Le 5 septembre 2025, le Tribunal judiciaire de Nice (4ᵉ chambre civile, n° 24/00478 [1]) a rendu un jugement particulièrement significatif en matière de fraude au faux conseiller bancaire, dite fraude par spoofing.

Dans cette affaire, il était demandé à la juridiction de trancher une question devenue récurrente : une banque peut-elle refuser de rembourser son client au motif que ce dernier a validé via l’application d’authentification forte « Secur’Pass » des opérations effectuées par un escroc ?

 

Le 24 août 2022, une cliente de la Caisse d’épargne Côte d’Azur reçoit un appel d’une personne se présentant comme membre du service fraude de sa banque. L’interlocuteur dispose d’informations particulièrement précises : son identifiant bancaire, le nom de son conseiller, ainsi que les noms de membres de sa famille. Ces éléments, ajoutés à l’envoi de sms imitant ceux de la banque, instaurent alors un climat de confiance.

Convaincue d’agir pour protéger ses comptes, la cliente valide via l’application Secur’Pass plusieurs opérations qu’elle pense être des mesures de sécurité. En réalité, ce faisant, elle autorise sans le savoir la réinitialisation de son mot de passe, l’ajout de bénéficiaires frauduleux et l’exécution de virements instantanés d’un montant total de 10 000 €.

La banque refuse le remboursement en invoquant la responsabilité de ses clients, qu’elle accuse de négligence grave.

La victime assigne la banque devant le Tribunal judiciaire de Nice afin d’obtenir le remboursement des sommes détournées, des dommages et intérêts et le remboursement des frais de justice. Elle soutient qu’elle n’a jamais consenti aux virements litigieux et qu’elle n’a commis aucune faute, n’ayant communiqué aucun mot de passe confidentiel.

La Caisse d’épargne, de son côté, fait valoir que les validations effectuées via Secur’Pass équivalent à un consentement exprès. Selon elle, la cliente a commis une négligence grave en validant des opérations qu’elle aurait dû identifier comme suspectes.

La décision du tribunal : absence de négligence grave et remboursement intégral.

Le tribunal rejette l’argumentation de la banque.

Il constate que la cliente a agi sous l’influence d’un stratagème frauduleux particulièrement élaboré et que son consentement n’était pas éclairé.

Surtout, il retient que :

  • l’utilisation de Secur’Pass, instrument d’authentification forte, ne suffit pas à prouver le consentement valable du client ;
  • aucune négligence grave n’est caractérisée, dès lors que le mot de passe n’a jamais été divulgué et que la tromperie reposait sur des informations précises et crédibles fournies par l’escroc ;
  • la banque est donc tenue, en application des articles L133-18 et suivants du Code monétaire et financier, de rembourser immédiatement les opérations non autorisées.

En conséquence, la Caisse d’épargne est condamnée à restituer 10 000 € aux victimes, avec intérêts au taux légal à compter du jour de la fraude, ainsi qu’à leur verser 2 500 € au titre de l’article 700 du Code de procédure civile. En revanche, la demande d’indemnisation pour préjudice moral et financier est rejetée, faute d’éléments suffisants.

Une décision qui s’inscrit dans une tendance jurisprudentielle.

Ce jugement s’inscrit dans une série de décisions de juridictions de première instance et d’appel qui rappellent avec constance la règle : sauf preuve d’une négligence grave du client, la banque doit rembourser les opérations de paiement non autorisées.

L’affaire met également en lumière un point sensible : la place de l’authentification forte dans la lutte contre la fraude.

Si les établissements bancaires considèrent l’utilisation d’outils tels que Secur’Pass comme une preuve du consentement du client, les tribunaux rappellent que le consentement suppose une volonté libre et éclairée, ce qui fait défaut en cas de manipulation par un fraudeur.

Cette décision illustre les difficultés croissantes rencontrées par les particuliers face à des escroqueries toujours plus sophistiquées, qui exploitent la confiance, la panique et la méconnaissance technique des victimes.

Elle confirme également l’importance, pour les avocats et les associations de consommateurs, de continuer à contester les refus de remboursement des banques devant les juridictions civiles.

Au-delà du cas d’espèce, ce jugement contribue à renforcer la protection des usagers des services de paiement et à rappeler aux banques que leur responsabilité demeure pleinement engagée lorsque leurs dispositifs de sécurité sont contournés par des fraudeurs.

Ce jugement constitue donc une nouvelle étape dans la reconnaissance des droits des victimes de spoofing et un rappel ferme des obligations des banques en matière de remboursement.

Virginie Audinot, Avocat
Barreau de Paris
Audinot Avocat
www.audinot-avocat.com

 

 

[1https://www.doctrine.fr/d/TJ/Nice/2025/TJP68E92D8086DF8FA14B4B