La fraude bancaire par spoofing téléphonique s’impose aujourd’hui comme l’une des formes les plus redoutables d’escroquerie financière. En usurpant l’identité même de l’établissement bancaire, les fraudeurs parviennent à placer leurs victimes dans un climat de confiance et d’urgence, altérant profondément leur capacité de discernement.

Dans ce contexte, les litiges opposant les clients aux établissements bancaires se multiplient. Les banques opposent fréquemment la négligence grave de l’utilisateur pour refuser tout remboursement, au risque de banaliser une notion qui doit pourtant
demeurer d’interprétation stricte.

Un récent arrêt rendu par la Cour d’appel de Toulouse le 6 janvier 2026 (n°23/04208), constitue à cet égard une décision de référence. Il illustre une lecture rigoureuse et protectrice du régime des opérations de paiement non autorisées, et rappelle avec netteté les limites dans lesquelles la responsabilité du client peut être engagée.

I. Une escroquerie bancaire révélatrice des mécanismes du spoofing.

Monsieur et Madame L. étaient titulaires de plusieurs comptes bancaires auprès de la Banque Populaire Occitane, incluant des comptes professionnels et un compte joint.

Le 24 décembre 2021, Monsieur a reçu un appel téléphonique provenant d’un numéro correspondant à celui du service officiel d’opposition de sa banque. Son interlocuteur, se présentant comme un agent du service antifraude, l’a alors alerté de l’existence d’opérations suspectes et l’a invité à se connecter sans délai à son espace bancaire en ligne CyberPlus afin de sécuriser ses comptes.

Au cours de cette connexion, plusieurs virements ont été exécutés au profit de comptes tiers, pour un montant total de 10.250 €. Monsieur L. a validé à plusieurs reprises des codes de sécurité reçus par sms, persuadé d’agir pour neutraliser une fraude en cours. Ce n’est qu’ultérieurement, après échange avec le véritable service antifraude, qu’il a compris avoir été victime d’une escroquerie par spoofing téléphonique. Une plainte a été déposée. Un seul virement est récupéré, les autres demeurant définitivement perdus.

II. Une divergence d’appréciation entre les juges du fond.

Par jugement du 17 novembre 2023, le tribunal judiciaire de Toulouse a adopté une position intermédiaire. Il refuse le remboursement des virements sur le fondement du régime des opérations "non autorisées", estimant que le client avait commis une
négligence grave, mais a retenu néanmoins un manquement de la banque à son devoir de vigilance, donnant lieu à une indemnisation partielle.

Cette analyse, fondée sur une dissociation entre le régime spécial du code monétaire et financier et la responsabilité contractuelle de droit commun, a toutefois été remise en cause par la cour d’appel.

Saisie de l’appel principal de la banque et de l’appel incident des clients, la cour a procédé à une relecture complète du cadre juridique applicable et a infirmé la décision de première instance sur les points essentiels.

III. Le rappel du caractère exclusif du régime des opérations non autorisées.

La cour d’appel a rappelé avec fermeté que, lorsqu’une opération de paiement non autorisée est invoquée, le régime des articles L133-18 à L133-24 du Code monétaire et financier est exclusif de tout autre fondement de responsabilité.

Il en résulte que la banque est tenue de rembourser immédiatement les sommes litigieuses, sauf à démontrer une fraude ou une négligence grave imputable à l’utilisateur. La charge de la preuve pèse entièrement sur le prestataire de services de paiement, lequel doit établir que l’opération a été authentifiée, dûment enregistrée et qu’elle n’a pas été affectée par une défaillance technique ou organisationnelle.

La cour a précisé que la seule utilisation d’un dispositif d’authentification forte ne permettait ni de présumer le consentement du client, ni de caractériser une faute grave de sa part.

IV. Le consentement du client à l’épreuve de l’escroquerie téléphonique.

L’un des apports majeurs de l’arrêt réside dans la qualification des opérations litigieuses. Pour la cour, les virements exécutés dans un contexte de spoofing téléphonique ne peuvent être regardés comme autorisés dès lors que le consentement du client est vicié par les manœuvres frauduleuses. Cette décision ne peut qu’être approuvée, et suit en réalité le raisonnement jurisprudentiel actuel, contrairement à ce que tente de soutenir les banques.

Le fait pour l’utilisateur d’avoir validé des codes de sécurité ne suffit par ailleurs pas à établir une volonté libre et éclairée de transférer des fonds au profit de tiers. En croyant suivre les instructions de sa banque afin de sécuriser ses comptes, le client n’a pas consenti juridiquement aux opérations litigieuses.

Cette approche s’inscrit dans une jurisprudence désormais bien établie, qui refuse toute assimilation automatique entre validation technique et consentement juridique.

V. Une appréciation concrète et restrictive de la négligence grave.

La cour a rappelé que la négligence grave suppose un comportement d’une particulière gravité, excédant la simple imprudence ou l’erreur d’appréciation. Elle doit être appréciée in concreto, au regard des circonstances propres à chaque affaire.

En l’espèce, plusieurs éléments excluent toute faute grave du client. L’escroquerie repose sur une usurpation crédible du numéro bancaire, un discours technique et rassurant, un contexte d’urgence lié à la période des fêtes et l’absence de communication volontaire des identifiants bancaires. Monsieur L. a validé des codes en pensant procéder à une opération de sécurisation, et non pour transférer des fonds à des tiers.

La cour a relevé également que la banque elle-même a détecté des anomalies et déclenché une alerte interne, sans être en mesure d’empêcher l’exécution des virements litigieux. Dans ces conditions, aucun comportement gravement fautif ne peut être reproché au client.

VI. La condamnation intégrale de la Banque Populaire Occitane.

Faute de rapporter la preuve d’une négligence grave, la cour d’appel a condamné la Banque Populaire Occitane à rembourser l’intégralité des 10.250 € correspondant aux virements non autorisés, outre les intérêts légaux. Elle a mis également à la
charge de la banque l’intégralité des dépens ainsi qu’une indemnité au titre des frais irrépétibles exposés en appel.

La cour a écarté toute analyse fondée sur la responsabilité contractuelle de droit commun, le régime spécial du code monétaire et financier suffisant à fonder la condamnation.

Cet arrêt confirme une évolution jurisprudentielle favorable aux victimes de fraude bancaire. Les juridictions du fond adoptent une approche de plus en plus réaliste des mécanismes de spoofing et refusent une lecture purement technique des obligations
pesant sur les clients.

La décision interroge également les pratiques des établissements bancaires. La détection d’anomalies, lorsqu’elle intervient tardivement, ne saurait suffire à démontrer la diligence de la banque ni à transférer le risque de fraude sur le client.

Par cette décision du 6 janvier 2026, la Cour d’appel de Toulouse réaffirme avec force que le risque de fraude bancaire ne peut être supporté par le client sans preuve circonstanciée d’un comportement gravement fautif.

L’arrêt s’inscrit dans une jurisprudence exigeante à l’égard des établissements bancaires, conforme à la philosophie même de la Directive DSP2 du 15 novembre 2025, transposée en droit français.

Virginie Audinot, Avocat
Barreau de Paris
Audinot Avocat
www.fraude-bancaire.fr