Wichtiger Hinweis:
Diese Website wird in älteren Versionen von Netscape ohne graphische Elemente dargestellt. Die Funktionalität der Website ist aber trotzdem gewährleistet. Wenn Sie diese Website regelmässig benutzen, empfehlen wir Ihnen, auf Ihrem Computer einen aktuellen Browser zu installieren.
 
 
Bundesgericht 
Tribunal fédéral 
Tribunale federale 
Tribunal federal 
 
 
 
 
4A_9/2020  
 
 
Arrêt du 9 juillet 2020  
 
Ire Cour de droit civil  
 
Composition 
Mmes et M. les Juges fédéraux 
Kiss, Présidente, Hohl, Niquille, Rüedi et May Canellas. 
Greffier : M. Douzals. 
 
Participants à la procédure 
A.________ SA, 
représentée par Me Stéphanie Hodara El Bez, 
recourante, 
 
contre  
 
B.________, 
représenté par Me Pascal de Preux, 
intimé. 
 
Objet 
virements, clause de transfert de risque pour ordres par e-mail (art. 100 al. 1 CO); faute grave de la société financière, 
 
recours contre l'arrêt de la Cour de justice du canton de Genève, Chambre civile, du 31 octobre 2019 (C/13495/2016 ACJC/1603/2019). 
 
 
Faits :  
 
A.  
 
A.a. B.________ (ci-après: le client ou le demandeur ou l'intimé), né le..., ressortissant turc et homme d'affaires retraité, domicilié à Istanbul, était titulaire d'un portefeuille de titres auprès de la banque C.________ SA pour un montant total de 2'374'226 euros (au 5 novembre 2014).  
En automne 2014, il a décidé de transférer partiellement ses avoirs à A.________ SA, société de négoce en valeurs mobilières (ci-après: la société de négoce ou la défenderesse ou la recourante), dont D.________ est administrateur, président et délégué et E.________ administrateur délégué, tous deux avec signature collective à deux. Il a déclaré connaître D.________ depuis les années 1980 et le considérer comme un ami; il a décidé de lui confier la gestion de ses avoirs après l'avoir rencontré en 2014 à Istanbul, n'étant pas satisfait de la gestion effectuée par C.________ SA. 
 
A.b. Le 6 novembre 2014, B.________ a ouvert un compte numérique (en euros) auprès de cette société de négoce et y a fait transférer une partie des avoirs qu'il détenait jusqu'alors auprès de C.________ SA, soit environ 850'000 euros.  
Le client n'a pas confié de mandat de gestion ou de conseil en placements financiers à la société de négoce. Les parties étaient donc liées formellement par un contrat execution only, le client ayant toutefois sollicité et obtenu des conseils en placement de la part de la société.  
Selon la fiche de profil du client, celui-ci est retraité et l'argent déposé provient de l'épargne constituée durant sa vie active. Il n'est pas contesté qu'il est passionné d'antiquités, la cour cantonale admettant qu'il n'est pas exclu qu'il ait décidé de procéder à l'achat d'objets anciens au Royaume-Uni. Toutefois, la cour cantonale a aussi retenu qu'il n'a pas été démontré que la société de négoce était au courant de cette passion au début de leur relation d'affaires, ce fait n'étant au demeurant pas déterminant pour l'issue du litige, ce que la recourante conteste. 
Le client a signé les documents d'ouverture de compte, une convention de banque restante, une décharge pour la communication par téléphone, télécopie et e-mail et a accepté les Conditions générales de la banque (ci-après: les CG). 
Par la " décharge pour ordres transmis par téléphone, fax & e-mail ", le client autorise expressément la société à accepter des instructions données notamment par e-mail et à les exécuter immédiatement, en n'importe quelles circonstances, même si elles ne sont pas suivies d'une confirmation écrite. Le client déclare assumer tous les risques, même en cas d'erreur de la part de la société quant à son identité et dégage celle-ci de toute responsabilité de ce chef pour tous dommages qu'il pourrait encourir. 
Selon l'art. 1 al. 2 des CG, le dommage résultant de défauts de légitimation ou de faux non décelés est à la charge du client, sauf en cas de faute grave de la société de négoce. 
En vertu de l'art. 5 des CG, le dommage provenant de l'emploi de la poste, du télégraphe, du téléphone, du fax, du courrier électronique ou de tout autre moyen de transmission ou d'une entreprise de transport, en particulier par suite de retard, pertes, malentendus, mutilations ou double expédition, est à la charge du client, sauf en cas de faute grave de la société de négoce. 
Conformément à l'art. 3 des CG, toute réclamation du client relative notamment à l'exécution d'un ordre quelconque doit être présentée immédiatement après la réception de l'avis correspondant, mais au plus tard à l'échéance du délai de 30 jours. Faute de réclamation dans ces délais, l'exécution est considérée comme étant approuvée et le dommage éventuel en résultant est à la charge du client. 
 
A.c. Selon le client, les communications entre lui et la société de négoce se déroulaient par messagerie électronique et par téléphone.  
Entre février et juin 2015, le client a communiqué avec la société de négoce par e-mail, se servant d'abord de l'adresse xxx@hotmail.com, puis de celle zz@gmail.com, s'adressant principalement à E.________ et sollicitant des informations et des conseils en lien avec des placements financiers. Ainsi, après avoir sollicité des conseils, il a fait acheter en mai 2015 pour 100'000 euros d'obligations. En juin 2015, il a sollicité une évaluation de son portefeuille. 
Au 30 septembre 2015, ses avoirs auprès de la société de négoce se montaient au total à 892'916,14 euros. 
En novembre 2015, il a encore sollicité des conseils à propos de la vente d'actions et demandé à être renseigné sur le montant de ses avoirs en compte courant. 
Depuis l'ouverture du compte le 6 novembre 2014 jusqu'aux faits litigieux qui se sont produits à compter du début décembre 2015, soit grosso modo durant la première année, le client n'a donné que deux ordres de virement à des tiers en utilisant la dernière adresse e-mail sus-indiquée: le premier de 10'000 USD, le 20 juillet 2015, virement urgent aux États-Unis en faveur de sa fille, et le second de 44'000 euros, le 13 novembre 2015, en sa propre faveur sur une banque d'Istanbul.  
 
A.d. Depuis le début décembre 2015, des pirates ont pris le contrôle de l'adresse e-mail du client, ce qui leur a permis, à l'insu de celui-ci, d'utiliser son adresse e-mail, de lire les e-mails qu'il avait adressés précédemment à la société de négoce, d'en effacer et d'en envoyer. La cour cantonale a retenu que ni la manière dont les pirates sont parvenus à prendre le contrôle de la messagerie électronique du client, ni les mesures qui auraient été nécessaires pour empêcher cette prise de contrôle ne résultent du dossier.  
C'est ainsi qu'entre le 1er décembre 2015 et le 4 janvier 2016 (environ un mois), ces escrocs ont envoyé 8 ordres de virement à la société de négoce, ordonnant et confirmant, pour l'exécution de certains, la vente de titres pour disposer de liquidités, tous ces ordres ayant été exécutés par la société par le débit du compte du client. Ces escrocs ont ainsi détourné des avoirs du client, en 7 virements, un montant de 34'000 euros et de 357'000 GBP. 
La cour cantonale a retenu que les deux premiers ordres, des 1er et 2 décembre 2015, de 34'000 euros et 12'000 GBP, ce dernier ayant été annulé faute d'indications suffisantes, à destination de la banque F.________ au Royaume-Uni en faveur d'une société à laquelle était accolé le nom du client, n'étaient pas suspects. Ils ne sont plus présentement litigieux. 
En revanche, les 6 ordres suivants de 100'000 GBP (7 décembre 2015), 12'000 GBP (7 décembre 2015 renouvelant l'ordre annulé), 50'000 GBP (15 décembre 2015), 70'000 GBP (21 décembre 2015), 80'000 GBP (29 décembre 2015) et 45'000 GBP (4 janvier 2016), tous à destination de la banque I.________ au Royaume-Uni en faveur de trois sociétés différentes, ont été considérés comme suspects par la cour cantonale et imputés à faute à la société de négoce. Ils demeurent litigieux. 
Des copies des virements exécutés ont été adressées par e-mail au client, qui n'a pas réagi, les pirates ayant intercepté les messages de la société de négoce. 
Des avis de débit ont été déposés le jour même dans le dossier de banque restante du client. 
Selon le client, son compte a passé de 960'000 euros à environ 300'000 euros. 
 
A.e. Les pirates ont continué à adresser des e-mails à la société de négoce. Ainsi, le 6 janvier 2016, la société de négoce a encore donné suite à un e-mail - sollicitant l'envoi d'un état de situation du portefeuille - dont l'adresse électronique était légèrement différente, à savoir zzz@... au lieu de zz@...  
Puis, après que, le 7 janvier 2016, la société de négoce a reçu plusieurs e-mails, également depuis cette adresse différente, demandant à parler d'urgence à quelqu'un et de suspendre momentanément tout paiement, la société de négoce a demandé à l'expéditeur de transmettre son numéro de téléphone ou de prendre contact avec elle par téléphone. Une employée de la société de négoce a tenté de joindre le client par téléphone, à son numéro en Turquie; en procédure, le client a confirmé qu'il avait reçu un appel, mais qu'il n'avait pas répondu, ajoutant qu'aucun message ne lui avait été laissé. L'administrateur E.________ a alors interdit d'exécuter des ordres sans une validation. L'ordre de virement de 50'000 GBP du 8 janvier 2016, réitéré le 13 janvier 2016, n'a pas été exécuté, la société de négoce priant le client de confirmer sa nouvelle adresse, exigeant une confirmation de l'identité du donneur d'ordre et le priant de prendre contact par téléphone. 
Ce n'est que les 13 et 14 janvier 2016 que la société de négoce a pu s'entretenir téléphoniquement avec le client, lequel a contesté tous les transferts effectués, sauf ceux des 21 juillet et 23 novembre 2015. 
La société de négoce a invité la banque H.________, qui avait effectué les transferts, à solliciter le retour des fonds et/ou le blocage des transactions litigieuses. 
Le client a déposé plainte pénale à Genève. 
Les escrocs ont envoyé un dernier message à la société de négoce le 22 février 2016, sollicitant un état de situation du portefeuille. La société de négoce n'y a pas donné suite. 
En avril 2016, une société d'expertise mandatée par le client n'a détecté aucun phishinge-mail sur son ordinateur, ni aucune trace de mauvaise utilisation de celui-ci; elle n'a pas constaté qu'il aurait été trafiqué.  
 
A.f. Le client a réclamé à la société de négoce le remboursement des montants indûment débités de son compte, lui reprochant des manquements à son devoir de diligence. Il a requis sa poursuite le 21 avril 2016. La société de négoce a fait opposition au commandement de payer qui lui a été notifié.  
Le 9 juin 2016, le client a fait procéder à la vente de l'ensemble de ses titres et fait transférer ses avoirs dans une banque d'Istanbul. 
 
B.  
Après l'échec de la conciliation le 19 octobre 2016, le client a déposé sa demande en paiement contre la société de négoce devant le Tribunal de première instance de Genève le 26 janvier 2017, concluant à la restitution des montants totaux de 370'515,28 euros, 202'277,74 USD et 15'764 fr. 70, tous avec intérêts, ainsi qu'au prononcé de la mainlevée définitive de l'opposition formée au commandement de payer à concurrence de ces montants. 
La société de négoce a conclu au rejet de la demande. 
Par jugement du 4 décembre 2018, le Tribunal a rejeté l'action du client. En bref, se replaçant dans le contexte qui prévalait à l'époque, le Tribunal a considéré que les parties étaient convenues de communiquer entre elles par e-mail et téléphone, la banque étant instruite de donner immédiatement suite à toute instruction émanant de la messagerie personnelle du client. La banque n'a pas commis de faute grave dans l'exécution des 7 ordres de virement (frauduleux) transmis par e-mail, aucun manquement à son devoir de diligence ne pouvant lui être reproché. 
Statuant sur appel du client le 31 octobre 2019, la Chambre civile de la Cour de justice du canton de Genève a réformé le jugement attaqué et, sur le fond, condamné la banque à lui payer les montants de 321'754,45 euros avec intérêts à 5% l'an dès le 21 avril 2016 et de 185'639,15 USD avec les mêmes intérêts dès la même date, et prononcé la mainlevée définitive à concurrence de ces montants. En bref, se basant sur la convention de décharge pour la transmission d'ordres notamment par e-mail, la cour cantonale a examiné si la société de négoce avait commis une faute grave dans l'exécution des ordres. Elle l'a nié pour les deux premiers ordres frauduleux. En revanche, elle a considéré que la société a commis une faute grave dans l'exécution du 3e ordre et a fortiori pour les 5 suivants, qu'elle a jugés insolites. Elle a écarté le reproche fait au client de n'avoir pas suffisamment protégé sa messagerie électronique, considérant qu'il ne reposait sur aucun fait établi, que des services gouvernementaux et des entreprises privées ont fait l'objet d'attaques informatiques et donc qu'on ne peut présumer qu'une prise de contrôle est nécessairement le résultat d'un défaut de diligence de sa part. En ce qui concerne le fait que le client a conservé dans sa messagerie électronique la correspondance échangée avec la société de négoce, ce qui a permis aux pirates de s'inspirer de la façon dont le client communiquait avec cette société pour rédiger les ordres litigieux, la cour cantonale a retenu qu'il n'est pas établi que son effacement aurait empêché les pirates d'en prendre connaissance. Enfin, elle a considéré que, même s'il incombait au client de contester les avis de débit déposés dans son dossier de banque restante, admettre une ratification fictive et ainsi l'application stricte de la fiction de réception et d'acceptation découlant des clauses de banque restante et de réclamation se heurtait à des motifs d'équité. La société de négoce ne contestant pas les chiffres indiqués par le demandeur en euros et en dollars, elle l'a condamnée à verser ces montants à celui-ci. 
 
C.  
Contre cet arrêt, qui lui a été notifié le 28 novembre 2019, la société de négoce a interjeté un recours en matière civile au Tribunal fédéral le 9 janvier 2020, concluant en substance à sa réforme en ce sens que la demande du client est rejetée. 
L'intimé conclut au rejet du recours. 
Les parties ont déposé des observations. 
La cour cantonale se réfère aux considérants de son arrêt. 
L'effet suspensif a été attribué au recours par ordonnance du 26 février 2020. 
 
 
Considérant en droit :  
 
1.  
Interjeté en temps utile (art. 100 al. 1 et 46 al. 1 let. c LTF) par la défenderesse qui a partiellement succombé dans ses conclusions libératoires (art. 76 al. 1 LTF), contre une décision finale (art. 90 LTF) prise sur appel par le tribunal supérieur du canton de Genève (art. 75 LTF), dans une affaire civile (art. 72 al. 1 LTF) dont la valeur litigieuse est supérieure à 30'000 fr. (art. 74 al. 1 let. b LTF), le recours en matière civile est recevable au regard de ces dispositions. 
 
2.  
Sous réserve de la violation des droits constitutionnels (art. 106 al. 2 LTF), le Tribunal fédéral applique le droit d'office (art. 106 al. 1 LTF). Cela ne signifie pas que le Tribunal fédéral examine, comme le ferait un juge de première instance, toutes les questions juridiques qui pourraient se poser. Compte tenu de l'obligation de motiver imposée par l'art. 42 al. 2 LTF, il ne traite que les questions qui sont soulevées devant lui par les parties, à moins que la violation du droit ne soit manifeste (ATF 140 III 115 consid. 2 p. 116; arrêts 4A_508/2016 du 16 juin 2017 consid. 2.2, non publié in ATF 143 III 348; 4A_357/2015 consid. 1.4; 4A_285/2015 consid. 1.3; 4A_653/2014 consid. 1.4 non publié in ATF 141 III 407; 4A_399/2008 du 12 novembre 2011 consid. 2.1 non publié in ATF 135 III 112). 
Le Tribunal fédéral n'est toutefois lié ni par les motifs invoqués par les parties, ni par l'argumentation juridique retenue par l'autorité cantonale; il peut donc admettre le recours pour d'autres motifs que ceux invoqués par le recourant, comme il peut le rejeter en opérant une substitution de motifs (ATF 135 III 397 consid. 1.4 p. 400 et l'arrêt cité). 
 
3.  
Le litige revêt un caractère international en raison du domicile étranger du demandeur. Il n'est pas contesté que les tribunaux genevois sont compétents et que le droit suisse est applicable. 
 
4.  
Lorsque le demandeur allègue que des versements ou virements ont été exécutés par la banque - ou tout autre mandataire financier - en dépit du défaut de légitimation du donneur d'ordre ou à la suite de faux non décelés, le juge doit examiner qui, du client ou de la banque, doit supporter le dommage qui en résulte en procédant comme suit: 
 
4.1. Dans une première étape, sur l'action principale du client en restitution de son avoir non amputé des prélèvements indus (art. 107 al. 1 CO), le juge doit examiner si les prélèvements ont été exécutés sur mandat ou sans mandat du client, ce qui présuppose, en cas de représentation du titulaire du compte par un tiers, de se poser la question des pouvoirs du représentant, respectivement de la ratification des prélèvements par le titulaire. En effet, si le transfert a été exécuté sur ordre du client, le recours à la clause de transfert de risque se révèle superflu.  
 
4.2. Ce n'est que si les ordres ont été exécutés sans mandat du client que le juge doit examiner, dans une deuxième étape, si le dommage est un dommage de la banque ou si, en raison de la conclusion d'une clause de transfert de risque ( Risikotransferklausel), le risque est à la charge du client.  
Lorsque les parties ont conclu une clause de transfert de risque, il n'y a pas de troisième étape comme c'est le cas lorsque le système légal s'applique (cf. arrêt 4A_504/2018 du 10 décembre 2019 consid. 2, destiné à la publication). C'est dans le cadre de l'examen de la faute grave de la banque, qui est réservée (art. 100 al. 1 CO par analogie; cf. consid. 6 ci-dessous), que le juge doit ensuite examiner la faute concomitante du client comme facteur d'interruption du lien de causalité adéquate ou de réduction de l'indemnité qui lui est due. 
 
5.  
Dans la première étape, il faut examiner si les virements ont été exécutés par la banque sur mandat ou sans mandat du client (arrêt 4A_504/2018 précité consid. 3, destiné à la publication). 
 
5.1. L'argent figurant sur le compte bancaire ouvert au nom du client est la propriété de la banque, envers laquelle le client n'a qu'une créance en restitution.  
Lorsque la banque vire de l'argent depuis ce compte à un tiers sur ordre (avec mandat) du client, elle acquiert une créance en remboursement contre celui-ci (art. 402 CO). A l'action en restitution du client, la banque peut donc opposer en compensation une créance en remboursement (arrêts 4A_119/2018 du 7 janvier 2019 consid. 5.2; 4A_379/2016 du 15 juin 2017 consid. 3.2.1). La prétention en remboursement présuppose que la banque ait correctement exécuté l'ordre qui lui a été donné par le client (ATF 110 II 283 consid. 3a p. 285), notamment qu'elle ne se soit pas trompée, lors de son exécution, dans la personne du destinataire ou le numéro de compte indiqués par le client (ATF 126 III 20 consid. 3b/aa p. 22; arrêt 4A_504/2018 précité consid. 3.1.1, destiné à la publication). 
En revanche, lorsque la banque vire de l'argent depuis ce compte à un tiers sans ordre (sans mandat) du client, elle n'acquiert pas de créance en remboursement. A l'action en restitution du client, la banque ne peut donc pas opposer en compensation une créance en remboursement; elle doit contre-passer l'écriture et l'art. 402 CO n'entre pas en considération (arrêts 4A_504/2018 précité consid. 3.1.2, destiné à la publication; 4A_379/2016 précité consid. 3.2.2; 4A_438/2007 du 29 janvier 2008 consid. 5.1). 
 
5.2. En l'espèce, il n'est pas contesté que les 6 ordres encore litigieux, donnés entre le 1er décembre 2015 et le 4 janvier 2016, émanaient de tiers inconnus agissant dans un but frauduleux. Ils ont donc été exécutés sans mandat du client.  
 
6.  
Dans la seconde étape, le juge doit examiner la validité et les conditions de la clause de transfert de risque conclue par les parties, en particulier si la banque a commis une faute grave dans l'exécution des ordres de virement frauduleux. 
 
6.1. Selon la jurisprudence, il est habituel que les conditions générales des banques auxquelles le client adhère comportent une clause dite de transfert de risque. Généralement, cette clause prévoit que le dommage résultant de défauts de légitimation ou de faux non décelés est à la charge du client, sauf en cas de faute grave de la banque (GUGGENHEIM/GUGGENHEIM, Les contrats de la pratique bancaire suisse, 5e éd., 2014, no 339). Par l'effet de cette clause, le risque normalement supporté par la banque est ainsi reporté sur le client (ATF 132 III 449 consid. 2 p. 452; 122 III 26 consid. 4a p. 32; 112 II 450 consid. 3a p. 454). Il ne s'agit pas à proprement parler d'une clause qui aurait pour effet d'exclure ou de limiter la responsabilité contractuelle de la banque, laquelle n'est pas en cause puisqu'il ne s'agit pas là d'inexécution ou d'exécution imparfaite du contrat, mais d'une clause de transfert sur la tête du client du risque que la banque doit en principe supporter en cas d'exécution en main d'une personne non autorisée; cette clause met préventivement à la charge du client le dommage subi par la banque ( Schadensabwälzung) et institue, par conséquent, une responsabilité du premier envers la seconde, qui s'étend même aux cas fortuits ( Zufallshaftung) (ATF 112 II 450 consid. 3a p. 454; arrêt 4A_379/2016 précité consid. 3.3.1).  
La validité d'une telle clause doit être examinée par application analogique des art. 100 et 101 al. 3 CO, qui régissent les conventions d'exonération de la responsabilité pour inexécution ou exécution imparfaite du contrat, et ce bien que la clause de transfert de risque ne relève pas de l'inexécution contractuelle au sens des art. 97 ss CO (ATF 112 II 450 consid. 3a p. 455; arrêts 4A_386/2016 du 5 décembre 2016 consid. 2.2.4; 4A_54/2009 du 20 avril 2009 consid. 1). Par conséquent, si un dol ou une faute grave est imputable à la banque, la clause d'exonération est nulle (art. 100 al. 1 CO; pour des critiques quant à l'admission de la clause de transfert de risque, cf. GAUCH, Die Vertragshaftung der Banken und ihre AVB, recht 2006, p. 77 ss, p. 79; BUCHER, Wie lange noch Belastung des Kunden mit den Fälschungsrisiken im Bankenverkehr?, recht 1997, p. 41 ss, pp. 42-43; BRACHER, Legitimationsprüfung und Risikotransfer bei E-Mail-Zahlungsaufträgen, in SZW 2018, p. 156 ss, pp. 158-159 et les références). 
Les mêmes principes doivent s'appliquer lorsque les parties sont convenues d'une décharge pour les instructions transmises par le client par téléphone, par téléfax ou par e-mail, qui autorise la banque à exécuter les instructions lui parvenant par l'un de ces moyens de transmission, et transfère les risques en découlant sur la tête du client, y compris les cas fortuits. Est réservée la faute grave de la banque, conformément à l'art. 100 al. 1 CO applicable par analogie. 
 
6.2. Constitue une faute grave la violation des règles élémentaires de prudence dont le respect se serait imposé à toute personne raisonnable placée dans les mêmes circonstances (arrêts 4A_386/2016 précité consid. 2.2.5; 4A_398/2009 du 23 février 2010 consid. 6.1; ATF 128 III 76 consid. 1b p. 81; 119 II 443 consid. 2a p. 448). Commet, en revanche, une négligence légère la personne qui ne fait pas preuve de toute la prudence qu'on aurait pu attendre d'elle, sans toutefois que sa faute - non excusable - puisse être considérée comme une violation des règles de prudence les plus élémentaires (arrêt 4A_386/2016 précité ibid. et les références). Le juge apprécie (art. 4 CC) les agissements de l'auteur négligent en se référant à la diligence que l'autre partie était en droit d'attendre, en vertu, notamment, des clauses du contrat et des usages professionnels (arrêts 4A_386/2016 précité ibid.; 4A_438/2007 précité consid. 5.3). Le fardeau de la preuve de la faute grave de la banque incombe au client (art. 8 CC).  
 
6.2.1. En règle générale, la banque n'est tenue de vérifier l'authenticité des ordres qui lui sont adressés que selon les modalités convenues entre les parties ou, le cas échéant, spécifiées par la loi.  
 
6.2.1.1. En matière de vérification des signatures, la banque n'a pas à prendre de mesures extraordinaires, incompatibles avec une liquidation rapide des opérations, et elle n'a pas à systématiquement présumer l'existence d'un faux (ATF 111 II 263 consid. 2b p. 268; cf. également ATF 122 III 26 consid. 4a/aa p. 32; arrêt 4A_438/2007 précité consid. 5.3). Elle ne doit procéder à des vérifications supplémentaires que s'il existe des indices sérieux d'une falsification, si l'ordre ne porte pas sur une opération prévue par le contrat ni habituellement demandée ou encore si des circonstances particulières suscitent le doute (ATF 132 III 449 consid. 2 p. 453; 116 II 459 consid. 2a p. 461 s.; arrêts 4A_386/2016 précité consid. 2.2.6; 4A_230/2008 du 27 mars 2009 consid. 4.1.2; 4A_438/2007 précité consid. 5.3). Ainsi, la jurisprudence a notamment retenu une faute grave de la banque lorsque deux ordres, qui étaient supposés émaner de personnes différentes, présentaient les mêmes fautes d'orthographe et portaient des signatures présentant des différences par rapport aux signatures de référence déposées à la banque, lesquelles étaient décelables au premier coup d'oeil (arrêt 4A_438/2007 précité consid. 5.5). De même, la jurisprudence a admis une faute grave de la banque en présence d'ordres frauduleux d'un gérant indépendant parce que ces ordres avaient pour conséquence de vider le compte de l'essentiel de sa substance alors que ce gérant n'avait pas le pouvoir de faire des bonifications à des tiers lorsque la contrepartie ne se retrouvait pas dans le compte du client (arrêt 4A_379/2016 précité consid. 5.3, résumé dans l'arrêt 4A_119/2018 précité consid. 3.2).  
 
6.2.1.2. Lorsque les parties sont convenues d'habiliter le client à transmettre des ordres par e-mail, la banque n'a pas non plus à prendre de mesures extraordinaires, incompatibles avec une liquidation rapide des opérations, et elle n'a pas à systématiquement présumer que l'e-mail qui lui est communiqué depuis l'adresse e-mail du client ne provient pas de celui-ci. La clause de transfert de risque met à la charge du client le dommage causé par des interventions illicites de tiers dans son système informatique ou sur son ordinateur. Il lui appartient en effet de prendre toutes les mesures de précaution nécessaires pour éviter de telles utilisations abusives. La responsabilité du client s'étend même aux cas fortuits ( Zufallshaftung) (ATF 112 II 450 consid. 3a p. 454), notion qui, en responsabilité contractuelle, englobe les événements et les comportements humains qui ne peuvent pas être imputés aux parties au contrat (REY/WILDHABER, Ausservertragliches Haftpflichtrecht, 5e éd., 2018, no 695).  
Par conséquent, il ne peut y avoir de faute grave de la banque et, partant, de responsabilité de celle-ci que si l'examen auquel elle procède, nécessairement rapidement pour ce type d'opérations bancaires, fait apparaître des indices sérieux d'une usurpation d'adresse et donc d'identité. Tel serait le cas s'il devait sauter aux yeux de toute personne raisonnable que l'ordre transmis, de par son adresse, son texte, son contenu ou un lieu de virement exotique, et compte tenu de la situation du client, ne pouvait émaner de celui-ci. 
Ainsi, dans le cas d'un client dont la messagerie avait été piratée par des inconnus, ce qui leur avait permis d'adresser à la banque, à l'insu de celui-ci, des e-mails provenant de son adresse e-mail ainsi que d'intercepter, de manière à ce que le client n'en ait pas connaissance, les e-mails que lui adressait la banque à cette même adresse, la jurisprudence a retenu une faute grave de la banque parce que les ordres de virement étaient rédigés dans un anglais présentant des erreurs de syntaxe, des fautes d'orthographe et un vocabulaire approximatif alors que le client était un avocat de langue anglaise, qui s'était toujours exprimé en bon anglais, avec une syntaxe correcte et une variété de termes adéquats et précis, et que ces ordres portaient sur des montants importants à destination de deux bénéficiaires dans des banques à Hong Kong et à Singapour, dont le premier entamait déjà le compte de plus d'un quart, alors que le client, dont la relation avec la banque durait depuis 20 ans, avait constamment accru ses positions dans une optique de conservation à long terme, ce qui était connu de la banque (arrêt 4A_386/2016 précité consid. 2.3 et 2.4). 
 
6.3.  
 
6.3.1. En l'espèce, selon les constatations de l'arrêt attaqué, les parties sont convenues de deux clauses de transfert de risque, sauf faute grave de la banque, la première pour les cas de défaut de légitimation et de faux non décelés (art. 1 al. 2 des CG) et la seconde pour les erreurs de transmission par l'emploi du courrier électronique (art. 5 des CG). Par la convention de décharge signée séparément, le client autorise expressément la société de négoce à accepter ses instructions données notamment par e-mail et à les exécuter immédiatement, en n'importe quelles circonstances, déclare assumer tous les risques en découlant, même en cas d'erreur de la part de la société quant à son identité et dégage celle-ci de toute responsabilité de ce chef pour tous dommages qu'il pourrait encourir. Il est par ailleurs constant que la société de négoce n'avait pas l'obligation de contacter systématiquement le client par téléphone avant d'exécuter un ordre de paiement donné par e-mail afin de vérifier l'identité du donneur d'ordre.  
Même si elle ne le précise pas expressément, la convention de décharge ne vaut que sous réserve d'une faute grave de la banque, en vertu de l'art. 100 al. 1 CO applicable par analogie. 
 
6.3.2. Pour déterminer si la société de négoce a commis une faute grave dans l'exécution des 6 ordres frauduleux encore litigieux, il faut tenir compte de toutes les circonstances.  
 
6.3.2.1. Il résulte des constatations de fait que le demandeur n'était client de la société de négoce, à laquelle il a transféré une partie seulement de ses avoirs, que depuis une année environ au moment des faits litigieux. Durant cette période, il a toujours communiqué avec la banque par e-mail, voire par téléphone, sollicitant des informations et des conseils en lien avec des placements financiers. Il a donné deux ordres de virement: un virement urgent de 10'000 USD à une société aux États-Unis, dont le destinataire final était sa fille, et un virement de 44'000 euros à une banque à Istanbul en sa propre faveur.  
A partir du début décembre 2015, alors que le compte du client se montait à environ 850'000 euros, 8 ordres de virement ont été passés en un mois depuis l'adresse e-mail du client et exécutés par la société de négoce, avant que, à partir du 6 janvier 2016, l'adresse e-mail ne soit légèrement modifiée, à savoir zzz@... au lieu de zz@..., ce qui a conduit la société à bloquer toutes les transactions à partir du 7 janvier 2016 et à exiger du client qu'il prenne contact avec elle par téléphone, ce qu'il n'a fait que le 13 janvier 2016. 
Ainsi, entre le 1er décembre 2015 et le 4 janvier 2016, la banque a exécuté les 8 ordres de virements suivants: 
 
1) 1er décembre: 34'000 euros à F.________ au Royaume-Uni en faveur d'une société/B.________; 
2) 2 décembre: 12'000 GBP à F.________ au Royaume-Uni en complément, le premier virement ayant été fait en euros au lieu de GBP, virement annulé faute de précisions suffisantes concernant le destinataire; 
3) 7 décembre: 100'000 GBP à la banque I.________ au Royaume-Uni en faveur de J.________ Ltd, au motif d'un " urgent business deal ", après la confirmation de la vente de titres pour disposer de suffisamment de liquidités; 
4) 7 décembre: réitération du virement de 12'000 GBP, précédemment annulé, toujours à la même banque en faveur de K.________ Co; 
5) 15 décembre: 50'000 GBP, toujours à la même banque, en faveur de la société G.________ Ltd, également après la vente de titres; 
6) 21 décembre: 70'000 GBP, toujours à la même banque et en faveur de la même société, également après la vente de titres; 
7) 29 décembre: 80'000 GBP, toujours à la même banque et constituant le 2e virement en faveur de la société J.________ Ltd, également après la vente de titres; et 
8) 4 janvier: 45'000 GBP, toujours à la même banque et constituant le 3e virement en faveur de la société G.________ Ltd. 
Il a été retenu que les pirates ont pris le contrôle de l'adresse e-mail du client, ce qui leur a permis, à l'insu de celui-ci, d'utiliser son adresse e-mail, de lire les e-mails qu'il avait précédemment échangés avec la société de négoce, d'en effacer et d'en envoyer. Il n'a pas été établi comment les pirates sont parvenus à prendre le contrôle de la messagerie électronique du client, ni, par voie de conséquence, les mesures qui auraient été nécessaires pour empêcher cette prise de contrôle. 
 
6.3.2.2. La cour cantonale n'a retenu aucune faute grave à la charge de la société de négoce pour les deux premiers ordres; ceux-ci n'ont pas été remis en cause par le client, qui n'a pas recouru sur ce point contre l'arrêt cantonal.  
En revanche, elle a considéré que la société a commis une faute grave dans l'exécution du 3e ordre et a fortiori pour les 5 suivants. Elle a considéré qu'il ne peut être présumé que la prise de contrôle de la messagerie dont a été victime le client implique nécessairement un manque de diligence de sa part. La société recourante conteste toute faute grave de sa part, critiquant notamment le degré de la faute mis à sa charge au vu du degré de diligence que le client pouvait attendre d'elle, et ce en violation de l'art. 100 CO.  
 
6.3.2.3. L'appréciation juridique d'une faute grave admise par la cour cantonale ne peut être suivie.  
Le client a signé spécialement une convention de décharge pour les ordres transmis notamment par e-mail, invitant la société de négoce à exécuter immédiatement les ordres ainsi reçus, en n'importe quelles circonstances, sans confirmation écrite et dégageant celle-ci de toute responsabilité pour les dommages qu'il pourrait encourir. A moins qu'il n'existât des indices sérieux d'abus de la messagerie et donc de fraude, la société de négoce n'avait pas à suspecter les ordres de virement donnés depuis l'adresse e-mail du client. Or, les éléments retenus par la cour cantonale ne sont pas de tels indices et ne réalisent donc pas la condition de la faute grave de la société de négoce: ils n'atteignent pas le degré de gravité équivalant à un manquement absolument inexcusable de sa part, parce que violant les règles les plus élémentaires de la prudence. 
En effet, tous les e-mails provenaient de l'adresse de messagerie communiquée par le client. Les nombreux e-mails échangés dans un anglais approximatif à propos de l'exécution des ordres et de la vente de titres pour disposer de liquidités ne permettaient pas à la société de suspecter des faux dès lors que l'anglais n'était pas la langue maternelle du client, qu'il avait déjà fait des fautes dans ses précédents e-mails, se dispensant souvent de formules de politesse, et que les pirates avaient pu consulter les e-mails qu'il avait échangés précédemment avec la société et avaient su habilement s'en inspirer. 
Tous les virements à exécuter devaient l'être à destination d'une banque connue du Royaume-Uni et non à destination de pays lointains ou exotiques, et la société de négoce ne s'était pas engagée vis-à-vis du client à vérifier l'identité du bénéficiaire final. 
Même si le 3e ordre de virement portait sur un montant de 100'000 GBP, cet ordre avait été précédemment annoncé et justifié par le motif d'un " urgent business deal " et accompagné d'une demande de conseil pour se procurer des liquidités par la vente de titres. Même si le client, ancien homme d'affaires, était retraité, une affaire économique de 100'000 GBP n'obligeait pas la société à s'assurer du bien-fondé de sa décision et de son choix, ce d'autant qu'il disposait d'avoirs d'environ 850'000 euros. Dès lors que le virement avait sa cause dans un business deal, il est normal et logique que le bénéficiaire fût un tiers, et non le client lui-même ou un membre de sa famille comme ce fut le cas pour les deux virements effectués précédemment par lui.  
Les 5 ordres litigieux suivants ont certes été donnés en un mois et le total des 6 ordres se montait à 357'000 GBP. Il n'est toutefois pas possible de déduire de cette fréquence et du montant en cause une faute grave de la société de négoce. 
Le client intimé ne peut rien tirer des circonstances différentes de l'arrêt 4A_386/2016, dans lequel une faute grave de la banque a été admise: les ordres de virement étaient rédigés dans un anglais présentant des erreurs de syntaxe, des fautes d'orthographe et un vocabulaire approximatif alors que le client était un avocat de langue anglaise s'étant toujours exprimé en bon anglais, avec une syntaxe correcte et une variété de termes adéquats et précis; ils portaient sur des montants importants à destination de deux bénéficiaires dans des banques à Hong Kong et à Singapour, dont le premier entamait déjà le compte de plus d'un quart, alors que le client, dont la relation avec la banque durait depuis 20 ans, avait constamment accru ses positions dans une optique de conservation à long terme, ce qui était connu de la banque. Il en va de même des deux autres cas de faute grave cités par la cour cantonale, qui reposaient sur des états de fait non comparables (cf. consid. 6.2.1.1 ci-dessus). 
Dès lors que la clause de transfert de risque (" la décharge ") englobe les cas fortuits, le dommage est à la charge du client même s'il n'a commis aucune faute dans le fait que des pirates ont pu prendre le contrôle de sa messagerie. Autre serait la situation si c'était le système informatique de la banque qui avait été piraté. 
 
6.3.3. En conclusion, la société de négoce n'ayant pas commis de faute grave, le risque d'utilisation abusive de la messagerie du client demeure à la charge de celui-ci.  
 
7.  
Au vu de ce qui précède, le recours doit être admis et l'arrêt attaqué réformé en ce sens que la demande est rejetée. Les frais et dépens de la procédure fédérale seront mis à la charge de l'intimé qui succombe (art. 66 al. 1 et 68 al. 1 LTF). La cause sera renvoyée à la cour cantonale pour nouvelle décision sur les frais et dépens des instances cantonales. 
 
 
Par ces motifs, le Tribunal fédéral prononce :  
 
1.  
Le recours est admis et l'arrêt attaqué est réformé en ce sens que la demande en paiement de B.________ du 26 janvier 2017 est rejetée. 
 
2.  
Les frais de la procédure fédérale, arrêtés à 8'000 fr., sont mis à la charge de l'intimé. 
 
3.  
L'intimé versera à la recourante une indemnité de 9'000 fr. à titre de dépens. 
 
4.  
La cause est retournée à la cour cantonale pour nouvelle décision sur les frais et dépens des instances cantonales. 
 
5.  
Le présent arrêt est communiqué aux parties et à la Cour de justice du canton de Genève, Chambre civile. 
 
 
Lausanne, le 9 juillet 2020 
 
Au nom de la Ire Cour de droit civil 
du Tribunal fédéral suisse 
 
La Présidente : Kiss 
 
Le Greffier : Douzals