Par un arrêt du 25 novembre 2025, la Cour d’appel de Grenoble (CA Grenoble, 25 nov. 2025, RG n° 24/01962) opère une inflexion majeure en matière de fraude dite du « faux conseiller bancaire ».

En infirmant un jugement du tribunal judiciaire de Grenoble, elle consacre une lecture exigeante des obligations pesant sur les établissements de paiement et rappelle que la simple existence d’une authentification forte ne suffit pas à caractériser une négligence grave du client lorsque le contexte révèle une manœuvre de fraude sophistiquée reposant sur l’ingénierie sociale et l’usurpation de numéros bancaires.

 

Une fraude typique par usurpation de numéro bancaire.

Les faits exposés par la Cour illustrent un schéma désormais bien connu des praticiens du contentieux bancaire.

Mme [J], cliente d’ING Bank, a été contactée à deux reprises, les 17 et 20 mars 2022, par une personne se présentant comme un conseiller de sa banque. Le numéro affiché sur son téléphone correspondait au véritable numéro d’ING, grâce à une technique dite de « spoofing », permettant d’usurper l’identité téléphonique d’un tiers.

Dans un contexte d’urgence artificiellement créé, l’interlocuteur annonce à la cliente l’existence de tentatives de fraude sur son compte, tout en la rassurant, en lui indiquant prendre avec elle les mesures de sécurité nécessaires pour empêcher cette fraude en cours. Dans les minutes qui suivent, deux virements sont donc exécutés, pour un montant total de 10.000 euros (8.500 € puis 1.500 €), vers un compte tiers.

Ce point est central : la cour retient que l’usurpation du numéro réel de la banque a objectivement placé la cliente en situation de confiance légitime, en la convainquant qu’elle dialoguait avec son propre établissement bancaire. Elle ajoute que la brièveté du délai entre les appels alarmistes et la réalisation des opérations a empêché toute prise de recul.

Le rejet de la notion de négligence grave.

L’apport principal de l’arrêt réside dans sa conception restrictive de la « négligence grave » au sens des articles L133-16 et suivants du Code monétaire et financier. Alors que le tribunal judiciaire avait fait peser la responsabilité sur la cliente, la cour rappelle avec force que la charge de la preuve incombe exclusivement au prestataire de services de paiement.

La décision s’inscrit dans le droit fil de la jurisprudence actuelle rappelant que la banque doit démontrer non seulement l’authentification technique de l’opération, mais aussi la fraude ou la négligence grave du client, et ce de manière positive.

La cour estime ainsi que le délai de signalement – sept jours après le premier virement et quatre jours après le second – ne caractérise aucune faute. Elle souligne ensuite que Mme [J] pouvait légitimement penser que la tentative de fraude avait été déjouée, en raison des assurances données par le faux conseiller se présentant comme la banque.

Dès lors, loin de la vision formaliste consistant à assimiler toute validation technique à une faute du client, la cour adopte une lecture contextuelle, intégrant pleinement la dimension psychologique de la fraude.

Authentification forte : une preuve nécessaire mais insuffisante.

En l’espèce, la banque produisait des journaux techniques (logs) attestant de l’ajout d’un bénéficiaire externe et de la validation des virements via des codes OTP reçus par SMS sur un téléphone présenté comme un iPhone. Ces éléments établissaient que les opérations avaient bien été « authentifiées » au sens de la DSP2.

Pour autant, la cour opère une distinction essentielle entre la preuve du fonctionnement technique du dispositif et la preuve de l’implication fautive du client. Elle rappelle alors qu’aux termes de l’article L133-23 du Code monétaire et financier, l’établissement doit démontrer l’absence de déficience technique, mais également l’origine légitime de l’ordre de paiement et, en cas de contestation, la faute du client.

La décision souligne d’ailleurs l’ambiguïté de la situation technique : la victime contestait posséder un téléphone iPhone et soupçonnait une duplication de carte SIM, hypothèse compatible avec les techniques désormais utilisées par les réseaux de fraudeurs.

La cour en déduit que la preuve de la banque, purement technique, ne suffit pas à caractériser une négligence grave.

Ainsi, la Cour d’appel de Grenoble rejoint la jurisprudence actuelle, par la reconnaissance explicite de la technique du "spoofing" comme élément déterminant de l’absence de faute du client.

Elle tient compte de la professionnalisation des escroqueries et du déséquilibre informationnel entre la banque et son client, s’inscrivant dans la philosophie même des directives adoptées en la matière et transposées en droit français.

Un rééquilibrage de la charge du risque au détriment des banques.

Sur le plan indemnitaire, la cour condamne ING Bank à rembourser intégralement la somme de 10.000 euros, assortie d’intérêts au taux légal à compter de l’arrêt, infirmant totalement la décision de première instance. Sur ce point, il faut souligner que c’est un taux légal majoré de 15 points qui aurait dû en réalité s’appliquer à compter de la date de refus de la banque de rembourser la victime.

La cour refuse en revanche de faire droit à la demande relative aux frais bancaires annexes (129,12 €), faute pour la cliente de démontrer un lien direct et suffisamment établi entre ces frais et les opérations frauduleuses.

La banque est enfin condamnée à payer 2.500 euros au titre de l’article 700 du Code de procédure civile, tant pour la première instance que pour l’appel.

Portée pratique de la décision pour les contentieux de fraude bancaire.

Au-delà du cas d’espèce, l’arrêt de la Cour d’appel de Grenoble s’inscrit dans une évolution jurisprudentielle de fond. Il confirme que la fraude au faux conseiller bancaire ne peut plus être appréhendée à travers le seul prisme du comportement du client. Le juge accepte désormais d’entrer dans l’analyse fine des techniques de fraude (spoofing, SIM swap, ingénierie sociale) et d’en tirer des conséquences juridiques concrètes.

Elle rappelle surtout que la banque, en tant que professionnel des services de paiement, demeure le débiteur principal du risque lié à la sécurité des systèmes, et ne peut s’exonérer de sa responsabilité par la seule invocation de dispositifs techniques, lorsque ceux-ci sont contournés par des fraudes d’une sophistication croissante.

Virginie Audinot, Avocat
Barreau de Paris
Audinot Avocat
www.fraude-bancaire.fr