Bundesgericht
Tribunal fédéral
Tribunale federale
Tribunal federal
[img] |
|
|
{T 0/2}
4A_386/2016
|
|
|
Arrêt du 5 décembre 2016
Ire Cour de droit civil
Composition
Mmes et M. les Juges fédéraux Kiss, présidente,
Niquille et Abrecht, juge suppléant.
Greffière: Mme Monti.
Participants à la procédure
Banque B.________, représentée par Me Serge Fasel,
défenderesse et recourante,
contre
C.________, représenté par Me Pascal de Preux,
demandeur et intimé.
Objet
responsabilité de la banque qui exécute des ordres frauduleux d'une personne non autorisée,
recours en matière civile contre l'arrêt rendu le 10 juin 2016 par la Chambre civile de la Cour de justice du canton de Genève.
Faits :
A.
A.a. C.________ est un citoyen américain employé en qualité d'avocat-assistant ("paralegal") dans une grande étude d'avocats américaine. Son revenu annuel est d'environ 90'000 USD.
Dans les années 1980, il a noué une relation bancaire avec la succursale lausannoise d'un établissement bancaire qui a été repris en 2008 par la Banque B.________ (ci-après: la banque).
Dans le cadre de cette relation, C.________ (ci-après: le client) a notamment signé les documents suivants:
- les Conditions générales de la banque dans leur version de mars 2004. Selon celles-ci, le client doit répondre du dommage suivant: "any damage resulting from the use of mail, telegraph, telephone, telex, or any other system of communication or means of transport, [...] except in case of gross negligence by the Bank" (art. 6). Par ailleurs, les relevés de compte émis par la banque sont réputés acceptés s'ils ne suscitent aucune objection dans le délai d'un mois à compter de leur réception (art. 9 § 3). Les réclamations adressées à l'encontre des communications de la banque doivent être faites immédiatement ("promptly") à réception, mais au plus tard dans le délai fixé (art. 2). Enfin, le droit suisse est applicable aux relations entre la banque et le client et une élection de for est instituée en faveur des tribunaux du lieu de situation de l'établissement de la banque concerné (art. 17);
- une décharge pour les transmissions par téléphone, telefax, télégramme ou courriel, laquelle habilite la banque - mais ne l'oblige pas - à exécuter les instructions lui parvenant par l'un de ces moyens de communication. Les risques en découlant sont à la charge du client, sous réserve d'une grave négligence ("gross negligence") de la banque (art. 3);
- une convention de banque restante, par laquelle le client confirme souhaiter que les courriers provenant de la banque soient conservés par celle-ci, reconnaît que cette conservation vaut communication et déclare avoir pris connaissance des dispositions des Conditions générales relatives à la contestation des communications émanant de la banque.
Le client a par la suite reçu les Conditions générales de la banque dans leur teneur de 2010. Celles-ci prévoient que les courriers de la banque conservés en banque restante sont réputés avoir été communiqués à la date qu'ils portent (art. 3); toute contestation doit être formée par écrit immédiatement après réception de l'avis correspondant, mais au plus tard dans le mois suivant sa communication (art. 2 et 10); les dommages résultant d'une fraude, d'une mauvaise identification ou liés à une erreur de transmission, notamment par courriel, sont à la charge du client, sous réserve d'une grave négligence de la banque (art. 5 et 7). L'art. 22 prévoit une prorogation de for en faveur des tribunaux genevois et l'application du droit suisse aux relations entre les parties.
Le client a encore signé le 12 avril 2010 un document confirmant la décharge donnée à la banque pour les communications par courriel.
A.b. Au 31 décembre 2002, les avoirs du client auprès de la banque s'élevaient à 105'133 fr. 41. Jusqu'en 2008, ces avoirs ont été placés sous forme de placements fiduciaires ou de parts de fonds collectifs, sans qu'il procède à aucun apport ou retrait.
En 2008, le client a retiré 84'711 USD en raison de la crise financière ayant éclaté à cette période.
A compter du 1
er janvier 2009, et sous réserve d'une part de fonds de placement réalisée en 2010, les avoirs du client ont été répartis entre deux comptes courants, l'un en francs suisses et l'autre en dollars. Leur montant, de l'ordre de 15'000 fr., n'a pas connu de variation significative jusqu'en 2012.
A.c. Dès 2007, le client a eu pour principale interlocutrice l'employée de banque E.________, qui parlait couramment anglais. Jusqu'en 2012, les communications entre le client et la banque sont demeurées relativement rares et ont principalement revêtu la forme de courriels.
Sur demande expresse du client, des extraits de compte et des avis d'opération lui étaient également communiqués par courriel.
Par courriel du 10 janvier 2011, le client a informé la banque de son intention de transférer prochainement 250'000 USD au crédit de ses comptes, dont il demandait les coordonnées exactes. Bien que le ton employé fût moins formel que dans une lettre, ce courriel était rédigé en bon anglais, en ce sens qu'il ne comportait pas de faute de syntaxe ou d'accord, que les articles n'étaient pas omis et que les termes employés étaient précis et adéquats.
L'employée de banque prénommée a fourni par courriel les informations souhaitées. Elle a par ailleurs demandé au client de lui indiquer de quelle banque provenaient les fonds et quelle était leur origine.
L'intéressé a répondu par courriel que les fonds provenaient d'un compte d'épargne dont il était titulaire auprès d'une banque du... (USA). Il a par ailleurs donné les explications suivantes au transfert envisagé:
"I had intended to make a transfer last year but the dollar weakened against the CHF. Now that the dollar is rising, I am considering making the transfer in the near future. I am seeking to diversify a portion of my assets from dollars and will leave the money in the bank for the long term and expect to be a passive investor. Just looking for stability and safety."
Le transfert envisagé ne s'est finalement pas concrétisé.
A.d. Par courriel du 15 décembre 2011, le client a à nouveau informé la banque d'un possible prochain transfert de fonds en ces termes:
"Now that the dollar has strengthened against the chf, I am prepared to send up to $ 400'000.00 to B.________ sometime after New Year's Day. I don't intend to do much trading or exchanging in the future and I am basically looking for a long-term place to hold some savings with a very defensive posture."
Par ce même courriel, il a posé à la banque un certain nombre de questions, principalement relatives aux conséquences de son statut de ressortissant américain.
Dans sa réponse, intervenue par courriel du 27 décembre 2011, la banque a demandé des explications sur l'origine des fonds.
Le client a répondu par courriel du 29 décembre 2011, en réaffirmant son intention de procéder au transfert annoncé au cours du premier trimestre 2012.
A la fin du mois d'avril 2012, il a informé la banque, par télécopie, qu'il procédait au transfert des 400'000 USD annoncés sur son compte en dollars. Divers documents, parmi lesquels les justificatifs de l'origine des fonds, étaient annexés à cet envoi.
Dans l'ensemble de ces communications, parfois relativement longues, le client s'exprimait en bon anglais, utilisant une syntaxe correcte et une variété de termes adéquats et précis.
Un montant de 399'980 USD a effectivement été crédité le 30 avril 2012 sur le compte en dollars du client.
La banque en a accusé réception par courriel du 3 mai 2012, demandant simultanément au client de lui indiquer sa profession, son revenu annuel et l'origine des fonds déposés. Le client a répondu par un long courriel du même jour, à nouveau rédigé en bon anglais.
Par un courriel relativement bref daté du 7 mai 2012, le client a ordonné à la banque de clôturer le compte dont sa mère était titulaire et sur lequel il disposait d'une procuration; il demandait d'en transférer le solde sur ses propres comptes. Après avoir requis et obtenu une confirmation de cette instruction par la mère du client, la banque y a donné suite le 1
er juin 2012, créditant de 138'503 fr. 20 le compte en francs suisses du client.
A cette date, les montants déposés sur les comptes du client s'élevaient respectivement à 399'965.38 USD et 153'614 fr. 55.
A.e. A une date indéterminée, vraisemblablement dans le courant du mois de juin 2012, une ou plusieurs personnes inconnues (ci-après: les pirates) sont parvenues, par des moyens non identifiés, à prendre le contrôle de la messagerie électronique du client. Cette prise de contrôle leur a permis d'adresser à la banque, à l'insu du client, des courriels provenant de son adresse électronique C.________@hotmail.com ainsi que d'intercepter, de manière à ce que le client n'en ait pas connaissance, les courriels que lui adressait la banque à cette même adresse.
Certaines tournures utilisées par les pirates (telles que "Dear E.________...") font inférer qu'ils avaient connaissance à tout le moins d'une partie de la correspondance électronique échangée antérieurement. Dans la procédure judiciaire qui sera évoquée ci-dessous (let. B), la banque a reproché au client d'avoir conservé dans sa messagerie électronique l'ensemble des courriels échangés avec elle (cf. au surplus infra consid. 4.3.1).
A.f. Le 14 juin 2012, les pirates ont adressé à l'employée de banque E.________ le courriel suivant, qui provenait apparemment de la messagerie électronique du client:
"Dear E.________,
I do have wire transfer which I will need you to assist me take care of today, can you email me wiring instruction that you will be needing to send out an international wire transfer to Hong Kong.
Best regards,
C.________ [adresse]"
La prénommée a répondu le même jour par le courriel suivant, intercepté par les pirates:
"Dear Mr C.________,
We need the name of the beneficiary and adress, the account IBAN number, the SWIFT of the bank and bank name and the signature. [...]
Best regards,
E.________"
Les pirates ont alors indiqué par courriel que les fonds à virer - soit "120'000" - étaient destinés à une société H.________ Limited, titulaire d'un compte auprès de la banque [...] à Hong Kong; le but du transfert était le suivant: "Purchase of Property". Environ deux heures plus tard, les pirates ont adressé à l'employée de banque un nouveau courriel indiquant que le nom du bénéficiaire était H.________ Limited et le montant à transférer de 120'000 USD. La collaboratrice a répondu avoir pris note de ces instructions, qui seraient exécutées dès que possible; elle précisait avoir compris que malgré la réception de deux courriels, un seul virement de 120'000 USD devait être effectué.
Ce 14 juin 2012 encore, les pirates ont adressé le courriel suivant:
"E.________,
I was hoping you do recieved my previous message to you, let me know if the transfer has been completed.
Thank you,
C.________"
Le 15 juin 2012, la banque a procédé au transfert requis, ce dont E.________ a informé le client - soit en réalité les pirates - par courriel du même jour. Le compte en dollars du client a été débité de 120'000 USD et de 49.98 USD au titre de frais, le solde ne s'élevant plus qu'à 279'926.13 USD. Un avis de confirmation a été émis le même jour à l'intention du client et conservé en banque restante.
Par courriel du 19 juin 2012, les pirates, se faisant toujours passer pour le client, ont interrogé la banque sur le retard du transfert. Par la même occasion, ils lui ont demandé de lui communiquer le montant des avoirs en compte. La banque a répondu le lendemain, en joignant à son courriel une copie de l'avis d'opération.
A.g. Le 25 juin 2012, à la suite d'une nouvelle demande de virement portant sur un montant important, la banque a envoyé à l'adresse électronique du client un courriel lui demandant de lui faire parvenir, par télécopieur, un ordre de transfert signé ainsi qu'une preuve de l'achat d'une propriété et le contrat conclu avec une société M.________ Enterprise.
Le même jour, les pirates ont répondu par courriel ce qui suit:
"Dear E.________,
Please find the requested details in attachment, am sorry i could not send a fax at the moment have been ill. Please proceed with the transfer i will have a signed note send to you as soon as am feeling much better, kindly email me as soon as the transfer has been completed or if you need anything.
Thanks.
C.________"
A ce courriel étaient jointes deux annexes: un "rapport d'évaluation sommaire" concernant un immeuble sis en Malaisie, établi à l'intention de "C.________ [erreur d'orthographe]" par la société malaise M.________ Enterprise, et une déclaration relative aux risques de la peinture au plomb, portant l'en-tête "Long Island..." et mentionnant la société M.________ Enterprise sous la rubrique "nom du vendeur".
Par courriel du 26 juin 2012, l'employée de banque a répondu qu'une instruction signée était nécessaire pour un montant aussi élevé. Les pirates ont alors adressé à la banque, en annexe à un courriel du même jour, un ordre de virement d'un montant de 210'000 USD en faveur d'un compte dont M.________ Enterprise était titulaire auprès d'une banque malaisienne. La signature figurant sur cet ordre - soit le prénom "C.________" calligraphié - n'avait aucune ressemblance avec les spécimens de signature du client dont la banque était en possession.
Par un nouveau courriel du 26 juin 2012, la banque a invité le client à lui adresser un ordre portant sa signature telle qu'enregistrée par elle. Les pirates ont alors répondu le lendemain 27 juin 2012 ce qui suit:
"I understand how you mean but is so dangerous sending my signature over the internet, i was going to sent it by fax but my fax is bad at the moment. Can i send the order form through post i believe this is saver, email me the go ahead if this is okay. [...]"
Ce même 27 juin, les pirates, après avoir reçu de la banque l'adresse postale à laquelle l'ordre signé devait être envoyé, ont formulé par courriel une nouvelle demande de paiement ainsi libellée:
"After receiving message from M.________ Enterprise today as there is a time limit on the property payment which is tomorrow, i was wondering if you could assist me in transferring $ 140'000 to M.________ Enterprise today since sending a big amount will require a signature. Email me as soon as possible to enable me post the order form to your adress immediately. [...]"
La banque s'étant bornée à confirmer son adresse postale, les pirates lui ont demandé par courriel du 9 juillet 2012 si elle avait reçu l'autorisation signée prétendument envoyée par courrier postal. Ayant obtenu une réponse négative à leur question, ils ont formulé, toujours par courriel, une nouvelle demande de transfert en ces termes:
"Oh my God, i believe you should have gotten it by now i don't understand what seem the problem i will have to confirm from the post as soon as am back in town. I just lost my cousin am presently out of town, i will really need your help right now could you assist me in completing an international wire transfer for the total amount of $ 110'000. [...]"
Ces demandes répétées et insistantes ont, pour la première fois, éveillé une certaine méfiance chez l'employée de banque. Celle-ci a opposé une fin de non-recevoir à la nouvelle demande du 9 juillet 2012, en insistant sur la nécessité de recevoir une instruction signée; elle a en outre mentionné dans le dossier interne du client que seuls les ordres portant sa signature pouvaient être exécutés. Par la suite, la méfiance de la collaboratrice s'est trouvée confortée par diverses incohérences entachant les communications avec le client, dont elle se demandait "à quoi [il] jouait". Cette méfiance était dirigée à l'encontre du client lui-même, la collaboratrice n'ayant jamais envisagé l'hypothèse d'un piratage de sa messagerie électronique par des tiers.
A.h. Par courriel du 12 juillet 2012, le client (et non les pirates) a annoncé à la banque son intention de faire virer sur son compte en francs suisses le produit d'une police d'assurance-vie venant à échéance le 5 août 2012, pour un montant approximatif de 161'000 fr. Par ce même courriel, rédigé en bon anglais, le client a demandé à la banque de lui transmettre l'avis d'opération relatif à la clôture des comptes de sa mère et lui a posé la question suivante:
"Does the bank have any opinion on the imposition of capital controls or what form they might take ? The dollar has risen in the past several months and I eventually will convert the 400K I wired a few months ago to Chf; but of course I'm trying for the best possible rate. [...]"
La banque a répondu par courriel du 13 juillet 2012, en communiquant au client les extraits de ses comptes au 30 juin 2012 et en lui indiquant ne pas avoir d'opinion sur la question d'éventuels contrôles des capitaux.
Cette réponse a été interceptée par les pirates. Ces derniers ont alors envoyé au client sur sa messagerie électronique un courriel provenant d'une adresse électronique très similaire à celle normalement utilisée par l'employée de banque (E.________@B.________.co au lieu de E.________@B.________.ch). Le contenu de ce courriel, également daté du 13 juillet 2012, était identique à la véritable réponse de la banque sous réserve de deux modifications apportées par les pirates: d'une part, les extraits de compte au 30 juin 2012 n'étaient pas annexés; d'autre part, le courriel - au lieu de répondre à une question du client - indiquait qu'en raison d'une nouvelle politique, ces extraits ne pourraient être envoyés qu'à réception d'une lettre d'autorisation signée, laquelle devait être envoyée par télécopieur à un numéro donné.
Le client a alors adressé une lettre à la banque, à laquelle étaient annexées les autorisations signées prétendument requises, les documents justifiant l'origine des fonds qu'il entendait virer sur son compte et une copie de l'échange de courriers électroniques des 12 et 13 juillet 2012 (incorporant la réponse de la banque sous sa forme modifiée par les pirates). Dans cette lettre, reçue par la banque avec ses annexes le 20 juillet 2012, le client sollicitait une réponse aux questions posées dans son courriel du 12 juillet 2012, alors que la banque y avait déjà répondu par courriel du 13 juillet 2012, dont le contenu avait cependant été modifié par les pirates.
A.i. Les pirates se sont à nouveau adressés à la banque par courriels des 23 et 24 juillet 2012 pour évoquer l'arrivée prochaine des montants provenant de l'assurance-vie, annoncer un ordre de transfert vers Singapour et demander des informations sur les renseignements dont aurait besoin la banque pour l'exécuter. Par courriel du 24 juillet 2012, la banque a demandé un ordre signé.
Le 31 juillet 2012, les pirates ont adressé par télécopieur à la banque un ordre (en réalité une autorisation) de virer 185'000 USD sur le compte de H.________ Limited auprès de la banque [...] à Hong Kong, en mentionnant le motif de transfert suivant: "to balance the property purchased". Cet ordre portait la reproduction d'une signature correspondant aux spécimens de la signature du client en possession de la banque. La manière dont les pirates se sont procurés cette signature n'est pas établie.
A réception de cet ordre, la banque a effectué le transfert requis. Le compte en dollars du client a été débité le 31 juillet 2012 des montants de 185'000 USD et de 27.86 USD (frais bancaires), le solde en compte ne s'élevant plus qu'à 94'904.73 USD. Un avis de confirmation a été établi le même jour à l'intention du client.
Le 2 août 2012, le compte en francs suisses du client a été crédité de 161'165 fr., correspondant au produit de l'assurance-vie arrivée à échéance. Par courriel du même jour - intercepté par les pirates -, la banque en a informé le client.
A.j. Le 8 août 2012, les pirates ont adressé à la banque un courriel l'invitant à effectuer un nouveau transfert sur le compte de H.________ Limited auprès de la banque [...] à Hong Kong, cette fois pour un montant de 230'700 fr. Comme motif était invoqué le souhait de procéder à un investissement dans une propriété. Le même jour, ils ont envoyé à la banque par télécopieur une autorisation de transfert conforme à cette instruction portant la reproduction d'une signature correspondant à celle du client.
La banque a exécuté cette instruction le jour même. Le compte en francs suisses du client a ainsi été débité, au 8 août 2012, des montants de 230'700 fr. et de 27 fr. (frais). Un avis de confirmation, daté du même jour, a été émis à l'intention du client.
A.k. Le 15 août 2012, les pirates ont adressé à la banque, par courriel, une nouvelle demande de transfert portant sur un montant de 83'000 fr. Le destinataire était un dénommé X.________, domicilié à Singapour; les fonds devaient être virés sur un compte que celui-ci détenait auprès d'un établissement bancaire à Singapour. La banque a demandé un ordre de transfert signé, l'indication d'un motif et une pièce justificative de ce dernier. Les pirates ont alors envoyé à la banque par télécopieur une autorisation de virer les fonds portant la reproduction d'une signature correspondant à celle du client, ainsi qu'une facture du 14 août 2012 à l'en-tête d'une entreprise intitulée X.________ Property, établie au nom du client pour un montant de 83'000 fr. correspondant à un paiement pour une propriété à Singapour.
Le lendemain, 16 août 2012, la banque a exécuté l'ordre de transfert et débité le compte en francs suisses du client des montants de 83'000 fr. et de 15 fr. (frais). Un avis de confirmation a été établi le même jour à l'intention du client.
A.l. A la suite d'un échange de courriels du 19 août 2012 avec l'adresse électronique E.________@B.________.co (soit celle ouverte et contrôlée par les pirates), le client a réalisé la supercherie. Par deux courriels du 23 août 2012, il en a informé la banque et l'a priée de bloquer ses comptes.
A la même période, le client a appelé l'employée de banque, qui l'a informé des débits intervenus sur ses comptes. Il a contesté avoir donné les instructions de transfert correspondantes.
Le 27 août 2012, le client s'est présenté dans les locaux de la banque, où il s'est fait remettre l'ensemble de la correspondance électronique échangée entre la banque et l'adresse électronique C.________@hotmail.com. Il a par ailleurs remis à la banque en main propre une lettre par laquelle il contestait avoir ordonné les virements intervenus au débit de ses comptes et en avoir eu connaissance.
Le même jour, il a déposé plainte pénale à Lausanne. Il en a fait de même à Hong Kong le mois suivant.
Par courrier du 27 septembre 2012, l'avocat du client a enjoint à la banque de verser à celui-ci les montants de 305'077.84 USD et de 313'742 fr. dans un délai de dix jours, ce qu'elle n'a pas fait.
B.
B.a. Le client a saisi l'autorité de conciliation le 4 février 2013, puis a déposé une demande le 17 juin 2013 devant le Tribunal de première instance du canton de Genève, en concluant à ce que la banque soit condamnée à lui verser, intérêts en sus, les montants de 120'049.98 USD, 185'027.86 USD, 230'727 fr. et 83'015 fr.
B.b. Parallèlement à cette procédure, le client a intenté devant les juridictions de Hong Kong une action en restitution des mêmes montants dirigée contre la société H.________ Limited et son administratrice. Ces dernières, condamnées dans un premier temps par deux jugements prononcés par défaut, ont relevé les défauts. Les parties ont finalement passé une transaction par laquelle le client a renoncé à une partie des indemnités de procédure qui lui avaient été accordées aux termes des jugements rendus par défaut. Le 25 juillet 2014, la société et l'administratrice ont payé au client les montants de 304'995.19 USD (correspondant à l'addition des montants de 120'000 USD et de 185'000 USD transférés les 15 juin et 31 juillet 2012, sous déduction de 4.81 USD de frais bancaires), 230'694 fr. 52 (correspondant au montant de 230'700 fr. transféré le 8 août 2012, sous déduction de 5 fr. 48 de frais bancaires) et 11'611.80 HKD (au titre de participation aux frais d'avocat et de procédure).
Après imputation de cette participation, les frais d'avocat et de justice encourus par le client en relation avec les procédures engagées à Hong Kong se sont élevés à 39'909.59 USD.
Au vu de ces développements, le client a, par acte du 31 juillet 2014, modifié les conclusions prises devant le Tribunal de première instance du canton de Genève, requérant désormais que la banque soit condamnée à lui payer:
- en relation avec le transfert de 120'000 USD intervenu le 15 juin 2012: 49.98 USD plus intérêts au titre de remboursement des frais bancaires prélevés à tort et 12'164.38 USD au titre des intérêts courus sur le capital entre le 15 juin 2012 et le 25 juillet 2014;
- en relation avec le transfert de 185'000 USD intervenu le 31 juillet 2012: 27.86 USD plus intérêts au titre de remboursement des frais bancaires prélevés à tort et 18'347.95 USD au titre des intérêts courus sur le capital entre le 31 juillet 2012 et le 25 juillet 2014;
- en relation avec le transfert de 230'700 fr. intervenu le 8 août 2012: 27 fr. plus intérêts au titre de remboursement des frais bancaires prélevés à tort et 22'659 fr. 17 au titre des intérêts courus sur le capital entre le 8 août 2012 et le 25 juillet 2014;
- en relation avec le transfert intervenu le 16 août 2012: 83'015 fr. plus intérêts;
- en relation avec les procédures à Hong Kong: 39'909.59 USD plus intérêts au titre de remboursement des frais d'avocat et de justice encourus.
B.c. Par jugement du 10 août 2015, le Tribunal de première instance a condamné la banque à payer au client les sommes de 49.98 USD plus intérêts et de 12'164.38 USD (ch. 1 du dispositif), de 27.86 USD plus intérêts et de 18'347.95 USD (ch. 2), de 27 fr. plus intérêts et de 22'659 fr. 17 (ch. 3), de 39'909.59 USD plus intérêts (ch. 4) et de 83'015 fr. plus intérêts (ch. 5).
Le Tribunal a considéré en bref qu'en donnant suite, malgré des indices sérieux d'abus, aux ordres de virement reçus, la banque avait commis une faute grave lui interdisant de se prévaloir des clauses de transfert de risque figurant dans la documentation contractuelle. Il lui appartenait par ailleurs de réparer le dommage qu'elle avait causé de manière fautive au client, en lui remboursant les frais qu'il avait exposés dans les procédures ouvertes à Hong Kong.
B.d. Par arrêt du 10 juin 2016, la Chambre civile de la Cour de justice du canton de Genève a très partiellement admis l'appel interjeté par la défenderesse, réformant les chiffres 1 à 3 et 5 du dispositif du jugement attaqué en ce sens que la défenderesse a été condamnée à payer au demandeur les montants de 49.98 USD plus intérêts et de 10'800 USD, les montants de 27.86 USD plus intérêts et de 16'650 USD, les montants de 27 fr. plus intérêts et de 20'763 fr., ainsi que le montant de 83'015 fr. plus intérêts. La condamnation au montant de 39'909.59 USD plus intérêts (ch. 4 du dispositif attaqué) a en outre été confirmée.
C.
Le 20 juin 2016, la défenderesse a saisi le Tribunal fédéral d'une requête d'effet suspensif à titre superprovisoire, que la Présidente de la cour de céans, après avoir recueilli les déterminations du demandeur et de l'autorité précédente, a rejetée par ordonnance du 15 juillet 2016.
Par acte du 16 août 2016, la défenderesse a déposé un recours en matière civile, en concluant préalablement à l'octroi de l'effet suspensif et principalement à la réforme de l'arrêt entrepris en ce sens que le demandeur soit débouté de toutes ses conclusions.
Le demandeur a conclu préalablement au rejet de la requête d'effet suspensif et principalement au rejet du recours.
L'autorité intimée s'est quant à elle référée à son arrêt.
Par ordonnance du 3 octobre 2016, la Présidente de la cour de céans a rejeté la requête d'effet suspensif.
Considérant en droit :
1.
1.1. Déposé en temps utile (art. 100 al. 1 LTF) par la défenderesse qui a succombé dans ses conclusions (art. 76 al. 1 LTF) et dirigé contre un arrêt final (art. 90 LTF) rendu sur recours par le tribunal supérieur du canton (art. 75 LTF) dans une contestation civile pécuniaire dont la valeur litigieuse excède 30'000 fr. (art. 72 al. 1 et 74 al. 1 let. b LTF), le recours en matière civile est recevable sur le principe.
1.2. Le Tribunal fédéral statue sur la base des faits établis par l'autorité précédente (art. 105 al. 1 LTF). Il ne peut rectifier ou compléter les constatations de l'autorité précédente que si elles sont manifestement inexactes ou découlent d'une violation du droit au sens de l'art. 95 LTF (art. 105 al. 2 LTF). "Manifestement inexactes" signifie ici "arbitraires" (ATF 140 III 115 consid. 2 p. 117; 135 III 397 consid. 1.5). Encore faut-il que la correction du vice soit susceptible d'influer sur le sort de la cause (art. 97 al. 1 LTF).
La critique de l'état de fait retenu est soumise au principe strict de l'invocation énoncé par l'art. 106 al. 2 LTF (ATF 140 III 264 consid. 2.3 p. 266 et les références). La partie qui entend attaquer les faits constatés par l'autorité précédente doit expliquer clairement et de manière circonstanciée en quoi ces conditions seraient réalisées (ATF 140 III 16 consid. 1.3.1 p. 18 et les références). Si elle souhaite obtenir un complètement de l'état de fait, elle doit aussi démontrer, par des renvois précis aux pièces du dossier, qu'elle a présenté aux autorités précédentes, en conformité avec les règles de la procédure, les faits juridiquement pertinents à cet égard et les moyens de preuve adéquats (ATF 140 III 86 consid. 2 p. 90). Si la critique ne satisfait pas à ces exigences, les allégations relatives à un état de fait qui s'écarterait de celui de la décision attaquée ne pourront pas être prises en considération (ATF 140 III 16 consid. 1.3.1 p. 18).
En l'espèce, la défenderesse reproche aux juges cantonaux d'avoir établi l'état de fait de manière manifestement inexacte à deux égards: d'une part, en refusant de constater que le demandeur avait conservé sa correspondance électronique bancaire sur son compte de messagerie électronique "hotmail"; d'autre part, en considérant que le simple effacement des messages concernés n'aurait pas nécessairement empêché les pirates d'en prendre connaissance, sachant que la plupart des logiciels de messagerie permettent de récupérer les données effacées et que celles-ci peuvent être conservées sous une forme ou une autre par le fournisseur d'accès internet. Ces griefs seront traités en même temps que la question juridique à laquelle les faits litigieux se rapportent (cf. consid. 4 infra).
1.3. Le Tribunal fédéral applique d'office le droit à l'état de fait constaté dans l'arrêt cantonal (art. 106 al. 1 LTF). Cela n'implique pas qu'il examine toutes les questions juridiques qui pourraient se poser, à l'instar d'un juge de première instance. Eu égard à l'obligation de motiver imposée par l'art. 42 al. 2 LTF, l'autorité de céans ne traite que les questions qui sont soulevées devant elle par les parties, à moins que la violation du droit ne soit manifeste (ATF 140 III 115 consid. 2 p. 116; 140 III 86 consid. 2).
2.
2.1. La défenderesse fait grief aux juges cantonaux d'avoir violé les art. 100 et 101 CO en considérant qu'elle avait commis une faute grave dans l'exécution des ordres de transfert frauduleux. Leur analyse juridique des faits serait erronée et contradictoire.
Les juges genevois ont retenu que les instructions données à la banque défenderesse par courriers électroniques du 14 juin 2012 étaient insolites à cinq points de vue - ce que l'intéressée conteste; puis, tout en concédant que celle-ci ne pouvait reconnaître "avec un quelconque degré de certitude" que les instructions reçues de l'adresse électronique C.________@hotmail.com ne provenaient en réalité pas du prénommé, les juges ont néanmoins conclu que les divergences avec le comportement normal du demandeur devaient susciter des doutes quant à la légitimation du donneur d'ordre. Or, ces doutes auraient dû conduire la banque à effectuer des vérifications supplémentaires avant d'exécuter les instructions reçues, par exemple en invitant le client à prendre contact par téléphone.
2.2.
2.2.1. Par l'ouverture d'un compte bancaire, la banque s'engage à remettre au client, selon les modalités prévues, tout ou partie de l'avoir disponible. L'exécution, par la banque, d'un ordre de remettre ou de transférer un montant par prélèvement sur cet avoir a son fondement dans la relation précitée, cela même si l'ordre est donné irrégulièrement ou s'il s'agit d'un faux (ATF 132 III 449 consid. 2 et les arrêts cités).
2.2.2. En principe, la banque supporte le risque d'une prestation exécutée par le débit du compte en faveur d'une personne non autorisée; elle seule subit un dommage, car elle est tenue de payer une seconde fois, à son client, le montant concerné. Lorsque le client réclame la restitution de l'avoir en compte, il exerce une action en exécution du contrat, qui n'est pas subordonnée à l'existence d'une faute de la banque (ATF 132 III 449 consid. 2 p. 452 et les arrêts cités).
En effet, si la banque agit en exécution d'un ordre de son client, elle acquiert une créance contre ce dernier en remboursement du montant débité, au titre de frais relatifs à l'exécution régulière du mandat (art. 402 CO). En revanche, tel n'est pas le cas si l'instruction à laquelle elle donne suite émane d'un tiers non autorisé. Dans cette hypothèse, la banque supporte le risque du paiement indu; elle est alors tenue de payer une seconde fois, à son client, le montant concerné en exécution du contrat (arrêts 4A 398/2009 du 23 février 2010 consid. 5.1.1 et 4A 54/2009 du 20 avril 2009 consid. 1; ATF 132 III 449 consid. 2 p. 452).
2.2.3. Il est cependant habituel que les conditions générales des banques comportent une clause de transfert de risque en vertu de laquelle le dommage résultant d'un défaut de légitimation ou d'une falsification non décelée est, sauf faute grave de la banque, à la charge du client; par l'effet de cette stipulation, le risque a priori assumé par celle-là est reporté sur celui-ci (arrêts précités 4A_398/2009 consid. 5.1.2 et 4A_54/2009 consid. 1; ATF 132 III 449 consid. 2 p. 452 et les références citées).
2.2.4. L'art. 100 CO, qui régit les conventions exclusives de la responsabilité pour inexécution ou exécution imparfaite du contrat, s'applique par analogie à une clause de ce type. Celle-ci est donc d'emblée dénuée de portée si un dol ou une faute grave sont imputables à la banque (art. 100 al. 1 CO). Le juge peut en outre tenir pour nulle une clause libérant la banque de toute responsabilité en cas de faute légère, dans la mesure où l'activité de la banque est assimilée à l'exercice d'une industrie concédée par l'autorité (art. 100 al. 2 CO). Dans le cadre de son pouvoir d'appréciation, c'est-à-dire dans l'application des règles du droit et de l'équité (art. 4 CC), le juge examine la clause de transfert de responsabilité en tenant compte des autres éléments du contrat et de l'ensemble des circonstances du cas particulier. Ce pouvoir d'appréciation n'existe pas si la faute légère a été commise par un auxiliaire de la banque, car la clause de transfert de risque est alors applicable sans restriction (art. 101 al. 3 CO; arrêts précités 4A_398/2009 consid. 5.1.2 et 4A_54/2009 consid. 1; ATF 132 III 449 consid. 2).
2.2.5. Constitue une faute grave la violation de règles élémentaires de prudence dont le respect se serait imposé à toute personne raisonnable placée dans les mêmes circonstances (arrêt précité 4A_398/2009 consid. 6.1; ATF 128 III 76 consid. 1b p. 81; 119 II 443 consid. 2a). Commet, en revanche, une négligence légère la personne qui ne fait pas preuve de toute la prudence qu'on aurait pu attendre d'elle, sans toutefois que sa faute - non excusable - puisse être considérée comme une violation des règles de prudence les plus élémentaires (arrêt précité 4A_398/2009 consid. 6.1; LUC THÉVENOZ, in Commentaire romand, 2
e éd. 2012, n° 15 ad art. 100 CO). Le juge apprécie (art. 4 CC) les agissements de l'auteur négligent en se référant à la diligence que l'autre partie était en droit d'attendre, en vertu, notamment, des clauses du contrat et des usages professionnels (arrêt 4A_438/2007 du 29 janvier 2008 consid. 5.3; THÉVENOZ, ibidem).
2.2.6. En général, la banque n'est tenue de vérifier l'authenticité des ordres qui lui sont adressés que selon les modalités convenues entre les parties ou, le cas échéant, spécifiées par la loi (arrêts précités 4A_389/2009 consid. 6.1 et 4A_438/2007 consid. 5.3; ATF 132 III 449 consid. 2 p. 453). Elle n'a pas à prendre de mesures extraordinaires, incompatibles avec une liquidation rapide des opérations. Bien qu'elle doive compter avec l'existence de faux, elle n'a pas à les présumer systématiquement (arrêt précité 4A_438/2007 consid. 5.3). Elle procédera cependant à des vérifications supplémentaires lorsqu'il existe des indices sérieux de falsification, lorsque l'ordre ne porte pas sur une opération prévue par le contrat ou habituellement demandée, ou encore lorsque des circonstances particulières suscitent le doute (arrêts précités 4A_389/2009 consid. 6.1 et 4A_438/2007 consid. 5.3; ATF 132 III 449 consid. 2 p. 453).
2.3. En l'espèce, les parties ont convenu, d'une part, d'habiliter le demandeur à transmettre des instructions relatives à ses avoirs par télécopie, téléphone, télex ou courriel et, d'autre part, de reporter sur lui l'éventuel préjudice subi par la défenderesse du fait de l'exécution d'un ordre ainsi transmis provenant d'une personne non légitimée ou de caractère frauduleux, sous réserve d'une faute grave de la défenderesse.
Il est par ailleurs constant que les ordres de virement exécutés par la défenderesse les 15 juin, 31 juillet, 8 août et 16 août 2012 ne provenaient ni du demandeur ni d'une autre personne légitimée, mais de tiers inconnus agissant dans un but frauduleux. Dès lors, il s'agit de déterminer si la défenderesse a commis une faute grave dans l'exécution de ces ordres, auquel cas elle ne pourrait opposer la clause impliquant le report sur le demandeur du préjudice qu'elle subit du fait de cette exécution. Comme l'ont relevé à raison les juges cantonaux, cette question doit être examinée pour chaque transfert litigieux, en tenant compte de l'ensemble des informations dont la banque disposait à ce moment.
2.4.
2.4.1. L'ordre du premier virement a été donné le 14 juin 2012. L'arrêt attaqué retient ce qui suit sur les informations dont disposait alors la défenderesse (cf. lettres A.c à A.e supra) :
Le client avait indiqué exercer la profession de "paralegal" dans une grande étude d'avocats américaine et réaliser un revenu d'environ 90'000 USD par an. La relation bancaire engagée avec un autre établissement puis reprise par la défenderesse durait depuis plus de vingt ans. Au cours des dix dernières années, le client n'avait procédé qu'à un seul retrait de fonds en 2008, pour un montant certes important. Depuis lors et jusqu'en 2012, les avoirs déposés sur ses comptes étaient demeurés relativement peu importants. Le client avait signé une décharge couvrant les communications par courriel et c'est principalement par ce moyen que les contacts - relativement peu fréquents - avaient lieu. Le langage employé dans ces courriels était conforme à ce que l'on pouvait attendre d'une personne exerçant une profession juridique, en ce sens qu'il respectait les règles de syntaxe et d'orthographe et utilisait des termes précis et adéquats.
Au début puis à la fin de l'année 2011, le demandeur a annoncé son intention de créditer son compte en dollars d'un montant important, représentant une partie de sa fortune. Spontanément et en bon anglais, il a expliqué ce transfert par la volonté de diversifier ses avoirs en procédant à un placement à long terme, dans une recherche de stabilité et de sécurité. A la fin du mois d'avril 2012, les fonds annoncés ont effectivement été virés sur le compte en dollars du demandeur. Par ailleurs, dans le courant du mois de mai, les comptes de la mère du demandeur ont été clôturés et leur solde positif viré sur le compte en francs suisses de ce dernier.
Les avoirs déposés par le demandeur auprès de la défenderesse ont ainsi connu une augmentation très importante au cours du premier semestre de l'année 2012; le demandeur a invoqué une volonté de diversification et un souci de stabilité et de sécurité sur le long terme.
2.4.2. Le 14 juin 2012, la défenderesse a reçu plusieurs courriels émanant en réalité de pirates qui lui ordonnaient de transférer 120'000 USD sur le compte d'une société auprès d'une banque à Hong Kong. La cour cantonale a retenu que ces instructions étaient insolites à cinq égards, ce que la défenderesse conteste; il convient donc d'examiner ces cinq points ci-après.
2.4.2.1. En premier lieu, force est de constater avec la cour cantonale que le langage utilisé, soit un anglais présentant des erreurs de syntaxe, des fautes d'orthographe (par ex. "I was hoping you do recieved", qui cumule erreurs de grammaire et d'orthographe) et un vocabulaire approximatif, se distingue nettement de celui qu'on peut généralement attendre d'un juriste s'exprimant dans sa langue maternelle, et plus particulièrement de celui utilisé par le demandeur dans ses précédents courriels, par exemple ceux des 29 décembre 2011 et 3 mai 2012, lesquels sont rédigés en bon anglais, ne comportent pas de faute de syntaxe ni d'accord, n'omettent pas les articles et pronoms et utilisent des termes précis et adéquats, au contraire des courriels envoyés par les pirates le 14 juin 2012.
2.4.2.2. En deuxième lieu, comme le relève la cour d'appel, il ne s'agissait, sur les dix dernières années, que du second ordre de virement émanant du demandeur, et du premier en faveur d'un tiers, qui plus est à destination d'un pays autre que la Suisse ou les Etats-Unis. La défenderesse soutient à tort que la rareté des mouvements exclurait l'existence d'une situation normale ou habituelle au regard de laquelle l'opération pourrait apparaître insolite. Force est en effet de constater qu'un soudain ordre de virement à destination d'une société basée à Hong Kong, après dix ans d'accroissement constant des positions dans une optique de sécurité et de stabilité - avec un seul retrait conséquent de 84'711 USD opéré en 2008 au motif de la crise financière survenue à cette époque - apparaissait insolite.
2.4.2.3. En troisième lieu, l'ordre de virement portait sur une partie non négligeable (plus d'un quart) des fonds versés par le demandeur un mois et demi auparavant sur son propre compte avec l'intention explicite de les y conserver à long terme dans une optique essentiellement conservatrice ("I am basically looking for a long-term place to hold some savings with a very defensive posture."). La défenderesse objecte à tort que l'inconstance aurait constitué la règle chez le demandeur dès lors qu'il n'avait pas versé les 250'000 USD annoncés le 10 janvier 2011 et que les 400'000 USD annoncés le 15 décembre 2011 pour la fin de l'année n'avaient finalement été versés qu'à la fin du mois d'avril 2012. On ne discerne en effet pas d'inconstance dans le comportement du demandeur, qui apparaît au contraire réfléchi et conséquent; le fait d'avoir retiré près de 90% de ses avoirs en 2008 en raison de la crise financière confirme une évidente aversion au risque, peu compatible avec un soudain investissement à Hong Kong portant sur plus d'un quart du montant versé un mois et demi auparavant sur son propre compte avec l'intention explicite de les y conserver à long terme dans une optique essentiellement conservatrice.
2.4.2.4. En quatrième lieu, les instructions formulées en faveur d'une personne tierce ne comportaient aucune explication sur le but du virement, si ce n'est qu'il concernait l'acquisition d'un bien immobilier; elles ne donnaient pas davantage la raison ayant conduit le demandeur à modifier ses premières intentions. Or, le demandeur avait jusque-là toujours pris soin d'informer la banque de ses motivations, expliquant par exemple avoir retardé son apport de fonds afin d'obtenir un taux de change plus favorable, ou avoir l'intention de diversifier les monnaies dans lesquelles il conservait sa fortune. La défenderesse ne saurait se retrancher derrière le fait qu'un client n'a pas à donner d'explications détaillées sur les virements qu'il entend faire, puisqu'en l'espèce, le demandeur avait précisément toujours exposé ses intentions à long terme, qui étaient encore rappelées dans son courriel du 15 décembre 2011, où il expliquait vouloir conserver à long terme son nouvel apport de 400'000 USD, dans une optique essentiellement conservatrice.
2.4.2.5. En cinquième et dernier lieu, les instructions faisaient état d'une certaine urgence temporelle, le transfert devant être exécuté le jour même. Cette impression d'urgence a été renforcée par l'envoi de plusieurs courriels à intervalles rapprochés, sans que le motif exact en soit jamais explicité. Une telle manière de procéder était inhabituelle pour le demandeur, dont il n'apparaît pas qu'il ait jamais placé la défenderesse sous la pression du temps. Ici aussi, la défenderesse tente vainement de se retrancher derrière la rareté des ordres donnés en dix ans, qui exclurait d'établir une quelconque habitude du demandeur. Au contraire, l'envoi de plusieurs courriels à intervalles très rapprochés en vue d'effectuer un virement important en faveur d'un tiers à Hong Kong contrastait singulièrement avec le comportement posé et réfléchi du demandeur, tel qu'il ressortait de ses précédentes correspondances avec la banque pendant toute la durée des relations contractuelles.
2.4.3. A l'instar de la cour cantonale, force est d'admettre que ces divers éléments, considérés dans leur ensemble, et en particulier les divergences avec le comportement normal du demandeur, tel que la défenderesse avait pu l'observer dans les rapports entretenus jusqu'alors, auraient dû éveiller chez celle-ci, respectivement chez son auxiliaire, des doutes sur la légitimation du donneur d'ordre, doutes qui auraient dû à tout le moins la conduire à procéder à des vérifications supplémentaires avant d'exécuter les instructions reçues, par exemple en invitant le demandeur à prendre contact par téléphone.
Contrairement à ce que soutient la défenderesse (cf. consid. 2.1 supra), les juges cantonaux n'ont pas versé dans la contradiction en concédant que la défenderesse ne pouvait pas reconnaître "avec un quelconque degré de certitude" le piratage de l'adresse électronique C.________@hotmail.com, tout en lui reprochant de ne pas avoir nourri des doutes sur la légitimation du donneur d'ordre et de ne pas avoir effectué des vérifications supplémentaires. Il n'est pas reproché à la défenderesse d'avoir méconnu que les instructions reçues le 14 juin 2012 n'émanaient pas de leur auteur apparent, mais d'avoir ignoré tout un faisceau d'éléments qui auraient dû la conduire à douter de la légitimation du donneur d'ordre, et partant à procéder aux vérifications propres à lever ces doutes.
La Cour de justice a ainsi retenu à juste titre que la défenderesse avait manqué de diligence en omettant de procéder à des vérifications alors qu'elle était confrontée à une accumulation de circonstances insolites. La gravité de cette faute doit être appréciée au regard de la diligence que le demandeur pouvait légitimement attendre d'un établissement bancaire en tenant compte, notamment, des clauses du contrat et des usages professionnels. Comme l'ont exposé les juges cantonaux, la défenderesse devait être en mesure d'identifier le caractère insolite, et donc potentiellement suspect, d'instructions rédigées différemment des communications usuelles du client et présentant des traits inhabituels aussi bien au regard de la manière dont les fonds avaient été utilisés jusque-là que par rapport aux intentions exprimées peu auparavant par le demandeur. Eu égard aux usages bancaires et aux attentes concrètes que le demandeur pouvait nourrir, les manquements de l'auxiliaire de la défenderesse, qui n'a pas relevé ces divergences et n'a pas conçu de doutes sur la légitimité des instructions, respectivement a conçu des doutes mais les a fait taire, sont constitutifs de négligence grave.
2.4.4. Contrairement à ce que plaide la défenderesse, les apports (399'980 USD et 138'503 fr. 20) que le demandeur venait d'effectuer sur ses comptes n'étaient pas de nature à susciter une confiance totale de la défenderesse. Contrairement au transfert frauduleux de 120'000 USD, les circonstances entourant les transferts des deux montants précités étaient parfaitement claires, le demandeur ayant donné toutes les explications nécessaires sur leurs motifs et s'étant amplement informé avant de les exécuter. En outre, les transferts s'inscrivaient clairement dans la ligne affichée par le demandeur, tandis que le transfert précipité à destination de Hong Kong ne cadrait pas avec le souhait exprimé par le demandeur, qui recherchait de la sécurité et de la stabilité avec un investissement passif et à long terme.
2.4.5. Au vu de ce qui précède, l'appréciation des juges cantonaux selon laquelle la défenderesse, respectivement son auxiliaire, a commis une faute grave en procédant au virement de 120'000 USD le 15 juin 2012, en exécution d'instructions frauduleuses reçues la veille, échappe à la critique.
2.5.
2.5.1. Entre l'exécution du premier ordre frauduleux (15 juin 2012) et celle du deuxième (31 juillet 2012), la défenderesse a reçu de nombreuses communications, provenant essentiellement des pirates, mais aussi du demandeur. La cour cantonale a relevé les éléments suivants:
- en réponse à sa demande d'un justificatif pour l'achat d'un bien immobilier, la défenderesse a reçu un "rapport d'évaluation sommaire" concernant un immeuble en Malaisie ainsi qu'une déclaration relative aux risques liés à la peinture au plomb. Outre le fait qu'ils ne répondaient pas à la question posée, les documents remis comportaient plusieurs anomalies: le nom du demandeur y était mal orthographié; une société apparaissait comme experte dans le premier document et comme vendeuse dans le second, lequel semblait dépourvu de lien avec la vente d'un immeuble sis en Malaisie. Nonobstant ces incohérences, la défenderesse n'a pas demandé d'explications ou de justificatifs complémentaires;
- après avoir requis un ordre de virement signé, la défenderesse a reçu le 26 juin 2012 un document comportant un paraphe - soit le prénom "C.________" calligraphié - dépourvu de tout rapport avec le spécimen de signature en possession de la banque. De surcroît, ledit paraphe ne correspondait en rien au type de signature couramment utilisé en Occident, tel qu'on pouvait l'attendre de la part d'un citoyen américain exerçant une profession juridique; malgré cette anomalie, la défenderesse n'a entrepris aucune démarche de vérification, se bornant à inviter le demandeur à lui adresser un nouvel ordre muni d'une signature correspondant au spécimen en sa possession. Les demandes répétées et insistantes de virement reçues par la défenderesse à la suite de ce refus ont certes éveillé la méfiance de la gestionnaire du compte du demandeur, mais ne l'ont pas conduite à effectuer des investigations complémentaires;
- par courriel du 12 juillet 2012, le demandeur a posé un certain nombre de questions à la défenderesse, mentionnant au passage son intention future de convertir en francs suisses le montant de 400'000 USD viré sur son compte le 30 avril 2012; or, à cette date, l'avoir disponible en dollars ne s'élevait plus qu'à 279'926.13 USD en raison du virement de 120'000 USD intervenu le 15 juin 2012; la défenderesse n'a pas relevé cette incohérence.
2.5.2. Comme l'ont relevé à raison les juges cantonaux, ces nouveaux éléments insolites, ajoutés à la différence d'expression écrite toujours observable entre les courriels des pirates et les écrits du demandeur, auraient dû encore renforcer les soupçons que la défenderesse aurait déjà dû nourrir quant à la légitimité des instructions reçues. Tel est le cas en particulier de la divergence des signatures figurant sur l'ordre de virement du 26 juin 2012 et sur les spécimens de signature authentique en possession de la banque. A cela s'ajoutait encore le fait qu'elle ne correspondait nullement aux usages en cours dans le monde occidental, à plus forte raison s'agissant d'une personne travaillant comme avocat-assistant dans une grande étude américaine. A elle seule, cette divergence manifeste et inexplicable imposait à la défenderesse de procéder à des vérifications complémentaires, qui lui auraient permis d'éviter de donner suite aux ordres de virement émanant de tiers non autorisés. En omettant de procéder à ces vérifications, la banque, respectivement son auxiliaire, a commis une grave négligence. En aucun cas ne pouvait-elle se borner à refuser d'exécuter l'ordre reçu le 26 juin 2012, pour ensuite exécuter les ordres de virement reçus les 31 juillet, 8 et 15 août 2012, sans effectuer un examen approfondi qui eût permis de constater les multiples indices de fraude décrits ci-dessus.
2.5.3. La défenderesse échoue à démontrer en quoi l'appréciation qui précède serait erronée. Alors que le demandeur se référait dans son courriel du 12 juillet 2012 à un avoir de 400'000 USD et que l'état réel du compte à cette date n'était que de 279'926 USD, la défenderesse objecte que cette incohérence pouvait passer inaperçue au vu de la quantité d'informations contenues dans ledit courriel et de la complexité des questions qui y étaient posées; elle plaide de surcroît que ce courriel avait été envoyé par le demandeur en personne depuis la messagerie piratée, ce qui aurait eu un "effet guérisseur". On ne voit toutefois pas en quoi l'utilisation par le demandeur de sa propre messagerie piratée aurait pu avoir un effet guérisseur, alors que l'ensemble des éléments - y compris les incohérences de style entre les messages émanant des pirates et celui du demandeur - auraient dû conduire la défenderesse à effectuer des vérifications supplémentaires.
2.5.4. Dans ces conditions, les juges cantonaux étaient fondés à retenir une grave négligence de la défenderesse dans l'exécution des trois virements opérés les 31 juillet, 8 août et 16 août 2012.
3.
3.1. Cela étant, la défenderesse plaide que le virement exécuté le 15 juin 2012 aurait été tacitement ratifié par le demandeur. Elle fait observer que la jurisprudence permet certes de renoncer à la fiction de réception d'une communication faite en banque restante dans les cas d'abus de droit, mais encore faudrait-il qu'un comportement intentionnel puisse être reproché à la banque, ce qui n'est pas le cas en l'occurrence.
3.2.
3.2.1. Les conditions générales des banques prévoient usuellement que toute réclamation relative à une opération doit être formulée par le client dans un certain délai (habituellement un mois) dès la réception de l'avis de transaction ou de l'extrait de compte correspondant, faute de quoi l'opération est réputée acceptée. Le Tribunal fédéral a admis la validité d'une telle clause, qui implique donc qu'à défaut d'objection formulée en temps utile contre une opération effectuée sans instructions, le client est réputé la ratifier (arrêts 4A_42/2015 du 9 novembre 2015 consid. 5.2; 4A_488/2008 du 15 janvier 2009 consid. 5.1).
3.2.2. Lorsque, par une convention de banque restante, la banque accepte de conserver les avis qu'elle devrait adresser à ses clients, ses communications sont opposables à ceux-ci comme s'ils les avaient effectivement reçues. Le client qui adopte ce mode de communication est censé avoir pris connaissance immédiatement des avis qui lui sont adressés de cette façon; il sera traité de la même façon que le client qui aura réellement reçu le courrier, quant à la fiction d'acceptation d'une opération non contestée dans un certain délai. Ce faisant, le client prend un risque dont il doit supporter les conséquences (arrêt 4A_262/2008 du 23 septembre 2008 consid. 2.3 et les références citées).
3.2.3. En raison des conséquences choquantes que pourrait parfois entraîner l'application stricte de la fiction de réception du courrier, le juge peut faire échec à celle-ci en se fondant sur les règles de l'abus de droit (art. 2 al. 2 CC). Tel est le cas lorsque la banque profite de la fiction de réception du courrier pour agir sciemment au détriment du client, ou lorsqu'après avoir géré un compte pendant plusieurs années conformément aux instructions orales du client, la banque s'en écarte intentionnellement alors que rien ne le laissait prévoir, ou encore lorsqu'elle sait que le client n'approuve pas les actes communiqués en banque restante (arrêts précités 4A_42/2015 consid. 5.2; 4A_262/2008 consid. 2.3 et les références citées). Une négligence comparable doit être assimilée à la lésion intentionnelle (GUGGENHEIM/GUGGENHEIM, Les contrats de la pratique bancaire suisse, 5
e édition 2014, p. 131 s. n. 360 et la note de bas de page 96). Le Tribunal fédéral a ainsi jugé qu'une négligence grave rendait inopposable au client la clause de banque restante dans un cas où la banque avait exécuté un ordre dont la signature était totalement illisible (arrêt 4C.81/2002 du 1
er juillet 2002 consid. 4.3 et la jurisprudence citée).
3.3. La banque a émis le 15 juin 2012 un avis de débit qu'elle a conservé en banque restante. Le 20 juin 2012, sur requête émanant en réalité des pirates, elle a adressé une copie de cet avis par courriel à l'adresse électronique du client.
Comme l'ont souligné à raison les juges cantonaux, c'est par l'effet d'une négligence grave que la défenderesse a ignoré le caractère insolite des instructions de virement reçues le 14 juin 2012, qui aurait dû l'inciter à faire des vérifications supplémentaires (cf. consid. 2.4 supra). Du moment que ces instructions suspectes lui étaient parvenues par des courriels provenant apparemment de la messagerie électronique de son client, la défenderesse aurait dû réaliser que ce mode de communication était susceptible d'être piraté, et qu'elle ne pouvait donc plus inférer que les courriels adressés au demandeur lui parviendraient effectivement. L'interception du courriel du 20 juin 2012 est ainsi imputable à une grave négligence de la défenderesse, qui ne peut dès lors se prévaloir de l'absence d'opposition du client et de la fiction de ratification découlant de l'art. 2 des conditions générales. Il serait choquant de faire supporter au demandeur les conséquences d'une négligence grave de la défenderesse qui, si elle avait fait preuve de la diligence requise, aurait réalisé que les instructions reçues de l'adresse électronique du demandeur étaient suspectes et que cette adresse n'était dès lors pas fiable. Le même raisonnement prévaut s'agissant de la fiction de réception découlant de la clause de banque restante. Comme le relève la Cour de justice, son application stricte reviendrait à faire supporter au client les conséquences du défaut de vigilance de la défenderesse, qui aurait dû réaliser que les instructions de virement étaient suspectes et risquaient de ne pas être ratifiées par le client. La Cour n'a par ailleurs pas violé le droit fédéral en considérant qu'une négligence grave pouvait aussi faire échec à la clause de banque restante.
4.
4.1. La défenderesse soutient que les prétentions du demandeur en restitution des sommes confiées devraient être rejetées en raison de la faute grave qu'il aurait lui-même commise en conservant sa correspondance électronique bancaire sur son compte de messagerie électronique "hotmail". Les juges cantonaux auraient violé les art. 97 et 41 CO en niant l'existence d'une telle faute sur la base d'une constatation manifestement inexacte des faits. A cet égard, les juges auraient indûment retenu que le simple effacement des messages concernés n'aurait pas nécessairement empêché les pirates d'en prendre connaissance et qu'au demeurant, la conservation de ces messages n'avait pas été établie (cf. consid. 1.2 supra).
4.2. Selon la jurisprudence, les prétentions d'un client en restitution d'une somme déposée auprès d'une banque tendent à l'exécution du contrat et non à l'obtention de dommages et intérêts; en conséquence, les règles sur la réduction de l'indemnité pour faute concomitante (art. 99 al. 3 et 44 al. 1 CO) ne s'appliquent pas directement. Cela ne signifie toutefois pas qu'une éventuelle faute du créancier, fût-elle grave, demeurerait sans incidence sur le sort de ses prétentions, celles-ci pouvant au contraire être réduites, voire rejetées de ce chef. Le fondement juridique d'une telle réduction (ou d'un tel rejet) peut résider soit dans une faute contractuelle (art. 97 al. 1 CO; cf. p. ex. l'art. 1132 CO concernant la faute du tireur), soit dans un acte illicite que le créancier aurait lui-même commis (art. 41 CO; p. ex. collusion entre le titulaire du compte et le tiers qui émet un ordre falsifié), auquel cas la banque dispose d'une prétention en dédommagement contre son cocontractant (ATF 112 II 450 consid. 4).
4.3. En l'espèce, la cour cantonale a renoncé à examiner si le fait de conserver la correspondance électronique échangée avec une banque sur un compte de messagerie électronique pouvait constituer une imprudence coupable. En effet, d'une part, une telle conservation ne résultait pas du dossier. D'autre part, il n'était pas établi que le simple effacement des messages concernés aurait empêché les pirates d'en prendre connaissance; la plupart des logiciels de messagerie permettaient de récupérer les données effacées, et celles-ci étaient en tout état susceptibles d'être conservées sous une forme ou une autre par le fournisseur d'accès internet.
4.3.1. Comme le fait observer la défenderesse, elle avait dûment allégué dans sa réponse du 15 octobre 2013 que "le titulaire de l'adresse C.________@hotmail.com conservait tous ses messages et pièces jointes sur son compte de messagerie électronique", et que "quiconque disposait du mot de passe pour ouvrir le compte C.________@hotmail.com pouvait accéder à toute la correspondance avec la [banque]" (allégués 69 et 70). Le demandeur avait alors expressément admis ces allégués dans ses déterminations du 10 février 2014. Or, selon l'art. 150 al. 1 CPC, la preuve a pour objet les faits pertinents et contestés; par conséquent, dans les litiges dont l'objet est à la libre disposition des parties et qui sont soumis comme en l'espèce à la maxime des débats (art. 55 al. 1 CPC), les faits expressément admis par la partie adverse n'ont pas à être prouvés, sous réserve de la faculté laissée au juge par l'art. 153 al. 2 CPC de faire administrer d'office la preuve d'un fait non contesté lorsqu'il existe des motifs sérieux de douter de sa véracité (JACQUES HALDY, in Code de procédure civile commenté, 2011, n° 13 ad art. 55 CPC). En l'espèce, les allégués précités de la défenderesse ont été expressément admis par le demandeur, de sorte qu'ils devaient être tenus pour établis, à défaut de motifs sérieux de douter de leur véracité, et ce quand bien même le demandeur a ensuite cherché à les contester dans une phase ultérieure de la procédure.
4.3.2. La défenderesse conteste que les logiciels de messagerie permettent de récupérer des données effacées et que celles-ci puissent de toute façon être conservées sous une forme ou une autre par le fournisseur d'accès internet, constatation dont les juges cantonaux ont déduit que l'effacement des messages concernés n'aurait pas nécessairement empêché les pirates d'en prendre connaissance. La défenderesse objecte que dans la mesure où il était établi que le demandeur conservait ses messages sur son compte de messagerie électronique, il incombait à celui-ci de prouver que l'effacement des messages concernés aurait empêché les pirates d'en prendre connaissance - ce qu'il n'a pas fait.
Aux termes de l'art. 8 CC, chaque partie doit, si la loi ne prescrit le contraire, prouver les faits qu'elle allègue pour en déduire son droit. Cette règle est considérée comme le principe de base en matière de répartition du fardeau de la preuve en droit privé fédéral (ATF 128 III 271 consid. 2a/aa p. 273). Selon la conception de la doctrine dominante, qui suit la théorie des normes (Normentheorie), le rapport entre les normes matérielles applicables détermine la répartition du fardeau de la preuve. Ce rapport établit de cas en cas si le fait à prouver fait naître un droit (fait générateur), l'éteint, respectivement le modifie (fait destructeur) ou s'il tient en échec cette naissance ou cette extinction (fait dirimant). Celui qui prétend être titulaire d'un droit doit prouver les faits générateurs dont dépend la naissance du droit. En revanche, c'est à celui qui invoque l'extinction d'un droit ou conteste sa naissance ou sa mise en application qu'il incombe de prouver les faits destructeurs ou dirimants (ATF 139 III 13 consid. 3.1.3.1 et les références citées).
En l'espèce, la défenderesse entend faire valoir une prétention en dommages-intérêts qui présuppose un acte illicite - hypothèse non soulevée qui peut être écartée d'emblée - ou une faute contractuelle de la part du demandeur. Il incombe donc à la défenderesse d'établir une telle faute ainsi que l'existence d'un lien de causalité naturelle entre cette faute et le dommage qui fonde sa prétention en dommages-intérêts. Cela étant, du moment que la conservation par le demandeur de ses correspondances électroniques sur son compte de messagerie "hotmail" doit être tenue pour établie et qu'il n'est pas contesté que cette conservation ait constitué une
condicio sine qua non de la survenance du dommage, il incombe au demandeur de prouver le fait dirimant que constituerait la rupture du lien de causalité, à savoir que les pirates, par l'accès à son compte de messagerie, auraient aussi pu prendre connaissance des messages effacés. Or, il n'apparaît pas que le demandeur ait allégué et établi une telle possibilité, laquelle ne pouvait pas être retenue sans autre dès lors qu'elle ne constitue pas un fait notoire (sur cette notion, cf. ATF 135 III 88 consid. 4.1; arrêt 4A_412/2011 du 4 mai 2012 consid. 2.2, non publié à l'ATF 138 III 294).
4.4. Les considérations qui précèdent ne conduisent pas pour autant à admettre que le demandeur aurait commis une faute contractuelle prépondérante qui justifierait de réduire ou rejeter ses prétentions en restitution des sommes confiées à la défenderesse. A cet égard, il sera démontré ci-dessous qu'aucune analogie ne peut être faite avec le précédent cité par la défenderesse, dans lequel le client d'une banque s'était vu reprocher un comportement fautif pour avoir laissé des documents bancaires librement accessibles dans le bureau de sa maison, dont il avait donné les clés à ses hôtes qui laissaient venir des visiteurs dont le client n'avait pas la maîtrise et dont il se méfiait, au point de se sentir menacé (ATF 111 II 263 consid. 2a).
Comme l'ont relevé les juges cantonaux, il n'est nullement établi en l'espèce que le demandeur aurait insuffisamment protégé sa messagerie électronique; on ignore la manière dont les pirates sont parvenus à en prendre le contrôle et, par voie de conséquence, les mesures qui auraient permis d'empêcher cette prise de contrôle. L'argumentation de la défenderesse se fonde sur de simples conjectures (mot de passe insuffisamment complexe, accès par des ordinateurs non protégés, etc.), qui présupposent que si des tiers ont pu prendre le contrôle de la messagerie du demandeur, cela tient au fait que celui-ci n'a pas pris les mesures de sécurité que l'on pouvait attendre de lui. Or, cette hypothèse est erronée: il est en effet notoire que ces dernières années, de nombreux services gouvernementaux et entreprises privées - dont on peut penser qu'ils avaient pris des précautions raisonnables pour se protéger contre une telle éventualité - ont fait l'objet d'attaques informatiques parfois couronnées de succès de la part de tiers mal intentionnés. On ne saurait dès lors présumer sans autre examen qu'une prise de contrôle comme celle dont a été victime le demandeur implique nécessairement un défaut de diligence de sa part.
Ainsi, la situation d'un client à qui l'on ne peut reprocher d'avoir pris des précautions insuffisantes pour empêcher l'accès à sa messagerie électronique - protégé par un mot de passe - n'est en rien comparable à celle d'un client qui laisse ses documents bancaires librement accessibles dans le bureau de sa maison fréquentée par des visiteurs dont le client n'a pas la maîtrise, et dont il se méfie.
En tout état de cause, même s'il fallait imputer une faute au demandeur, il y aurait lieu, dans ce cas, de prendre en considération la disproportion manifeste existant entre cette faute légère et la grave négligence commise par la défenderesse, ce qui conduirait à refuser à cette dernière l'allocation de dommages-intérêts, conformément à l'art. 44 al. 1 CO applicable en vertu de l'art. 99 al. 3 CO.
5.
5.1. La défenderesse conteste devoir rembourser au demandeur les frais judiciaires et d'avocat engagés à raison des procédures qu'il a initiées devant les juridictions de Hong Kong. Elle conteste également devoir des intérêts moratoires liés aux transferts litigieux de 120'000 USD, 185'000 USD et 230'700 fr. L'autorité précédente aurait appliqué à tort les règles sur la gestion d'affaires sans mandat (art. 419 ss CO) et aurait dû opposer au demandeur la transaction par laquelle il a renoncé à une partie de ses prétentions.
5.2. L'art. 422 al. 1 CO prévoit que lorsque l'intérêt du maître commandait que la gestion fût entreprise, celui-ci doit rembourser au gérant, en principal et intérêts, toutes ses dépenses nécessaires ainsi que ses dépenses utiles justifiées par les circonstances. Cette disposition peut être invoquée par celui qui a donné à sa gestion les soins nécessaires, même si le résultat espéré n'a pas été obtenu (art. 422 al. 2 CO). Le gérant sans mandat répond de toute négligence ou imprudence (art. 420 al. 1 CO). Sa responsabilité doit toutefois être appréciée avec moins de rigueur quand il a géré l'affaire du maître pour prévenir un dommage dont celui-ci était menacé (art. 420 al. 2 CO). Tel le mandataire (art. 400 CO), il est tenu de rendre compte de sa gestion et de remettre au maître ce qu'il a reçu pour lui ( art. 419 et 420 CO ; ATF 112 II 450 consid. 5 p. 458 et les références citées).
5.3. Les juges cantonaux ont fait en substance l'analyse suivante: les frais judiciaires et d'avocat engagés par le demandeur à raison des procédures ouvertes devant les juridictions de Hong Kong ne constituaient pas un dommage qui soit en relation de causalité naturelle et adéquate avec une violation des obligations contractuelles par la banque. Dans la mesure où elle ne s'était pas valablement libérée de son obligation de restituer les fonds déposés ou prêtés par le demandeur, la banque n'avait jamais cessé d'en être la débitrice. Le demandeur n'avait subi aucun dommage puisqu'il demeurait créancier de la banque et n'avait ainsi pas à engager des frais judiciaires et d'avocat aux fins de diminuer un dommage inexistant. Toutefois, en agissant contre les auteurs présumés des ordres frauduleux devant les juridictions de Hong Kong, le demandeur entendait récupérer les fonds détournés pour le cas où sa créance contre la défenderesse ne serait pas reconnue. Il admettait en revanche que, dans l'hypothèse où il obtiendrait gain de cause contre la défenderesse, il ferait profiter cette dernière des montants recouvrés au terme des procédures engagées à Hong Kong; il avait du reste modifié ses conclusions en ce sens une fois ces procédures terminées et les montants effectivement obtenus. En agissant de la sorte, le demandeur avait, au moins à titre éventuel, géré sans mandat les affaires de la défenderesse au sens de l'art. 419 CO (ATF 112 II 450 consid. 5).
En outre, poursuivait la cour cantonale, la gestion avait été entreprise dans l'intérêt du maître, dès lors qu'elle avait permis à la défenderesse de recouvrer - par le biais d'une imputation sur les prétentions du demandeur à son encontre - les montants versés sans instruction valide les 15 juin, 31 juillet et 8 août 2012, dont elle était appauvrie. Conformément à l'art. 422 al. 1 CO, la défenderesse était dès lors tenue de rembourser au demandeur, en principal et intérêts, les frais judiciaires et d'avocat engagés par ce dernier, dont leur nécessité, ou du moins leur utilité et leur justification n'était pas contestée.
5.4. Devant le Tribunal fédéral, la défenderesse ne paraît plus soutenir que le demandeur aurait mal géré ses intérêts en passant la transaction incriminée et aurait ainsi engagé sa responsabilité au sens de l'art. 420 al. 1 CO. En revanche, elle relève que le demandeur n'a pas allégué ni prouvé qu'elle n'était pas en mesure d'agir elle-même, respectivement qu'il aurait été empêché de solliciter son avis avant de signer la transaction excluant le remboursement des frais et intérêts. Toutefois, comme le relève à raison le demandeur, la défenderesse a admis en instance d'appel seulement que les ordres litigieux étaient frauduleux; on peut donc inférer que tout au long de la procédure de première instance, elle n'avait aucune intention d'agir à l'encontre des pirates informatiques dans la mesure où elle ne reconnaissait pas que le demandeur avait été victime d'un piratage. Par ailleurs, les termes de la transaction étaient favorables au demandeur (qui, à ce moment, n'avait pas encore la certitude de gérer l'affaire de la banque), respectivement à la défenderesse, en ce sens qu'ils levaient les incertitudes liées aux procédures de relief alors en cours tout en sauvegardant les condamnations obtenues sur le fond, garantissaient l'exécution desdites condamnations et évitaient les frais judiciaires et d'avocat qu'aurait entraînés la poursuite des procédures de relief. La défenderesse ne saurait par ailleurs de bonne foi reprocher au demandeur de ne pas avoir obtenu ni recherché son accord avant de conclure cette convention alors qu'elle-même, estimant devoir faire supporter par le client le préjudice lié aux ordres de virement frauduleux, ne se sentait pas concernée par les procédures engagées contre les auteurs présumés de ces ordres. Au vu des éléments qui précèdent, la condamnation de la défenderesse au paiement des frais d'avocat échappe à la critique sous l'angle de la gestion d'affaires sans mandat.
5.5. S'agissant du paiement des intérêts moratoires liés aux transferts de 120'000 USD, 185'000 USD et 230'700 fr., la défenderesse soutient à tort que la renonciation au paiement d'intérêts contenue dans la transaction passée à Hong Kong serait opposable au demandeur en application de l'art. 2 CC et de l'interdiction du
venire contra factum proprium. En effet, le demandeur, en concluant une convention à l'étranger avec des tiers dans le cadre de l'art. 419 CO, ne renonçait pas pour autant à sa créance découlant d'une action en exécution contre la banque et disposait toujours du droit de faire valoir le paiement des intérêts moratoires contre celle-ci.
Par ailleurs, contrairement à ce que soutient la défenderesse, l'art. 114 CO n'est pas non plus applicable. En effet, l'obligation principale de la défenderesse envers le demandeur réside dans l'action en exécution découlant des rapports contractuels entre les parties. Cette obligation n'est pas éteinte en vertu de la transaction que le demandeur a passée à Hong Kong: agissant sur la base de la gestion d'affaires sans mandat, il a éteint une créance de la défenderesse contre la société H.________ Limited et son administratrice, mais sa propre créance contre la défenderesse demeurait; cette créance a été éteinte, s'agissant du capital, par la créance de la défenderesse résultant de la gestion d'affaires (art. 400 CO par analogie), mais les intérêts moratoires sur la créance du demandeur restent dus.
6.
Il résulte de ce qui précède que le recours doit être rejeté.
Vu l'issue du recours, les frais de la présente procédure seront mis à la charge de la défenderesse (art. 66 al. 1 LTF). Celle-ci versera en outre au demandeur une indemnité de 6'500 fr. à titre de dépens ( art. 68 al. 1 et 2 LTF ).
Par ces motifs, le Tribunal fédéral prononce :
1.
Le recours est rejeté.
2.
Les frais judiciaires, arrêtés à 5'500 fr., sont mis à la charge de la défenderesse.
3.
La défenderesse versera au demandeur une indemnité de 6'500 fr. à titre de dépens.
4.
Le présent arrêt est communiqué aux mandataires des parties et à la Chambre civile de la Cour de justice du canton de Genève.
Lausanne, le 5 décembre 2016
Au nom de la Ire Cour de droit civil
du Tribunal fédéral suisse
La Présidente: Kiss
La Greffière: Monti