La Cour de cassation (12 juin 2025, n° 24-13.777) confirme et consolide sa position jurisprudentielle sur les fraudes bancaires par usurpation de numéro (« spoofing »).

L’article L. 133-18 du Code monétaire et financier prévoit qu’en cas d’opération de paiement non autorisée signalée dans un délai de 13 mois, le prestataire de services de paiement doit rembourser immédiatement le montant litigieux, sous peine de verser en plus une indemnité.

Toutefois, l’article L. 133-19, IV déroge à ce principe si l’utilisateur a fait preuve de « négligence grave », c’est-à-dire d’une légèreté manifeste.

La présente affaire portait sur la caractérisation de cette négligence.

Les faits

Une personne salariée d'une société reçoit l'appel d’un individu se présentant comme un technicien de la banque de ladite société.

Il lui demande d’effectuer diverses manipulations via le service de paiement à distance pour soi-disant rétablir des écritures disparues.

Ces manipulations entraînent deux virements vers des comptes en Allemagne pour un total de 98 000 €.

La société affirmant ne pas avoir autorisé ces paiements, assigne sa banque en remboursement.

Procédure
La cour d’appel de Paris condamne la banque à rembourser la société, ce qui la banque à se pourvoir en cassation et soutenir que la salariée a, par négligence grave, communiqué des données de sécurité à un interlocuteur dont la demande aurait dû éveiller la méfiance, violant ainsi ses obligations de prudence (art. L. 133-16 et L. 133-19).

Décision de la Cour de cassation

Elle rappelle qu’il incombe à la banque de démontrer la faute ou la négligence grave du client.

Or, la cour d’appel, après avoir examiné les auditions, a constaté que :

  • L’escroc s'est fait passer pour un employé de la banque et a utilisé un numéro attribué à celle-ci.

  • L'escroc connaissait les opérations effectuées avant l’appel, renforçant la crédibilité de son discours.

  • Le salarié avait manipulé le dispositif de sécurité personnalisé, mais sans fournir son mot de passe.

Ces éléments ont conduit la cour d’appel à écarter la qualification de négligence grave.

La Cour de cassation valide cette analyse et rejette le pourvoi.

Analyse
Cette décision s’inscrit dans la lignée d’un arrêt du 23 octobre 2024, où la Cour de cassation avait déjà jugé qu’aucune négligence grave ne peut être retenue si la victime utilise son dispositif de sécurité à la demande d’un escroc usurpant le numéro de la banque. Plusieurs juridictions du fond suivent désormais cette position.

 

Pour me contacter

Me Grégory ROULAND - avocat au Barreau de PARIS

Tél. : 0689490792

Mail : gregory.rouland@outlook.fr

 Site : https://sites.google.com/view/gregoryrouland/accueil