55logo mikael le bot avocat

Faux conseiller bancaire : la Cour d’Appel de Paris confirme la responsabilité des banques et le remboursement des victimes (CA Paris, 22 mai 2025, RG n° 24/02286 et RG n°24/02984)

  • Droit bancaire
La Cour d’appel de Paris a rendu deux décisions s’inscrivant dans le courant jurisprudentiel favorable aux victimes (Cass. com., 23 octobre 2024, n° 23-16.267).

Les escroqueries bancaires en ligne et par téléphone sont devenues un fléau pour les particuliers comme pour les établissements financiers. Parmi elles, l’arnaque dite du « faux conseiller » ou du « vishing » (phishing vocal) est particulièrement insidieuse.

Récemment, la Cour d’appel de Paris a rendu deux décisions (datées toutes deux du 22 mai 2025) qui éclairent la position de la justice française face à ces fraudes sophistiquées, en mettant en balance la responsabilité des banques et la prétendue « négligence grave » des victimes. Ces deux décisions, s’inscrivent dans le courant jurisprudentiel favorable aux victimes initié par la Cour de cassation le 23 octobre 2024 (Cass. com., 23 octobre 2024, n° 23-16.267).

Analysons ces deux cas pour comprendre la ligne adoptée par les juges.

Cour d’appel de Paris, 22 mai 2025, RG n° 24/02286

Cour d’appel de Paris, 22 mai 2025, RG n° 24/02984

Affaire 1 : Banque Populaire (Cour d’appel de Paris, 22 mai 2025, RG n° 24/02286)

Les faits de l’escroquerie : une usurpation d’identité très convaincante

Le 5 mars 2022, Mme [N] est contactée par téléphone par une personne se présentant comme son conseiller bancaire. Ce qui rend cette fraude particulièrement difficile à détecter, c’est que l’appel provenait d’un numéro qui était celui de l’agence de la Banque Populaire Rives de [Localité 10] ([XXXXXXXX01]). Cette technique, appelée « spoofing », a été confirmée par Mme [N] et jugée « de nature à la mettre en confiance » par la Cour.

Sous cette influence, Mme [N] a été amenée à activer un lien envoyé par SMS (dénommé « BPOPULAIRE » avec le lien « https://connexionbp.com », distinct de l’officiel « https://banquepopulaire.fr ») la dirigeant vers un « site miroir ». Elle pensait y refuser des virements frauduleux, mais en réalité, ce lien a permis la capture de ses identifiants et l’authentification de plusieurs opérations frauduleuses : l’ajout d’un compte tiers, un achat par carte de 840 euros pour « Kenzo COM » et deux virements totalisant 3 800 euros vers « [N] [H] France ». La Cour a même relevé un fait « suspect » : le compte des époux [N] a été contacté « à la fois par le réseau Free mobile en France et par un réseau Vodaphone Spain en Espagne à une ou deux minutes d’intervalle » le jour de la fraude.

Mme [N] n’a jamais sciemment validé les paiements et n’a « pas divulgué ses données personnelles et confidentielles de manière consciente ». Dès qu’elle a soupçonné la fraude, elle a agi rapidement, prenant des captures d’écran et contactant la banque le jour même.

La décision de la cour : pas de négligence grave

Le premier juge avait déjà condamné la Banque Populaire à rembourser 4 012,72 euros, estimant que la banque n’avait pas prouvé l’autorisation des opérations et que Mme [N] n’avait pas commis de négligence grave. La Cour d’appel a confirmé intégralement cette décision.

Elle a réaffirmé que le simple fait pour un client de se faire dérober ses données de sécurité ne constitue pas nécessairement une faute, surtout si la personne répond à un numéro d’appel apparaissant comme celui de sa banque. Le tribunal a considéré que les circonstances de la fraude, notamment le numéro de téléphone usurpé et le caractère trompeur du lien et des intitulés, ne permettaient pas de retenir une négligence grave de la part de Mme [N].

Affaire 2 : Société Générale (Cour d’appel de Paris, 22 mai 2025, RG n° 24/02984)

Les faits de l’escroquerie : l’urgence et la fausse sécurité

M. [F], âgé de 92 ans et client de longue date de la Société Générale, avait déjà été victime d’un phishing Ameli. Le 4 novembre 2022, un vendredi en fin de journée, il a été contacté par téléphone par une personne se présentant comme un « employé du service de sécurité de la Société Générale ».

Le fraudeur a alarmé M. [F] en lui annonçant un « piratage de son compte bancaire » en cours et l’impératif de « réagir rapidement ». Pour « préserver ses comptes », il lui a été demandé de procéder à des virements vers un « nouveau compte bancaire » que le fraudeur prétendait avoir « ouvert à son nom dans le même établissement bancaire ». M. [F] a obtempéré, pensant qu’il était le bénéficiaire de ces virements, en utilisant son application bancaire et son dispositif d’authentification forte (Pass Sécurité). Deux virements de 4 000 euros chacun ont été effectués les 4 et 6 novembre 2022.

M. [F.] « n’a jamais transmis ses coordonnées personnelles, telles que ses identifiants ou ses codes secrets, à son interlocuteur téléphonique ou par courriel ». La fraude reposait sur sa manipulation pour qu’il initie lui-même les transferts. Il ne s’est rendu compte de l’escroquerie que le lundi suivant, le 7 novembre 2022, et a déposé plainte le jour même.

La décision de la cour : une manipulation qui diminue la vigilance

Le tribunal de première instance avait déjà jugé la Société Générale responsable. La Cour d’appel a confirmé la responsabilité de la banque et l’absence de négligence grave de M. [F].

Elle a souligné que l’appel, qui créait un sentiment d’urgence et la fausse impression que les fonds restaient au sein du même établissement et au nom du client, avait « légitimement créé un sentiment d’urgence » chez M. [F] et « diminuait la vigilance du client ». La Cour a également noté que l’âge de M. [F] (92 ans au moment des faits) était un facteur de vulnérabilité.

La Cour a insisté sur le fait que M. [F] n’a jamais communiqué ses codes confidentiels, et que son action rapide pour dénoncer la fraude était appropriée. La banque, en revanche, n’a pas prouvé que la procédure d’autorisation a été correctement réalisée, et l’hypothèse d’une défaillance technique n’a pas pu être écartée.

Analyse des décisions : la ligne jurisprudentielle de la cour d’appel de paris

  1. Le Fardeau de la Preuve sur la Banque :

  • La Cour rappelle constamment que c’est au prestataire de services de paiement (la banque) qu’il incombe de prouver que l’opération a été authentifiée, dûment enregistrée et comptabilisée, et qu’elle n’a pas été affectée par une défaillance technique.
  • Surtout, si le client nie avoir autorisé l’opération, la banque doit « fournir des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur ». Le simple fait que l’instrument de paiement ou les données personnelles aient été utilisées ne suffit pas à prouver cette négligence grave.
  1. Une Définition Stricte de la « Négligence Grave » :
    • La « négligence grave » est interprétée comme un « défaut de prudence élémentaire attendu d’une personne normalement attentive ». Cependant, la Cour se montre très exigeante envers les banques sur la preuve de cette négligence.
    • Ce qui n’est pas une négligence grave :
      • Répondre à un appel dont le numéro est usurpé (spoofing) : Pour Mme [N], le fait que le numéro affiché soit celui de son agence a été un facteur majeur excluant la négligence grave. La Cour estime que cela était « de nature à la mettre en confiance ».
      • Se faire manipuler par un scénario d’urgence et de « fausse sécurité » : Pour M. [F], le sentiment d’urgence et la croyance que les fonds restaient sous son contrôle, même s’ils étaient transférés, ont « diminué la vigilance du client » et ne constituent pas une négligence grave.
      • Ne pas déceler des « anomalies » subtiles : Malgré les arguments des banques sur les « anomalies manifestes » (mauvaise maîtrise de la langue, noms de liens différents), la Cour juge que la sophistication de la fraude rend ces éléments non suffisants pour caractériser une négligence grave du client, surtout quand le point de départ est un élément de confiance (comme le spoofing).
      • L’absence de transmission directe des données : Le fait que les victimes n’aient jamais communiqué leurs identifiants ou codes secrets est un argument fort en leur faveur, soulignant que ce sont les fraudeurs qui ont pris le contrôle des opérations par ruse, et non les clients qui ont divulgué leurs informations.
  1. L’Authentification Forte n’Exonère Pas la Banque :
    • Même si les opérations sont réalisées avec une authentification forte (Pass Sécurité, validations par SMS), cela ne suffit pas à prouver que l’opération a été autorisée par le payeur ou qu’il a commis une négligence grave. La banque doit toujours apporter des éléments supplémentaires pour prouver la faute du client.
  1. La Diligence de la Victime Post-Fraude :
    • La Cour examine toujours la réactivité du client après la découverte de la fraude. Dans les deux cas, Mme [N] et M. [F] ont agi rapidement pour signaler l’escroquerie à leur banque et déposer plainte. Cette diligence est un facteur positif pour la victime.

En somme, la Cour d’appel de Paris réaffirme que la responsabilité première repose sur la banque en cas d’opération non autorisée. Elle impose aux établissements bancaires un devoir renforcé de protection de leurs clients face aux techniques de fraude de plus en plus élaborées. Pour qu’une banque soit exonérée de sa responsabilité, elle doit démontrer une négligence grave, évidente et inexcusable de la part du client, ce qui est difficile à prouver lorsque la fraude repose sur l’ingénierie sociale et l’usurpation d’identité crédible, notamment via le « spoofing ».

Ces décisions soulignent la position ferme de la Cour d’appel de Paris en faveur des victimes de fraude, tant que leur négligence grave n’est pas clairement établie par la banque, particulièrement lorsque les fraudeurs exploitent la confiance des victimes en usurpant l’identité de l’établissement bancaire.

Aussi, si vous avez été victime d’une arnaque bancaire, notamment via un faux conseiller ou un appel suspect vous ayant induit en erreur, sachez que ces décisions récentes de la Cour d’appel de Paris renforcent considérablement vos droits au remboursement. La jurisprudence confirme que les banques sont tenues de prouver que l’opération a été autorisée ou qu’une négligence grave de votre part est établie, la simple utilisation de votre instrument de paiement ne suffisant pas à prouver votre autorisation ou une négligence grave.

N’attendez plus pour faire valoir vos droits. Si vous avez subi une perte suite à une fraude bancaire de ce type, ces décisions récentes constituent un appui majeur. Contactez dès maintenant le cabinet LE BOT AVOCAT pour évaluer votre situation et engager les démarches nécessaires afin d’obtenir le remboursement des sommes que vous avez perdues.

1521 2281 max

Besoin de conseils juridiques personnalisés ?

Ne restez pas seul face à vos questions. Un avocat peut vous rappeler gratuitement pour faire le point sur votre situation.

Être recontacté par un avocat

Besoin de conseils juridiques personnalisés ?

Veuillez activer JavaScript dans votre navigateur pour remplir ce formulaire.
RGPD :

Articles similaires

comment renégocier vos crédits efficacement : guide complet pour alléger vos remboursements mensuels

En pratique : l’examen des clauses abusives par le juge de l’exécution

À l’occasion d’un avis du 11 juillet 2024, la deuxième chambre civile de la Cour de cassation a clarifié plusieurs points clés concernant le contrôle ...

assets task 01jwreep41e6sshen0x1x7b6k5 1748872242 img 1

Apple pay / Google pay : obtenez le remboursement de vos opérations non autorisées lorsque la fraude n’a pas eu lieu depuis votre appareil

Les services de paiement mobile comme Apple Pay révolutionnent nos habitudes, mais ils exposent aussi à de nouvelles formes d’escroqueries. Une situation fréquente est celle ...

image

Comprendre la Procédure de Recall : Protection contre la Fraude

Introduction La fraude aux moyens de paiement est un fléau qui ne cesse de croître, notamment avec l’essor des technologies numériques. Les fraudeurs rivalisent d’ingéniosité ...