55logo mikael le bot avocat

Fraude à l’identité bancaire et remboursement : l’authentification forte ne suffit pas à prouver le consentement du client – Cour d’appel de Paris, Pôle 4 Chambre 9 A, 2 avril 2026, n° RG 25/00442

  • Droit bancaire
Vous avez reçu un SMS de Chronopost vous demandant de régler quelques centimes pour débloquer un colis. Puis un appel téléphonique d’un soi-disant conseiller bancaire, dont le numéro correspondait exactement à celui de votre banque, vous a demandé de valider des « oppositions » via votre application mobile. Résultat : plusieurs milliers d’euros ont disparu de vos comptes. Votre banque refuse de vous rembourser, invoquant votre « négligence grave ». Est-ce vraiment sans recours ? Dans un arrêt du 2 avril 2026, la Cour d’appel de Paris a répondu clairement : non. Elle a condamné BNP Paribas à restituer 8 042,14 euros à une cliente victime d’une opération de spoofing sophistiquée, confirmant que la charge de la preuve de la négligence grave pèse sur la banque — et qu’elle est loin d’être facile à renverser.

Cour d’appel de Paris, Pôle 4 – Chambre 9 A, arrêt du 2 avril 2026, n° RG 25/00442 (décision de première instance : juge des contentieux de la protection du tribunal judiciaire de Paris, 20 novembre 2024, n° RG 24/01047)

🔑 Points clés à retenir

  • BNP Paribas a été condamnée à rembourser 8 042,14 euros de paiements frauduleux réalisés via un dispositif de spoofing combinant SMS et usurpation d’identité téléphonique.
  • La charge de la preuve de la négligence grave incombe exclusivement à la banque, et non au client : c’est à elle de démontrer que la faute du titulaire du compte justifie un refus de remboursement.
  • La simple utilisation d’un dispositif d’authentification forte (ici, une clé digitale) ne suffit pas à prouver que l’opération a été autorisée par le payeur ou qu’il a commis une négligence grave.
  • Un SMS parfaitement rédigé, sans faute d’orthographe, imitant les communications habituelles d’un transporteur connu, ne peut pas être qualifié d’indice suffisant pour alerter un utilisateur normalement attentif.
  • La banque ne peut pas se prévaloir de campagnes de sensibilisation génériques si elle n’établit pas avoir envoyé des alertes précises et personnalisées à la cliente concernée, à la bonne adresse email.
  • Un délai de cinq jours entre les faits frauduleux (15 février 2023) et la contestation auprès de la banque (20 février 2023) ne constitue pas un retard fautif.
  • Les connexions IP étrangères (Maroc, Émirats Arabes Unis) identifiées le jour même de la fraude, alors que la cliente se trouvait en France, ont été relevées comme un indice supplémentaire de la réalité du détournement.
  • La demande de dommages et intérêts pour préjudice moral a en revanche été rejetée : la faute distincte de la banque et le préjudice moral n’ont pas été suffisamment caractérisés.
Sommaire

Quel est le contexte de cette affaire : que s’est-il passé ?

Cette affaire illustre, avec une précision presque pédagogique, le déroulement classique d’une fraude par ingénierie sociale ciblant les clients bancaires. Elle met aux prises une cliente de BNP Paribas, titulaire d’un compte joint avec son époux et d’un compte professionnel, avec sa banque qui lui a refusé tout remboursement après qu’elle a été victime d’une arnaque sophistiquée.

La chronologie du piège : SMS, appel téléphonique et validation frauduleuse

Tout commence le 15 février 2023, dans l’après-midi. La cliente reçoit un SMS rédigé au nom de Chronopost l’informant qu’une erreur est survenue lors de l’acheminement de son colis et qu’il lui manque 1,46 euros pour en finaliser la livraison. Le message contient un lien vers le site « colis-suivis.info ». Détail important : elle attendait effectivement un colis pour son fils. Le SMS ne comporte aucune faute d’orthographe, aucune anomalie apparente. Elle clique sur le lien et renseigne son numéro de carte bancaire.

Le soir même, elle reçoit un appel téléphonique d’un interlocuteur se présentant comme un conseiller de BNP Paribas. Cet interlocuteur lui indique que son compte a été piraté, que des virements frauduleux ont été effectués, et lui propose de l’aider à y « faire opposition ». Pour ce faire, il lui demande simplement de valider, via sa clé digitale installée sur son téléphone, plusieurs notifications qui lui sont envoyées — en lui expliquant qu’il s’agit de demandes d’opposition aux prélèvements frauduleux. Elle s’exécute, convaincue d’agir dans son intérêt.

En réalité, elle vient d’autoriser trois paiements frauduleux : 3 500 euros, puis 3 170,77 euros depuis son compte professionnel, et enfin 1 371,37 euros depuis son compte joint. Total du préjudice : 8 042,14 euros.

🔍 Schéma du mécanisme de fraude (spoofing)

📱 Étape 1 — Hameçonnage par SMS (phishing)
SMS imitant Chronopost → lien frauduleux → saisie du numéro de carte bancaire
📞 Étape 2 — Usurpation d’identité téléphonique (spoofing)
Appel depuis le numéro apparent de BNP Paribas → mise en confiance → contexte d’urgence simulé (« vous avez été piratée »)
📲 Étape 3 — Manipulation de l’outil d’authentification
Validation par clé digitale de 3 paiements présentés comme des « oppositions à des prélèvements frauduleux »
💸 Résultat
8 042,14 euros débités depuis les comptes professionnel et joint de la victime, via des connexions IP étrangères (Maroc, Émirats Arabes Unis)

📖 Définition — Spoofing (usurpation d’identité téléphonique)
Le spoofing désigne la technique par laquelle un fraudeur manipule les données d’affichage d’un appel téléphonique pour faire apparaître sur l’écran de la victime un numéro de téléphone qu’il n’utilise pas réellement — en l’occurrence, celui de la banque de la victime. Cette technique est particulièrement redoutable car elle exploite la confiance naturelle que l’on accorde à un numéro connu, rendant la détection du caractère frauduleux de l’appel quasi impossible pour un utilisateur ordinaire.

Le refus de remboursement de la banque et le recours judiciaire

Dès le 20 février 2023, soit cinq jours après les faits, la cliente conteste les opérations auprès de sa banque. BNP Paribas refuse une première fois le 20 février, puis confirme son refus le 1er mars 2023, invoquant la négligence grave de la cliente. Face à ce double refus, la cliente assigne la banque en justice en janvier 2024. Le juge des contentieux de la protection du tribunal judiciaire de Paris lui donne raison en novembre 2024 et condamne BNP Paribas à lui rembourser 8 042,14 euros, assortis d’une condamnation de 500 euros pour préjudice moral. La banque interjette appel. La Cour d’appel de Paris rend son arrêt le 2 avril 2026 : elle confirme le remboursement mais infirme la condamnation pour préjudice moral.

Pour comprendre pourquoi la banque a perdu, il faut saisir la logique du régime légal qui gouverne les paiements non autorisés. Ce régime, issu du Code monétaire et financier, organise de façon précise la répartition des responsabilités entre la banque et son client.

Les obligations de la banque : authentification et remboursement

📖 Définition — Opération de paiement non autorisée
Une opération de paiement est considérée comme « non autorisée » lorsqu’elle n’a pas été consentie par le payeur dans les formes convenues avec sa banque. Le consentement ne se présume pas : c’est la banque qui doit en prouver l’existence. La simple utilisation technique d’un instrument de paiement ne vaut pas consentement.

Les articles L. 133-16 à L. 133-23 du Code monétaire et financier imposent un cadre exigeant à la banque. Elle doit d’abord s’assurer que les données de sécurité personnalisées de ses clients ne sont pas accessibles à des tiers. Elle doit mettre en place des moyens gratuits permettant au client de bloquer son instrument de paiement. Et surtout, en cas de contestation d’une opération par le client, la loi fait peser sur la banque une charge probatoire particulièrement lourde.

L’article L. 133-23 est ici fondamental : lorsqu’un client nie avoir autorisé une opération, c’est au prestataire de services de paiement de prouver que l’opération a été authentifiée, dûment enregistrée, comptabilisée, et qu’elle n’a pas été affectée par une déficience technique. Mais la loi va plus loin : même si la banque prouve l’authentification, cela ne suffit pas à démontrer que le client a autorisé l’opération, ni qu’il a commis une fraude ou une négligence grave. La banque doit fournir des éléments supplémentaires pour établir l’un ou l’autre.

En cas d’opération non autorisée dûment signalée, l’article L. 133-18 du Code monétaire et financier oblige la banque à rembourser le client immédiatement, et au plus tard à la fin du premier jour ouvrable suivant la contestation. À noter que la décision source cite également les articles L. 133-19 pour les conditions d’exonération de la banque en cas de négligence grave du client.

Les obligations du client : vigilance raisonnable et signalement rapide

Le client n’est pas exempt d’obligations. L’article L. 133-16 lui impose de prendre toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées. L’article L. 133-17 lui impose d’avertir sa banque sans délai dès qu’il a connaissance d’une utilisation non autorisée de son instrument de paiement.

C’est sur ces obligations que la banque a tenté de construire sa défense, en soutenant que sa cliente avait commis une « négligence grave » à deux reprises : en communiquant ses données bancaires sur un site frauduleux, puis en validant des opérations qu’elle savait ne pas avoir initiées.

⚖️ Répartition des responsabilités : qui doit prouver quoi ?

La banque doit prouver : que l’opération a été authentifiée → que les données d’authentification de l’utilisateur ont bien été utilisées → qu’il n’y a pas eu de défaillance technique → et, si elle veut s’exonérer, la fraude OU la négligence grave du client
Le client doit : contester l’opération → signaler rapidement l’incident à la banque → agir en bon père de famille (mesures raisonnables de sécurité)

Qu’est-ce que la négligence grave et comment la cour l’a-t-elle appréciée ?

C’est le cœur du litige et le point sur lequel la décision est la plus instructive. La notion de négligence grave, au sens de l’article L. 133-19 du Code monétaire et financier, est décisive : si elle est caractérisée, le client supporte l’intégralité des pertes liées aux paiements non autorisés. Si elle ne l’est pas, c’est la banque qui rembourse.

📖 Définition — Négligence grave (article L. 133-19 CMF)
La négligence grave est un manquement caractérisé aux obligations de vigilance du client, qui va au-delà d’une simple imprudence. Elle s’apprécie par comparaison avec le comportement qu’aurait eu un « utilisateur normalement attentif » placé dans les mêmes circonstances. Elle doit être prouvée par la banque, et non présumée. Son caractère grave implique une faute d’une certaine intensité, qui dépasse l’inadvertance ordinaire.

La cour s’appuie notamment sur un arrêt de la Cour de cassation du 23 octobre 2024, cité par les deux parties, qui retient qu’aucune négligence grave ne peut être imputée au titulaire d’un compte qui, contacté téléphoniquement par une personne se faisant passer pour un préposé de sa banque dont le numéro s’affichait, utilise à sa demande le dispositif de sécurité personnalisé pour réaliser des opérations dans le but d’éviter des actes malveillants. Cette jurisprudence est directement transposable aux faits de l’espèce.

Le SMS Chronopost : pouvait-on raisonnablement le détecter comme frauduleux ?

La banque soutenait que les risques d’hameçonnage (phishing) sont connus du grand public et que la cliente aurait dû se méfier. La cour balaie cet argument avec une analyse concrète du SMS reçu. Ce dernier, libellé « Chronopost : une erreur est survenue lors l’acheminement de votre colis suivez les instructions afin d’achever la livraison : https://.colis-suivis.info/ », ne comporte aucune faute d’orthographe. La cliente attendait effectivement un colis pour son fils. Dans ces conditions, la cour conclut que cette réponse au SMS « fait preuve d’un comportement correspondant à un utilisateur normalement attentif » et qu’elle « n’a donc commis aucune négligence grave » à ce stade. La preuve du caractère frauduleux du SMS n’est d’ailleurs confirmée qu’après coup : aucun débit de 1,46 euro n’apparaît sur ses comptes.

📖 Définition — Phishing (hameçonnage)
Le phishing, ou hameçonnage, est une technique de fraude consistant à envoyer un message (SMS, email) imitant une communication d’un organisme de confiance (banque, transporteur, administration), afin d’amener la victime à divulguer des informations confidentielles (numéro de carte, identifiants de connexion) ou à cliquer sur un lien malveillant. Lorsque ce phishing est couplé à un appel téléphonique usurpant l’identité d’un conseiller, on parle de « vishing » ou d’ingénierie sociale avancée.

L’appel de spoofing : la mise en confiance comme facteur d’exonération

Le raisonnement de la cour sur l’appel téléphonique frauduleux est particulièrement finement articulé. Elle relève que l’interlocuteur a rappelé à la cliente ses coordonnées personnelles (ce qui instaurait un sentiment de légitimité), l’a alertée sur un piratage en cours (ce qui a créé un contexte d’urgence), et ne lui a fait aucune demande inhabituellement suspecte : il lui a simplement demandé de confirmer par sa clé digitale des « oppositions à des prélèvements frauduleux ». La cour prend soin de noter que, contrairement à ce que soutenait la banque, il n’a jamais été demandé à la cliente de communiquer ses données confidentielles (numéros de carte, codes secrets) : elle a simplement utilisé son outil habituel d’authentification, en croyant protéger son compte.

C’est un point d’une importance capitale : la fraude était conçue de façon à ne jamais éveiller les soupçons d’un utilisateur ordinaire. L’escroc n’a pas agi comme les représentations stéréotypées des fraudeurs ; il a mimé exactement le comportement d’un conseiller bancaire légitime, face à une cliente qui venait d’être « piratée ». Dans ce contexte, la cour juge que « sa vigilance a été amenuisée, ne lui permettant pas de douter de la sincérité de son interlocuteur ».

La clé digitale : un outil d’authentification forte qui ne prouve pas la faute

BNP Paribas mettait en avant le fait que la cliente avait validé les trois opérations via sa clé digitale — un système d’authentification forte installé uniquement sur son téléphone personnel — et que ces validations rendaient les opérations « irrévocables ». La cour réfute catégoriquement cette argumentation. Elle rappelle que la loi elle-même, à l’article L. 133-23 du Code monétaire et financier, précise que « la seule utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant ».

Autrement dit : ce n’est pas parce que la cliente a physiquement appuyé sur « valider » dans son application que la banque peut en déduire qu’elle a librement et consciemment autorisé un paiement. Le consentement vicié par la manipulation d’un tiers n’est pas un consentement juridiquement valable.

💡 À retenir : le principe clé posé par la cour

« Dès lors que la simple validation technique d’opérations comme l’utilisation d’une clé digitale ne suffit pas à prouver la négligence grave du ou de la cliente et que l’ingéniosité déployée par un interlocuteur usurpant l’identité d’un conseiller bancaire (…) est réelle, la banque échoue à établir les négligences graves que [la cliente] aurait commises au sens de l’article L. 133-19 du code monétaire et financier alors que la charge de cette preuve lui incombe. »

Les campagnes de sensibilisation de la banque : insuffisantes et non prouvées

La banque avait produit des courriels d’alerte qu’elle prétendait avoir envoyés à sa cliente, pour démontrer que celle-ci avait été informée des risques de phishing. La cour démonte ce raisonnement en deux temps. D’abord, elle constate que ces courriels étaient adressés à un destinataire dont le nom avait été masqué, et que les adresses email utilisées (Gmail et Orange) ne correspondaient pas à l’adresse Hotmail utilisée par la cliente dans ses échanges avec la banque. Il n’est donc pas démontré que ces alertes lui ont bien été transmises. Ensuite, la cour rappelle que des « campagnes de sensibilisation à visée générale » ne sauraient suffire à établir la négligence grave d’un client particulier. La banque aurait dû démontrer une mise en garde personnalisée et effective.

Elle rejette également l’argument tiré du délai de cinq jours pour signaler la fraude, estimant qu’un tel délai est compatible avec le temps nécessaire pour consulter ses relevés de compte et réaliser que des opérations frauduleuses ont eu lieu.

Pourquoi les dommages et intérêts pour préjudice moral ont-ils été refusés ?

Si la cour d’appel confirme le remboursement des sommes frauduleuses, elle infirme en revanche la condamnation de la banque à 500 euros de dommages et intérêts pour préjudice moral, prononcée en première instance.

Le raisonnement est ici différent. La cour rappelle d’abord que le régime de responsabilité des prestataires de services de paiement (articles L. 133-18 à L. 133-24 du CMF) est le cadre de référence pour les litiges liés aux paiements non autorisés. Pour obtenir des dommages et intérêts supplémentaires sur le fondement de la responsabilité contractuelle de droit commun, il faut démontrer une faute distincte de la banque, qui dépasse le simple cadre du remboursement du paiement frauduleux.

Or, la cliente invoquait le comportement « particulièrement désagréable » des employés de la banque, qui l’auraient traitée comme une « fraudeuse volontaire ». Mais la cour relève qu’elle-même produit un courriel de sa conseillère bancaire qui prenait sa défense auprès de sa hiérarchie et insistait pour qu’elle soit remboursée. Le comportement fautif de la banque n’est donc pas établi. De même, le préjudice moral allégué — le traumatisme subi, l’impossibilité de partir en vacances avec ses enfants — n’est pas considéré comme suffisamment caractérisé et prouvé pour justifier une indemnisation supplémentaire.

Ce point illustre une limite importante de la jurisprudence actuelle : si le remboursement des sommes détournées est bien protégé, obtenir une réparation du préjudice moral supposé par l’attitude de la banque reste un exercice difficile, qui requiert la démonstration d’une faute distincte et d’un préjudice concret et établi.

Quelle est la portée de cette décision pour les victimes de fraude bancaire ?

Cet arrêt s’inscrit dans un mouvement jurisprudentiel cohérent et protecteur des clients bancaires victimes d’ingénierie sociale. Il vient confirmer et préciser plusieurs principes essentiels.

En premier lieu, la sophistication de la fraude est un élément central d’appréciation. Plus le mode opératoire est élaboré — SMS sans faute, numéro de banque affiché, discours rassurant, absence de demandes inhabituelles — moins il est raisonnable d’attendre d’un utilisateur ordinaire qu’il le détecte. La négligence grave ne peut pas être caractérisée par le simple fait d’avoir été dupé par une fraude que même les professionnels peinent à identifier.

En deuxième lieu, la charge de la preuve est un bouclier pour le client. C’est à la banque de prouver la négligence grave, pas au client de prouver son innocence. Et cette preuve ne peut pas se réduire à l’enregistrement technique d’une authentification : il faut aller au-delà.

En troisième lieu, les connexions IP constituent un indice précieux. La cour note l’existence de connexions IP étrangères (Maroc, Émirats Arabes Unis) au moment de la fraude, alors que la cliente se trouvait en France — élément que la conseillère bancaire elle-même avait confirmé par écrit. Cette anomalie géographique, que les systèmes de détection de fraude de la banque auraient dû identifier, renforce la conviction que le compte a bien été utilisé par des tiers malveillants.

Enfin, cet arrêt rappelle aux banques qu’elles ne peuvent pas se décharger de leur responsabilité en invoquant des campagnes de sensibilisation génériques, si elles ne sont pas en mesure de prouver que des alertes personnalisées ont bien été adressées au client concerné, à la bonne adresse.

📋 Ce que cet arrêt change concrètement pour vous en tant que victime

✅ Votre banque ne peut pas refuser de vous rembourser au seul motif que vous avez validé l’opération via un dispositif d’authentification forte
✅ Être trompé par un SMS sans faute d’orthographe attendant un vrai colis ne constitue pas une négligence grave
✅ Signaler la fraude cinq jours après les faits n’est pas un retard fautif
✅ La banque doit prouver que ses alertes vous ont bien été personnellement adressées pour s’en prévaloir
⚠️ En revanche, obtenir des dommages et intérêts pour préjudice moral reste difficile : il faut prouver une faute distincte de la banque et un préjudice bien caractérisé

Conclusion

L’arrêt rendu le 2 avril 2026 par la Cour d’appel de Paris constitue une décision de référence pour toute personne victime d’une fraude bancaire par spoofing. Il rappelle avec clarté que la responsabilité de la banque est engagée dès lors qu’elle ne parvient pas à démontrer la négligence grave de son client — et que cette démonstration ne peut pas se contenter de l’enregistrement technique d’une authentification forte.

Face à des fraudes de plus en plus sophistiquées, qui exploitent non pas les failles de sécurité informatique mais les réflexes de confiance des êtres humains, le droit bancaire français pose un principe protecteur : c’est à la banque, professionnelle de la sécurité des paiements, d’assumer le risque lié aux fraudes qu’elle ne parvient pas à prévenir ni à détecter. La présence de connexions IP étrangères au moment de la fraude, que le service fraude de BNP Paribas avait lui-même identifiées, illustre parfaitement l’asymétrie d’information entre le client et l’établissement : la banque savait, ou aurait dû savoir.

Si vous êtes dans une situation similaire — fraude par spoofing, refus de remboursement de votre banque — cette décision vous offre des arguments solides pour agir. L’accompagnement d’un avocat spécialisé en droit bancaire vous permettra d’évaluer vos chances et de construire un dossier robuste, notamment en reconstituant la chronologie des faits, en documentant les anomalies de connexion et en démontrant l’absence de négligence grave de votre part.

FAQ — Questions fréquentes

Ma banque me refuse le remboursement en disant que j’ai « validé » les paiements moi-même : est-ce suffisant pour qu’elle refuse ?
Non. La loi (article L. 133-23 du Code monétaire et financier) est très claire sur ce point : la simple utilisation enregistrée d’un instrument de paiement — même avec authentification forte comme une clé digitale ou un code reçu par SMS — ne prouve pas à elle seule que vous avez autorisé l’opération, ni que vous avez commis une négligence grave. La banque doit apporter des éléments supplémentaires pour démontrer votre faute. Comme l’a jugé la Cour d’appel de Paris dans cette affaire, si vous avez validé des opérations en croyant faire des « oppositions » à des prélèvements frauduleux, après avoir été manipulé par un escroc usurpant l’identité de votre conseiller, ce comportement ne constitue pas une négligence grave.
Combien de temps ai-je pour contester des paiements frauduleux auprès de ma banque ?
Le Code monétaire et financier encadre strictement les délais de contestation des opérations non autorisées. En pratique, plus vous agissez vite, mieux c’est : cela renforce la crédibilité de votre démarche et permet à la banque de déclencher ses procédures de détection de fraude. Dans l’affaire commentée, un délai de cinq jours a été jugé tout à fait raisonnable par la cour. Une fois votre contestation reçue, la banque doit vous rembourser immédiatement et au plus tard à la fin du premier jour ouvrable suivant, conformément à l’article L. 133-18 du Code monétaire et financier. Pour connaître précisément le délai légal applicable à votre situation, il est recommandé de consulter un avocat spécialisé ou de vérifier les dispositions en vigueur.
La banque invoque des campagnes de sensibilisation au phishing pour dire que j’aurais dû me méfier : est-ce un argument valable ?
Cet argument est recevable en théorie, mais la banque doit prouver qu’elle vous a effectivement envoyé des alertes personnalisées, à la bonne adresse, avant la date de la fraude. Des campagnes de sensibilisation génériques ou des courriels adressés à une adresse email différente de la vôtre ne suffisent pas. La Cour d’appel de Paris l’a jugé clairement dans cet arrêt : BNP Paribas n’a pas réussi à établir que les emails d’alerte produits avaient bien été envoyés à l’adresse électronique effectivement utilisée par sa cliente. Si votre banque invoque cet argument, demandez-lui de produire la preuve de l’envoi effectif à votre adresse réelle.
Puis-je obtenir des dommages et intérêts en plus du remboursement des sommes détournées ?
C’est possible, mais c’est plus difficile à obtenir. Pour prétendre à des dommages et intérêts sur le fondement de la responsabilité de droit commun de la banque, vous devez démontrer une faute distincte de la banque, qui va au-delà du simple refus de remboursement — par exemple, un comportement particulièrement humiliant, des accusations infondées réitérées, ou un manquement caractérisé à ses obligations d’information. Vous devez également prouver un préjudice moral réel et caractérisé. Dans l’affaire commentée, la cour a refusé les dommages et intérêts faute de preuves suffisantes sur ces deux points. Un avocat spécialisé pourra vous aider à documenter ces éléments si votre situation le justifie.
Je ne peux pas prouver que l’escroc utilisait le numéro de ma banque : est-ce que cela me pénalise ?
Non, et la Cour d’appel de Paris le dit explicitement dans cette décision. Il est souvent impossible de retrouver l’historique des appels reçus plusieurs mois auparavant, et les services de police ne demandent généralement pas à la victime d’apporter cette preuve. La cour note que la cohérence du récit de la victime, la déposition faite auprès des forces de l’ordre, et le contexte général de la fraude suffisent à crédibiliser les déclarations. La banque ne peut pas utiliser l’impossibilité matérielle pour vous de prouver le spoofing comme un argument pour refuser le remboursement, dès lors que votre version des faits est constante, cohérente et confirmée par d’autres indices (connexions IP étrangères, par exemple).
Quelles démarches concrètes dois-je effectuer si je découvre des paiements frauduleux sur mon compte ?
La première chose à faire est de contacter immédiatement votre banque pour faire opposition à votre carte et signaler les opérations contestées, de préférence par écrit (lettre recommandée avec accusé de réception ou email avec confirmation de lecture) pour conserver une trace. Conservez toutes les preuves disponibles : captures d’écran du SMS frauduleux, enregistrements d’appels si vous en disposez, relevés de compte. Déposez plainte auprès de la police ou de la gendarmerie, en décrivant précisément le mécanisme de la fraude — ce procès-verbal sera un élément important de votre dossier. Si votre banque refuse le remboursement, adressez-lui une mise en demeure par courrier recommandé, puis saisissez le médiateur bancaire, et en dernier recours engagez une action judiciaire avec l’aide d’un avocat spécialisé en droit bancaire.
Cette jurisprudence s’applique-t-elle à toutes les banques, ou seulement à BNP Paribas ?
Les principes juridiques appliqués dans cet arrêt — charge de la preuve de la négligence grave pesant sur la banque, insuffisance de l’authentification forte pour prouver le consentement, protection du client face au spoofing — s’appliquent à tous les prestataires de services de paiement établis en France, quelle que soit leur enseigne. Ils découlent directement du Code monétaire et financier et de la jurisprudence de la Cour de cassation, qui s’imposent à tous. Que vous soyez client de BNP Paribas, Société Générale, Crédit Agricole, LCL, ou d’un établissement en ligne comme Boursorama ou N26, vous bénéficiez des mêmes protections légales et pouvez vous prévaloir de la même jurisprudence.
1521 2281 max

Besoin de conseils juridiques personnalisés ?

Ne restez pas seul face à vos questions. Un avocat peut vous rappeler gratuitement pour faire le point sur votre situation.

Être recontacté par un avocat

Besoin de conseils juridiques personnalisés ?

RGPD :

Articles similaires

arnaque au président le bot avocat

Fraude bancaire par usurpation d’identité : quand le spoofing téléphonique ne suffit plus à excuser la victime – Cass. com., 4 mars 2026, n° 24-19.588, publié au bulletin

Vous recevez un appel du numéro officiel de votre banque. Votre interlocuteur, affable et professionnel, vous alerte sur des opérations suspectes. Il vous propose de ...

assets task 01jwrq9pdjfa8sga5c49zttjvv 1748881531 img 1

Saisie abusive et créancier sans qualité à agir – JEX Paris, 11 janvier 2024 n° 23/81656

Le Juge de l’exécution du Tribunal Judiciaire de Paris, dans sa décision du 11 janvier 2024 (n° 23/81656), a prononcé l’annulation des mesures d’exécution forcée ...

arnaque au président le bot avocat

Responsabilité bancaire en cas d’escroquerie : critères de l’anomalie apparente – Cass. com., 4 février 2026, n° 24-19.196

Vous avez été victime d’une escroquerie au placement et vous reprochez à votre banque de ne pas vous avoir alerté ? La Cour de cassation ...