Le phénomène du « spoofing », ou usurpation d’identité téléphonique, continue de nourrir un contentieux dense en matière de services de paiement. Ces fraudes particulièrement sophistiquées reposent sur la capacité des escrocs à imiter à la perfection les canaux officiels de communication des établissements bancaires.

L’appel semble provenir du véritable numéro du service client, le discours est rodé, les références exactes, et les fraudeurs obtiennent ainsi le consentement apparent du client pour valider des opérations dont il ne perçoit pas le caractère frauduleux.

Dans une décision du 16 octobre 2025 (TJ Nancy, 16 octobre 2025, n° 23/02365), le Tribunal judiciaire de Nancy a condamné la société Arkéa Direct Bank à rembourser ses client suite à d’un appel frauduleux [1]. Cette décision s’inscrit dans la droite ligne d’une jurisprudence protectrice du payeur et renforce la portée de l’exigence d’authentification forte, pierre angulaire du dispositif européen de sécurisation des paiements instauré par la directive (UE) 2015/2366, dite DSP2.

Les faits jugés par le tribunal judiciaire de Nancy.

Le 6 juin 2023, un client de la banque Fortuneo reçoit un courriel prétendument émanant de son établissement, l’informant d’une possible fraude à sa carte bancaire. Quelques heures plus tard, il est contacté par téléphone par un interlocuteur se présentant comme un conseiller du centre des oppositions Fortuneo.

L’appel affiche bien le numéro officiel du service client. Rassuré par cette apparente authenticité, le client suit les instructions de son interlocuteur et réalise plusieurs virements vers des comptes tiers. Ce n’est qu’après coup qu’il réalise avoir été victime d’une escroquerie par hameçonnage téléphonique, les fonds ayant été transférés vers des comptes Revolut.

Dès le jour même, la victime signale la fraude à son établissement et dépose plainte le lendemain.

Par l’intermédiaire de son conseil, elle met en demeure la banque de procéder au remboursement, en vain. Assignée devant le Tribunal judiciaire de Nancy, la société Arkéa Direct Bank oppose une négligence grave du client et soutient que les opérations litigieuses, ayant été « authentifiées », sont réputées autorisées.

Le cadre juridique de l’affaire.

Le litige est tranché à la lumière des articles L. 133-16 à L. 133-19 du Code monétaire et financier, issus de la transposition de la directive DSP2. Ces dispositions établissent une répartition claire des obligations et de la charge de la preuve.

Le payeur doit préserver la confidentialité de ses données de sécurité personnalisées et signaler toute opération non autorisée.

Mais c’est à la banque, en tant que prestataire de services de paiement, qu’il appartient de démontrer que l’opération litigieuse a été authentifiée, enregistrée, comptabilisée, et qu’elle n’a pas été affectée par une déficience technique.

Surtout, l’article L. 133-19, V dispose que, sauf agissement frauduleux du payeur, celui-ci ne supporte aucune conséquence financière si l’opération non autorisée a été effectuée sans qu’une authentification forte ait été exigée. Cette disposition consacre un principe cardinal : la sécurité du système de paiement relève avant tout de la responsabilité du prestataire. La négligence du client, même grave, ne saurait suffire à le priver de remboursement si la banque n’a pas respecté ses obligations techniques.

L’analyse du Tribunal : une absence d’authentification forte décisive.

Le Tribunal judiciaire de Nancy relève tout d’abord que les opérations litigieuses ont été exécutées en ligne pendant l’appel téléphonique du fraudeur, lequel avait parfaitement usurpé le numéro du service client de la banque.

L’établissement ne démontre pas que ces opérations aient été précédées d’une authentification forte, se bornant à invoquer une « authentification conforme ».

Or, aucun des relevés produits aux débats ne mentionne l’utilisation d’un code de sécurité supplémentaire ou d’une procédure de double validation.

Le tribunal constate en outre que deux nouveaux bénéficiaires avaient été ajoutés au compte le jour des virements, opérations particulièrement sensibles qui auraient dû, selon la réglementation, déclencher une authentification forte du client. L’absence de toute trace d’un tel dispositif établit, selon les juges, une défaillance du système de sécurité de la banque.

Dès lors, la condition posée par l’article L133-19, V du Code monétaire et financier n’étant pas remplie, le client ne saurait supporter la perte.

La juridiction souligne que la négligence de la victime, même grave, est insuffisante pour l’exonérer de sa responsabilité en l’absence d’authentification forte. Ce raisonnement, rigoureux et conforme à la jurisprudence récente de la Cour de cassation [2], réaffirme la primauté du respect par la banque de ses obligations de sécurité.

Le tribunal en tire la conséquence logique : Arkéa Direct Bank est condamnée à rembourser intégralement les sommes détournées, soit 19 900 euros, à verser 2 000 euros au titre de l’article 700 du Code de procédure civile, et à supporter les dépens. La décision est assortie de l’exécution provisoire de droit.

Une portée jurisprudentielle claire : la protection accrue du consommateur face au spoofing.

Cette décision illustre la vigilance croissante des juridictions face à la sophistication des fraudes par spoofing. L’usurpation du numéro d’appel, souvent indétectable par le client, rend illusoire toute possibilité de prévention à son niveau.

Le tribunal reconnaît implicitement cette réalité : la vigilance du consommateur ne peut compenser les défaillances des dispositifs de sécurité de la banque, notamment lorsqu’aucune authentification forte n’a été exigée.

La décision de Nancy s’inscrit dans une tendance jurisprudentielle nette : la charge de la preuve et la responsabilité technique reposent sur le prestataire de services de paiement. L’authentification forte devient ainsi le pivot de la responsabilité bancaire. Elle ne se réduit pas à une formalité procédurale, mais constitue une obligation de sécurité essentielle, dont le non-respect entraîne automatiquement la responsabilité de l’établissement.

Cette position contribue à une harmonisation bienvenue du droit des fraudes numériques, dans un contexte où les escroqueries téléphoniques explosent et où les moyens de fraude s’adaptent constamment aux protocoles bancaires. Elle rappelle aux établissements l’impérieuse nécessité d’évoluer vers des dispositifs de sécurité réellement inviolables, sous peine de devoir indemniser systématiquement les victimes.