Sidebar

Les fraudes bancaires par usurpation téléphonique, souvent qualifiées de « spoofing », ou « fraude au faux conseiller bancaire », se sont imposées comme un risque majeur pour les établissements de crédit, comme pour leurs clients particuliers et entreprises en France.

Le mode opératoire est désormais bien connu : un fraudeur appelle le client en faisant apparaître sur son téléphone le numéro de la banque ou du conseiller habituel, se présente comme un employé de l’établissement, alerte sur de prétendues opérations frauduleuses et obtient, par manipulation, la communication de données de sécurité (codes de carte, codes de virement, validation d’ajout de bénéficiaires, enrôlement d’un nouvel appareil, etc.).

La loi a prévu un mécanisme protecteur des intérêts des victimes de ce type de fraudes. Si la Cour de cassation est venue ces dernières années en préciser les contours de manière protectrice pour les clients victimes, elle tente néanmoins de maintenir un équilibre entre les intérêts en présence, selon les circonstances des affaires qui lui sont soumises, de sorte que les établissements de crédits ne se retrouvent pas systématiquement les seuls lésés au final.

1. Règle de base : remboursement, sauf fraude ou négligence grave du payeur

Le régime spécial des opérations de paiement non autorisées repose sur une règle de remboursement immédiat de la victime (article L. 133-18 du Code monétaire et financier, ci-après « CMF »), sauf preuve par la banque d’un agissement frauduleux ou d’une négligence grave du client dans l’exécution de ses obligations de sécurité (art. L. 133-19, IV du CMF). Il incombe au prestataire de services de 62 paiement de prouver que l’opération a été au thentifiée, dûment enregistrée, comptabilisée et non affectée d’une déficience technique ou autre, avant même d’invoquer une négligence grave du payeur (L. 133-23, al. 1er du CMF). L’utilisateur est toutefois tenu de signaler à son prestataire de services de paiement, sans tar der, et au plus tard dans les treize mois suivant la date de débit, une opération de paiement non autorisée ou mal exécutée, sous peine de forclusion, à moins que ce dernier ne lui ait pas fourni ou n’ait pas mis à sa disposition les informations relatives à cette opération de paiement (art. L. 133-24 du CMF).

Ce cadre étant posé, la Cour de cassation rappelle toutefois de façon constante que la seule utilisation de l’instrument de paiement ou des données personnelles ne suffit pas à établir la faute grave du client.

2. L’arrêt fondateur : Cass. com., 23 octobre 2024, n° 23-16.267

Dans cette affaire, un client de BNP Paribas avait été contacté par un faux conseiller usurpant le numéro officiel de sa banque, et s’était fait soutirer 54 500 euros, via plusieurs virements frauduleux qu’il avait lui-même validés, sous l’influence trompeuse de l’escroc.

En dépit de ces circonstances, la Cour de cassation a posé le principe selon lequel aucune négligence grave au sens de l’article L. 133-19 du CMF ne pouvait être imputée au titulaire du compte qui, contacté téléphoniquement par une personne se faisant passer pour un préposé de sa banque dont le numéro s’affichait, avait utilisé, à sa demande, le dispositif de sécurité personnalisé pour supprimer puis réinscrire des bénéficiaires de virements.

La Cour a également précisé à cette occasion que la victime d’un appel téléphonique dis pose d’un temps de réaction inférieur à celui d’une personne recevant un courriel frauduleux, qui peut déceler plus facilement les anomalies. Ce contexte de pression temporelle est donc un facteur atténuant la faute.

3. L’extension aux professionnels : Cass. com., 12 juin 2025, n° 24-13.777

La Cour de cassation a par la suite étendu sa jurisprudence aux entreprises victimes de spoofing, supprimant toute distinction entre particuliers et professionnels pour l’obtention d’un remboursement. Dans cet arrêt, la Haute Juridiction a notamment approuvé la Cour d’appel d’avoir relevé que la circonstance que l’escroc ait pu usurper un numéro de téléphone de la banque et annoncer le code qui s’affichait sur l’écran de l’utilisatrice était de nature à la persuader qu’elle était en relation avec un technicien, ou encore que la connaissance par son interlocuteur des opé rations réalisées avant l’appel et de leur pré tendue disparition pouvait la conforter dans la croyance qu’un incident informatique était survenu.

Les opérations frauduleuses sont remboursées, sauf fraude ou négligence grave prouvée du client. En cas de spoofing, la Cour de cassation protège généralement les victimes de faux conseillers bancaires. Cette protection s’applique aussi aux entreprises, avec une appréciation stricte de la négligence grave. Le remboursement peut être refusé si l’erreur vient du client ou si les alertes bancaires étaient claires. Le client doit signaler rapidement la fraude, sinon il peut perdre son droit au remboursement.

Les juges retiennent donc que, lorsque l’utilisation du spoofing est suffisamment sophistiquée pour mettre le client (qu’il soit un particulier ou un professionnel) en confiance et diminuer sa vigilance, la banque ne peut lui opposer de négligence pour contester le remboursement des sommes détournées.

Cette décision s’inscrit dans cette même tendance protectrice des victimes de spoofing que l’arrêt du 23 octobre 2024, qui avait fait appel à la méthode du faisceau d’indices et considéré que seule la convergence d’indices probants d’une faute grave de négligence rend possible la levée de l’irresponsabilité du client, confirmant la rigueur exigée des banques pour établir la négligence grave de leurs clients. Un seul élément, même probant, est insuffisant.

4. Quand la banque retrouve ses droits

En dépit de cette sévérité, la jurisprudence récente a aussi défini des cas où la banque peut s’exonérer.

La Cour de cassation a ainsi jugé que, lors qu’un client fournit lui-même un IBAN à sa banque et que celui-ci a été falsifié à son insu (piratage de messagerie, faux RIB), la banque n’est pas tenue responsable si elle a exécuté le virement conformément à l’identifiant fourni (Cass. com., 15 janv. 2025, n° 23-15.437). Cette solution est conforme à l’article L. 133 21 du CMF, qui dispose en effet que l’exécution conforme à l’identifiant unique libère la banque. Plus récemment encore, la Cour de cassation a encore exclu toute responsabilité de la banque dans une affaire où le client avait validé des opérations sur son application bancaire, dont les messages de confirmation mentionnaient explicitement le mot « paiement », et non « annulation » comme le lui avait fait croire le fraudeur (Cass. com., 4 mars 2026, n° 24 19.588). Cette limite tient donc à la lisibilité des alertes affichées au client.

L’enseignement est que la crédibilité initiale du spoofing peut neutraliser la qualification de négligence grave, mais que les informations fournies par la banque (contenu exact du SMS ou de l’alerte de validation) doivent être examinées de près : un message clair de « validation de paiement » peut faire basculer l’appréciation en faveur d’une négligence grave si le client persistait à obéir aux instructions frauduleuses.

En outre, la Cour de cassation a profité de cet arrêt du 4 mars 2026 pour refuser d’étendre le champ des obligations de vigilance anti-blanchiment à la réparation des victimes de spoofing : elle énonce que « l’obligation de vigilance à l’égard de la clientèle imposée aux organismes financiers […] a pour seule finalité la lutte contre le blanchiment de capitaux et le financement du terrorisme. En conséquence la victime d’agissements frauduleux ne peut se prévaloir de leur inobservation pour réclamer des dommages et intérêts à l’organisme financier ». Toute construction contentieuse fondée sur l’article L. 561 6 CMF pour obtenir le remboursement d’opérations de spoofing est ainsi fermement écartée.

Enfin, la Haute Juridiction (Cass. com., 4 février 2026, n° 22-22.609) a égale ment approuvé une cour d’appel d’avoir rejeté une demande de remboursement dans une situation où quatre débits prétendument inexpliqués ont été enregistrés sur le compte bancaire d’un couple, à l’aide de leur carte bancaire, malgré l’activation du dispositif de sécurité « 3D Secure », faute pour eux d’être en me sure d’établir la date à laquelle ils avaient effectivement informé leur banque de l’utilisation frauduleuse de leur moyen de paiement. Et ce, nonobstant le fait qu’ils avaient dénoncé ces opérations en gendarmerie.

En effet, comme indiqué plus haut, l’article L. 133-24 du CMF (sur renvoi de l’article L.133-18) précise que l’utilisateur doit signaler une opération qu’il estime non autorisée « sans tarder », c’est-à-dire dès qu’il en a connaissance, pour avoir droit au remboursement, et ce, « à son prestataire de services de paiement ».

Or, la Cour d’appel avait notamment relevé que les deux premiers paiements litigieux, d’un montant particulièrement élevé, ne pouvaient passer inaperçus, de sorte que les clients auraient dû pouvoir en informer rapidement leur banque et prouver l’avoir fait.

Par ailleurs, l’établissement bancaire a produit des éléments de preuve démontrant que les transactions avaient été validées par le dispositif « 3D Secure » via le téléphone portable de la cliente, qui n’avait pourtant fait l’objet d’aucune déclaration de vol.

Ainsi, en l’espace de dix-huit mois, la Cour de cassation a substantiellement redessiné la cartographie du risque spoofing. La négligence grave doit s’apprécier en situation réelle, en tenant compte de la pression temporelle, du degré de sophistication de la fraude et des informations effectivement fournies par la banque au moment de la validation. Elle refuse autant de faire du client une victime automatique que de faire de la banque un assureur universel.

La bataille contentieuse se jouera de plus en plus sur les détails : le libellé exact d’un SMS d’authentification, la date précise d’un signalement, la connaissance que pouvait avoir le fraudeur des opérations antérieures. Ce sont ces détails que la Haute Juridiction érige désormais en critères décisifs.

 

LES POINTS CLÉS

  • Les opérations frauduleuses sont remboursées, sauf fraude ou négligence grave prouvée du client.
  • En cas de spoofing, la Cour de cassation protège généralement les victimes de faux conseillers bancaires.
  • Cette protection s’applique aussi aux entreprises, avec une appréciation stricte de la négligence grave.
  • Le remboursement peut être refusé si l’erreur vient du client ou si les alertes bancaires étaient claires.
  • Le client doit signaler rapidement la fraude, sinon il peut perdre son droit au remboursement.

 

SUR L’AUTEUR

Arnaud Picard intervient dans tous les domaines du contentieux du droit des affaires, en particulier en contentieux commercial et de haut de bilan, ainsi que dans le cadre de contentieux bancaires, notamment en matière de fraudes bancaires, de responsabilité des établissements de crédit et de litiges liés aux opérations de paiement (dont le spoofing). Il assiste et représente une clientèle française et internationale composée d’entreprises, de dirigeants et d’actionnaires, tant devant les juridictions françaises que les instances arbitrales.

À DÉCOUVRIR

Autopromo site Module Guide Immo 300
 
> Commander le Hors-série #2

Société citée :

Lerins

Lerins

- Classée dans 1 pays
- Mentionnée dans 34 classements

Personne citée :

Arnaud Picard

Arnaud Picard

Prochains rendez-vous

2 juillet 2026 - Pavillon d'Armenonville, Paris
Sommet du Droit en Entreprise
Le rendez-vous privilégié des décideurs juridiques des grandes entreprises et ETI
CONFÉRENCES ● DÉJEUNER VIP ● COCKTAIL ● DÎNER DE GALA ● REMISE DE PRIX
Voir le site

 

7 octobre 2026 - Salons Hoche, Paris
SAFE, Parlons Risques
Le rendez-vous des professionnels du droit et du risque
CONFÉRENCES ● COCKTAIL ● NETWORKING
Voir le site »

En kiosque

> Acheter le dernier numéro

Classements > Juridiques

 

GUIDE ET CLASSEMENTS

Autopromo site Module Guide Immo 300

> Guide 2026