L’arrêt rendu par la Cour d’appel de Paris le 18 décembre 2025 (n° 24/19561) marque une étape décisive dans la protection des usagers bancaires face au spoofing (usurpation d’identité téléphonique). Alors que les banques se retranchent souvent derrière la validation technique d’une opération pour refuser tout remboursement, la Cour rappelle avec fermeté que l’authentification n’est pas synonyme de consentement.
CA Paris, 18 décembre 2025, n° 24/19561
I. Le mécanisme d’une fraude « parfaitement orchestrée »
Le 15 décembre 2022, Mme [Y] est victime d’un scénario de manipulation devenu classique mais redoutable. Un escroc la contacte en faisant apparaître sur son écran le numéro officiel du service d’opposition de sa banque (09 69 39 77 77).
Pour mettre sa victime en confiance, l’individu utilise des informations confidentielles :
- Il connaît son numéro de compte et les quatre derniers chiffres de sa carte bancaire.
- Il prétend agir en urgence pour bloquer des transactions frauduleuses en cours.
- Il guide la cliente pour qu’elle modifie son code secret directement dans son application et valide des hausses de plafonds puis un paiement de 3 900 euros.
II. Le cœur du débat : La notion de « Négligence Grave »
La banque refusait le remboursement en invoquant l’article L. 133-16 du Code monétaire et financier, affirmant que la cliente avait été gravement négligente en validant elle-même l’opération via son « Pass Sécurité ».
1. La remise en cause de la présomption d’autorisation
La Cour d’appel précise un point de droit majeur : l’utilisation de données de sécurité personnalisées (authentification forte) ne suffit pas à prouver que l’opération a été autorisée par le payeur. Le payeur doit avoir consenti non seulement à la technique, mais aussi au montant et au bénéficiaire de l’opération. Or, en matière de spoofing, le client ne consent jamais à verser des fonds à un escroc.
2. Le caractère trompeur du procédé
Contrairement au premier juge, la Cour d’appel estime que le procédé était suffisamment trompeur pour qu’une cliente prudente puisse s’y méprendre:
- L’affichage du numéro officiel est l’élément déterminant qui crée un climat de confiance légitime.
- L’absence d’information préventive : La banque reprochait à sa cliente d’ignorer que son service d’opposition n’émettait jamais d’appels. La Cour rejette cet argument, soulignant qu’aucune information précise n’est communiquée aux clients sur ce fonctionnement spécifique.
- La constance de la victime : La Cour note que Mme [Y] a maintenu une version cohérente et précise de ses échanges dès son dépôt de plainte, ce qui a crédibilisé son récit face aux dénégations de la banque.
III. Les sanctions : Remboursement et réparation du préjudice moral
La Cour d’appel de Paris infirme le jugement de première instance et prononce des condamnations lourdes contre la Société Générale :
- Préjudice matériel : Remboursement des 3 900 euros, assorti des intérêts au taux légal à compter de l’assignation.
- Préjudice moral : Octroi de 500 euros de dommages-intérêts. La Cour fustige ici les « tracas » causés par le refus de la banque, d’autant plus que la conseillère de la cliente avait elle-même suggéré en interne de revoir la position de la banque, sans succès.
- Frais de procédure : 1 500 euros au titre de l’article 700 du CPC.
Ce qu’il faut retenir pour les victimes
Cet arrêt s’inscrit dans la lignée de la jurisprudence de la Cour de cassation (notamment l’arrêt du 23 octobre 2024 – Cass. com., 23 octobre 2024, n° 23-16.267). Pour les banques, la simple preuve technique d’une validation par « Pass Sécurité » ne suffit plus à écarter leur responsabilité en cas de manipulation téléphonique complexe.
