Le 3 octobre 2025, le Tribunal judiciaire de Paris a rendu une décision significative en matière de fraude bancaire, condamnant la Société Générale à rembourser une cliente victime d’une escroquerie par téléphone, dite fraude au « spoofing » (Tribunal judiciaire de Paris, 3 octobre 2025, n° 24/06622).
Ce jugement, rendu en dernier ressort, s’inscrit encore dans le mouvement jurisprudentiel de plus en plus protecteur des consommateurs, face aux manœuvres frauduleuses qui détournent les dispositifs de sécurité bancaires.

-

Dans cette affaire, une cliente de la Société Générale avait été contactée par téléphone par un individu se présentant à elle comme un conseiller de son établissement.

L’appel provenait d’un numéro appartenant effectivement à un service de la banque, ce qui avait renforcé la crédibilité de son interlocuteur. Ce dernier l’avait alertée de prétendus paiements frauduleux et lui avait demandé de se connecter à son espace bancaire en ligne.

Le lendemain, trois débits, pour un montant total de 3 330 euros, apparaissaient sur son compte. Malgré sa plainte et sa réclamation, la banque avait refusé tout remboursement, prétendant que les opérations avaient été validées via une authentification forte et que la cliente avait commis une négligence grave en suivant les instructions d’un inconnu.

Le tribunal a replacé le litige dans le cadre des articles L.133-18 à L.133-24 du Code monétaire et financier, qui régissent la responsabilité du prestataire de services de paiement en cas d’opération non autorisée.

En vertu de ce régime, la banque est tenue de rembourser immédiatement l’utilisateur, sauf pour elle à démontrer que celui-ci a agi frauduleusement ou avec négligence grave.

Ce texte instaure ainsi un véritable principe de responsabilité automatique du prestataire, fondé sur une obligation de résultat. Il ne s’agit pas pour la victime de prouver la faute de la banque, mais bien pour cette dernière d’établir l’existence d’un comportement gravement fautif de son client.

L’article L.133-23 du même code impose par ailleurs au prestataire de prouver que l’opération contestée a été authentifiée, enregistrée et exécutée sans déficience technique, ce qui ne se réduit pas à la seule constatation d’une authentification forte. La Cour de cassation a d’ailleurs jugé à plusieurs reprises que cette dernière ne suffit pas à démontrer le consentement du payeur (Cass. com., 12 nov. 2020, n° 19-12.212).

La question centrale de l’affaire portait donc sur la qualification de négligence grave.

D’un côté, la Société Générale soutenait que la cliente avait fait preuve d’une imprudence fautive en se connectant à son espace personnel à la demande d’un inconnu.

De l’autre, la cliente mettait en exergue le fait d’avoir été trompée selon la méthode du spoofing, une fraude particulièrement rôdée, de sorte qu’elle ne pouvait se voir reprocher de négligence grave dans ce contexte.

Le tribunal a rejeté l’analyse de la banque, et rappelé que la négligence grave ne peut être déduite de la simple utilisation du moyen de paiement. Elle doit en effet s’apprécier au regard du comportement concret de l’utilisateur et des circonstances particulières de la fraude.

En l’espèce, la manœuvre reposait sur une usurpation du numéro de téléphone de la banque, pratique connue sous le nom de « spoofing ». Or, cette technique a précisément pour effet de tromper la vigilance d’un client normalement attentif. Le tribunal a souligné que la Cour de cassation, dans un arrêt du 23 octobre 2024 (n° 23-16.267), a déjà reconnu que la victime d’un tel appel frauduleux, croyant s’entretenir avec sa banque, ne peut être considérée comme gravement négligente. Reprenant cette logique, le tribunal a constaté que la cliente victime avait été contactée depuis un numéro effectivement utilisé par la Société Générale, de sorte que sa confiance avait alors été légitime. Il en a conclu que son niveau de vigilance avait été nécessairement altéré par la manœuvre frauduleuse. Dès lors, aucune négligence grave ne pouvait être retenue à son encontre et la banque devait assumer la responsabilité du préjudice.

Le tribunal a condamné en conséquence la Société Générale à rembourser la somme de 3 330 euros correspondant aux trois paiements litigieux. En revanche, il a rejeté la demande de réparation du préjudice moral, considérant que l’angoisse et le stress invoqués par la cliente résultaient de l’escroquerie elle-même et non du comportement de la banque. Cette position, quoique juridiquement défendable, peut toutefois être tout à fait discutée. En effet, la résistance injustifiée des établissements bancaires, qui persistent à refuser systématiquement le remboursement malgré la clarté du droit, peut constituer une faute distincte, génératrice d’un préjudice moral autonome. L’article 1231-6 du Code civil permet en effet d’indemniser le créancier lorsque la mauvaise foi du débiteur lui cause un dommage indépendant du simple retard de paiement. En ne retenant pas ce fondement, le tribunal limite donc la portée de sa décision à la seule réparation pécuniaire, sans sanctionner l’attitude souvent dissuasive des banques à l’égard des victimes.

Cette décision s’inscrit toutefois dans la continuité d’une jurisprudence de plus en plus ferme à l’égard des banques, et l’on retrouve les mêmes principes dans plusieurs décisions récentes. Toutes rappellent que la négligence grave doit rester l’exception et non la règle, et que la simple circonstance qu’un client ait agi de bonne foi en suivant des instructions trompeuses ne saurait justifier un refus de remboursement. Cette ligne jurisprudentielle s’inscrit pleinement dans l’esprit de la directive européenne sur les services de paiement (DSP2), qui place la protection de l’utilisateur au centre du dispositif.

Ce jugement rappelle en outre que la complexité croissante des escroqueries numériques ne peut être supportée par les clients. L’authentification forte, censée renforcer la sécurité des opérations, ne doit pas être utilisée comme un moyen de déresponsabiliser les établissements bancaires lorsque le consentement du payeur a été vicié par la tromperie. La décision du 3 octobre 2025 contribue ainsi à rétablir un équilibre dans la relation bancaire, en rappelant que la confiance des clients doit être protégée au même titre que la sécurité technique des transactions.

Elle illustre enfin une évolution nécessaire : à l’ère du numérique, la vigilance du consommateur ne peut être absolue. Ce sont les établissements, mieux armés pour détecter les anomalies, qui doivent assumer le risque résiduel des fraudes sophistiquées.

Virginie Audinot, Avocat
Barreau de Paris
Audinot Avocat
www.audinot-avocat.com

www.fraude-bancaire.fr