Spoofing : quand l’opérateur téléphonique est condamné à la place de la banque

Référence : TJ Paris, 15 janvier 2026, n° 24/04856

Si l'on savait que la banque pouvait être condamnée à rembourser les victimes de spoofing, le Tribunal judiciaire de Paris vient de franchir une étape supplémentaire — et pour les opérateurs téléphoniques, elle est lourde de conséquences.

Par un jugement du 15 janvier 2026 (n° 24/04856), le tribunal a en effet condamné Bouygues Telecom à relever et garantir BNP Paribas des condamnations prononcées à son encontre au profit d’une cliente victime de spoofing. En d’autres termes : c’est l’opérateur téléphonique, et non la banque, qui supporte in fine la charge financière de la fraude.

Cette décision mérite qu’on s’y arrête. Non pas parce qu’elle est spectaculaire dans son résultat — elle l’est — mais parce qu’elle repose sur un fondement juridique dont les implications pratiques dépassent largement le cas d’espèce.

1. Les faits : une mécanique de fraude bien rodée

Les faits sont, hélas, devenus classiques. Le 17 novembre 2023, une cliente de BNP Paribas reçoit un appel téléphonique. Sur l’écran de son téléphone s’affiche le numéro officiel de sa banque. L’interlocuteur se présente comme un conseiller, signale des opérations suspectes sur son compte, et la guide — avec une précision troublante — vers une série de virements destinés à « sécuriser » ses avoirs.

Bien entendu, il n’existe aucun conseiller. Aucun compte piraté à protéger. Seulement un escroc, qui a subtilisé le numéro de la banque pour se glisser dans sa peau.

C’est ce qu’on appelle le spoofing — ou usurpation de numéro d’appelant. La victime voit s’afficher le numéro de sa banque. Elle a donc toutes les raisons de faire confiance à son interlocuteur. Et c’est précisément sur cette confiance légitime que repose toute la mécanique frauduleuse.

2. La banque est condamnée — mais la réelle nouveauté n'est pas là

Sur la question de la responsabilité de la banque, le jugement s’inscrit dans une ligne jurisprudentielle désormais bien établie.

La Cour de cassation l’a affirmé à plusieurs reprises : dans les cas de spoofing, valider une opération sous l’emprise d’un faux conseiller bancaire qui affiche le numéro officiel de l’établissement ne constitue pas une négligence grave au sens de l’article L. 133-19 du Code monétaire et financier (Cass. com., 23 oct. 2024, n° 23-16.267 ; Cass. com., 12 juin 2025, n° 24-13.777). Cette solution a depuis été reprise par plusieurs juridictions du fond, dont la cour d’appel de Paris elle-même (CA Paris, 18 déc. 2025, n° 24/19561).

Le raisonnement est simple et convaincant : aucune personne normalement diligente ne peut raisonnablement soupçonner une fraude lorsque le numéro qui s’affiche est bien celui de sa banque. Le consentement vicié par la mise en scène frauduleuse n’est pas un consentement au sens légal.

La banque doit donc rembourser sa cliente. Ce n’est plus la partie qui surprend.

3. La vraie nouveauté : l’opérateur condamné sur le fondement de la loi Naegelen

Ce qui retient l’attention dans ce jugement, c’est la deuxième partie du raisonnement.

Le tribunal ne s’est pas contenté de condamner BNP Paribas à rembourser la victime. Il a ensuite interrogé la chaîne de responsabilités — et a trouvé un maillon défaillant en amont : l’opérateur téléphonique.

Le fondement : l’article L. 44 du Code des postes et des communications électroniques. Issu de la loi n° 2020-901 du 24 juillet 2020, dite loi Naegelen, ce texte impose aux opérateurs de communications électroniques de mettre en place un dispositif d’authentification des numéros d’appelant. Concrètement : lorsqu’un appel affiche un numéro qui n’appartient pas réellement à l’appelant, l’opérateur doit être en mesure de le détecter — et d’interrompre la communication.

Or, l’appel frauduleux du 17 novembre 2023 est intervenu après l’entrée en vigueur de cette obligation, fixée au 25 juillet 2023. Et Bouygues Telecom n’avait pas mis en place le dispositif requis.

Plus encore, l’opérateur n’a fourni aucune explication sur les raisons qui l’auraient empêché de se conformer à ses obligations légales à la date d’entrée en vigueur. Le tribunal a tiré les conséquences de cette carence : Bouygues Telecom est condamné à relever et garantir BNP Paribas des condamnations mises à sa charge.

4. La date du 1er octobre 2024 : un mythe juridique

Ce point mérite qu’on s’y attarde, car il est d’une importance pratique considérable.

Dans les médias, dans les communications des opérateurs, dans certains documents de l’ARCEP elle-même, la date régulièrement évoquée pour la mise en œuvre effective du dispositif d’authentification est le 1er octobre 2024. C’est cette date qui marque le déploiement opérationnel du Mécanisme d’Authentification des Numéros (MAN), adossé au protocole STIR/SHAKEN.

Le tribunal judiciaire de Paris balaie cette référence d’un trait : "la date du 1er octobre 2024 n’a aucun fondement juridique". L’obligation légale existait depuis le 25 juillet 2023 — date d’entrée en vigueur des modifications de l’article L. 44 du CPCE. Le déploiement technique progressif ne pouvait pas exonérer les opérateurs de leurs obligations légales pendant plus d’un an.

C’est là que la décision devient potentiellement explosive.

5. Les conséquences : plus d’un an de fraudes exposées au recours

Si l’obligation pesait sur les opérateurs depuis le 25 juillet 2023, et si le tribunal sanctionne leur inaction sur cette période, alors toutes les fraudes par spoofing intervenues entre cette date et le 1er octobre 2024 — soit plus de quatorze mois — pourraient théoriquement donner lieu à une action en responsabilité contre l’opérateur.

Le volume est considérable. 380 millions d’euros : c’est l’estimation du préjudice causé par le spoofing en France en 2023, selon l’Observatoire de la sécurité des moyens de paiement. Une fraction infime de ce montant, si elle devait être imputée aux opérateurs plutôt qu’aux banques, représenterait un contentieux d’une ampleur sans précédent.

Pour les victimes, cette décision ouvre une voie supplémentaire. Jusqu’ici, l’action se limitait à un face-à-face avec la banque. Désormais, l’opérateur téléphonique entre dans le périmètre du litige — et avec lui, une nouvelle possibilité de recours pour ceux dont la banque aurait refusé le remboursement, ou pour ceux dont les délais contre la banque seraient expirés.

6. Ce que cela change pour les victimes de spoofing

Concrètement, ce jugement invite à reconsidérer la stratégie contentieuse en matière de fraude bancaire par spoofing.

Première question à poser : à quelle date la fraude a-t-elle eu lieu ? Si elle est postérieure au 25 juillet 2023, l’opérateur téléphonique de la victime peut potentiellement être mis en cause, en complément ou en substitution de la banque.

Deuxième question : l’opérateur disposait-il du dispositif d’authentification au moment de l’appel frauduleux ? L’absence de ce dispositif, combinée à un lien de causalité direct avec la réalisation de la fraude, est précisément ce que le tribunal a retenu pour engager la responsabilité de Bouygues Telecom.

Ces questions ne sont pas anodines. Elles supposent une analyse précise des faits, des textes applicables et des éléments de preuve disponibles. Mais elles montrent que le droit, dans ce domaine, continue d’évoluer vite — et toujours dans le sens d’une protection accrue des victimes.

Vous avez été victime d'une fraude bancaire et votre banque refuse de vous rembourser ?

Un premier échange téléphonique gratuit suffit souvent à déterminer si vous avez des fondements sérieux pour agir. Ne laissez pas le délai de treize mois s'écouler sans avoir fait évaluer votre dossier.

→ Contactez le cabinet : thomas.gauriat@tga-avocat.fr | 07.61.77.20.83 ou depuis notre site internet.