Le raisonnement est désormais bien ancré en première instance : le client qui valide une opération à la demande d'un escroc se serait montré imprudent. La Cour d'appel de Versailles vient de le rejeter avec une clarté qui mérite attention. Dans un arrêt du 29 janvier 2026, elle infirme un jugement du tribunal judiciaire de Versailles et condamne la Caisse d'Épargne Île-de-France à rembourser intégralement une victime de fraude bancaire, 10 000 euros au total, augmentés de 2 000 euros de dommages-intérêts pour préjudice moral.
Ce qui retient l'attention dans cet arrêt, c'est la formulation retenue par la cour : elle qualifie expressément les faits de « tromperie structurée » et de « manipulation psychologique caractérisée ». Deux notions qui, réunies, ferment la porte à toute qualification de négligence grave au sens de l'article L. 133-19 du Code monétaire et financier.
_____
1. Les faits : une mécanique de fraude téléphonique rodée
Le 6 avril 2022, Mme C., titulaire d'un compte courant à la Caisse d'Épargne Île-de-France, reçoit un appel téléphonique. L'appelant se présente comme un employé du service de lutte anti-fraude de l'établissement. Il connaît ses coordonnées complètes, son numéro de téléphone, et l'identité de ses comptes.
L'interlocuteur l'informe qu'un virement suspect de 9 500 euros serait en attente sur son compte. Pour le bloquer, il lui demande de valider un « contre-ordre de virement » à réception d'un SMS. Mme C. s'exécute, convaincue d'agir pour protéger ses avoirs. Un paiement par carte bancaire de 500 euros est également enregistré le même jour.
Le soir même, alertée par sa fille, elle appelle sa banque et découvre la réalité : deux opérations frauduleuses viennent d'être débitées pour un total de 10 000 euros. Elle dépose plainte dès le 8 avril 2022.
La Caisse d'Épargne refuse de rembourser, invoquant successivement la qualification d'opérations autorisées et, à titre subsidiaire, la négligence grave de sa cliente. La médiation, tentée en août 2022, échoue. Mme C. assigne la banque en janvier 2023. Le tribunal judiciaire de Versailles la déboute en octobre 2024 — c'est ce jugement que la Cour d'appel infirme totalement.
____
2. Des paiements non autorisés : une qualification qui ne souffre plus de discussion
La question préalable est celle de la qualification des opérations. La Caisse d'Épargne plaidait leur caractère autorisé, se fondant sur le fait que Mme C. avait elle-même saisi son code PIN pour valider les opérations via le dispositif Secur'Pass.
La cour rappelle le principe posé par la Cour de cassation : « cette preuve ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés » (Cass. com., 18 janvier 2017, n° 15-18102). L'utilisation du dispositif d'authentification ne présume pas le consentement du payeur.
En l'espèce, la cour relève que le fraudeur a pu, par des techniques d'usurpation d'identité, détourner à son profit l'instrument de paiement de Mme C. à son insu. Les opérations sont donc qualifiées de paiements non autorisés au sens de l'article L. 133-6 du CMF. Sur ce point, le jugement de première instance est approuvé.
_____
3. Les logs Secur'Pass : quand les fichiers techniques de la banque révèlent sa propre défaillance
Cette partie de l'arrêt est, du point de vue de la stratégie contentieuse, la plus riche d'enseignements. Elle illustre concrètement comment les relevés techniques produits par la banque elle-même peuvent devenir l'instrument probatoire de la victime.
3.1 Ce que les logs Secur'Pass révèlent dans cette affaire
Mme C. a versé aux débats le relevé des opérations Secur'Pass produit par la banque et en a tiré une série d'anomalies manifestes :
- Deux téléphones portables distincts se sont connectés au système Secur'Pass le 6 avril 2022, alors que Mme C. n'utilise qu'un seul terminal habituel ;
- Les validations ont été effectuées via l'opérateur Orange, alors que Mme C. est abonnée à l'opérateur Free — incohérence directe avec son profil habituel ;
- Un grand nombre d'adresses IP différentes ont été enregistrées le 6 avril 2022, aucune ne correspondant à l'adresse IP habituelle de Mme C. ;
- Les connexions de validation provenaient de l'Ardèche, puis d'une autre localité, sans cohérence géographique avec la situation de Mme C. ;
- 67 échecs de connexion ont été enregistrés dans l'espace personnel les 6 et 7 avril 2022, ce qui est caractéristique d'une tentative de prise de contrôle du compte.
Face à ces éléments, la banque a répondu que les opérations avaient été validées à partir du téléphone de Mme C. par saisie de son code PIN, et que le relevé DIOS ne mentionnait pas l'enrôlement d'un autre appareil de confiance.
La cour ne suit pas ce raisonnement. Elle retient au contraire que le fraudeur a pu détourner, au moyen d'un autre appareil de confiance, l'instrument de paiement à l'insu de la cliente. En d'autres termes : la cour admet que le dispositif Secur'Pass n'a pas empêché l'enrôlement d'un terminal tiers, sans que Mme C. en ait eu connaissance ni y ait consenti.
3.2 L'articulation avec la double preuve imposée à la banque par l'article L. 133-23 CMF
L'arrêt s'inscrit dans une logique probatoire que la doctrine a clairement posée à la suite de la Cour de cassation : avant même de discuter la négligence du client, la banque doit établir une double preuve préalable — (i) que l'opération a été authentifiée, dûment enregistrée et comptabilisée, et (ii) qu'elle n'a pas été affectée par une déficience technique ou autre (art. L. 133-23, al. 1er CMF).
Or, les anomalies relevées dans les logs — connexion d'un terminal inconnu, opérateur différent, adresses IP étrangères, concentration d'échecs de connexion — soulèvent précisément la question de l'absence de déficience technique. Si le fraudeur a pu s'enrôler sur Secur'Pass avec un autre appareil sans déclencher d'alerte, c'est que le dispositif d'authentification n'a pas fonctionné comme il le devrait.
La conséquence en droit est claire : à défaut de rapporter la preuve de l'absence de dysfonctionnement, la banque ne peut pas invoquer la négligence grave du client. La charge de la preuve lui incombe intégralement, et cette preuve échoue dès lors que les logs versés aux débats révèlent eux-mêmes les incohérences.
|
⚖️ Logique probatoire : l'ordre des questions s'impose à la banque |
|
|
|
1. La banque prouve-t-elle l'authentification régulière de l'opération ? |
|
2. La banque prouve-t-elle l'absence de déficience technique du dispositif ? |
|
→ Si non à l'une ou l'autre : la banque supporte intégralement la perte, sans discussion de la négligence. |
|
3. Seulement si oui aux deux : la banque peut tenter d'établir la négligence grave du client. |
|
→ En cas de spoofing ou tromperie structurée : la négligence grave est difficile à établir (Cass. com., 23 oct. 2024, n° 23-16.267 ; Cass. com., 12 juin 2025, n° 24-13.777 — à vérifier sur Légifrance). |
3.3 Portée pratique : ce que la victime doit exiger dès la contestation initiale
L'enseignement de cet arrêt pour la stratégie contentieuse est direct : la demande de communication des logs doit intervenir le plus tôt possible, idéalement dès la lettre de contestation adressée à la banque, avant tout contentieux judiciaire.
Les éléments à demander systématiquement :
- le relevé complet des opérations Secur'Pass (ou du dispositif d'authentification équivalent) pour la période entourant la fraude ;
- la liste des appareils enrôlés sur le compte de sécurité, avec les dates et modalités d'enrôlement ;
- les adresses IP enregistrées lors des connexions et validations litigieuses ;
- l'opérateur téléphonique associé aux validations (pour comparer avec l'opérateur habituel du client) ;
- les échecs de connexion et tentatives d'accès enregistrés dans la période.
Si ces éléments font apparaître des anomalies — et l'arrêt de Versailles démontre qu'ils le font souvent —, ils deviennent un levier décisif : soit la banque ne peut pas prouver l'absence de déficience technique (et doit rembourser sans discussion de la négligence), soit les logs démontrent positivement un dysfonctionnement (et la banque est dans une position encore plus défavorable).
_____
4. L'absence de négligence grave : la « tromperie structurée » exclut l'imprudence
C'est ici que la décision prend toute sa portée. Le tribunal avait retenu la négligence grave de Mme C. en relevant deux éléments : (i) elle aurait dû douter de la provenance d'un appel masqué, et (ii) elle avait validé une opération qu'elle n'avait pas initiée.
La Cour d'appel balaie ce raisonnement. Elle analyse les éléments factuels précis transmis par Mme C. dès sa plainte initiale du 8 avril 2022 :
- l'appelant connaissait l'intégralité de ses données personnelles et bancaires ;
- il a mis en scène une urgence — des virements suspects en cours — pour l'inciter à agir immédiatement ;
- le discours était cohérent et professionnel, de nature à entretenir la confiance ;
- le mode de communication téléphonique ne laissait pas le temps de la réflexion qu'un courriel aurait permis ;
- Mme C. n'avait pas conscience de valider un virement : elle croyait confirmer un contre-ordre de sécurisation.
La cour en déduit que si Mme C. a pu se montrer imprudente, son comportement ne saurait être qualifié de négligence grave dans la conservation et l'utilisation de ses données personnelles de sécurité. La formulation est précise et importante : l'imprudence et la négligence grave sont deux notions distinctes. La première ne suffit pas à exonérer la banque.
La cour insiste sur la sophistication de la fraude, qu'elle qualifie de « tromperie structurée » combinant un vecteur psychologique (la mise en urgence, le discours d'autorité) et un vecteur narratif cohérent (l'existence d'un prétendu virement suspect à contrecarrer). Dans ce cadre, même un client normalement vigilant pouvait être trompé.
_____
5. Le préjudice moral : un signal envoyé aux banques récalcitrantes
Au-delà des 10 000 euros de remboursement, la cour alloue 2 000 euros de dommages-intérêts pour préjudice moral. Ce poste de préjudice — encore peu fréquent dans ce contentieux — couvre les tracasseries, l'anxiété et la frustration liées aux refus réitérés de la banque depuis trois ans.
La vulnérabilité particulière de Mme C. — en situation de handicap, atteinte d'une maladie orpheline dégénérative, aux ressources limitées — est prise en compte par la cour dans l'appréciation de ce préjudice. Mais la logique est plus large : le refus abusif et persistant de rembourser génère en lui-même un préjudice moral indemnisable, indépendamment de la situation personnelle de la victime.
Pour les établissements bancaires, ce signal est clair : la résistance systématique aux demandes de remboursement fondées en droit expose à un coût additionnel au-delà du principal.
_____
6. Portée de l'arrêt : quels enseignements pratiques ?
Pour les victimes
Cet arrêt consolide plusieurs acquis pratiques fondamentaux pour toute victime de fraude bancaire par usurpation d'identité :
- L'utilisation d'un dispositif d'authentification forte ne vaut pas consentement. La banque ne peut pas s'exonérer en prouvant que le code PIN a été saisi.
- Répondre à un appel masqué n'est pas constitutif de négligence grave dès lors que l'escroc disposait de tous les éléments pour crédibiliser son identité.
- Le préjudice moral est indemnisable lorsque le refus de la banque est abusif et persistant.
Pour les praticiens
L'arrêt fournit un cadre d'analyse solide pour les dossiers similaires. La notion de « tromperie structurée » permet de distinguer les cas où la crédulité du client est excusable — parce que l'escroc avait méthodiquement supprimé tout élément susceptible d'éveiller les soupçons — de ceux où des indices manifestes auraient dû alerter un client normalement diligent.
On notera également que la cour rejette l'argument de la Caisse d'Épargne selon lequel son système Secur'Pass était « à ce point sécurisé qu'une opération non autorisée implique nécessairement une faute imputable au payeur ». Ce raisonnement circulaire, qui reviendrait à présumer la négligence grave du seul fait de l'utilisation de l'instrument de paiement, est incompatible avec la directive 2015/2366 et la jurisprudence constante de la Cour de cassation.
En matière de preuve, l'arrêt rappelle utilement que la charge incombe au prestataire de services de paiement, conformément à l'article L. 133-23, alinéa 1er, du CMF, et non au client. Cette répartition est trop souvent ignorée par les banques en pratique.
_____
Conclusion
La Cour d'appel de Versailles apporte une contribution utile à la construction jurisprudentielle en matière de fraude bancaire par usurpation d'identité. En qualifiant les faits de « tromperie structurée » et de « manipulation psychologique caractérisée », elle pose une notion qui dépasse le cas d'espèce : là où la mécanique frauduleuse est suffisamment sophistiquée pour neutraliser la vigilance ordinaire du client, la négligence grave ne peut être retenue.
Pour les victimes de fraude bancaire qui se voient opposer leur propre comportement, cet arrêt est un outil de référence — à condition de le lire attentivement, faits par faits, et de l'articuler avec précision aux circonstances du dossier.
|
Vous avez été victime d'une fraude bancaire par usurpation d'identité ? |
|
La banque refuse de rembourser ou conteste votre bonne foi ? Cet arrêt peut constituer un levier décisif dans votre dossier. |
|
Un premier échange téléphonique gratuit suffit à faire le point sur votre situation. |
|
→ thomas.gauriat@tga-avocat.fr | 07.61.77.20.83 | thomas-gauriat-avocat.fr |
Pas de contribution, soyez le premier