Le scénario est malheureusement devenu familier. Un appel téléphonique dont le numéro affiché est celui de votre banque. Une voix rassurante qui vous alerte sur des opérations suspectes. Une urgence qui vous pousse à agir vite. Et, au bout du fil, non pas votre conseiller, mais un escroc professionnel qui a usurpé le numéro de votre établissement.

Jusqu’ici, la jurisprudence de la Cour de cassation était plutôt protectrice pour les victimes de ce type de fraude — le spoofing téléphonique. Par deux arrêts des 23 octobre 2024 et 12 juin 2025, la Chambre commerciale avait jugé que l’usurpation du numéro officiel de la banque suffisait à écarter la négligence grave du client trompé : comment soupçonner une fraude lorsque le numéro affiché est bien celui de son propre établissement ?

Par un arrêt du 4 mars 2026 (n° 24-19.588), publié au Bulletin, la même Chambre commerciale vient nuancer, voire infléchir cette ligne. Sa règle : le spoofing ne suffit plus, à lui seul, à écarter toute négligence grave. Si la victime a reçu un message de confirmation explicite indiquant qu’elle était en train de valider un paiement et non d’en annuler un, elle aurait dû suspecter la fraude. Et si elle ne l’a pas fait, elle peut se voir opposer sa propre négligence.

Cet arrêt appelle une analyse attentive — tant pour ce qu’il dit que pour ce qu’il refuse de prendre en compte.

_____

1. Les faits : une fraude par spoofing, classique dans sa forme

En septembre 2022, le titulaire d’un compte bancaire auprès de la Banque CIC Ouest, reçoit un appel téléphonique. Sur son écran s’affiche le numéro officiel de son agence bancaire. L’interlocuteur se présente comme un préposé de l’établissement, lui signale des opérations suspectes en cours, et l’invite à se connecter à son application bancaire mobile pour les « annuler » immédiatement.

Trois éléments confortent la crédibilité apparente de l’appel :

  • Le numéro affiché est celui de l’agence bancaire réelle (spoofing téléphonique).
  • L’appel intervient pendant les heures d’ouverture de l’agence.
  • Le scénario développé par l’escroc — des virements frauduleux à bloquer d’urgence — est parfaitement calibré pour provoquer un état de stress et empêcher toute réflexion sereine.

Le client suit les instructions de son interlocuteur. Il se connecte à son application bancaire et valide les opérations demandées, convaincu qu’il s’agit d’annulations de débits frauduleux. Les 8 et 9 septembre 2022, il constate que deux opérations non sollicitées ont été débitées de son compte : 3 946 euros au total.

Il alerte immédiatement sa banque, conteste les opérations, et l’assigne en justice devant le tribunal de proximité de Morlaix du fait du refus de remboursement de sa banque.

_____

2. Le jugement du tribunal de proximité : une décision protectrice de la victime

Par jugement du 18 juin 2024, le tribunal de proximité de Morlaix donne raison au client et condamne la Banque CIC Ouest à lui rembourser les sommes débitées.

Le tribunal fonde sa décision sur deux piliers. D’une part, il retient que la banque a manqué à son devoir de surveillance et de vigilance prévu à l’article L. 561-6 du Code monétaire et financier. D’autre part, il estime que M. V. n’a commis aucune négligence grave, compte tenu des circonstances particulièrement trompeuses de la fraude : l’usurpation du numéro officiel de l’agence, l’appel pendant les heures d’ouverture, le scénario d’urgence. Il était « logique » que le client ait cru suivre les instructions de sa banque.

La banque se pourvoit en cassation, invoquant trois moyens. Deux sont accueillis par la Cour de cassation, et ils suffisent à provoquer la cassation intégrale du jugement.

_____

3. Premier apport : les obligations LCB-FT ne peuvent pas fonder une action en responsabilité civile

La première règle posée par l’arrêt du 4 mars 2026 concerne le fondement de la responsabilité bancaire. Le tribunal avait condamné la banque en invoquant l’article L. 561-6 du Code monétaire et financier, qui impose aux établissements financiers des obligations de vigilance dans le cadre de la lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT).

La Cour de cassation énonce un principe : « L’obligation de vigilance à l’égard de la clientèle imposée aux organismes financiers en application des articles L. 561-4-1 à L. 561-14-2 du code monétaire et financier a pour seule finalité la lutte contre le blanchiment de capitaux et le financement du terrorisme. En conséquence la victime d’agissements frauduleux ne peut se prévaloir de leur inobservation pour réclamer des dommages et intérêts à l’organisme financier. »

La distinction est fondamentale : les obligations LCB-FT protègent l’intérêt général (la lutte contre les flux financiers illicites), pas les intérêts individuels des clients. Elles engagent une responsabilité administrative ou pénale envers les autorités de contrôle, non une responsabilité civile envers les victimes de fraude. Le tribunal de Morlaix avait commis une erreur de droit en les invoquant.

Cette règle ne signifie pas que les banques sont exonérées de toute responsabilité : elles restent tenues par leurs obligations contractuelles de sécurité, leur devoir de mise en garde, et les dispositions spécifiques du Code monétaire et financier sur les services de paiement. Mais le terrain de la LCB-FT n’est pas le bon.

_____

4. Second apport : le message de confirmation comme élément d’appréciation de la négligence grave

C’est le deuxième apport de l’arrêt — et le plus important, tant sur le plan pratique que sur le plan doctrinal.

L’article L. 133-19 du Code monétaire et financier dispose que le client supporte les pertes liées à des opérations non autorisées s’il a agi avec négligence grave, notamment en manquant à ses obligations de sécurité ou aux conditions d’utilisation de ses instruments de paiement (art. L. 133-16 CMF). Le principe inverse — le remboursement par la banque — est la règle en cas d’absence de négligence grave.

Le tribunal de proximité avait estimé que le spoofing, dans les circonstances de l’espèce, écartait toute négligence grave. La banque faisait valoir un élément que le tribunal n’avait pas pris en compte : le client avait reçu, au moment de valider les opérations, un message sur son téléphone indiquant explicitement :

« Vous allez confirmer un paiement. Il ne s’agit ni d’un remboursement, ni d’une annulation. »

Ce message était clair, non ambigu, et directement contradictoire avec ce que l’escroc lui demandait de faire : « annuler » des opérations frauduleuses.

La Cour de cassation casse le jugement pour défaut de base légale : le tribunal n’avait pas recherché si, à la réception de ce message, M. V. « n’était pas en mesure de suspecter le caractère frauduleux de ces opérations ». Cette absence de recherche prive la décision de base légale.

La conséquence est lourde : l’affaire est renvoyée devant le tribunal judiciaire de Brest, qui devra réexaminer l’ensemble du dossier en tenant compte de cet élément. Il est possible que le client obtienne finalement gain de cause — mais il devra, cette fois, convaincre les juges que, malgré ce message, son état au moment des faits ne lui permettait pas de détecter la fraude.

_____

5. Ce que cela signifie concrètement

L’enseignement pratique est double.

Pour les victimes de spoofing : la seule usurpation du numéro de la banque ne suffit désormais plus automatiquement à écarter la négligence grave. Il faut, en plus, démontrer que le contexte dans lequel la fraude est survenue — et notamment la teneur des messages reçus — ne permettait pas de détecter l’escroquerie. Si un message explicite a été reçu, il faudra établir pourquoi ce message n’a pas permis à la victime de suspecter la fraude : état de stress, lisibilité limitée, contexte de manipulation intense.

Pour les banques : l’arrêt leur offre une voie d’exonération plus large qu’avant. Si elles peuvent établir que leurs messages de confirmation étaient clairs et non ambigus, elles pourront invoquer la négligence grave du client avec davantage de chances de succès. Le risque est qu’elles multiplient les messages d’alerte au détriment d’un investissement réel dans la détection des opérations suspectes.

_____

Vous avez été victime d’un spoofing et votre banque vous oppose votre négligence grave ?

L’arrêt du 4 mars 2026 durcit les conditions d’équivalence du spoofing, mais il ne ferme pas toutes les portes. Le message de confirmation était-il vraiment clair ? Êtiez-vous dans un état de stress tel que toute analyse critique était impossible ? La banque a-t-elle manqué à ses propres obligations de détection ? Un premier échange gratuit permet d’évaluer votre situation.

→ thomas.gauriat@tga-avocat.fr  |  07.61.77.20.83 | thomas-gauriat-avocat.fr