Tribunal judiciaire de Nice, 4e chambre civile, 9 juin 2026, n° 22/04823
🔑 Points clés à retenir
- La Caisse d’Épargne Île-de-France est condamnée à rembourser 10 002 €, plus 1 800 € au titre des frais de procédure, après une fraude au faux conseiller bancaire.
- L’existence d’une authentification forte (« Secur’Pass ») ne suffit pas : c’est à la banque de prouver que le client a réellement validé chaque opération.
- Avoir effectué des « manipulations sur le clavier » à la demande d’un fraudeur n’est pas un aveu de validation par le dispositif de sécurité.
- La banque n’a pas expliqué pourquoi, sur 15 opérations contestées dans des conditions similaires, 11 avaient été remboursées et seulement 4 refusées.
- L’ajout d’un nouveau bénéficiaire suivi de virements instantanés en quelques minutes, au lieu du délai habituel de plusieurs jours, révèle une anomalie technique.
- Un SMS frauduleux comportant quelques fautes ne suffit pas à caractériser la négligence grave d’un utilisateur normalement vigilant.
- La charge de la preuve de la fraude ou de la négligence grave pèse sur la banque (article L.133-23 du Code monétaire et financier).
Sommaire ▼
- Que s’est-il passé dans cette affaire ?
- Quel était l’enjeu juridique du litige ?
- Qui doit prouver quoi en cas de virement frauduleux ?
- La banque pouvait-elle invoquer un « consentement objectif » ?
- Pourquoi les « manipulations sur le clavier » ne valent pas validation ?
- Pourquoi l’ajout instantané des bénéficiaires a-t-il joué contre la banque ?
- Pourquoi rembourser 11 opérations sur 15 a-t-il décrédibilisé la banque ?
- La négligence grave du client était-elle caractérisée ?
- Le SMS frauduleux aurait-il dû alerter un client vigilant ?
- Pourquoi la fraude au téléphone est-elle traitée autrement que le phishing par e-mail ?
- Que retenir de cette décision pour les victimes ?
- Que faire si votre banque refuse de vous rembourser ?
- FAQ — Questions fréquentes
Que s’est-il passé dans cette affaire ?
L’histoire est devenue tristement banale, et c’est précisément ce qui rend cette décision instructive. Un homme gérait les comptes bancaires de sa mère, ouverts dans les livres de la Caisse d’Épargne et de Prévoyance Île-de-France. Un jour de février 2022, il reçoit un SMS provenant d’un numéro de téléphone, lui demandant de rappeler ce numéro pour valider ou infirmer une opération de 917,13 €. Inquiet, il rappelle : dans son esprit, il s’agit de bloquer une opération suspecte, surtout pas de l’autoriser.
S’ensuivent plusieurs appels téléphoniques d’un individu qui se fait passer pour un interlocuteur de confiance. Cette personne lui demande d’effectuer un certain nombre de manipulations sur l’écran de son application bancaire. Le client s’exécute, persuadé de sécuriser ses comptes. En réalité, il vient d’être pris dans une fraude au « faux conseiller bancaire » particulièrement aboutie.
Les conséquences ne tardent pas. Ses propres comptes et ceux de sa mère sont débités d’une série de paiements frauduleux, au profit de bénéficiaires intitulés « Money » (5 000 € en deux versements) et « Boulanger » (5 000 € également en deux versements), pour un total de 10 002 €, dont 2 € de frais de virement. Détail qui aura son importance : les documents produits ultérieurement révéleront que le fraudeur opérait depuis des adresses IP localisées hors de la région, voire au Maroc.
Le client réagit immédiatement : il alerte la banque dès le lendemain des faits, puis dépose plainte le 1er avril 2022, soit environ six semaines après la fraude. Il réclame ensuite à sa banque le remboursement des sommes débitées. La Caisse d’Épargne refuse, en opposant la prétendue négligence du payeur, qui aurait selon elle communiqué ses codes d’authentification aux fraudeurs. Faute d’accord — le médiateur de la banque ayant lui-même pris position de manière catégorique contre le client —, l’affaire est portée devant le tribunal judiciaire de Nice. Après le décès de la mère, ses deux filles sont intervenues volontairement à la procédure, aux droits de leur mère.
Quel était l’enjeu juridique du litige ?
Toute la difficulté de ce type de dossier tient à une question de qualification : l’opération de paiement était-elle autorisée ou non autorisée ? De la réponse dépend l’ensemble du régime applicable et, surtout, la répartition de la charge de la preuve.
Une opération de paiement est dite « non autorisée » lorsque le titulaire du compte n’a pas donné son consentement à son exécution, sous la forme convenue avec sa banque. Dès qu’une opération est qualifiée de non autorisée, la loi impose en principe à la banque de rembourser le client, sauf à démontrer une fraude ou une négligence grave de sa part.
La position de la banque consistait à contourner cette qualification. Pour la Caisse d’Épargne, le client avait, en réalité, donné un « consentement objectif » aux opérations : puisqu’il avait lui-même effectué des manipulations sur son application, puisque les paiements avaient été « dûment authentifiés » via le service Secur’Pass et que ce dispositif d’authentification forte n’avait connu, selon elle, aucune défaillance, il fallait considérer que les opérations étaient autorisées. Et si elles étaient autorisées, le régime protecteur des articles L.133-1 et suivants du Code monétaire et financier — réservé aux seules opérations non autorisées — devait être écarté. À titre subsidiaire seulement, la banque invoquait la négligence grave du client pour s’exonérer.
Le client, lui, soutenait exactement l’inverse : il n’avait jamais consenti aux virements, n’avait jamais validé l’ajout des comptes bénéficiaires, et c’était à la banque — prestataire de services de paiement — de rapporter la preuve d’une fraude ou d’une négligence grave de sa part. Tout l’enjeu du jugement tient dans l’arbitrage entre ces deux lectures.
Qui doit prouver quoi en cas de virement frauduleux ?
Le tribunal de Nice prend soin de rappeler l’architecture probatoire posée par le Code monétaire et financier, et c’est là le cœur de la décision. Le texte central est l’article L.133-23.
Lorsqu’un client conteste avoir autorisé une opération, c’est à sa banque de prouver que l’opération a été authentifiée, dûment enregistrée et comptabilisée, et qu’elle n’a pas été affectée par une déficience technique. Surtout, l’enregistrement de l’usage de l’instrument de paiement « ne suffit pas nécessairement » à prouver que l’opération a été autorisée par le payeur, ni qu’il a commis une négligence grave.
Cette dernière phrase est décisive. Le législateur a explicitement anticipé l’argument que les banques opposent systématiquement : « l’opération a été techniquement authentifiée, donc le client l’a forcément autorisée ». La loi répond : non, la trace technique ne suffit pas en elle-même. La banque doit aller plus loin et fournir des éléments concrets démontrant soit l’autorisation réelle de l’opération, soit la fraude ou la négligence grave de l’utilisateur.
L’authentification forte est une procédure de sécurité reposant sur au moins deux éléments indépendants (par exemple un mot de passe et la validation depuis l’application sur le téléphone). Issue de la directive européenne sur les services de paiement (DSP2), elle vise à s’assurer que l’auteur d’une opération est bien le titulaire du compte. Son existence ne dispense toutefois pas la banque de prouver le consentement réel du client.
Le tribunal articule également cette charge de la preuve avec l’article L.133-19 du même code, qui détaille les hypothèses dans lesquelles la responsabilité du payeur n’est pas engagée. Deux dispositions méritent l’attention. D’une part, le payeur ne supporte aucune conséquence financière, sauf agissement frauduleux de sa part, lorsque l’opération non autorisée a été effectuée sans que la banque n’exige une authentification forte. D’autre part, le payeur ne supporte les pertes que si elles résultent d’un agissement frauduleux de sa part ou d’un manquement, intentionnel ou par négligence grave, à ses obligations de sécurité. Autrement dit, le simple fait de s’être laissé tromper ne suffit jamais : il faut une négligence d’une particulière gravité.
La banque pouvait-elle invoquer un « consentement objectif » ?
C’est l’argument principal de la Caisse d’Épargne : le client aurait, par ses propres manipulations et grâce au dispositif Secur’Pass, objectivement consenti aux opérations. Le tribunal le rejette point par point, dans un raisonnement remarquablement structuré.
Pourquoi les « manipulations sur le clavier » ne valent-elles pas validation ?
Premier constat : le client n’a jamais reconnu avoir validé les opérations litigieuses avec Secur’Pass. Il a seulement indiqué avoir effectué « les manipulations sur le clavier » demandées par son interlocuteur. Or, manipuler un clavier à la demande d’un fraudeur n’équivaut pas à exécuter sciemment le code d’authentification forte d’un paiement précis. Le tribunal en tire une conséquence logique : il n’est rapporté ni la preuve, ni l’aveu, que le client aurait lui-même exécuté l’authentification forte des virements frauduleux.
Cette distinction est essentielle pour toutes les victimes. Les fraudeurs au faux conseiller excellent précisément à faire réaliser à la victime une série de gestes anodins en apparence, sans qu’elle comprenne qu’elle valide un virement. Reconnaître avoir « fait des manipulations » n’est donc pas reconnaître avoir autorisé un paiement. La banque qui veut s’exonérer doit démontrer le lien précis entre un acte de validation et chaque opération contestée — ce que la Caisse d’Épargne n’a pas fait.
Pourquoi l’ajout instantané des bénéficiaires a-t-il joué contre la banque ?
Le client avait soulevé une observation technique redoutable. Normalement, l’ajout d’un nouveau compte bénéficiaire de virement suppose plusieurs étapes de validation, séparées par plusieurs jours, précisément pour empêcher qu’un fraudeur ne vide un compte dans la foulée. Or, en l’espèce, les comptes bénéficiaires ont été ajoutés puis crédités dans les minutes qui suivaient. Cette instantanéité anormale révèle, à tout le moins, un dysfonctionnement ou une porosité du système.
Le tribunal relève que la banque « ne répond pas » à ces observations pourtant pertinentes. Pis : les conditions générales du service de banque à distance, seules produites, renvoyaient pour les modalités d’authentification forte des virements à la convention de compte de dépôt — convention qui, elle, n’a jamais été communiquée. De même, les plafonds de sécurité applicables aux comptes n’étaient pas indiqués. Autant de carences probatoires qui se retournent contre l’établissement.
🔎 L’anomalie technique en un coup d’œil
Procédure normale : Ajout d’un bénéficiaire → délai de sécurité de plusieurs jours → virement possible
Dans cette affaire : Ajout d’un bénéficiaire → virement instantané en quelques minutes → 🚩 anomalie non expliquée par la banque
Pourquoi rembourser 11 opérations sur 15 a-t-il décrédibilisé la banque ?
L’argument le plus implacable est sans doute celui-ci. Le client avait signalé en ligne quinze opérations contestées. Sur ces quinze, la banque en avait spontanément remboursé onze, ne refusant le remboursement que pour quatre d’entre elles. Or, à la lecture du listing produit par la banque elle-même (sa pièce n°2), ces quinze opérations apparaissaient dans des modalités similaires, certaines mentionnées comme validées avec Secur’Pass, d’autres remboursées.
Le tribunal souligne que la banque « ne peut raisonnablement expliquer » cette différence de traitement entre des opérations comparables. Comment justifier de rembourser onze opérations frauduleuses puis d’opposer une prétendue autorisation pour les quatre restantes, alors qu’elles relèvent du même mode opératoire ? Cette incohérence interne ruine la crédibilité de la défense : si la banque a admis le caractère non autorisé de onze opérations, elle ne peut pas soutenir sérieusement que les quatre autres auraient été consenties. Le tribunal y voit, à juste titre, la confirmation que la preuve du consentement n’est pas rapportée.
Au total, sur ce terrain du consentement, la conclusion s’impose : la banque ne rapporte pas la preuve suffisante que le client aurait objectivement consenti aux opérations, ni qu’il aurait compris la portée des manipulations demandées. Elle ne répond donc pas aux exigences de l’article L.133-23. La requalification en opérations non autorisées est acquise.
La négligence grave du client était-elle caractérisée ?
Restait l’argument subsidiaire : à défaut de consentement, la banque invoquait la négligence grave du client pour échapper au remboursement. Là encore, le tribunal refuse de la suivre.
La négligence grave est un manquement caractérisé du client à son obligation de préserver la sécurité de ses données personnalisées. C’est une faute d’une particulière intensité, bien au-delà de la simple imprudence : se faire tromper par une escroquerie sophistiquée ne suffit pas à la constituer. C’est à la banque de la prouver.
Le SMS frauduleux aurait-il dû alerter un client vigilant ?
La banque faisait valoir que le SMS initial comportait des erreurs de grammaire et que son origine « apparemment » frauduleuse aurait dû alerter le client. Le tribunal écarte cet argument avec un bon sens salutaire. D’une part, de telles fautes de grammaire ne sont pas suffisantes pour être repérées par un utilisateur normalement diligent : elles apparaissent communément dans des SMS, y compris ceux émanant de correspondants français parfaitement légitimes. D’autre part, rien dans le message ne laissait supposer que l’expéditeur se trouvait à l’étranger.
Le juge ajoute une observation technique de première importance : contrairement à un courriel, dont l’adresse réelle de l’expéditeur peut être vérifiée, un SMS ne permet pas d’identifier l’émetteur. Le canal lui-même prive donc le destinataire d’un moyen de contrôle. On ne saurait reprocher au client de ne pas avoir détecté une supercherie que le support technique l’empêchait précisément de démasquer.
Pourquoi la fraude au téléphone est-elle traitée autrement que le phishing par e-mail ?
Le tribunal mobilise ici la jurisprudence de la Cour de cassation, à propos d’un arrêt de la cour d’appel de Versailles du 23 octobre 2024. La Cour a jugé que les juges du fond apprécient souverainement les circonstances de fait au regard de l’article L.133-19, et qu’ils ne violent pas la loi en retenant qu’un client a pu légitimement baisser sa vigilance face à un appel téléphonique, par rapport à ce qui serait attendu face à de simples courriels.
Cette gradation est précieuse pour les victimes. La pression psychologique d’un appel en direct, la voix d’un interlocuteur qui connaît parfois des éléments du dossier, l’urgence fabriquée : tout cela crée un contexte où la vigilance se relâche plus facilement que devant un e-mail que l’on peut relire à tête reposée. Le tribunal en conclut qu’en l’espèce, la banque ne rapporte pas la preuve d’un défaut de vigilance d’un client normalement averti.
Le juge relève enfin la réactivité du client : il a averti la banque dès le lendemain des faits et déposé plainte environ six semaines plus tard, très en deçà du délai légal de treize mois prévu pour signaler une opération non autorisée. Ce comportement diligent achève de disqualifier le grief de négligence.
⚖️ Le raisonnement du tribunal, étape par étape
1. Le client conteste avoir autorisé les virements ↓
2. C’est à la banque de prouver le consentement réel (art. L.133-23) ↓
3. « Manipulations sur le clavier » ≠ validation Secur’Pass ↓
4. Anomalies : bénéficiaires ajoutés et crédités en minutes, 11 opérations sur 15 déjà remboursées ↓
5. Pas de négligence grave prouvée (SMS non détectable, vigilance abaissée au téléphone) ↓
➡️ Remboursement intégral : 10 002 € + intérêts au taux légal + 1 800 € de frais
Que retenir de cette décision pour les victimes ?
Au terme de son analyse, le tribunal condamne la Caisse d’Épargne et de Prévoyance Île-de-France à payer la somme globale de 10 002 €, outre les intérêts au taux légal à compter de l’assignation en justice, ainsi que 1 800 € au titre des frais irrépétibles (article 700 du Code de procédure civile) et les dépens. La partie perdante au procès, c’est la banque.
La portée pratique de ce jugement dépasse le cas particulier. Il confirme une ligne de plus en plus nette dans les juridictions du fond : l’authentification forte n’est pas un blanc-seing pour les banques. Brandir un dispositif comme Secur’Pass ou « 3D Secure » ne dispense pas l’établissement de démontrer que le client a réellement, et en connaissance de cause, validé chaque opération contestée. La trace technique d’une authentification est un commencement de preuve, jamais une preuve définitive du consentement.
Cette décision met aussi en lumière un levier encore sous-exploité par les victimes. Au-delà de la charge de la preuve du consentement, les banques sont tenues à des obligations techniques précises au titre des normes techniques de réglementation (les RTS, complétant la directive DSP2) : dispositifs d’authentification forte robustes, surveillance des transactions et détection des schémas anormaux. L’ajout d’un bénéficiaire immédiatement suivi de virements instantanés, vers des comptes peu fiables, depuis des adresses IP distantes (voire localisées au Maroc), est exactement le type d’anomalie que ces dispositifs de monitoring devraient signaler. Lorsque ces standards sont méconnus, ils peuvent fonder en eux-mêmes une responsabilité de la banque. À l’inverse, la défaillance des obligations de vigilance anti-blanchiment (LCB-FT) n’est pas un fondement utile : ces obligations ont pour seule finalité la lutte contre le blanchiment et le financement du terrorisme, et la victime ne peut pas s’en prévaloir pour obtenir réparation. Le dépôt de plainte pénale et, le cas échéant, le signalement de l’établissement restent utiles sur le plan factuel, mais ne constituent pas davantage un fondement civil d’indemnisation.
Que faire si votre banque refuse de vous rembourser ?
L’affaire niçoise illustre un parcours d’obstacles familier : la victime se heurte d’abord à un refus du conseiller, puis à un médiateur qui, ici, a pris position de manière « pour le moins catégorique » contre le client, l’obligeant finalement à saisir le juge pour obtenir gain de cause. Quelques réflexes permettent de préserver ses droits.
Réagissez immédiatement : signalez l’opération à votre banque dès que vous la découvrez, par un canal écrit, et faites opposition. Déposez plainte sans tarder, même si le délai légal de contestation est de treize mois. Conservez tout : SMS reçu, historique d’appels, captures d’écran, courriers de refus de la banque et avis du médiateur. Demandez à la banque, par écrit, les preuves techniques des opérations (logs d’authentification, modalités d’ajout des bénéficiaires, plafonds appliqués) : si elle ne peut pas les produire de façon convaincante, sa position s’effondre, comme l’illustre ce jugement. Surtout, ne vous laissez pas désarmer par un refus du conseiller ou du médiateur : ces étapes ne sont pas la fin du chemin, et les tribunaux donnent régulièrement raison aux victimes lorsque la banque ne parvient pas à prouver le consentement ou la négligence grave.
Conclusion
Le jugement du tribunal judiciaire de Nice du 9 juin 2026 est une bonne nouvelle pour les particuliers victimes de fraude au faux conseiller bancaire. Il rappelle, avec une pédagogie qui fait honneur à la juridiction, que la charge de la preuve pèse sur la banque : l’existence d’une authentification forte ne suffit pas, les « manipulations » obtenues par ruse ne valent pas consentement, et la négligence grave ne se présume jamais. Les incohérences de la défense bancaire — onze opérations remboursées sur quinze, bénéficiaires crédités en quelques minutes, convention de compte jamais produite — ont fait le reste.
Si votre banque vous oppose un refus de remboursement après une fraude, retenez l’essentiel : ce n’est pas à vous de prouver que vous n’avez pas autorisé l’opération, c’est à elle de prouver l’inverse. Notre cabinet, dédié au droit bancaire, accompagne les victimes de fraudes pour analyser leur dossier, exiger les preuves techniques de l’établissement et, si nécessaire, porter le litige devant le juge.
