Cour d’appel de Bordeaux, 1re chambre civile, 9 juin 2026, n° 23/05481
🔑 Points clés à retenir
- La cour d’appel de Bordeaux confirme la condamnation de la Caisse d’Épargne à rembourser 6 000 euros détournés par un faux conseiller, et ajoute 1 000 euros au titre du préjudice moral.
- La charge de la preuve pèse sur la banque : c’est au prestataire de services de paiement de démontrer que l’opération a été authentifiée, dûment enregistrée et non affectée par une déficience technique (art. L. 133-23 du code monétaire et financier).
- La banque ne produisait pas le journal des logs, mais de simples captures d’écran internes : aucun numéro de transaction, aucun code « Secur’pass », aucun SMS de confirmation. L’authentification forte n’était donc pas prouvée.
- Le « spoofing » (numéro de la banque affiché, connaissance du nom du conseiller) a mis la cliente en confiance : la cour écarte la négligence grave.
- La simple communication d’un mot de passe ne suffit pas à caractériser le consentement du payeur (Cass. com., 10 déc. 2025, n° 24-20.778).
- Le manquement de la banque à son obligation de remboursement immédiat (art. L. 133-18) justifie une indemnisation distincte du préjudice moral.
Sommaire ▼
- Que s’est-il passé dans l’affaire jugée à Bordeaux ?
- Qui doit prouver quoi en cas de virement frauduleux ?
- Pourquoi la banque a-t-elle perdu malgré son « Secur’pass » ?
- Le « spoofing » et le faux conseiller suffisent-ils à caractériser une négligence grave ?
- Pourquoi la Caisse d’Épargne a-t-elle aussi été condamnée pour préjudice moral ?
- Quelle est la portée de cette décision pour les victimes de fraude ?
- Que faire si vous êtes victime d’un virement frauduleux ?
- FAQ — Questions fréquentes
Que s’est-il passé dans l’affaire jugée à Bordeaux ?
L’affaire débute le 22 décembre 2021. Une cliente de la Caisse d’Épargne reçoit un appel téléphonique. À l’autre bout du fil, une personne se présente comme un conseiller du « service opposition » de sa banque. Le numéro qui s’affiche sur son téléphone est bien celui de l’établissement. L’interlocuteur connaît son numéro de compte et le nom de son conseiller habituel. Tous les signaux de confiance sont au vert.
Le faux conseiller lui explique que son compte fait l’objet de mouvements financiers frauduleux : des virements seraient en cours de réalisation vers les États-Unis, à l’initiative d’un certain « [F] ». Pour « stopper » ces manœuvres, il lui demande de réinitialiser son mot de passe et de lui communiquer le nouveau code. Persuadée d’être en train de se faire pirater et de pouvoir mettre fin à l’attaque, la cliente s’exécute. Le même jour, prudente malgré tout, elle adresse un courriel à son véritable conseiller bancaire pour vérifier. Ce courriel restera sans réponse : le conseiller était en congé.
Dans la nuit du 26 au 27 décembre 2021, le couperet tombe. La cliente reçoit un message l’informant qu’un virement de 6 000 euros — la totalité de ses économies, logées sur son Livret d’Épargne Populaire — vient d’être effectué vers le compte d’un certain « [N] [X] ». Entre-temps, un bénéficiaire avait été ajouté à son compte, les fonds avaient transité de son épargne vers son compte courant, puis du compte courant vers ce nouveau bénéficiaire. La cliente alerte de nouveau sa banque par courriel. En tout, elle préviendra l’établissement à trois reprises. Jamais elle ne sera rappelée.
S’ensuit un parcours classique du combattant : mise en demeure du 10 janvier 2022, refus de la banque le 22 mars 2022 au motif que la cliente serait « seule responsable » de la fraude, nouvelle mise en demeure par avocat le 7 juin 2022, nouveau refus. La cliente finit par assigner la Caisse d’Épargne le 7 février 2023.
Le tribunal judiciaire d’Angoulême, par jugement du 31 octobre 2023, lui donne raison sur l’essentiel : la banque est condamnée à rembourser les 6 000 euros, mais la cliente est déboutée de sa demande de dommages et intérêts. La banque, mécontente, fait appel de l’intégralité du jugement. La cliente, de son côté, conteste le rejet de son préjudice moral. C’est ce double appel que la cour de Bordeaux tranche le 9 juin 2026.
Une opération de paiement est dite « non autorisée » lorsque le titulaire du compte n’a pas donné son consentement à l’ordre exécuté. En droit des paiements, l’autorisation suppose un véritable consentement du payeur : ce n’est pas parce que des données de sécurité ont été utilisées que l’opération est, juridiquement, autorisée.
Qui doit prouver quoi en cas de virement frauduleux ?
C’est le cœur de la décision, et c’est la question qui décide à elle seule de l’issue de la plupart des contentieux de fraude bancaire. La banque soutenait que les opérations avaient été « autorisées » au sens des articles L. 133-6 et L. 133-23 du code monétaire et financier, et que la cliente ne pouvait donc pas se prévaloir de l’article L. 133-19 (qui organise le remboursement des opérations non autorisées). Subsidiairement, elle invoquait la « négligence grave » de la cliente, qui aurait sciemment communiqué ses identifiants.
La cour de Bordeaux balaie cette construction en rappelant la règle fondamentale du régime issu de la directive européenne sur les services de paiement (DSP2). Les opérations litigieuses relèvent des articles L. 133-12 et suivants du code monétaire et financier, dans leur rédaction issue de l’ordonnance n° 2017-1252 du 9 août 2017. Et l’article L. 133-23 est sans ambiguïté : lorsqu’un utilisateur nie avoir autorisé une opération, « il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre ».
En matière de paiement, c’est la banque — et non le client — qui doit prouver que l’opération contestée a bien été authentifiée et techniquement irréprochable. Si elle n’y parvient pas, elle doit rembourser. Le client n’a pas à démontrer qu’il a été victime d’une fraude : il lui suffit de nier avoir autorisé l’opération.
Le même texte ajoute une précision décisive : « l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ». Autrement dit, le simple fait que les codes aient « fonctionné » ne prouve ni le consentement de la cliente, ni sa négligence grave.
La cour s’appuie sur une série d’arrêts de la chambre commerciale de la Cour de cassation qui forment désormais une jurisprudence solide :
→ Cass. com., 23 oct. 2019, n° 18-15.823 : la preuve de la négligence grave ne peut se déduire du seul fait que l’instrument de paiement a été effectivement utilisé.
→ Cass. com., 12 nov. 2020, n° 19-12.112 et Cass. com., 30 avril 2025, n° 24-10.149 : avant de reprocher au client une négligence grave, la banque doit d’abord prouver que l’opération a été authentifiée et exempte de déficience technique.
→ Cass. com., 10 déc. 2025, n° 24-20.778 (F-B) : la seule communication du mot de passe permet d’initier un ordre, mais ne suffit pas à caractériser le consentement du payeur. Ce consentement doit être prouvé par la banque.
La logique est implacable : tant que la banque n’a pas franchi la première étape — prouver l’authentification régulière de l’opération —, elle ne peut même pas accéder à la seconde, celle du reproche de négligence grave. C’est un ordre que les établissements bancaires tentent régulièrement d’inverser, et que les juges remettent à l’endroit.
Pourquoi la banque a-t-elle perdu malgré son « Secur’pass » ?
La Caisse d’Épargne mettait en avant son dispositif « Secur’pass », présenté comme une authentification forte combinant un élément connu du seul client, l’usage d’un téléphone mobile et une caractéristique personnelle (empreinte, reconnaissance faciale). Sur le papier, le dispositif coche les cases de l’authentification forte exigée par le droit européen. Sur le papier seulement.
Issue de la directive DSP2, l’authentification forte repose sur au moins deux éléments indépendants appartenant aux catégories « connaissance » (un mot de passe), « possession » (un téléphone) et « inhérence » (une empreinte, un visage). Elle est conçue pour que la compromission de l’un des facteurs ne suffise pas à valider une opération. C’est précisément ce qui doit empêcher un fraudeur, même en possession d’un mot de passe, de vider un compte.
Le problème, pour la banque, est qu’elle n’a jamais réussi à prouver que cette authentification forte avait effectivement été déployée pour les opérations litigieuses. La cour relève avec précision les lacunes du dossier :
✗ Pas de journal des logs, mais uniquement des copies d’écrans internes du logiciel de la banque.
✗ L’opération d’ajout du bénéficiaire « [X] » le 26 décembre n’est pas détaillée et ne comporte aucun code de référence quant à l’heure d’activation du « Secur’pass ».
✗ Le virement de 6 000 euros apparaît sans numéro de transaction ni code « Secur’pass », alors même que ce dispositif est mentionné.
✗ Le donneur d’ordre est identifié comme étant… le fraudeur « [X] » lui-même.
✗ Aucun élément ne fait état de l’envoi d’un SMS de confirmation sur le téléphone de la cliente.
La cour en tire une conséquence factuelle accablante pour l’établissement : l’ajout d’un bénéficiaire, puis les virements du Livret d’Épargne vers le compte courant et du compte courant vers ce bénéficiaire, ont été réalisés avec un seul acte d’authentification, sans aucune validation par SMS ou par courriel. Détail révélateur, le relevé d’écran de la banque mentionne que l’opération a été réalisée par un « agent 99999999 », « poste fonctionnel 000000 » — une identité que la banque elle-même n’a pas été en mesure d’expliquer.
La conclusion s’impose : « la banque ne démontre pas que l’authentification forte a été utilisée pour ces opérations, ni n’explique les raisons de cette déficience technique ». Or, l’absence d’authentification forte n’est pas un détail technique. C’est précisément la défaillance qui a permis à un tiers, à partir d’un seul mot de passe communiqué sous la pression, de vider le compte. Si le dispositif avait réellement fonctionné, la cliente aurait dû recevoir un code par SMS pour valider chaque opération — ce qui ne s’est jamais produit.
Le client nie avoir autorisé l’opération
↓
La banque doit prouver l’authentification forte + l’absence de déficience technique
↓
Captures d’écran ≠ journal des logs → preuve insuffisante
↓
Authentification forte non démontrée
↓
La banque rembourse — sans même avoir à examiner la négligence du client
Le « spoofing » et le faux conseiller suffisent-ils à caractériser une négligence grave ?
Même si la question de la négligence grave devenait, en toute rigueur, surabondante (la banque ayant déjà échoué à prouver l’authentification), la cour prend soin d’y répondre. Et sa réponse est instructive pour toutes les victimes de ce type d’arnaque.
Le « spoofing » désigne l’usurpation de l’identité d’un correspondant de confiance. Dans le spoofing téléphonique, le fraudeur fait apparaître sur l’écran de sa victime le numéro officiel de sa banque. Combiné à des informations personnelles (nom du conseiller, numéro de compte), le procédé crée une illusion de légitimité quasi parfaite, conçue pour neutraliser la méfiance de la victime.
La cour décrit avec finesse le mécanisme de manipulation. La cliente a communiqué ses codes le 22 décembre 2021 alors qu’elle croyait être en relation avec un salarié de la Caisse d’Épargne : le numéro affiché était celui de la banque, l’interlocuteur connaissait son numéro de compte et le nom de son conseiller, et il lui a fait croire qu’elle était en train de se faire pirater. Elle pensait, en transmettant ce code, mettre fin à l’attaque. La cour qualifie expressément ces faits d’usurpation d’identité (« spoofing ») et souligne qu’ils ont « mis [la cliente] en confiance et diminué sa vigilance », le tout dans un temps très court, par téléphone, et alors même qu’elle tentait — en vain — de vérifier l’information auprès de son vrai conseiller.
La cour en conclut qu’« il ne peut être soutenu que [la cliente] a transmis volontairement son mot de passe ou son code » de manière à caractériser une négligence grave. La transmission a été obtenue par ruse, dans un contexte d’urgence fabriqué de toutes pièces. Le véritable point de défaillance n’est pas la vigilance de la cliente, mais le système de sécurité de la banque, « insuffisant pour permettre ces virements sans recours au « Secur’pass » » qui aurait seul permis d’exiger la saisie de données et d’un code reçu par SMS.
La négligence grave est le comportement d’une imprudence caractérisée qui, seul, permet à la banque de refuser le remboursement d’une opération non autorisée (art. L. 133-19, IV). Mais la jurisprudence l’apprécie strictement : une victime manipulée par un fraudeur exploitant l’apparence officielle de la banque ne commet pas, par principe, une négligence grave. C’est à la banque de la prouver, et elle ne peut pas la déduire du seul usage des codes.
Cette appréciation s’inscrit dans le sillage de la position désormais consolidée de la Cour de cassation : la sophistication du « spoofing » est précisément ce qui exclut, le plus souvent, la négligence grave. Plus la mise en scène est crédible, moins l’on peut reprocher à la victime de s’être laissé convaincre.
Pourquoi la Caisse d’Épargne a-t-elle aussi été condamnée pour préjudice moral ?
C’est l’apport le plus intéressant de l’arrêt, car il infirme le jugement de première instance sur ce point. Le tribunal d’Angoulême avait refusé d’indemniser le préjudice moral de la cliente. La cour de Bordeaux, elle, lui alloue 1 000 euros supplémentaires.
Le fondement de cette condamnation mérite l’attention. La cour s’appuie sur l’article L. 133-18 du code monétaire et financier, qui impose à la banque de rembourser le montant d’une opération non autorisée immédiatement après en avoir été informée, et au plus tard à la fin du premier jour ouvrable suivant — sauf si elle a de bonnes raisons de soupçonner une fraude de l’utilisateur, raisons qu’elle doit alors communiquer par écrit à la Banque de France.
Dès qu’une opération non autorisée lui est signalée, la banque doit en principe rembourser le client sans attendre, au plus tard le lendemain ouvrable. Elle ne peut différer ce remboursement que si elle soupçonne une fraude du client lui-même, à condition d’en informer par écrit la Banque de France. Faute de respecter ce calendrier, elle engage sa responsabilité.
Or, en l’espèce, la banque n’a jamais rempli aucune de ces conditions. Elle n’avait aucune bonne raison de soupçonner une fraude de la cliente : au contraire, les courriels que celle-ci lui adressait, l’appel téléphonique passé à la banque et le dépôt de plainte démontraient qu’elle était victime, et non auteure, de la fraude. Et la banque n’a pas davantage communiqué de raisons par écrit à la Banque de France. Pourtant, alors que les faits ont été commis dans la nuit du 26 au 27 décembre 2021, la cliente a dû mettre la banque en demeure le 10 janvier 2022, puis de nouveau par avocat le 7 juin 2022, sans que l’établissement ne défère à ses demandes.
La cour en déduit que la banque n’a pas respecté son obligation légale, ce qui a causé à la cliente un préjudice moral distinct — le stress important vécu pendant ces longs mois d’attente et de refus. D’où l’allocation de 1 000 euros à ce titre, en plus des 6 000 euros de préjudice financier et de 3 000 euros au titre des frais irrépétibles en cause d’appel.
Ce volet de l’arrêt est précieux. Il signifie que le manquement de la banque à son obligation de remboursement rapide n’est pas neutre : le simple fait de faire traîner un dossier, de multiplier les refus et de contraindre la victime à un parcours judiciaire de plusieurs années peut être sanctionné en lui-même, indépendamment de la restitution du capital détourné.
Quelle est la portée de cette décision pour les victimes de fraude ?
L’arrêt du 9 juin 2026 n’invente rien : il applique fidèlement le régime DSP2 et la jurisprudence de la Cour de cassation. Mais sa valeur tient à la clarté avec laquelle il articule les différents leviers, et à la sévérité qu’il manifeste à l’égard d’une banque qui s’était contentée d’affirmer, sans démontrer.
Premier enseignement : les captures d’écran ne valent pas preuve d’authentification forte. Trop souvent, les établissements produisent des extractions de leurs propres systèmes, mises en forme pour la circonstance, en espérant qu’elles emporteront la conviction du juge. La cour de Bordeaux rappelle qu’il faut un véritable journal des logs, horodaté, traçant chaque étape de l’authentification. À défaut, le doute profite au client.
Deuxième enseignement : l’absence de SMS de validation est un indice puissant de l’absence d’authentification forte. Lorsqu’un compte est vidé sans qu’aucun code n’ait été envoyé au téléphone du titulaire, c’est souvent que le dispositif de sécurité n’a pas joué son rôle — et la responsabilité s’en trouve déplacée vers la banque.
Troisième enseignement : le préjudice moral est indemnisable lorsque la banque traîne à rembourser. Les victimes ont tout intérêt à formuler une demande distincte à ce titre, en documentant le stress, les démarches répétées et le temps écoulé entre le signalement et le remboursement.
On peut néanmoins relever une limite de portée. La motivation de la cour reste largement tributaire des carences probatoires de cette banque-là, dans ce dossier-là. Une banque qui produirait un journal des logs complet, démontrant un parcours d’authentification forte impeccable, déplacerait le débat sur le terrain — plus difficile pour la victime — de la négligence grave. La décision ne dispense donc pas d’une analyse minutieuse, dossier par dossier, des éléments techniques effectivement versés. Elle confirme surtout une chose : la première bataille se gagne ou se perd sur la preuve de l’authentification, et c’est la banque qui en porte le fardeau.
Que faire si vous êtes victime d’un virement frauduleux ?
La décision bordelaise trace une feuille de route pratique pour quiconque se retrouve dans une situation comparable.
① Signaler immédiatement l’opération à la banque, par tout moyen traçable (courriel, lettre recommandée), et conserver chaque preuve d’envoi.
② Faire opposition sans délai et demander par écrit le remboursement sur le fondement des articles L. 133-18 et L. 133-19 du code monétaire et financier.
③ Déposer plainte : la plainte ne fonde pas, à elle seule, l’indemnisation civile, mais elle établit utilement la réalité de la fraude et la qualité de victime.
④ Exiger le journal des logs : demander à la banque la preuve de l’authentification forte. Son absence est un argument central.
⑤ Documenter le préjudice moral : conserver la trace des refus, des relances et du temps écoulé.
Sur le plan des fondements juridiques, un mot de prudence s’impose. La tentation existe d’invoquer les manquements de la banque à ses obligations de vigilance anti-blanchiment (LCB-FT) pour réclamer des dommages et intérêts. Cette voie est fermée : la Cour de cassation a jugé que ces obligations « ont pour seule finalité » la lutte contre le blanchiment et le financement du terrorisme, et qu’une victime ne peut s’en prévaloir pour obtenir réparation. En revanche, un levier reste sous-exploité : les obligations techniques de sécurité imposées aux banques par les normes RTS (les standards techniques de l’Autorité bancaire européenne qui complètent la DSP2 en matière d’authentification forte et de détection des anomalies). Lorsque la banque a manqué à ces standards — comme ici, en laissant passer une cascade d’opérations sans authentification forte —, c’est sur ce terrain, et sur celui des articles L. 133-18 et suivants, que se construit l’indemnisation.
Ce qu’il faut retenir
L’arrêt de la cour d’appel de Bordeaux du 9 juin 2026 confirme une réalité que les banques tardent à intégrer : face à une opération de paiement contestée, ce n’est pas au client de prouver qu’il a été dupé, mais à la banque de prouver que l’opération a été régulièrement authentifiée. Des captures d’écran ne suffisent pas. Un compte vidé sans le moindre SMS de validation trahit une défaillance du dispositif de sécurité, et cette défaillance se paie. La condamnation supplémentaire au titre du préjudice moral envoie en outre un signal clair : la passivité de la banque face à une victime qui multiplie les alertes a un coût.
Si vous avez été victime d’un faux conseiller, d’un « spoofing » ou d’un virement que vous n’avez jamais autorisé, et que votre banque refuse de vous rembourser en invoquant votre prétendue négligence, cette décision démontre que le combat est loin d’être perdu. Le cabinet LE BOT Avocat, dédié au droit bancaire, accompagne les victimes de fraude dans la reconstitution du dossier probatoire et la mise en jeu de la responsabilité de leur établissement.
