Le Tribunal judiciaire de Toulouse a rendu le 14 novembre 2025 (TJ Toulouse, 14 nov. 2025, n°23/00493) une décision importante en matière de sécurité des paiements et de responsabilité bancaire, dans un contexte de fraude au « faux conseiller bancaire » ou spoofing toujours plus tendu.

 

La décision oppose les époux [K] à la société BNP Paribas, à propos d’un paiement frauduleux exécuté à leur insu sur leur compte joint, pour un montant de 10 600 euros, à la suite d’une manipulation élaborée par un escroc.

L’affaire trouve son origine dans un appel téléphonique reçu le 22 août 2022 par l’un des titulaires du compte, l’appelant se présentant alors comme collaborateur de leur conseillère bancaire. Sous couvert d’une prétendue mise à jour de sécurité, un lien frauduleux leur a été transmis, permettant au fraudeur d’activer une nouvelle clé digitale sur son propre terminal et de procéder à un achat de montre de luxe auprès d’une enseigne renommée. Un second paiement d’un montant plus modeste sera également réalisé le lendemain.

Les époux ont immédiatement contesté toute autorisation de leur part et déposent plainte. La banque a toutefois refusé de procéder au remboursement, estimant que la cliente avait commis une négligence grave en divulguant ses données de sécurité.

Assignée par ses clients, BNP Paribas soutenait d’une part que l’opération litigieuse avait été valablement authentifiée au moyen d’un dispositif d’authentification forte et exécutée sans défaillance technique, et d’autre part que la communication volontaire par la victime d’un code de sécurité reçu par sms caractérisait une négligence grave au sens de l’article L133-19 IV du Code monétaire et financier, exonérant l’établissement bancaire de son obligation de remboursement.

Le tribunal a écarté pleinement cette analyse.

Après avoir tout d’abord rappelé le cadre légal applicable – notamment les articles L133-16 et suivants du Code monétaire et financier – les juges ont souligné que, si la banque rapporte bien la preuve de l’authentification forte et de la régularité technique de l’opération, cela ne suffisait pas à exclure sa responsabilité, dès lors que la négligence grave du client devait encore être démontrée. Conformément à l’article L133-23 du même code, la charge de la preuve de la négligence grave incombait exclusivement au prestataire de services de paiement.

La juridiction a examiné ensuite de manière circonstanciée les prétendues négligences invoquées par BNP Paribas :

  • Concernant l’accès à l’espace bancaire en ligne, aucune pièce du dossier ne permettait de déterminer dans quelles conditions les identifiants avaient pu être obtenus par le fraudeur. Le tribunal a relevé qu’il était tout aussi plausible qu’ils aient été acquis via des techniques massives de piratage de données (de type « carding » ou « Magecart »), évoquées dans le rapport d’expertise amiable comme dans les déclarations pénales du dossier. Dès lors, aucune négligence certaine – et encore moins grave – ne pouvait être retenue sur ce point.
  • S’agissant de la communication du code sms ayant permis le transfert de la clé digitale, le tribunal a reconnu que la cliente avait effectivement communiqué un élément de sécurité confidentiel mais (et nous devons saluer une telle décision), le tribunal a à juste titre replacé cet acte dans le contexte psychologique et factuel de l’escroquerie. Le fraudeur, grâce à un numéro usurpé affiché comme celui de la banque, et disposant d’informations personnelles et non publiques sur les comptes et la conseillère des époux [K], avait créé un climat de confiance légitime chez sa victime. Cette manipulation intentionnelle destinée à neutraliser la vigilance excluait dès lors la qualification de négligence grave, qui suppose un manquement caractérisé aux obligations de prudence du titulaire.
    Le tribunal a souligné en outre que la sophistication croissante de ces escroqueries rend particulièrement difficile, pour l’utilisateur « raisonnablement vigilant », la détection du caractère frauduleux de la demande. La crédulité ainsi exploitée ne peut équivaloir à une imprudence fautive d’une intensité suffisante pour exonérer la banque.

Partant, BNP Paribas ayant échoué à administrer la preuve qui lui incombait, elle demeure tenue à l’obligation légale de remboursement des opérations non autorisées. Elle a donc été condamnée à verser aux demandeurs la somme de 10 600 euros, augmentée d’intérêts majorés conformément à l’article L133-18 CMF, ainsi qu’une indemnité de 4 000 euros au titre de l’article 700 du Code de procédure civile.

La juridiction a rejeté en revanche la demande de réparation du préjudice moral, considérant que la banque, malgré le refus de remboursement, n’avait pas adopté un comportement fautif dans sa communication avec ses clients. Enfin, elle a écarté l’argumentation relative à un prétendu risque de double indemnisation, faute d’identité de parties et d’objet entre l’action pénale exercée contre l’auteur de la fraude et l’action civile dirigée contre la banque. Ce détail n’est pas anodin quand on sait que l’action civile est parfois couplée d’une action pénale lorsque les enquêtes de police ont permis d’appréhender le fraudeur.

Cette décision s’inscrit dans un mouvement jurisprudentiel protecteur de l’utilisateur de services de paiement face à l’explosion des fraudes par ingénierie sociale. Les tribunaux rappellent fermement que le principe est la responsabilité du prestataire, et que l’exonération reste d’interprétation stricte. Cette position s’inscrit en outre dans la droite ligne de la philosophie même de la directive de 2015 transposée en droit français, qui considère en effet que le risque doit peser sur le prestataire de service et non sur l’utilisateur-consommateur du moyen de paiement.

La notion de « négligence grave » ne saurait se réduire à la simple communication d’un code, lorsque celle-ci est obtenue à l’aide d’un stratagème élaboré tirant parti de la crédibilité même de l’établissement bancaire. Elle constitue ainsi un signal clair adressé au secteur bancaire : l’amélioration des dispositifs de prévention et d’alerte doit accompagner la sophistication des cyberfraudes ; il ne saurait être attendu du client un niveau d’expertise technologique irréaliste.

On ne peut qu’applaudir cette solution car soyons réalistes, rien ne bougerait au niveau des banques si ces dernières n’y étaient lourdement incitées par les décisions judiciaires rendues.

Les messages d’alerte sur ce type de fraude, que l’on voit désormais fleurir, ne sont là que parce que les banques ont vu leur responsabilité engagée à plusieurs reprises par les juges, et dans le but de constituer leur dossier en défense.

L’affaire rappelle enfin l’importance pour les victimes de contester rapidement toute opération suspecte, d’exercer leurs droits et de solliciter judiciairement, si nécessaire, l’application stricte du cadre légal protecteur mis en place par le Code monétaire et financier.

Virginie Audinot, Avocat
Barreau de Paris
Audinot Avocat
www.fraude-bancaire.fr