Publié le 01/07/2025

La Cour d’appel de Paris poursuit sa jurisprudence favorable aux victimes de spoofing.

Article juridique - Droit bancaire et boursier

Pour ceux qui suivent mes rédactions, j’ai déjà évoqué ici un premier arrêt de la Cour d’appel de Paris, en faveur des victimes de spoofing, cette fraude bancaire qui consiste, pour un tiers malveillant, à se faire passer pour un agent de la banque de sa victime, et à lui faire faire plusieurs opérations à son profit par téléphone, prétextant devoir agir dans l’urgence pour protéger les comptes de celle-ci (CA Paris, Pôle 4 Chambre 9a, 22 mai 2025, n° 24/02286). Cette décision concernait la Banque Populaire.
Le même jour, la Cour d’appel de Paris a rendu un second arrêt (CA Paris, Pôle 4 Chambre 9, 22 mai 2025, n° 24/02984 [1]), toujours en faveur de la victime de spoofing, visant cette fois la Société Générale.

Dans les deux affaires, les victimes avaient été contactées par une personne prétendant être employée du service de sécurité de la banque, qui leur affirmait qu’elles étaient victimes d’une fraude et qu’il convenait d’effectuer rapidement des virements sur un nouveau compte bancaire sécurisé venant d’être ouvert à leur nom, afin de préserver leur compte des mouvements frauduleux.

Les victimes ont chaque fois fait le nécessaire pour alerter immédiatement leur établissement bancaire et ont déposé plainte.

Mais leurs banques ont refusé de les rembourser du montant détourné, en dépit d’une mise en demeure de leur Conseil.

Dans ces conditions, les victimes ont assigné leur établissement bancaire en vue de le voir condamner à les rembourser du montant de la fraude dont elles ont été victimes à leur insu.

Dans l’affaire qui nous intéresse ici, celle visant la Société Générale, une première décision avait été rendue en première instance par le juge des contentieux de la protection du Tribunal judiciaire de Paris le 11 décembre 2023.

Le juge y avait fait droit aux demandes de la victime, et avait ainsi condamné l’établissement bancaire à lui payer la somme de 8 000 euros en remboursement des opérations bancaires réalisées à son insu le 4 novembre 2022, outre une somme de 1 200 euros sur le fondement de l’article 700 du Code de procédure civile et les dépens.

Pour fonder sa décision, le juge ne s’est pas placé sous le couvert de l’article L133-18 du Code monétaire et financier, considérant que les opérations de paiement (deux virements de 4 000 euros) avaient bien été autorisés au sens de l’article L133-6 du Code monétaire et financier et que le texte susvisé ne pouvait donc pas s’appliquer.

En revanche, sur le fondement de l’article 1240 du Code civil, le juge a retenu que, si en sa qualité de banque du donneur d’ordre sa responsabilité ne pouvait être recherchée, à l’inverse en qualité de banque du bénéficiaire des virements litigieux, la Société Générale devait veiller à l’exécution des conditions auxquelles le donneur d’ordre avait entendu subordonner le transfert des fonds, tels notamment, et on ne peut qu’applaudir cette remarque du juge, qu’un contrôle de la concordance entre le nom du bénéficiaire et les coordonnées bancaires indiquées dans l’ordre de virement.

Trop souvent ce point passe en effet inaperçu alors qu’il représente pourtant une faille réelle de la banque.

Le tribunal a souligné que la Société Générale en ne justifiant pas de cette vérification, avait commis une faute engageant sa responsabilité délictuelle et nécessitant le remboursement du client victime de la somme détournée de 8 000 euros.

En outre, il a rejeté toute négligence fautive commise par la victime puisqu’aucun manquement à l’article L133-16 et aux conditions générales contractuelles n’était établi, et a insisté sur le fait que n’avaient pas été communiqués par cette dernière ses codes confidentiels, rappelant qu’en tout état de cause l’éventuelle négligence du client n’enlevait rien au caractère fautif au manquement commis par la banque.

La Société Générale a donc interjeté appel de ce jugement.

Motivation de la Société Générale.

La Société Générale faisait valoir que le tribunal s’était trompé en estimant que le banquier bénéficiaire des virements devait procéder à un contrôle de correspondance entre le nom du bénéficiaire et les coordonnées bancaires indiquées sur l’ordre de virement car ni la banque du bénéficiaire ni celle du donneur d’ordre n’avaient à effectuer ce type de vérification et que sa responsabilité ne pouvait être engagée en l’absence de tout manquement aux dispositions de l’article L133-21 du Code monétaire et financier.

Par ailleurs, elle soulignait que l’enregistrement du compte destinataire et les virements objets du litige avaient été faits par la victime elle-même via un dispositif d’authentification forte dans son application « banque à distance » et que c’est donc à juste titre que le tribunal a rejeté l’application des dispositions de l’article L133-18 du Code monétaire et financier puisque cette dernière a autorisé les opérations (enregistrement du compte et virements) en saisissant le code qu’il avait créé le 23 octobre 2021.

S’agissant de sa responsabilité en qualité de banque donneur d’ordre, elle estimait donc ne pas avoir manqué à son obligation de vigilance puisque aucune information lui avait été transmise lui permettant de détecter une fraude, que les opérations ne présentaient pas d’anomalie apparente et rappelle le principe de non-ingérence d’une banque dans les opérations effectuées par son client.

S’agissant de sa responsabilité délictuelle en qualité d’établissement bénéficiaire des virements, elle alléguait ne pas avoir manqué à ses obligations lors de l’ouverture du compte bénéficiaire du virement.

Selon elle par ailleurs, il ne pouvait lui être reproché de ne pas avoir initié de procédure conservatoire de rappel des fonds détournés, alors que ceux-ci avaient déjà été transférés sur un compte ouvert dans un autre établissement et le compte clôturé lorsque le client s’est plaint d’une escroquerie, que les virements ayant été exécutés, les ordres étaient irrévocables, qu’elle ne pouvait opérer de retour des fonds sans l’autorisation du bénéficiaire même en cas de suspicion de fraude et qu’enfin, dès qu’elle a été informée de la fraude, elle a fait en sorte qu’aucune nouvelle opération frauduleuse puisse être accomplie.

En dernier lieu, elle invoquait de prétendues négligences graves de la part du client qui aurait fourni selon elle ses renseignements personnels le 1ᵉʳ novembre 2022 en réponse à un sms suspect provenant soit disant d’Ameli puis reçu un appel le 4 novembre 2022 depuis un téléphone mobile d’un soi-disant membre de la sécurité de la Société Générale sans pour autant vérifier la provenance de cet appel en contactant par exemple sa banque et sans protéger ses données de sécurité personnalisées.

Elle soutenait enfin qu’elle informait régulièrement ses clients sur les nouveaux moyens de fraude et les avertissait des risques de « phishing », « vishing », « smishing » et « spoofing », par des campagnes de sensibilisation.

Motivation de la victime à la fraude bancaire.

La victime, dans cette affaire, avait 92 ans au moment des faits et est client depuis de nombreuses années de la Société Générale.

Il soutenait que ces deux opérations de virement sont des opérations de paiement non autorisées puisqu’il n’a jamais consenti à faire des virements au bénéficiaire réel de ces opérations et, qu’en application des articles L133-16 et suivants du Code monétaire et financier, la banque doit lui restituer les sommes versées sauf à ce qu’elle n’établisse qu’il a commis une négligence grave.

Or, il contestait avoir commis toute négligence, soulignant que même s’il a saisi et validé les opérations, il reste âgé de 92 ans et est profane en informatique. Il ajoutait que la démonstration d’une information suffisante délivrée par la banque au sujet de la fraude n’est pas rapportée, car il s’agit d’informations générales consultables sur le site internet et non des informations transmises directement au client. Il soulignait également (et c’est important) n’avoir communiqué aucune donnée personnelle lors des appels téléphoniques dont il a fait l’objet.

Subsidiairement, il soutenait que la responsabilité de la banque pouvait être engagée en raison de son manquement au devoir de vigilance, la Société Générale ayant selon lui commis plusieurs manquements à son devoir de vigilance :

à l’ouverture du compte bénéficiaire des virements, en ne vérifiant pas l’identité du client, qu’elle ne communique au demeurant pas, ne permettant ainsi pas une procédure de retour de fonds,
lors de l’exécution des virements, en ne vérifiant pas la correspondance entre le nom du bénéficiaire et le numéro Iban indiqué, puisque le nom « [F] [O] » est mentionné comme étant le titulaire du compte bénéficiaire alors que ce n’est pas le cas,
la banque a également manqué à son obligation de vigilance en ne prenant pas en compte le caractère inhabituel des opérations au regard des habitudes financières de la victime puisque son compte n’avait jamais été débiteur alors que dès le 5 novembre 2022, au lendemain du premier virement litigieux, son compte présentait un découvert important qui, lors du second virement, était encore plus conséquent puisque le transfert d’une somme de plus de 15 000 euros depuis son livret A n’a eu lieu que le 7 novembre, qu’il ne procédait normalement à des virements qu’à destination de son petit-fils et l’ajout d’un nouveau bénéficiaire 20 minutes avant le virement aurait dû alerter la banque sur l’anormalité des opérations.

Il concluait que ces manquements ont facilité l’escroquerie dont il a été l’objet et ce d’autant qu’il s’agissait d’une escroquerie bien réalisée et qu’il est âgé et vulnérable.

Sur la responsabilité de la banque

La cour a appuyé le fait qu’il résulte des dispositions de l’article L133-23 du Code monétaire et financier :

que lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre,

que la seule utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière et que le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement.

La cour a indiqué par ailleurs qu’il résulte de l’enchevêtrement des textes du Code monétaire et financier que pour éviter toute fraude, la banque se doit de mettre en œuvre des procédés techniques de protection des opérations au moyen d’éléments personnels d’identification de l’utilisateur, et :

1/ prouver que ce sont bien les données d’authentification de l’utilisateur qui ont été utilisées et qu’il n’y a pas eu de défaillance technique,

et 2/ même dans le cas où l’authentification est renforcée et où ces données ont été utilisées, fournir des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement.

La cour a constaté ensuite qu’en l’espèce, la victime nie avoir autorisé les opérations passées sur son compte, et que même si la banque versait aux débats diverses captures d’écran, celle-ci ne prouve toutefois pas que la procédure d’autorisation a été effectivement réalisée correctement alors que M. [F] nie avoir opéré les trois opérations litigieuses.

La cour conclut qu’au vu des pièces versées, l’hypothèse d’une défaillance technique ne peut être écartée.

S’agissant de la négligence grave imputée par la banque à la victime, la cour a relevé que l’appel qui a eu lieu un vendredi en fin de journée sur le téléphone personnel de la victime l’avertissant qu’un piratage de son compte bancaire était en train de se commettre et qu’il fallait rapidement réagir en opérant des virements de son compte habituel, afin de le préserver, sur un nouveau compte ouvert dans le même établissement bancaire, avait légitimement créé un sentiment d’urgence chez la victime alors âgé de 92 ans.

Cet appel, à la différence d’un courriel, diminuait également la vigilance du client, et ce d’autant que le transfert de fonds se faisait à l’intérieur du même établissement bancaire au nom du client.

La cour a soulevé au surplus que la victime n’avait commis aucune négligence, n’ayant jamais transmis ses coordonnées personnelles, telles que ses identifiants ou ses codes secrets, à son interlocuteur téléphonique ou par courriel.

Cette dernière n’avait pas non plus commis de faute dans le cadre de la dénonciation de la fraude puisqu’elle a tenté d’y procéder dès l’ouverture des banques le lundi 7 novembre matin, après avoir déposé plainte au commissariat de police et expliquant être allé dans une autre agence que la sienne, fermée le lundi, qui n’a pas voulu prendre son formulaire de contestation comme n’étant pas un client habituel de cette agence.

Par ailleurs, en application de l’article L133-21 du Code monétaire et financier, il incombait à la Société Générale en tant que prestataire de services de paiement du donneur d’ordre à défaut de récupérer les fonds, de communiquer le plus rapidement possible au payeur toutes les informations utiles qu’il détient pouvant documenter le recours en justice du payeur en vue de récupérer les fonds ; or lors de son dépôt de plainte le 7 novembre 2022 la victime ne disposait pas de ces informations et ce n’est que le 22 novembre 2022 lors de son complément de plainte qu’il pouvait indiquer que le bénéficiaire s’appelait [T] [X] et communiquer aux services de police le numéro de téléphone portable de ce dernier.

La cour a jugé que la Société Générale ne pouvait donc invoquer l’impossibilité de faire prospérer une procédure de recall des fonds dont elle était de fait informée dès le 7 novembre 2022 et officiellement le 8 novembre 2022, alors que d’une parla victime a bien, dans le délai de cinq jours prévus par l’article L133-17 du Code de monétaire et financier, informé la banque de l’escroquerie, et que d’autre part, le bénéficiaire du compte pouvait être ou était déjà identifié, que le compte litigieux avait été ouvert dans la même banque que celle de la victime avant que les fonds ne soient réexpédiés dans un autre établissement, simplifiant ainsi les démarches.

En raison de ces informations tardives, le client n’a jamais pu récupérer par sa banque les fonds qui ont été frauduleusement virés sur un autre compte que le sien.

La cour a confirmé le jugement en ce qu’il a condamné la société générale à rembourser le montant des sommes détournées.

Cette décision doit être approuvée, protectrice des clients bancaires, démunis face aux fraudes dont ils sont les victimes du fait même des défaillances de leur établissement bancaire.

Virginie Audinot, Avocat
Barreau de Paris
Audinot Avocat
www.audinot-avocat.com

Notes de l'article:

[1] https://www.doctrine.fr/d/CA/Paris/2025/CAP57E7B40807A387F441FC