à la perte.

Ce principe a notamment été illustré par la Cour supérieure de justice de l’Ontario dans une décision rendue en 20181, où elle a statué qu’entre une institution financière et une société cliente, l’institution financière était mieux placée pour prévenir la fraude, car elle aurait pu faire preuve d’une plus grande diligence dans ses interactions avec le fraudeur. Cette décision a démontré que la responsabilité incombe à la partie qui n’a pas exercé un contrôle diligent pour déceler les multiples signaux d’alarme pointant vers une fraude et qui, ce faisant, a exposé l’autre partie au risque de perte en permettant la réalisation de l’opération frauduleuse. La Cour a également tenu compte du fait qu’en l’espèce, les membres du personnel de la banque n’avaient pas suivi correctement les politiques de l’institution en matière de prévention de la fraude.

De façon sommaire, cette décision laisse sous-entendre que lorsque les deux parties n’ont pas fait preuve de diligence suffisante pour prévenir la fraude, la responsabilité incombera vraisemblablement à la partie qui était la mieux placée pour prévenir et empêcher la fraude.

Les modalités contractuelles qui prévoient l’autorisation de se fier aux instructions sont pertinentes

S’il existe un contrat entre les parties touchées par une fraude, toutes les modalités pertinentes à l’opération frauduleuse sont cruciales pour l’analyse de la responsabilité. Par exemple, habituellement, lorsque des sommes importantes sont visées par des opérations commerciales, les instructions de virement bancaire sont authentifiées par téléphone plutôt que d’être simplement envoyées par courriel. Toutefois, les tribunaux de l’Ontario ont conclu que lorsqu’un contrat – comme une entente entre un client et une banque – contient une disposition qui autorise expressément une partie à ne se fier qu’aux instructions de virement envoyées par courriel qu’elle croit de bonne foi être authentiques, cette partie peut légitimement se fier à ces instructions, et ainsi échapper à toute responsabilité, même si ce n’était pas la façon la plus prudente d’agir, sous réserve de négligence grave ou de faute intentionnelle de sa part2.

La récente jurisprudence suggère donc la chaîne de responsabilité suivante : dans le scénario où un fraudeur se fait passer pour un employé de la partie A ou assume le contrôle de son compte de courriel et donne des instructions frauduleuses à la partie B, laquelle transfert ensuite des fonds au compte du fraudeur, la partie A n’est pas responsable de la perte, sauf si :

  • un contrat autorise la partie B à se fier uniquement aux instructions de la partie A reçues par courriel et transfère la responsabilité d’une perte résultant d’instructions frauduleuses à la partie A;
  • la partie A a fait preuve d’inconduite volontaire, de malhonnêteté ou de négligence3.

Il est attendu que les institutions financières fassent preuve de diligence raisonnable

Pour des raisons pratiques, les parties qui sont victimes de virements frauduleux désignent souvent l’institution financière ayant autorisé le virement comme défenderesse dans le litige qui s’ensuit. En réponse, les tribunaux ont conclu que, particulièrement dans les cas où les banques ont une connaissance institutionnelle du type de fraude commise, il est attendu qu’elles fassent preuve d’une prudence et d’une diligence raisonnables lorsqu’elles autorisent les virements. Cela étant dit, des parties ayant été victimes d’une fraude ont été considérées comme des victimes négligentes, même lorsque l’institution financière a été tenue responsable.

Alfagomma : « Le contrat bancaire comporte l’obligation d’agir avec prudence et diligence raisonnables »

Une décision récente de la Cour supérieure du Québec4 traite d’une cause dans laquelle un fraudeur a ciblé l’entreprise Alfagomma et donné lieu à des virements bancaires jugés [traduction] « objectivement... hors de l’ordinaire » par la Cour. Dans cette affaire, le fraudeur avait personnifié un membre de la haute direction de la société et avait frauduleusement autorisé le virement de sommes importantes à son compte. Alfagomma a affirmé que la banque qui avait autorisé et effectué les opérations frauduleuses a ainsi manqué à son obligation de prudence et de diligence. Son allégation se fondait en partie sur le fait que la HSBC n’avait pas appliqué la limite de 500 000 $ sur les virements bancaires, laquelle s’appliquait au compte pertinent, et avait accepté le virement avec une seule signature alors qu’habituellement deux signatures étaient requises. La Cour a accepté cet argument, concluant que, dans ces circonstances, une banque a [traduction] « l’obligation la plus fondamentale envers son client d’exécuter ses instructions sans s’ingérer dans ses affaires internes », mais que « de par sa nature, le contrat bancaire comporte l’obligation d’agir avec prudence et diligence raisonnables ». En l’espèce, la banque avait une connaissance institutionnelle de ce type de fraude. Le tribunal a donc conclu que le « banquier raisonnable » aurait dû prendre des mesures pour s’assurer que le client n’était pas victime d’une telle fraude.

Le tribunal a estimé que, sans les erreurs de la banque, la fraude aurait pu été évitée. En plus de sa connaissance institutionnelle du type de fraude perpétrée contre son client, la banque n’a pas appliqué ses contrôles internes relatifs aux virements de sommes importantes qui auraient vraisemblablement permis de déceler la fraude, ce qui a amené la Cour à conclure que la négligence de la banque a été la cause immédiate de la perte.

Fait important, la Cour a également évalué la conduite d’Alfagomma et a conclu que celle-ci s’est également montrée négligente en ne détectant pas et en ne prévenant pas la fraude, faisant en sorte qu’elle a contribué à la perte. La Cour a ultimement réparti la responsabilité de manière égale entre les deux parties, bien que cela ne signifie pas que la responsabilité sera partagée de manière égale dans tous les cas de fraude semblable.

Les institutions financières pourraient avoir une obligation de mise en garde

La question de l’étendue de l’obligation de diligence d’une institution financière lorsqu’elle a une connaissance d’un type particulier de fraude n’est pas entièrement réglée.

La Cour d’appel de l’Ontario a limité l’obligation de diligence des institutions financières envers leurs clients à la simple prise de mesures raisonnables pour s’assurer que les virements sont dûment autorisés et exécutés conformément aux directives des clients. Dans une affaire impliquant une banque et un client qui avait été victime d’une fraude par interception de virement, la Cour a statué que l’obligation de diligence de la banque n’exigeait pas que celle-ci transmette au client les renseignements qu’elle avait reçus d’une banque polonaise concernant le type d’opération douteuse dont le client avait été victime5. La demande a donc été rejetée sur jugement sommaire et il n’y a pas eu de décision sur la responsabilité. Cela laisse croire que les institutions financières n’ont pas à aller au-delà de la diligence raisonnable lorsqu’elles exécutent des virements, pourvu que ceux-ci soient dûment approuvés et que les procédures appropriées soient en place et suivies.

Toutefois, plus récemment, la Cour d’appel de la Colombie-Britannique a conclu qu’une banque ayant connaissance d’une « fraude répandue » pourrait être tenue d’informer et d’avertir ses clients s’il appert que le client pourrait être victime d’une telle fraude6. Bien qu’il n’y ait pas eu de décision sur la responsabilité dans cette cause, la Cour n’a pas rejeté sommairement la demande comme l’a fait la Cour d’appel de l’Ontario. Le manquement potentiel à l’obligation de mise en garde de la banque a été considéré comme une véritable question litigieuse. Dans cette affaire, le fraudeur avait personnifié un fonctionnaire et avait menacé la victime d’emprisonnement et d’expulsion si elle ne virait pas les fonds, mais le principe peut s’appliquer également à la connaissance institutionnelle des fraudes visant des opérations commerciales.

Conclusion

Le corpus juridique entourant ce type de fraude relativement nouveau continue d’évoluer. Jusqu’à maintenant, les tribunaux ont indiqué assez clairement que, lorsqu’une organisation a les ressources ou les connaissances institutionnelles nécessaires pour détecter et prévenir la fraude, mais qu’elle n’a pas adéquatement suivi ses propres procédures et pratiques, elle est susceptible d’être tenue responsable des pertes.

La fraude par interception de virement bancaire et d’autres stratagèmes semblables qui émergeront sans doute au fur et à mesure que les technologies et les méthodologies évolueront sont susceptibles de devenir plus fréquents et plus complexes. Les organisations, particulièrement les institutions financières, doivent veiller à sensibiliser leur personnel à cette menace au moyen d’une formation régulière et approfondie. Sur le plan institutionnel, les entreprises doivent s’assurer que leurs politiques et pratiques en matière de prévention et de détection de la fraude sont adéquates et qu’elles sont régulièrement mises à l’essai et appliquées. Il pourrait être nécessaire d’augmenter la fréquence de la formation et de la sensibilisation sur les politiques de l’entreprise, particulièrement en ce qui concerne la confirmation en direct des instructions de virement, afin de réduire le risque que des employés bien intentionnés s’empressent de suivre les instructions des clients et de conclure rapidement les opérations.

  1. Bank of Montreal v. Asia Pacific International Inc., 2018 ONSC 4215.
  2. Du v. Jameson Bank, [2017] O.J. No. 1952.
  3. Voir, par exemple : St. Lawrence Testing and Inspection Co. v. Lanark Leeds Distribution Ltd., [2019] O.J. No. 3952, paragr. 56 à 57.
  4. Alfagomma Inc. c. HSBC Bank Canada, 2022 QCCS 3655, at paras 82, 84, 103, and 141.
  5. Foodinvest Ltd v Royal Bank of Canada, 2020 ONCA 665.
  6. Zheng v. Bank of China (Canada) Vancouver Richmond Branch, 2023 BCCA 43 at para 42.

Si vous souhaitez discuter ces enjeux et ces questions, veuillez contacter les auteurs.

Cette publication se veut une discussion générale concernant certains développements juridiques ou de nature connexe et ne doit pas être interprétée comme étant un conseil juridique. Si vous avez besoin de conseils juridiques, c'est avec plaisir que nous discuterons les questions soulevées dans cette communication avec vous, dans le cadre de votre situation particulière.

Pour obtenir la permission de reproduire l’une de nos publications, veuillez communiquer avec Janelle Weed.

© Torys, 2024.

Tous droits réservés.
 

Tags

LinkedInPDFEmail
Copy URLOuvre un nouvel onglet

Inscrivez-vous pour recevoir les dernières nouvelles

Restez à l’affût des nouvelles d’intérêt, des commentaires, des mises à jour et des publications de Torys.

Inscrivez-vous maintenant
LinkedIn