Cour d’appel de Paris, pôle 4 chambre 9 A, 11 juin 2026, n° 25/09073
🔑 Points clés à retenir
- La cour d’appel de Paris confirme la condamnation de BNP Paribas à rembourser 8 722,97 € à un client victime d’un faux conseiller bancaire (spoofing).
- C’est à la banque, et non au client, de prouver que l’opération contestée a été authentifiée, enregistrée et n’a pas subi de défaillance technique (art. L. 133-23 du code monétaire et financier).
- Toutes les connexions en ligne permettant de consulter le code de la carte, de changer le mot de passe ou de relever le plafond exigeaient une authentification forte ; la banque ne démontre pas l’avoir appliquée.
- Affirmer que « le code confidentiel a forcément été composé » revient à inverser la charge de la preuve : la banque ne démontre ni que le code a été saisi, ni que le client l’a communiqué.
- Remettre sa carte à un coursier est une négligence, mais elle n’est pas « grave » faute de preuve que le code a été divulgué et utilisé.
- Les intérêts au taux légal courent dès l’origine du refus : la banque ne pouvait légitimement refuser de rembourser alors qu’elle ne disposait pas de la preuve qui lui incombe.
Sommaire ▼
- Que s’est-il passé dans cette affaire de faux conseiller bancaire ?
- Qui doit prouver quoi lorsqu’une opération bancaire est contestée ?
- Pourquoi l’absence d’authentification forte a-t-elle fait perdre la banque ?
- La banque pouvait-elle se contenter d’affirmer que le code « a forcément été composé » ?
- Quand une négligence devient-elle « grave » au point de priver de remboursement ?
- Pourquoi les intérêts courent-ils dès l’origine du refus de remboursement ?
- Que retenir si vous êtes victime d’une fraude au faux conseiller ?
- FAQ — Questions fréquentes
Que s’est-il passé dans cette affaire de faux conseiller bancaire ?
Le scénario est devenu tristement banal, mais il reste redoutablement efficace. Le 10 septembre 2022, vers 14 heures, le titulaire d’un compte BNP Paribas reçoit un appel. Au bout du fil, une personne se présente comme un conseiller de sa banque. Elle l’alerte : des opérations frauduleuses viennent d’être tentées avec sa carte, notamment des achats de billets d’avion sur une plateforme africaine. Le ton est pressant, la situation paraît grave. Apeuré et stressé, le client suit les instructions qu’on lui donne « pour mettre un terme à la fraude en cours » : il accepte de remettre sa carte bancaire à un coursier en scooter, qui se présente vers 15 heures à son domicile.
Le client affirme n’avoir jamais communiqué son code confidentiel ni ses identifiants. Pourtant, dans les heures et les jours qui suivent, son compte est vidé. Entre le 11 et le 13 septembre 2022, quatorze opérations sont réalisées : treize achats chez des commerçants pour un total de 6 723,97 € et un retrait d’espèces de 2 000 €, soit 8 722,97 € au total. Entre-temps, le mot de passe de l’espace en ligne a été modifié et le plafond de paiement de la carte relevé à 12 000 €.
La victime réagit vite : elle conteste les opérations auprès de BNP Paribas dès le 21 septembre 2022 (ce que confirme un courrier de la banque du 5 octobre), dépose plainte le 23 septembre et fait opposition à sa carte. La banque refuse néanmoins de rembourser, estimant que le client a commis une négligence grave. L’affaire est portée devant le tribunal de proximité de Paris, qui, par jugement du 17 avril 2025, condamne BNP Paribas à payer les 8 722,97 €, avec intérêts au taux légal à compter du 17 avril 2024, outre 1 600 € au titre des frais de procédure. La banque interjette appel. Le 11 juin 2026, la cour d’appel de Paris confirme le jugement en toutes ses dispositions et condamne BNP Paribas aux dépens d’appel.
Le spoofing désigne l’usurpation de l’identité d’un établissement bancaire. L’escroc se fait passer pour un conseiller (par appel téléphonique, parfois en affichant le vrai numéro de la banque) afin d’inspirer confiance et de pousser la victime à réaliser des manipulations ou à remettre des éléments de sa carte. C’est une technique d’ingénierie sociale qui exploite la peur et l’urgence plutôt qu’une faille purement informatique.
Qui doit prouver quoi lorsqu’une opération bancaire est contestée ?
C’est tout le cœur du litige, et c’est là que beaucoup de victimes baissent les bras à tort. Lorsqu’un client conteste une opération qu’il n’a pas autorisée, l’instinct — entretenu par les banques — voudrait que ce soit à lui de prouver qu’il n’a rien fait. C’est exactement l’inverse. Le code monétaire et financier fait peser la charge de la preuve sur le prestataire de services de paiement, c’est-à-dire la banque.
Lorsqu’un utilisateur nie avoir autorisé une opération de paiement déjà exécutée, c’est à sa banque de prouver que l’opération a été authentifiée, dûment enregistrée et comptabilisée, et qu’elle n’a pas été affectée par une déficience technique. Le texte précise que la seule utilisation de l’instrument de paiement, telle qu’enregistrée par la banque, ne suffit pas à prouver que l’opération a été autorisée par le client ou qu’il a commis une négligence grave.
La cour d’appel énonce une mécanique probatoire en deux temps, qu’il faut bien comprendre car elle conditionne l’issue de la plupart des dossiers de fraude. Lorsque le client nie avoir autorisé une opération, la banque doit, en premier lieu, prouver que ce sont bien les données d’authentification de l’utilisateur qui ont été utilisées et qu’il n’y a pas eu de défaillance technique. En second lieu seulement — et même lorsque l’authentification a été renforcée et que ces données ont été utilisées — la banque doit fournir des éléments démontrant la fraude ou la négligence grave commise par l’utilisateur.
La charge de la preuve, étape par étape
Le client conteste une opération
↓
Étape 1 — La banque doit prouver que les données d’authentification du client ont été utilisées et qu’il n’y a pas eu de défaillance technique
↓
Étape 2 — Même si l’authentification forte a été appliquée, la banque doit en outre prouver la fraude ou la négligence grave du client
↓
Si la banque échoue à l’une ou l’autre étape → remboursement intégral du client
Cette logique est fondamentale : tant que la banque n’a pas franchi la première marche, la question même de la négligence du client ne se pose pas. C’est précisément sur cette première marche que BNP Paribas a trébuché.
Pourquoi l’absence d’authentification forte a-t-elle fait perdre la banque ?
Pour démontrer que les opérations avaient été régulièrement authentifiées, BNP Paribas ne produit qu’une seule pièce : un « relevé des connexions télématiques » recensant une trentaine de connexions au compte. Problème : la quasi-totalité de ces connexions sont décrites comme effectuées « par numéro de client et mot de passe ». Or un identifiant et un mot de passe ne constituent pas, à eux seuls, une authentification forte.
Définie à l’article L. 133-4 f) du code monétaire et financier, l’authentification forte repose sur l’utilisation d’au moins deux éléments indépendants appartenant à des catégories différentes : la « connaissance » (quelque chose que seul l’utilisateur connaît, comme un mot de passe), la « possession » (quelque chose que seul l’utilisateur possède, comme son téléphone) et l’« inhérence » (quelque chose que l’utilisateur est, comme son empreinte). L’indépendance signifie que la compromission de l’un ne remet pas en cause les autres.
L’article L. 133-44 du code monétaire et financier impose à la banque d’appliquer cette authentification forte dans trois situations : lorsque le payeur accède à son compte de paiement en ligne, lorsqu’il initie une opération de paiement électronique, et lorsqu’il exécute une opération par un moyen de communication à distance susceptible de comporter un risque de fraude.
Le règlement délégué (UE) n° 2018/389, qui complète la directive sur les services de paiement (DSP2), fixe les normes techniques de réglementation (RTS) imposant l’authentification forte et le suivi des opérations. La banque invoquait son article 10, qui autorise une exemption d’authentification forte pour la simple consultation du solde dans les 90 jours. Mais cette exemption ne couvre pas les opérations sensibles en cause ici.
L’analyse de la cour est ici particulièrement instructive. Elle relève d’abord que la nature exacte des connexions n’est pas précisée par le relevé produit, hormis pour les changements de mot de passe et le relèvement de plafond : impossible donc d’affirmer qu’elles correspondraient aux paiements par carte. Surtout, la cour constate que toutes les connexions effectuées en ligne exigeaient une authentification forte, car elles permettaient non seulement de consulter le solde du compte, mais aussi de visualiser le code confidentiel de la carte, de modifier le mot de passe et d’élever le plafond de paiement. Le client le démontrait par une pièce — non contestée par la banque — établissant que l’espace en ligne donnait accès au code de la carte.
Le raisonnement est implacable : si l’espace personnel permettait de voir le code confidentiel de la carte sans authentification forte, alors l’escroc qui avait pénétré cet espace (puisqu’il avait changé le mot de passe et relevé le plafond) avait pu y récupérer le code lui-même, sans que le client ait jamais besoin de le lui communiquer. La banque, en ne démontrant pas avoir appliqué l’authentification forte à ces opérations pourtant sensibles, n’a pas rapporté la preuve exigée. La première marche probatoire n’est pas franchie.
La banque pouvait-elle se contenter d’affirmer que le code « a forcément été composé » ?
C’était l’argument central de BNP Paribas : les achats ayant été réalisés physiquement chez des commerçants et un retrait ayant été effectué à un distributeur, le code confidentiel avait nécessairement été composé ; et si le code a été composé, c’est que le client l’avait donné à l’escroc en même temps que sa carte. L’argument a une apparence de bon sens. La cour le balaie pourtant, et c’est l’un des apports les plus utiles de l’arrêt.
La cour relève que, ce faisant, la banque inverse la charge de la preuve. Deux failles sont identifiées. D’une part, la banque ne démontre même pas que le code confidentiel a effectivement été composé : aucun élément informatique n’est produit pour étayer cette affirmation. D’autre part, à supposer qu’il l’ait été, la banque ne démontre nullement que c’est le client qui a communiqué ce code — alors même qu’il vient d’être établi que ce code était accessible en ligne, sans authentification forte, à quiconque s’était introduit dans l’espace personnel.
« Le code a été composé, donc le client l’a donné » : ce raccourci est juridiquement vicié. Il fait reposer sur la victime la preuve d’un fait négatif (ne pas avoir communiqué son code), alors que la loi impose à la banque de prouver positivement la négligence grave. Une simple affirmation, non étayée par des traces techniques, ne suffit jamais.
Cet attendu est précieux pour toutes les victimes confrontées au même discours. Beaucoup de refus de remboursement reposent en réalité sur une pétition de principe : la banque part du résultat (l’argent est parti) pour en déduire la faute du client (il a forcément trahi ses données). La cour d’appel rappelle qu’un syllogisme n’est pas une preuve, et qu’une banque qui ne produit aucune trace technique de la saisie du code ne peut pas faire peser sur son client le poids de son propre défaut de preuve.
Quand une négligence devient-elle « grave » au point de priver de remboursement ?
La banque ne supporte pas la perte si elle prouve que le client a commis une négligence grave dans la conservation de ses données. Toute la difficulté tient à la frontière entre la simple imprudence — qui n’exonère pas la banque — et la négligence grave — qui prive du remboursement.
La négligence grave est un manquement caractérisé de l’utilisateur à son obligation de préserver la sécurité de ses données personnalisées. Elle suppose un comportement que tout titulaire normalement attentif aurait évité. C’est à la banque de la prouver ; le doute profite au client. Toute imprudence n’est pas une négligence grave.
La cour rappelle la ligne de partage dégagée par la jurisprudence en matière de spoofing : ne commet pas de faute l’utilisateur qui valide des opérations en répondant à un appel affiché sur son téléphone comme provenant de sa banque ; en revanche, commet une négligence grave celui qui répond à des messages dont la nature frauduleuse aurait dû lui apparaître, ou qui clique sur des liens manifestement douteux. La nuance tient à la vraisemblance de la sollicitation et à la vigilance que les circonstances permettaient raisonnablement d’attendre.
Appliquant ces principes, la cour reconnaît que le client a bien commis une négligence en confiant sa carte à un inconnu. Mais elle refuse de la qualifier de grave, et ce pour une raison strictement probatoire : il n’est pas établi qu’il ait également donné son code confidentiel, ni que ce code ait effectivement servi à réaliser les paiements et le retrait qu’il conteste. Autrement dit, la négligence relative à la carte physique ne suffit pas, à elle seule, à caractériser la négligence grave, dès lors que la chaîne causale entre le comportement du client et le débit frauduleux n’est pas démontrée.
On notera la cohérence d’ensemble du raisonnement : le contexte d’appel angoissant, qui a diminué la vigilance de la victime, et l’invraisemblance d’une banque demandant à ses clients de remettre leur carte à un coursier, concourent à exclure la gravité de la faute. La peur instillée par l’escroc fait partie de l’analyse, et non d’une circonstance neutre.
Pourquoi les intérêts courent-ils dès l’origine du refus de remboursement ?
BNP Paribas tentait, à titre subsidiaire, de repousser le point de départ des intérêts au taux légal au jour du prononcé de l’arrêt, en soutenant que les pénalités de retard ne s’appliquent qu’en cas de manquement de la banque à son obligation de remboursement. La cour confirme au contraire le point de départ retenu en première instance.
La justification est nette : la banque ne pouvait légitimement refuser de rembourser dès lors qu’elle n’était pas en mesure d’apporter la preuve qui lui incombe au premier chef. En d’autres termes, le refus de remboursement était fautif dès l’origine, parce que la banque ne disposait pas des éléments lui permettant de l’opposer. Les intérêts courent donc depuis la date fixée par le premier juge, et non depuis l’arrêt. C’est un point financièrement loin d’être anodin : sur des sommes importantes et des procédures qui s’étalent sur plusieurs années, le point de départ des intérêts représente un enjeu réel.
En revanche, la cour confirme le rejet de la demande de dommages et intérêts pour préjudice moral : le client se contentait de l’affirmer sans l’étayer par la moindre pièce. C’est un rappel utile : même lorsque le remboursement du capital est acquis, l’indemnisation d’un préjudice distinct suppose d’en rapporter la preuve concrète.
Que retenir si vous êtes victime d’une fraude au faux conseiller ?
Cet arrêt s’inscrit dans un courant jurisprudentiel de plus en plus protecteur des victimes de fraude, à rebours du discours culpabilisant souvent opposé par les banques. Plusieurs enseignements pratiques s’en dégagent.
D’abord, ne jamais accepter sans réagir un refus de remboursement fondé sur la seule affirmation que « les données ont forcément été utilisées par vous ». La banque doit produire des traces techniques précises ; un relevé de connexions vague, qui ne distingue pas la nature des opérations et n’établit pas l’application d’une authentification forte, est insuffisant. L’absence d’authentification forte sur les opérations sensibles — accès au code de la carte, changement de mot de passe, relèvement de plafond — est un angle d’attaque décisif.
Ensuite, conserver et réunir les preuves de réactivité : date de la contestation auprès de la banque, dépôt de plainte, opposition à la carte. Dans cette affaire, la contestation dès le 21 septembre, la plainte du 23 septembre et l’opposition ont conforté la position de la victime et écarté toute forclusion. Le dépôt de plainte reste, à cet égard, factuellement très utile, même s’il ne constitue pas en lui-même un fondement d’indemnisation civile.
Enfin, lorsque l’on cherche les fondements de la responsabilité de la banque, il faut raisonner sur le terrain du droit des paiements et des obligations techniques qui en découlent. Au-delà de la charge de la preuve de l’article L. 133-23, les obligations issues des normes techniques de réglementation (RTS) complétant la DSP2 — authentification forte, suivi et détection des opérations anormales — constituent un levier encore sous-exploité pour engager la responsabilité d’un établissement qui a laissé prospérer une fraude sans déclencher les sécurités qu’il était tenu de mettre en œuvre.
En pratique — la bonne réflexe après une fraude
- Contester par écrit auprès de la banque dans les plus brefs délais (et au plus tard dans les 13 mois).
- Faire opposition à la carte et déposer plainte.
- Exiger de la banque la preuve de l’authentification forte des opérations contestées.
- Ne pas se laisser impressionner par l’argument « le code a forcément été saisi ».
- Consulter un avocat en droit bancaire pour évaluer les leviers procéduraux.
Conclusion
L’arrêt de la cour d’appel de Paris du 11 juin 2026 est une décision claire et pédagogique, qui remet la charge de la preuve à sa juste place : sur les épaules de la banque. Tant qu’un établissement ne démontre pas avoir appliqué l’authentification forte aux opérations sensibles, et ne produit aucune trace de la saisie effective du code confidentiel, il ne peut pas se retrancher derrière la « négligence grave » de son client pour refuser de rembourser. Remettre sa carte à un escroc qui se fait passer pour son conseiller reste une imprudence — mais une imprudence n’est pas une faute lourde, surtout lorsque la banque a elle-même laissé le code de la carte accessible en ligne sans sécurité renforcée. Pour les victimes de spoofing, le message est encourageant : le combat n’est pas perdu d’avance, et le terrain de la preuve technique est souvent celui sur lequel les banques sont les plus fragiles.
