La fraude bancaire dite du « faux conseiller », souvent associée à la technique du spoofing, continue de susciter un contentieux nourri et révélateur des tensions persistantes entre établissements bancaires et clients victimes d’escroqueries sophistiquées. Le jugement rendu par le Tribunal judiciaire de Lyon le 13 janvier 2026 en constitue une illustration particulièrement éclairante, tant par la précision de son raisonnement que par la fermeté de la charge probatoire imposée à la banque.

 

Dans cette affaire (Tribunal Judiciaire de Lyon, 4ᵉ chambre, 13 janvier 2026, n° 23/05455) [1], une cliente de Boursorama, titulaire de plusieurs comptes, reçoit en fin d’après-midi un appel téléphonique d’une personne se présentant comme un conseiller de cette banque.

Son interlocuteur l’alerte alors sur l’existence de prétendus virements frauduleux en cours et lui décrit une procédure d’urgence destinée, selon lui, à sécuriser les comptes. La cliente, inquiète mais attentive, suit les instructions données.

Trois virements sont alors effectués, pour un montant total de 22.000 euros, vers des bénéficiaires inconnus.

Très rapidement, elle conteste les opérations, contacte la banque, adresse un courrier de dénonciation, puis dépose plainte.

Malgré ces démarches immédiates, Boursorama refuse de procéder au remboursement, considérant que les opérations ont été valablement autorisées ou, à tout le moins, qu’elles résultent d’une négligence grave de la cliente.

Le litige porte ainsi sur une question devenue centrale en droit bancaire contemporain : dans quelles conditions une opération de paiement peut-elle être regardée comme autorisée au sens des articles L133-1 et suivants du Code monétaire et financier, et à partir de quand peut-on reprocher au client une négligence grave de nature à le priver de son droit au remboursement ?

Le Tribunal judiciaire de Lyon a tout d’abord rappelé avec rigueur le cadre légal applicable. Lorsqu’un client nie avoir autorisé une opération, il appartient au prestataire de services de paiement de démontrer non seulement que l’opération a été authentifiée, enregistrée et comptabilisée, mais également qu’elle n’a été affectée par aucune déficience technique ou autre. Cette exigence, souvent minimisée dans les argumentations bancaires, est ici placée au cœur du raisonnement judiciaire. L’utilisation de l’instrument de paiement et la validation par authentification forte ne suffisent pas, à elles seules, à établir le caractère autorisé de l’opération.

En l’espèce, si la cliente ne contestait pas avoir validé les opérations via le dispositif d’authentification forte, le tribunal a constaté toutefois que la banque échouait à démontrer l’absence d’immixtion frauduleuse dans ses systèmes. L’examen attentif du journal des connexions révèle en effet l’enrôlement, le jour même des faits, d’un nouvel appareil de type iPhone, utilisé via un navigateur web pour initier un premier virement significatif, alors que l’appareil habituel de la cliente fonctionnait exclusivement via l’application bancaire. Ces manipulations sont contemporaines des appels frauduleux dénoncés. Dès lors, l’hypothèse selon laquelle un tiers aurait pu initier les virements, en laissant à la cliente le seul soin de les valider sous la contrainte psychologique de l’urgence, ne peut être écartée. Faute pour la banque d’apporter la preuve contraire, les opérations ne peuvent être qualifiées d’autorisées.

Mais la décision va plus loin et présente un intérêt majeur sur le terrain de la négligence grave. Boursorama soutenait en effet que la cliente avait manqué à ses obligations de vigilance en ne vérifiant pas l’identité de son interlocuteur et en validant les opérations malgré certains signaux d’alerte. Le tribunal a, à bon droit, rejeté cette analyse, en tenant compte de l’ensemble des circonstances concrètes de l’escroquerie.

Il a relevé notamment que le faux conseiller avait utilisé la technique du spoofing, en appelant la cliente depuis le numéro officiel du service client de la banque, après un premier appel émis depuis un numéro de téléphone mobile. Cet élément est déterminant.

Le tribunal a souligné que la banque elle-même reconnaissait être la cible de ce type de fraude et en alerter ses clients dans ses propres conditions générales. Dans le contexte d’une banque en ligne, où le client ne dispose pas d’un conseiller dédié et communique habituellement à distance, l’usurpation du numéro officiel est de nature à lever les derniers doutes d’un client pourtant vigilant.

Le jugement s’attarde également sur les courriels invoqués par la banque comme autant d’alertes que la cliente aurait dû identifier. Ces messages, envoyés pendant ou immédiatement après les échanges téléphoniques avec l’escroc, sont jugés ambigus tant sur l’identité réelle des bénéficiaires que sur la nature exacte des opérations. Leur réception dans un laps de temps extrêmement resserré, alors que la cliente est sous l’influence directe du discours anxiogène du faux conseiller, ne permet pas de caractériser un comportement gravement fautif. Même le fait, reconnu par la cliente, d’avoir cliqué sur un lien reçu par sms ne suffit pas, dans ce contexte précis, à établir une négligence grave au sens du Code monétaire et financier.

Le tribunal a adopté ainsi une approche réaliste et contextualisée du comportement du client, loin d’une appréciation abstraite ou excessivement sévère de la vigilance attendue. Il a rappelé implicitement que la négligence grave ne se présume pas et qu’elle ne peut résulter de la seule réussite d’une escroquerie sophistiquée exploitant la confiance légitime du client dans les outils et les canaux de communication de sa banque.

En conséquence, Boursorama a été condamnée à rembourser la somme de 13.638,77 euros, correspondant au solde des fonds non récupérés, avec intérêts au taux légal à compter de la mise en demeure.

Le tribunal a rejeté en revanche la demande de dommages et intérêts pour résistance abusive, faute pour la cliente de démontrer un préjudice distinct de celui déjà réparé par les intérêts moratoires. La banque a également été condamnée aux dépens et au paiement d’une indemnité au titre de l’article 700 du Code de procédure civile.

Cette décision s’inscrit dans une jurisprudence de plus en plus cohérente et exigeante à l’égard des établissements bancaires. Elle rappelle que l’authentification forte, si elle constitue un outil de sécurité indispensable, ne saurait devenir un paravent systématique permettant d’éluder toute responsabilité.

Elle confirme surtout que le spoofing, loin d’être un argument rhétorique, est désormais pleinement intégré dans l’analyse judiciaire de la fraude bancaire. À travers ce jugement, le Tribunal judiciaire de Lyon adresse un message clair : la protection du client victime de fraude demeure le principe, et les exceptions tenant à la négligence grave doivent être strictement démontrées, preuves techniques et contextuelles à l’appui.

Virginie Audinot, Avocat
Barreau de Paris
Audinot Avocat
www.fraude-bancaire.fr

 

 

Notes de l'article:

 

[1https://www.doctrine.fr/d/TJ/Lyon/2...