Par un jugement rendu le 23 décembre 2025 (TAE Paris, ch. 1-2, 23 déc. 2025, n° 2024072764, le Tribunal des Activités Economiques de Paris a apporté une nouvelle illustration de la rigueur avec laquelle les juridictions apprécient les obligations pesant sur les établissements bancaires en cas de fraude dite « au faux conseiller bancaire ».
En condamnant la banque à rembourser l’intégralité des opérations litigieuses, le tribunal a rappelé avec force que la charge de la preuve de l’authentification des paiements et de l’absence de défaillance technique doit incomber exclusivement au prestataire de services de paiement, et que cette preuve ne saurait résulter de simples affirmations ou de documents imprécis.

 

Cette décision s’inscrit dans un contentieux désormais abondant, né de la recrudescence des fraudes par ingénierie sociale, dans lesquelles les fraudeurs se font passer pour des conseillers bancaires afin d’obtenir la validation d’opérations par les clients eux-mêmes, souvent sous la contrainte ou la manipulation. Discours rôdé, jargon maîtrisé, scénario crédible et ficelé, rien n’est laissé au hasard.

En l’espèce, une société spécialisée dans l’achat et la vente de véhicules d’occasion détenait un compte bancaire professionnel auprès de la banque “Caixa Geral de Depositos”. Entre les 24 et 26 février 2024, le compte de la société a été débité de quatorze opérations de paiement par carte bancaire pour un montant total de 8 715,65 euros, frais inclus. Soupçonnant immédiatement une fraude, le dirigeant de la société a fait opposition aux moyens de paiement dès le 27 février 2024, puis a signalé les faits à la gendarmerie et déposé une réclamation auprès de la banque en vue d’obtenir le remboursement des sommes débitées.

La Banque a opposé un refus de rembourser, estimant que les opérations avaient été valablement autorisées par authentification forte.

La société victime a donc saisi le tribunal de commerce de Paris, sur le fondement des articles L133-18, L133-19 et L133-23 du Code monétaire et financier.

Au soutien de sa demande, la société faisait valoir qu’elle n’avait jamais autorisé les paiements litigieux et qu’aucune négligence grave ne pouvait lui être reprochée dans la conservation de ses données de sécurité personnalisées. Elle rappelait que, conformément au régime légal des services de paiement, toute opération non autorisée devait être remboursée par la banque, sauf à démontrer une fraude ou une négligence grave imputable au client.

La Banque, pour sa part, soutenait que le dirigeant de la société avait été victime d’une fraude au faux conseiller bancaire et qu’il avait dans ces conditions, lui-même validé les opérations par l’intermédiaire des dispositifs d’authentification forte, en renseignant son mot de passe confidentiel et les codes à usage unique reçus sur son téléphone portable.

Elle en déduisait que les opérations de paiement devaient dès lors être regardées comme autorisées, ou à tout le moins que la société cliente avait commis une négligence grave excluant tout droit à remboursement.

Le Tribunal aux termes de sa décision, a rappelé en premier lieu, les principes gouvernant la matière.

En application de l’article L133-23 du Code monétaire et financier, lorsqu’un utilisateur de services de paiement conteste avoir autorisé une opération, il appartient au prestataire de services de paiement de prouver que l’opération a été authentifiée, dûment enregistrée et comptabilisée, et qu’elle n’a été affectée par aucune déficience technique. L’utilisation de l’instrument de paiement ne suffit pas, à elle seule, à établir l’autorisation du payeur ni l’existence d’une négligence grave.

Appliquant ces dispositions, le Tribunal a constaté alors que le dirigeant de la société victime avait, de manière constante et cohérente, contesté avoir validé les quatorze opérations litigieuses, tant auprès de la Banque que dans le cadre des signalements effectués auprès des autorités. Il en a donc justement déduit que la charge de la preuve pesait intégralement sur la Banque.

Or, s’agissant de l’authentification forte invoquée, le Tribunal a jugé que la preuve rapportée par la Banque était insuffisante. Celle-ci produisait en effet un simple tableau indiquant qu’un code à usage unique aurait été envoyé pour chacune des transactions. Le Tribunal a relevé que ce document ne permet pas d’identifier précisément les modalités d’envoi des codes, ni leur date et heure exactes, ni même de démontrer qu’ils ont été effectivement reçus et utilisés par le client.

En l’absence de tels éléments, le juge a donc considéré que la banque échouait à démontrer que les opérations avaient été validées conformément aux exigences légales de l’authentification forte.

Le jugement retient en outre un élément déterminant tenant au fonctionnement des dispositifs de contrôle de la Banque. Il est constaté en effet que les opérations litigieuses ont conduit à un dépassement manifeste du plafond de paiement autorisé sur une période extrêmement courte, sans qu’aucun blocage n’intervienne. Le Tribunal en a déduit alors l’existence d’une défaillance technique imputable à la Banque, laquelle aurait dû, au minimum, empêcher la réalisation des dernières opérations dépassant le plafond contractuel.

Dès lors, ni la fraude imputable au client, ni la négligence grave n’étaient caractérisées, tandis qu’une déficience du système de contrôle bancaire était, au contraire, établie. Le Tribunal en a donc tiré les conséquences prévues par l’article L133-18 du Code monétaire et financier et condamné la banque à rembourser à la société demanderesse l’intégralité des sommes débitées, soit 8 715,65 euros, assortis des intérêts légaux.

En revanche, le tribunal a rejeté la demande de dommages et intérêts au titre du préjudice moral, faute pour la société demanderesse d’apporter des éléments suffisamment précis permettant d’en apprécier la réalité et l’ampleur.

Il a néanmoins fait droit à la demande formulée au titre de l’article 700 du Code de procédure civile, condamnant la Banque au paiement de frais irrépétibles, ainsi qu’aux dépens.

Cette décision présente un intérêt particulier en ce qu’elle s’inscrit dans une ligne jurisprudentielle désormais bien établie selon laquelle la fraude au faux conseiller bancaire ne saurait, à elle seule, exonérer l’établissement de crédit de ses obligations. Elle rappelle que l’authentification forte ne constitue pas une présomption irréfragable d’autorisation des paiements et que la banque doit être en mesure d’en démontrer concrètement la mise en œuvre effective.

Elle souligne également l’importance des dispositifs de détection et de blocage des opérations atypiques, dont la défaillance est susceptible d’engager la responsabilité du prestataire de services de paiement, indépendamment du mode opératoire des fraudeurs.

Pour les entreprises comme pour les particuliers, ce jugement confirme que la vigilance du client, bien que nécessaire, ne dispense pas la banque de ses obligations légales. Pour les établissements bancaires, il constitue un rappel exigeant de la nécessité de documenter précisément leurs processus d’authentification et de sécurisation des paiements, sous peine de devoir supporter seuls les conséquences financières des fraudes.

Virginie Audinot, Avocat
Barreau de Paris
Audinot Avocat
www.fraude-bancaire.fr