Tribunal judiciaire de Lyon, pôle de la proximité et de la protection, 30 juin 2026, n° RG 25/04819
🔑 Points clés à retenir
- Un paiement effectué dans le cadre d’une escroquerie téléphonique au faux conseiller est un paiement non autorisé, même s’il a été validé par le dispositif d’authentification forte de la banque.
- C’est à la banque, et à elle seule, de prouver la négligence grave du client ; cette preuve ne peut pas se déduire du simple fait que l’instrument de paiement a été utilisé.
- La remise de codes confidentiels lors d’un appel usurpant le numéro du service opposition de la banque (spoofing) n’est pas une négligence grave, dans la ligne de l’arrêt Com., 23 octobre 2024, n° 23-16.267.
- Le tribunal a relevé la rapidité de l’opération (30 minutes), l’horaire tardif, le discours alternant alerte et réassurance, et l’absence de sensibilisation préalable démontrée par la banque.
- La Société Générale est condamnée à rembourser 6 661 euros, outre 1 000 euros au titre de l’article 700 du code de procédure civile, avec exécution provisoire de droit.
Sommaire ▼
- Que s’est-il passé dans cette affaire de faux conseiller bancaire ?
- Qu’est-ce qu’un paiement non autorisé au sens du code monétaire et financier ?
- Qui doit prouver la négligence grave du client ?
- Pourquoi le tribunal a-t-il écarté la négligence grave de la cliente ?
- Quelles condamnations le tribunal a-t-il prononcées ?
- Que faire si votre banque refuse de rembourser une fraude au faux conseiller ?
- Que retenir du jugement du 30 juin 2026 ?
- FAQ — Vos questions sur la fraude au faux conseiller
Que s’est-il passé dans cette affaire de faux conseiller bancaire ?
Les faits jugés par le tribunal judiciaire de Lyon suivent un scénario devenu tristement classique, que les praticiens du droit bancaire retrouvent aujourd’hui dans une part considérable des dossiers de fraude aux moyens de paiement : l’escroquerie dite « au faux conseiller bancaire », combinée à l’usurpation du numéro de téléphone de la banque.
Comment l’escroquerie s’est-elle déroulée ?
Le 19 janvier 2024, en fin de journée, la titulaire d’un compte courant ouvert dans les livres de la Société Générale reçoit un appel téléphonique. Son interlocuteur se présente comme un agent du service opposition de la banque. Détail décisif : le numéro qui s’affiche sur son téléphone est précisément celui de ce service. Cette technique, appelée spoofing, permet aux fraudeurs de faire apparaître sur le téléphone de la victime un numéro qui n’est pas le leur.
Le prétendu conseiller l’informe que des opérations frauduleuses ont été détectées sur son compte : un virement de 10 000 euros de son livret A vers son compte courant et un paiement de 6 661 euros auraient « attiré l’attention » de la banque. Sous couvert de faire échec à ces opérations prétendument malveillantes, il lui demande de saisir ses identifiants bancaires sur son téléphone. En réalité, ces manipulations aboutissent à activer le dispositif « Pass Sécurité » de la banque, à augmenter le plafond de paiement de la carte bancaire, à réaliser le virement de 10 000 euros du livret A vers le compte courant et à préparer un paiement de 6 661 euros au profit de la société AIRBNB.
La conversation dure une trentaine de minutes. Les SMS reçus pendant l’appel sont libellés avec des numéros de la Société Générale. Ce n’est qu’après avoir raccroché que la cliente consulte le fil des notifications de son espace en ligne et comprend qu’elle vient d’être victime d’une escroquerie.
Pourquoi le paiement a-t-il été débité malgré l’opposition ?
La réaction de la cliente est immédiate : le jour même, le 19 janvier 2024, elle signale les opérations frauduleuses à son conseiller bancaire et la mise en opposition de sa carte bancaire est prise en compte. Le lendemain, 20 janvier, son conseiller lui confirme que les informations ont été transmises au service « Risque », que le compte a été mis en opposition débit et que les accès « Banque à distance » ont été passés en simple consultation, bloquant les opérations à distance.
Et pourtant, le 23 janvier 2024, soit quatre jours après le signalement, le paiement par carte bancaire de 6 661 euros au profit de la société AIRBNB est porté au débit du compte. Par courrier du 31 janvier 2024, puis à nouveau le 4 avril 2024, la Société Générale rejette la demande de remboursement de sa cliente. Celle-ci met la banque en demeure par lettre recommandée du 12 février 2024, dépose un formulaire de réclamation le 4 mars 2024 et porte plainte pour escroquerie le même jour.
Face au refus persistant de la banque, elle fait assigner la Société Générale devant le tribunal judiciaire de Lyon par acte de commissaire de justice du 20 janvier 2025, sollicitant le remboursement des 6 661 euros, 1 000 euros de dommages et intérêts pour résistance abusive et 2 000 euros au titre de l’article 700 du code de procédure civile.
Qu’est-ce qu’un paiement non autorisé au sens du code monétaire et financier ?
Le raisonnement du tribunal s’articule en deux temps, fidèle à la structure du régime légal : la qualification d’opération de paiement non autorisée d’abord, la recherche d’une éventuelle négligence grave du payeur ensuite.
Selon l’article L. 133-6, I, du code monétaire et financier, une opération de paiement est autorisée si le payeur a donné son consentement à son exécution. A contrario, l’opération de paiement non autorisée est celle qui a été effectuée sans le consentement du payeur. En l’absence de consentement donné dans la forme convenue, l’opération est réputée non autorisée (article L. 133-7 du même code).
La conséquence de cette qualification est radicale : l’article L. 133-18 du code monétaire et financier impose au prestataire de services de paiement de rembourser au payeur le montant de l’opération non autorisée immédiatement après en avoir pris connaissance ou en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur et s’il communique ces raisons par écrit à la Banque de France. La banque doit alors rétablir le compte débité dans l’état où il se serait trouvé si l’opération non autorisée n’avait pas eu lieu.
En l’espèce, la qualification ne faisait guère de doute. Le tribunal relève que la Société Générale ne contestait pas que le paiement était intervenu dans le cadre d’un appel téléphonique frauduleux, émanant d’un tiers étranger à ses services, qui avait obtenu de la cliente les codes nécessaires aux opérations aboutissant au paiement litigieux. Le tribunal ajoute un élément matériel troublant, tiré des propres documents de la banque : l’activation du « Pass Sécurité » avait été réalisée depuis un appareil sous iPhone OS, alors que la cliente indiquait posséder un téléphone Samsung. Autrement dit, le dispositif de sécurité avait été activé sur le téléphone du fraudeur, non sur celui de la cliente.
L’authentification forte suffit-elle à prouver le consentement ?
C’est l’un des apports les plus nets du jugement. Le tribunal énonce que « la seule circonstance que le paiement ait été réalisé avec une authentification forte ne permet pas de présumer du consentement donné par l’utilisateur ». Au contraire, juge-t-il, « le paiement effectué dans le cadre d’une escroquerie téléphonique constitue un paiement non autorisé relevant du régime de responsabilité prévu par les articles L133-18 et suivants du code monétaire et financier ».
L’authentification forte du client (mentionnée à l’article L. 133-44 du code monétaire et financier) est un mécanisme de sécurité reposant sur l’utilisation d’au moins deux éléments appartenant à des catégories différentes : connaissance (mot de passe), possession (téléphone) et inhérence (empreinte digitale). Issue de la deuxième directive sur les services de paiement (DSP2), elle est précisée par des normes techniques réglementaires (RTS) qui encadrent également la surveillance des opérations.
Cette position mérite d’être soulignée, car elle bat en brèche l’argument le plus fréquemment opposé par les banques aux victimes de fraude : « l’opération a été validée avec votre code, donc vous l’avez autorisée ». Ce raccourci est doublement erroné. D’une part, la validation technique de l’opération n’établit pas le consentement juridique du payeur, qui suppose une volonté libre et éclairée de réaliser le paiement en cause. D’autre part, l’article L. 133-23 du code monétaire et financier prévoit expressément que l’utilisation de l’instrument de paiement telle qu’enregistrée par la banque « ne suffit pas nécessairement en tant que telle » à prouver que l’opération a été autorisée par le payeur.
Dans une fraude au faux conseiller, la victime ne consent jamais au paiement frauduleux : elle croit précisément faire obstacle à des opérations malveillantes. Sa volonté est captée, retournée contre elle. Le consentement apparent recueilli par le fraudeur n’est pas un consentement au sens de l’article L. 133-6 du code monétaire et financier.
Qui doit prouver la négligence grave du client ?
Une fois l’opération qualifiée de non autorisée, la banque ne dispose plus que d’une seule échappatoire pour refuser le remboursement : démontrer que le payeur a agi frauduleusement ou qu’il n’a pas satisfait, intentionnellement ou par négligence grave, aux obligations de sécurité que lui imposent les articles L. 133-16 et L. 133-17 du code monétaire et financier (article L. 133-19, IV).
La négligence grave est le manquement caractérisé du payeur à son obligation de préserver la sécurité de ses données de sécurité personnalisées (article L. 133-16 du code monétaire et financier) ou de signaler sans tarder toute utilisation non autorisée (article L. 133-17). Elle s’apprécie au regard du comportement d’un utilisateur normalement attentif, en tenant compte des circonstances concrètes de la fraude. Sa preuve incombe exclusivement à la banque.
Sur le terrain probatoire, le jugement lyonnais applique une grille désormais bien établie. L’article L. 133-23 du code monétaire et financier fait peser sur le prestataire de services de paiement la charge de prouver que l’opération a été authentifiée, dûment enregistrée et comptabilisée, et qu’elle n’a pas été affectée d’une déficience technique. Surtout, c’est à lui de fournir les éléments prouvant la fraude ou la négligence grave de l’utilisateur.
Le tribunal cite à cet égard deux jalons essentiels de la jurisprudence de la chambre commerciale de la Cour de cassation. D’abord, l’arrêt du 18 janvier 2017 (n° 15-18.102) : la preuve de la négligence grave ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés. Ensuite, et surtout, l’arrêt du 23 octobre 2024 (n° 23-16.267), rendu précisément en matière de spoofing : aucune négligence grave ne peut être imputée au titulaire d’un compte qui, contacté téléphoniquement par une personne se faisant passer pour un préposé de sa banque dont le numéro s’affichait, utilise à sa demande le dispositif de sécurité personnalisé pour réaliser des opérations dans le but d’éviter des opérations malveillantes.
Le spoofing (usurpation d’identité téléphonique) est une technique par laquelle un fraudeur fait afficher sur le téléphone de sa victime un numéro d’appel qui n’est pas le sien — typiquement celui du service opposition ou du service fraude de la banque. La victime croit ainsi être en ligne avec un interlocuteur légitime, ce qui neutralise sa vigilance et crédibilise le scénario de l’escroquerie.
Le jugement du 30 juin 2026 s’inscrit exactement dans ce sillage et montre que la solution dégagée par la Cour de cassation en octobre 2024 irrigue désormais les juridictions du fond, au bénéfice direct des victimes.
Pourquoi le tribunal a-t-il écarté la négligence grave de la cliente ?
La Société Générale soutenait, comme souvent dans ce type de contentieux, que sa cliente avait commis une négligence grave en remettant à un tiers inconnu, par téléphone, les codes confidentiels permettant de valider les opérations. Le tribunal ne nie pas la matérialité de cette remise — il constate que les codes ont bien été communiqués — mais il refuse d’y voir une négligence grave, au terme d’une analyse concrète et circonstanciée qui mérite d’être détaillée.
Quels éléments de contexte ont amoindri la vigilance de la cliente ?
Le tribunal relève d’abord que les codes ont été remis « dans le cadre d’un appel téléphonique frauduleux » particulièrement élaboré. Selon la plainte et le formulaire de réclamation, l’appel émanait du même numéro que le service opposition de la Société Générale, et les SMS reçus pendant la conversation étaient libellés avec des numéros de la banque. L’ensemble du dispositif technique concourait donc à accréditer la légitimité de l’interlocuteur.
Le tribunal s’attache ensuite à la chronologie et au contexte de l’appel, dans une motivation qui retient quatre éléments convergents : l’opération a été réalisée rapidement, en une demi-heure ; elle s’est déroulée en un seul appel téléphonique ne permettant pas à la cliente de prendre du recul ; l’appel est intervenu à un horaire (18 heures passées) où il était impossible de joindre son conseiller bancaire dédié pour vérification ; enfin, la conversation était destinée « à la fois à l’alerter sur un risque de fraude et à la rassurer sur le fait que son interlocuteur se chargeait de mettre fin à ce risque », un discours « de nature à amoindrir la vigilance » de la cliente.
Cette lecture psychologique de la fraude est remarquable de justesse. L’escroquerie au faux conseiller repose entièrement sur la création d’un état d’urgence anxiogène immédiatement tempéré par une figure protectrice : le fraudeur crée le danger et se présente comme le sauveur. La victime n’agit pas par légèreté, mais sous l’empire d’une manipulation qui exploite sa confiance dans sa banque. En jugeant que la remise des codes « à cet interlocuteur, certes inconnu, n’est pas constitutif d’une négligence grave », le tribunal refuse de faire peser sur la victime les conséquences d’un stratagème conçu pour déjouer la vigilance d’un utilisateur normalement attentif.
On notera que le tribunal ne s’est pas arrêté à l’absence de production du journal d’appels téléphoniques : la cliente ne justifiait pas techniquement que le numéro affiché était celui du service opposition, mais le faisceau d’indices résultant de sa plainte, du formulaire de réclamation et des circonstances de l’espèce a suffi. Voilà qui devrait rassurer les victimes qui ne disposent plus de la preuve technique de l’usurpation du numéro.
L’absence de sensibilisation préalable par la banque a-t-elle pesé ?
Le jugement contient un second enseignement probatoire précieux. La Société Générale versait aux débats un article de sensibilisation à cette technique d’escroquerie, censé démontrer que sa cliente avait été informée de la conduite à tenir. Le tribunal écarte cette pièce par une double constatation : la communication effective de cet article à la cliente n’était pas justifiée, et le document était « en tout état de cause postérieur aux faits ».
La leçon est claire : une banque ne peut pas se prévaloir d’une politique générale de sensibilisation à la fraude sans démontrer que le client concerné en a été personnellement destinataire avant les faits litigieux. Les campagnes d’information génériques, publiées sur un site institutionnel ou diffusées après la fraude, sont inopérantes pour caractériser la négligence grave du client qui n’en a pas eu connaissance.
Le tribunal relève enfin, au crédit de la cliente, qu’elle a « immédiatement fait opposition à sa carte bancaire » — comportement qui atteste, s’il en était besoin, de sa parfaite bonne foi et de sa réactivité dès la découverte de la fraude, conformément à l’obligation de signalement sans tarder de l’article L. 133-17 du code monétaire et financier.
⚖️ Le raisonnement du tribunal en un schéma
📞 Appel frauduleux (spoofing du service opposition) → saisie des identifiants par la victime
↓
💳 Paiement de 6 661 € validé par authentification forte… ≠ consentement du payeur
↓
⚖️ Qualification : opération de paiement non autorisée (art. L. 133-6 et L. 133-18 CMF)
↓
🏦 Charge de la preuve de la négligence grave → sur la banque (art. L. 133-19, IV et L. 133-23 CMF)
↓
🔍 Appel unique de 30 min, 18 h passées, discours alerte/réassurance, pas de sensibilisation préalable prouvée
↓
✅ Pas de négligence grave → remboursement intégral + 1 000 € (art. 700 CPC) + dépens
Quelles condamnations le tribunal a-t-il prononcées ?
Aucune négligence grave n’étant démontrée, la conséquence légale s’impose mécaniquement : le tribunal condamne la Société Générale à payer à sa cliente la somme de 6 661 euros « en remboursement du paiement non autorisé ». La banque, qui succombe, est également condamnée aux entiers dépens ainsi qu’à verser 1 000 euros au titre de l’article 700 du code de procédure civile, sa propre demande sur ce fondement étant rejetée. Le tribunal rappelle enfin que la décision est exécutoire de plein droit par provision, conformément à l’article 514 du code de procédure civile : la banque doit payer sans attendre l’expiration du délai d’appel ni l’issue d’un éventuel recours.
Pourquoi la demande pour résistance abusive a-t-elle été rejetée ?
La cliente sollicitait en outre 1 000 euros de dommages et intérêts pour résistance abusive, reprochant à la banque son double refus de remboursement. Le tribunal rejette cette demande en rappelant la ligne constante en la matière : sur le fondement combiné des articles 1240 et 1241 du code civil, la défense à une action en justice constitue en principe un droit et ne dégénère en abus « que dans le cas de malice, de mauvaise foi ou d’erreur grossière équipollente au dol ». En l’espèce, si la Société Générale succombe, il n’était pas pour autant démontré qu’elle ait fait preuve d’une telle malice ou mauvaise foi.
C’est le seul point du jugement qui puisse laisser un goût d’inachevé aux victimes. On peut en effet s’interroger : lorsqu’une banque maintient son refus tout au long de la procédure alors que la Cour de cassation, par son arrêt du 23 octobre 2024 — antérieur à l’assignation de janvier 2025 —, avait déjà consacré l’absence de négligence grave de la victime de spoofing, et que le régime des articles L. 133-18 et suivants est sans ambiguïté, le seuil de la résistance abusive ne devrait-il pas être atteint plus facilement ? La jurisprudence demeure toutefois exigeante sur ce point, et les juridictions du fond n’indemnisent la résistance abusive que dans des hypothèses de mauvaise foi caractérisée. Les victimes doivent le savoir : l’essentiel du combat judiciaire porte sur le remboursement lui-même, les dommages et intérêts complémentaires restant l’exception.
Que faire si votre banque refuse de rembourser une fraude au faux conseiller ?
Ce jugement offre une feuille de route précieuse aux victimes d’escroquerie téléphonique confrontées au refus de leur banque. Plusieurs enseignements pratiques s’en dégagent.
Premier réflexe : signaler immédiatement la fraude à la banque et faire opposition, comme l’a fait la demanderesse dans cette affaire. La rapidité du signalement, outre qu’elle répond à l’obligation légale de l’article L. 133-17 du code monétaire et financier, constitue un élément d’appréciation favorable pour le juge et limite l’ampleur du préjudice.
Deuxième étape : formaliser la contestation par écrit. Une lettre recommandée avec accusé de réception valant mise en demeure de rembourser, fondée sur les articles L. 133-18 et suivants du code monétaire et financier, oblige la banque à prendre position. Attention toutefois au contenu de vos déclarations : les mots employés dans la réclamation et dans la plainte peuvent être exploités par la banque pour soutenir la négligence grave. Avant toute déclaration écrite, il est vivement conseillé de lire notre guide pratique : Fraude bancaire : que dire et ne pas dire à sa banque et dans sa plainte.
Troisième étape : déposer plainte pour escroquerie. La plainte documente les faits de manière circonstanciée — dans l’affaire lyonnaise, c’est d’ailleurs largement sur les déclarations de la plainte que le tribunal s’est appuyé pour reconstituer le mode opératoire du fraudeur. Là encore, la rédaction de la plainte est stratégique, et le même guide sur ce qu’il faut dire et ne pas dire vous aidera à éviter les formulations qui se retournent contre les victimes.
Quatrième étape, en cas de refus persistant : l’assignation devant le tribunal judiciaire. Le présent jugement démontre que les juridictions du fond appliquent désormais avec constance la grille protectrice fixée par la Cour de cassation. La banque supporte une charge probatoire lourde : prouver la négligence grave autrement que par la seule utilisation de l’instrument de paiement, démontrer une sensibilisation préalable et personnelle du client à la technique de fraude en cause, et justifier du respect de ses propres obligations. Sur ce dernier terrain, les obligations issues des normes techniques réglementaires (RTS) complétant la DSP2 — authentification forte et surveillance des opérations — constituent un angle d’attaque encore sous-utilisé par les victimes : un paiement atypique par son montant, son bénéficiaire ou sa chronologie, réalisé juste après une modification des plafonds et l’enrôlement d’un nouvel appareil, interroge la qualité du dispositif de monitoring de la banque. Dans notre affaire, le paiement a de surcroît été débité quatre jours après la mise en opposition du compte et le blocage annoncé des opérations à distance — une circonstance troublante que le tribunal n’a pas même eu besoin d’exploiter pour condamner la banque.
Que retenir du jugement du 30 juin 2026 ?
Ce jugement du tribunal judiciaire de Lyon est une excellente nouvelle pour les victimes de fraude au faux conseiller bancaire. Il confirme que la ligne tracée par la chambre commerciale de la Cour de cassation le 23 octobre 2024 produit pleinement ses effets devant les juridictions du fond : le client piégé par un appel usurpant le numéro de sa banque, qui remet ses codes en croyant faire échec à une fraude, ne commet pas de négligence grave. Il rappelle que l’authentification forte ne vaut pas consentement, que la charge de la preuve pèse intégralement sur la banque et que les campagnes de sensibilisation génériques ne suffisent pas à exonérer le banquier.
Pour les milliers de victimes qui essuient chaque année un refus de remboursement fondé sur leur prétendue négligence, le message est limpide : le refus initial de la banque n’est pas le dernier mot de l’histoire. Une action bien construite, appuyée sur les articles L. 133-18 et suivants du code monétaire et financier et sur une jurisprudence désormais solidement établie, permet d’obtenir le remboursement intégral des sommes détournées — et, comme ici, la condamnation de la banque aux frais du procès. Chaque dossier reste toutefois une affaire d’espèce : la chronologie des faits, le contenu des déclarations à la banque et dans la plainte, et la qualité du dossier probatoire font la différence entre un remboursement et un rejet.

