Tribunal judiciaire de Paris, 9e chambre 2e section, 9 juin 2026, n° RG 24/13522
🔑 Points clés à retenir
- Le tribunal condamne BNP Paribas à rembourser 22 242,98 euros au titre de huit virements frauduleux que la cliente avait « validés » en croyant les annuler.
- L’authentification forte, à elle seule, ne prouve pas que l’opération a été autorisée par le client : c’est à la banque de démontrer la négligence grave.
- Le « spoofing » (affichage du vrai numéro de la banque) atténue légitimement la vigilance du client — la victime n’a pas commis de négligence grave.
- La banque doit payer les intérêts au taux légal majoré de quinze points (art. L. 133-18 CMF) à compter du 18 septembre 2023, et non à compter du jugement.
- Refuser de rembourser en invoquant la négligence grave est un pari : la banque qui le perd supporte la sanction du retard depuis l’origine.
- Le recours à un service d’initiation de paiement (ici, Lydia) ne change pas le régime protecteur : l’opération reste une opération de paiement non autorisée.
Sommaire ▼
- Que s’est-il passé dans cette affaire de faux conseiller ?
- Quel régime juridique s’applique aux virements non autorisés ?
- Sur qui pèse la charge de la preuve ?
- L’authentification forte suffit-elle à prouver que le client a autorisé le virement ?
- Qu’est-ce que la négligence grave et pourquoi n’a-t-elle pas été retenue ?
- Le spoofing atténue-t-il la vigilance du client ?
- Pourquoi la banque doit-elle payer des intérêts majorés de quinze points ?
- À partir de quelle date courent ces intérêts ?
- Quelle est la portée de cette décision pour les victimes de fraude ?
- FAQ — Questions fréquentes
Que s’est-il passé dans cette affaire de faux conseiller ?
Le 17 août 2023, une cliente de BNP Paribas reçoit un appel téléphonique. Sur l’écran de son smartphone s’affiche le nom de sa banque : l’appel provient d’un numéro qu’elle avait elle-même enregistré dans son répertoire, celui du service client de la filiale en ligne du groupe. Au bout du fil, un individu se présente comme un agent du service des fraudes. Il connaît des informations personnelles la concernant et lui annonce que des transactions frauduleuses sont en cours sur son compte.
L’interlocuteur lui décrit alors une « procédure d’annulation » : se rendre sur l’application bancaire et valider, une à une, l’annulation des virements suspects. La cliente s’exécute. Elle déclarera spontanément aux enquêteurs : « On m’a demandé de valider chaque annulation avec mon code et effectivement, en suivant en parallèle mon compte bancaire sur l’application, ces virements frauduleux disparaissaient. » En réalité, chaque « validation » autorisait un nouveau virement sortant.
Le lendemain, en consultant son compte, elle découvre l’ampleur du désastre : huit virements pour un total de 47 488,55 euros, partis vers un compte ouvert à son nom — à son insu — auprès d’un établissement de paiement tiers. Elle dépose plainte le 22 août 2023. Grâce à une procédure de rappel de fonds enclenchée rapidement, une partie des sommes — 24 745,57 euros — est récupérée, et la banque ajoute 500 euros « à titre de geste commercial ». Reste un solde de 22 242,98 euros que l’établissement refuse de rembourser, au motif que les opérations ont été validées par authentification forte et que la cliente aurait commis une négligence grave.
La cliente assigne la banque. Par jugement du 9 juin 2026, le tribunal judiciaire de Paris fait intégralement droit à ses demandes.
🔁 Le mécanisme de l’arnaque, étape par étape
📞 Appel affichant le vrai numéro de la banque (spoofing)
↓
🗣️ Le faux conseiller annonce des « virements frauduleux à annuler »
↓
📱 La victime ouvre son application et « valide chaque annulation »
↓
🔐 Chaque validation = authentification forte d’un vrai virement sortant
↓
💸 8 virements de ~6 000 € chacun vers un compte tiers ouvert à son nom
↓
🏦 La banque refuse de rembourser : « authentification forte + négligence grave »
Quel régime juridique s’applique aux virements non autorisés ?
Le tribunal commence par poser le cadre, et ce cadre est exclusif. Dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération non autorisée, seul s’applique le régime des articles L. 133-18 à L. 133-24 du code monétaire et financier, qui transposent la directive européenne sur les services de paiement (directive 2007/64/CE, dite DSP, prolongée par la DSP2). Tout autre régime de responsabilité de droit commun doit être écarté.
C’est une opération (virement, paiement par carte, prélèvement) à laquelle le titulaire du compte n’a pas valablement consenti. Le consentement doit être donné par le payeur lui-même ; lorsqu’il a été extorqué par un tiers à son insu, l’opération demeure non autorisée au sens du code monétaire et financier.
Le principe directeur est protecteur du client. En cas d’opération non autorisée signalée dans les délais, la banque doit en principe rembourser, sauf si elle a de bonnes raisons de soupçonner une fraude du client lui-même. La règle par défaut, c’est donc le remboursement ; l’exception, c’est le refus motivé.
Sur qui pèse la charge de la preuve ?
C’est ici que le rapport de force juridique se joue, et il penche du côté du client. Lorsque la banque entend échapper au remboursement, c’est à elle de prouver :
✅ que l’opération a été authentifiée, enregistrée et comptabilisée ;
✅ qu’elle n’a pas été affectée d’une déficience technique ;
✅ et surtout — c’est le point décisif — soit que l’ordre émanait réellement du client dûment authentifié, soit que la fraude résulte d’une négligence grave de sa part.
Le code et la jurisprudence ajoutent une précision capitale, que le tribunal reprend mot pour mot : la preuve de la négligence grave ne peut pas se déduire du seul fait que l’instrument de paiement, ou les données qui lui sont liées, ont été effectivement utilisés. Autrement dit, le simple relevé des connexions ou l’historique d’utilisation de la « clé digitale » ne suffit pas. La banque doit aller au-delà du constat technique et démontrer un véritable comportement fautif caractérisé.
L’authentification forte suffit-elle à prouver que le client a autorisé le virement ?
C’était tout l’argument de la banque : huit virements, huit authentifications fortes déclenchées et fonctionnant correctement (16h14, 16h21, 16h24, 16h26, 16h29, 16h31, 16h35, 16h37). Pour l’établissement, la messe était dite : opérations authentifiées, donc autorisées, donc à la charge de la cliente.
Définie à l’article L. 133-4 f) du code monétaire et financier, c’est une authentification reposant sur au moins deux éléments indépendants appartenant à des catégories distinctes : la « connaissance » (un mot de passe, un code secret), la « possession » (un téléphone, une montre connectée) et l’« inhérence » (empreinte digitale, reconnaissance faciale ou vocale). Elle vise à sécuriser l’accès et la validation des paiements en ligne.
Le tribunal admet que l’authentification forte a bien fonctionné et que les opérations n’ont pas été affectées d’une déficience technique. Mais il refuse l’équation que la banque voulait imposer. Authentification forte ne signifie pas autorisation valable. Le texte est clair : l’utilisation de l’instrument de paiement telle qu’enregistrée par la banque, y compris la production d’un relevé de connexions, « ne suffit pas nécessairement, en tant que telle, à prouver que l’opération a été autorisée par le payeur ».
La nuance est essentielle pour toutes les victimes de fraude. Un escroc qui manipule sa victime pour lui faire valider elle-même les opérations franchira sans difficulté l’étape de l’authentification forte — c’est même tout l’objet de la manœuvre. La sécurité technique du dispositif ne dit rien de la réalité du consentement. Le juge replace donc le débat où il doit être : la cliente a-t-elle commis une négligence grave ?
Qu’est-ce que la négligence grave et pourquoi n’a-t-elle pas été retenue ?
C’est un manquement caractérisé du client à son obligation de préserver la sécurité de ses dispositifs de paiement et de ses données personnelles (art. L. 133-16 et L. 133-19 IV CMF). Seule une négligence d’une particulière gravité — et non une simple imprudence — fait perdre au client son droit au remboursement. La charge de la preuve en incombe à la banque.
La banque soutenait que la cliente avait nécessairement communiqué ses codes d’accès et validé elle-même les huit opérations, alors qu’elle pouvait s’en abstenir. De fait, le tribunal le reconnaît : les validations de la cliente n’avaient pas pour effet d’annuler les virements, mais bien de les exécuter. Objectivement, c’est elle qui a déclenché les paiements.
Mais le juge ne s’arrête pas à ce constat matériel. Il s’attache au contexte de tromperie dans lequel ces validations ont été données. Et ce contexte fait toute la différence.
Le spoofing atténue-t-il la vigilance du client ?
Le spoofing téléphonique est une technique d’usurpation qui consiste à faire apparaître, sur l’écran du destinataire, le numéro ou le nom d’un tiers de confiance — typiquement, le numéro officiel de sa banque. La victime croit dialoguer avec son établissement alors qu’elle parle à un escroc.
La cliente produisait une capture d’écran, datée par ses métadonnées du 4 septembre 2023, montrant un appel entrant le 17 août 2023 à 16h00, d’une durée de 49 minutes. Cet appel provenait de numéros enregistrés dans sa fiche de contact « banque ». La banque contestait : selon elle, l’un des deux numéros (le 0820 820 001) ne lui appartenait pas, et les captures auraient été « confectionnées pour les besoins de la cause ».
Le tribunal balaie l’objection avec une fermeté remarquable. Il constate que le second numéro est, « contrairement à ce que soutient curieusement la banque », bien un numéro attribué à BNP Paribas — celui de son service clientèle. La cliente avait enregistré ces numéros sous l’intitulé de sa banque. Conclusion : lorsqu’elle a été contactée par l’escroc, elle pensait légitimement être en ligne avec son établissement, ce d’autant que la filiale concernée appartient bien au groupe BNP Paribas.
Le juge applique alors la solution dégagée par la Cour de cassation dans son arrêt du 23 octobre 2024 : « la vigilance de la cliente a été légitimement atténuée lors de sa conversation avec le fraudeur. » Parce qu’elle croyait parler à sa banque, parce qu’elle voyait « en direct » les virements sembler disparaître à chaque validation, elle a été confortée dans son erreur. Dans ces conditions, aucune négligence grave ne peut lui être reprochée. La banque est condamnée à rembourser 22 242,98 euros.
Valider soi-même une opération ne vaut pas automatiquement négligence grave. Quand la manipulation est rendue crédible par l’usurpation du numéro de la banque, la vigilance du client est atténuée et son droit au remboursement préservé. Ce qui fait basculer le dossier, ce n’est pas le geste matériel de validation, mais l’analyse du contexte de tromperie.
Pourquoi la banque doit-elle payer des intérêts majorés de quinze points ?
C’est sans doute l’apport le plus dissuasif de la décision. Au-delà du capital, le tribunal condamne BNP Paribas à des intérêts au taux légal majoré de quinze points. Et il le fait en écartant frontalement l’argumentation de la banque.
Lorsque la banque ne rembourse pas immédiatement (au plus tard le premier jour ouvrable suivant le signalement) une opération non autorisée, les sommes dues produisent intérêt au taux légal majoré : de 5 points, puis de 10 points au-delà de 7 jours de retard, et de 15 points au-delà de 30 jours de retard. Une sanction conçue pour contraindre la banque à rembourser sans tarder.
La banque plaidait qu’elle n’était tenue d’aucun remboursement tant qu’une juridiction n’avait pas statué contre elle ; que ces intérêts permettraient au client de s’enrichir en retardant volontairement son procès ; et que cette menace porterait atteinte à ses droits de la défense. Trois arguments, trois rejets.
À partir de quelle date courent ces intérêts ?
Le tribunal pose une règle nette : faire courir les intérêts majorés seulement à compter du jugement « priverait de toute portée » les dispositions de l’article L. 133-18. Car c’est sous sa seule responsabilité que la banque décide de refuser le remboursement en opposant la négligence grave : ce faisant, elle prend le risque que le tribunal ne retienne pas cette négligence. Si elle perd ce pari, elle doit en assumer les conséquences depuis l’origine.
Quant à l’argument de l’« enrichissement » du client qui tarderait à agir, le juge le qualifie d’« inopérant » : le code impose déjà au client de signaler l’opération sans tarder, et au plus tard dans les treize mois sous peine de forclusion, étant rappelé qu’un client qui tarde intentionnellement ou par négligence grave à signaler peut perdre son droit au remboursement (le tribunal cite ici l’arrêt de la CJUE du 1er août 2025, aff. C-665/23). Le risque invoqué par la banque est donc déjà neutralisé par la loi.
Résultat : la cliente ayant informé sa banque le 18 août 2023, les intérêts au taux légal majoré de quinze points courent à compter du 18 septembre 2023 — soit après l’expiration du délai de trente jours. Sur près de trois ans de procédure, et sur un capital de 22 242,98 euros, l’addition est lourde. C’est précisément l’effet voulu par le législateur.
⏱️ La logique de la sanction du retard
📅 Signalement à la banque → 18 août 2023
↓ délai légal de remboursement (1er jour ouvrable)
↓ au-delà de 30 jours de retard → majoration de +15 points
📅 Point de départ des intérêts majorés → 18 septembre 2023
↓
⚖️ Refuser de rembourser = parier sur la négligence grave. Pari perdu = sanction depuis l’origine, pas depuis le jugement.
Quelle est la portée de cette décision pour les victimes de fraude ?
Ce jugement n’invente rien : il applique avec rigueur un régime protecteur que les banques cherchent trop souvent à neutraliser. Mais il le fait sur trois terrains qui intéressent directement toute personne victime d’un faux conseiller.
D’abord, il dissocie nettement l’authentification forte de l’autorisation. Trop de refus de remboursement reposent sur le raccourci « opération authentifiée = opération autorisée ». Ce jugement rappelle que le code dit exactement l’inverse : la preuve technique ne dispense pas la banque de démontrer la négligence grave.
Ensuite, il consolide la notion de vigilance légitimement atténuée par le spoofing. Lorsque l’escroc usurpe le numéro officiel de la banque, le client n’a pas à supporter seul les conséquences d’une tromperie que la banque elle-même n’a pas su prévenir. Le fait d’avoir validé matériellement les opérations ne suffit pas à le priver de son droit.
Enfin, il muscle la sanction du retard. En faisant courir les intérêts majorés de quinze points dès l’origine, le tribunal transforme le refus de remboursement en pari coûteux pour la banque. C’est un levier de négociation considérable, trop souvent ignoré dans les réclamations amiables.
Un mot, enfin, sur un terrain encore sous-exploité. Au-delà du débat sur la négligence grave, les établissements sont tenus, au titre des normes techniques de réglementation (RTS) complétant la DSP2, à des obligations précises en matière d’authentification, de surveillance des transactions et de détection des schémas de fraude inhabituels. Huit virements de plus de 6 000 euros en l’espace de vingt-trois minutes, vers un compte fraîchement ouvert, depuis un terminal que la banque qualifiait elle-même d’« inconnu et inhabituel » : on peut légitimement s’interroger sur l’efficacité du dispositif de monitoring. Ce levier, distinct des obligations de lutte anti-blanchiment (qui, elles, ne fondent pas une indemnisation des victimes), mérite d’être systématiquement examiné. Le dépôt de plainte et, le cas échéant, le signalement aux autorités restent utiles sur le plan du recouvrement, sans constituer en eux-mêmes un fondement d’indemnisation civile.
Conclusion
La décision du tribunal judiciaire de Paris du 9 juin 2026 est une bonne nouvelle pour les victimes de fraude au faux conseiller. Elle rappelle que la banque ne peut pas se retrancher derrière l’authentification forte pour refuser le remboursement, qu’il lui appartient de prouver une négligence grave qui ne se présume jamais, et que le spoofing atténue légitimement la vigilance du client. Surtout, elle sanctionne lourdement le refus de rembourser en faisant courir les intérêts majorés de quinze points dès l’origine du litige, et non à compter du jugement.
Si vous avez été victime d’un virement non autorisé et que votre banque oppose l’authentification forte ou votre prétendue négligence grave pour refuser de vous rembourser, ce jugement montre que la partie est loin d’être perdue. Chaque dossier mérite une analyse précise des preuves produites par la banque et du contexte de la fraude. Le cabinet LE BOT Avocat, dédié au droit bancaire, accompagne les victimes dans la contestation de ces refus et la récupération des sommes détournées.
