55logo mikael le bot avocat

Spoofing bancaire : la Banque Postale condamnée à rembourser malgré la remise volontaire de la carte – TJ Bordeaux, PPP contentieux général, 14 mars 2025, n° RG 24/01018

  • Droit bancaire
Un client de la Banque Postale se fait contacter par téléphone par un faux conseiller bancaire. Convaincu d’agir pour protéger son compte, il remet sa carte bancaire à un coursier complice. Quelques minutes plus tôt, des fraudeurs ont déjà effectué quatre retraits de 1 000 euros chacun sur son compte. La banque refuse de rembourser, invoquant sa négligence grave. Le Tribunal judiciaire de Bordeaux en décide autrement. Cette décision illustre avec clarté les droits des victimes de spoofing face à leur banque, et rappelle un principe fondamental : c’est à l’établissement bancaire de prouver la faute de son client, non l’inverse.

Tribunal Judiciaire de Bordeaux, PPP Contentieux général, 14 mars 2025, n° RG 24/01018 – N° Portalis DBX6-W-B7I-ZBEN

Sommaire

1. Le spoofing, une fraude qui trompe même les plus prudents

Un scénario rodé en quelques minutes

Le 5 septembre 2023, vers 16h00, un client de la Banque Postale reçoit un SMS l’alertant qu’une transaction de 699,99 euros est en attente sur son compte, pour un achat qu’il n’a pas réalisé. Le message lui invite à contacter un numéro de téléphone s’il n’est pas à l’origine de cette opération. Le réflexe est naturel : il rappelle.

Au bout du fil, une voix rassurante se présente comme une conseillère de la Banque Postale. Elle lui explique que sa carte bancaire est compromise et qu’il faut la couper et la remettre à un coursier qui viendra la récupérer pour lui en délivrer une nouvelle. Le client obtempère, convaincu de faire ce qu’il faut pour se protéger. Cinq minutes plus tard, un homme en gilet jaune, se faisant passer pour un livreur de La Poste, se présente à son domicile et repart avec la carte.

Ce que le client ignore encore, c’est que les fraudeurs ont déjà agi. Au même moment où se déroule cette mise en scène, quatre retraits de 1 000 euros chacun sont effectués à des distributeurs automatiques de la Banque Postale. Lorsqu’il consulte son compte peu après, le constat est sans appel : 4 000 euros ont disparu.

🎭 Comment fonctionne le spoofing bancaire ?
📱

Étape 1 – Le SMS frauduleux
La victime reçoit un message imitant celui de sa banque, signalant une opération suspecte et l’invitant à rappeler un numéro.
📞

Étape 2 – Le faux conseiller
Un fraudeur, se faisant passer pour un conseiller bancaire, instaure la confiance et demande des informations ou la remise de la carte.
🧑‍💼

Étape 3 – Le coursier complice
Un complice se présente à domicile, souvent déguisé (gilet jaune, tenue La Poste), pour récupérer la carte bancaire.
🏧

Étape 4 – Les retraits frauduleux
Avec la carte (et le code obtenu en amont par d’autres moyens), les fraudeurs effectuent rapidement plusieurs retraits aux distributeurs, en ayant préalablement augmenté les plafonds.

La chronologie des faits, élément clé du dossier

Dans cette affaire, la précision de l’horodatage s’avère décisive. L’historique des opérations Certicode Plus révèle une séquence très serrée : à 16h30, un code d’activation expire et une demande d’activation est confirmée via Internet mobile ; à 16h31, l’enrôlement à Certicode Plus est réalisé depuis un iPhone 12.8 ; à 16h32, le plafond de retrait est augmenté depuis le même appareil. Dans les minutes qui suivent, à 16h30, 16h33, 16h35 et 16h36, les quatre retraits de 1 000 euros sont enregistrés.

Or, la conversation téléphonique avec le faux conseiller qui a conduit à la remise de la carte n’a débuté qu’à 16h54, comme en atteste le journal d’appel produit par le client. Autrement dit, les retraits ont eu lieu avant que la carte ne soit physiquement remise aux fraudeurs. Ce point est central : le client n’a pas permis les retraits en remettant sa carte, puisqu’ils étaient déjà consommés au moment de cette remise.

2. Le cadre juridique : qui doit prouver quoi ?

La présomption de responsabilité de la banque

Le Code monétaire et financier (CMF) organise de façon précise la répartition des responsabilités entre la banque et son client en matière d’opérations de paiement non autorisées. L’article L. 133-18 du CMF impose à la banque un principe de remboursement quasi-immédiat : dès lors qu’un client signale une opération qu’il n’a pas autorisée, l’établissement doit le rembourser au plus tard à la fin du premier jour ouvrable suivant. La banque ne peut s’y soustraire qu’en disposant de raisons sérieuses de soupçonner une fraude de l’utilisateur, qu’elle doit alors communiquer par écrit à la Banque de France.

L’article L. 133-23 du CMF va plus loin encore en fixant la charge de la preuve : lorsqu’un utilisateur conteste avoir autorisé une opération, c’est au prestataire de services de paiement qu’il incombe de prouver que l’opération a bien été authentifiée, dûment enregistrée et qu’elle n’a pas été affectée par une défaillance technique. Et la loi est explicite sur un point crucial : la seule utilisation de l’instrument de paiement ne suffit pas à prouver que le client a consenti à l’opération, ni qu’il a fait preuve de négligence grave.

⚖️ Le principe fondamental posé par la loi
🏦
La banque doit prouver
Que l’opération a été authentifiée · Qu’elle a été enregistrée correctement · L’existence d’une négligence grave ou d’une fraude du client
👤
Le client doit prouver
Qu’il n’a pas autorisé l’opération · Qu’il a signalé la fraude sans délai · Le préjudice qu’il invoque
Source : articles L. 133-16, L. 133-18, L. 133-19 et L. 133-23 du Code monétaire et financier

La notion de négligence grave : une exigence élevée

L’article L. 133-19 IV du CMF prévoit que le client supporte l’intégralité des pertes résultant d’opérations non autorisées s’il a agi frauduleusement ou s’il n’a pas satisfait intentionnellement ou par négligence grave à ses obligations. La question qui se pose alors est celle de la définition de cette « négligence grave ».

La jurisprudence, notamment la Chambre commerciale de la Cour de cassation dans un arrêt du 20 novembre 2024 (n° 23-15-099) cité par le tribunal bordelais lui-même, a clarifié les contours de cette notion : avant même de pouvoir reprocher une négligence grave au client, la banque doit d’abord établir que l’opération a été correctement authentifiée et qu’aucune défaillance technique n’est en cause. Ce n’est qu’une fois cette étape franchie que la question de la faute du client peut être examinée. La preuve de l’authentification n’est donc pas une fin en soi : elle constitue un préalable nécessaire, mais non suffisant.

En pratique, la négligence grave suppose un comportement particulièrement imprudent de la part de l’utilisateur, comme la communication spontanée et délibérée de son code PIN à un tiers, ou la conservation de ce code écrit sur la carte elle-même. Être trompé par un mécanisme sophistiqué d’usurpation d’identité ne saurait, en principe, être assimilé à une telle faute.

3. La décision du tribunal : absence de négligence grave retenue

La banque ne prouve pas la faute de son client

La Banque Postale soutenait que le client avait commis une négligence grave en rappelant le numéro figurant dans le SMS frauduleux, en transmettant ses informations bancaires aux fraudeurs et en remettant sa carte à un coursier. Elle avançait également que tout ceci s’était produit avant les opérations de retrait, ce qui, selon elle, établissait le lien de causalité entre la faute du client et le préjudice subi.

Le tribunal ne suit pas ce raisonnement. La juge Tamara Maric-Sanchez relève que le mode opératoire du spoofing est précisément conçu pour mettre la victime en confiance et lui faire croire qu’elle agit dans son propre intérêt. Le client, en rappelant le numéro du SMS, croyait contacter sa banque pour signaler une fraude. En remettant sa carte, il croyait en neutraliser le risque. Ce n’est pas là un comportement irrationnel ou gravement imprudent : c’est la réaction d’une personne qui cède à une manipulation sophistiquée.

Par ailleurs, la banque échoue à démontrer que le client a communiqué ses codes confidentiels ou ses identifiants de connexion en ligne. Or c’est précisément l’accès à ces données qui a permis aux fraudeurs, de façon quasi simultanée, d’activer Certicode Plus, d’augmenter le plafond de retrait et d’effectuer les retraits. La banque ne fournit aucune explication sur la manière dont ces accès ont été obtenus sans la participation consciente et fautive du client.

📌 À retenir : Le tribunal souligne que la chronologie des appels passés par le client démontre son comportement réactif et de bonne foi : il a multiplié les tentatives pour joindre sa banque et signaler la fraude dès qu’il en a pris conscience, le soir même des faits.

L’authentification forte ne suffit pas à exonérer la banque

La Banque Postale produisait un document dit « d’authentification » attestant que les retraits avaient bénéficié du système d’authentification forte, c’est-à-dire qu’ils avaient été validés au moyen d’un code confidentiel. Elle en tirait la conséquence que sa responsabilité était nécessairement exclue, puisque ce code est strictement personnel.

Le tribunal rappelle ici la règle posée par l’article L. 133-23 du CMF et confirmée par la Cour de cassation : l’utilisation enregistrée de l’instrument de paiement, même avec authentification forte, ne suffit pas à prouver que le client a autorisé l’opération, ni qu’il a fait preuve de négligence grave. La banque ne peut donc pas se contenter de produire des logs techniques pour s’exonérer. Elle doit aller plus loin et démontrer positivement la faute de l’utilisateur. En l’espèce, elle n’y parvient pas.

🔍 Ce que le tribunal a examiné point par point
Argument de la banque Réponse du tribunal
Le client a rappelé un numéro frauduleux Il croyait contacter sa banque — manipulation sophistiquée, pas de négligence grave
Le client a remis sa carte bancaire Les retraits sont antérieurs à la remise de la carte (16h30-16h36 vs appel à 16h54)
Authentification forte prouvée Insuffisante seule — la banque doit prouver la négligence, pas seulement l’authentification
Convention de compte imposant la protection du code Pas de preuve que le client a communiqué son code ou ses identifiants en ligne

4. Les conséquences financières : remboursement et pénalités

La majoration de 15 points du taux légal

La condamnation principale est le remboursement des 4 000 euros de retraits frauduleux. Mais le tribunal va plus loin en appliquant la pénalité prévue à l’article L. 133-18 du CMF pour défaut de remboursement dans les délais. Cet article organise un système de pénalités progressives : les sommes dues produisent intérêt au taux légal majoré de cinq points jusqu’à sept jours de retard, de dix points entre sept et trente jours, et de quinze points au-delà de trente jours.

En l’espèce, le client avait formellement sollicité le remboursement par courrier du 12 octobre 2023. La banque avait refusé par courrier du 30 octobre 2023, soit moins de trente jours plus tard. Mais comme aucun remboursement n’est intervenu depuis lors, et que le délai de plus de trente jours est largement dépassé à la date du jugement, le tribunal applique la majoration maximale de quinze points à compter du 12 novembre 2023, soit trente jours après la demande. Cette sanction n’est pas anodine : elle représente un surcoût significatif pour la banque et vise précisément à décourager les refus injustifiés de remboursement.

📅 Le barème des pénalités de retard (art. L. 133-18 CMF)
J+1 à J+7
Taux légal + 5 points
J+7 à J+30
Taux légal + 10 points
Au-delà de J+30
Taux légal + 15 points
Le point de départ est la date de la demande de remboursement adressée à la banque.

Le rejet de la demande de préjudice moral

Le client réclamait également 1 500 euros en réparation d’un préjudice moral qu’il attribuait à la résistance abusive et injustifiée de la banque à le rembourser. Le tribunal rejette cette demande, non par manque d’empathie, mais pour une raison purement procédurale : le client n’apporte aucun élément concret permettant d’établir l’existence de ce préjudice moral, ni d’en justifier le quantum.

Ce point est important à retenir pour quiconque envisage une action similaire : invoquer un préjudice ne suffit pas. Il faut le prouver, en produisant par exemple des attestations, des éléments médicaux, des échanges démontrant l’impact psychologique de la situation, etc. Sans cela, même une résistance bancaire reconnue comme injustifiée ne donne pas automatiquement droit à des dommages et intérêts distincts.

En revanche, la banque est condamnée à payer 800 euros au titre de l’article 700 du Code de procédure civile, correspondant à une participation aux frais d’avocat engagés par le client pour faire valoir ses droits, ainsi qu’aux entiers dépens de l’instance.

Conclusion

La décision rendue le 14 mars 2025 par le Tribunal judiciaire de Bordeaux apporte une réponse claire et équilibrée à une question de plus en plus fréquente : les victimes de spoofing bancaire sont-elles systématiquement condamnées à absorber leurs pertes au motif qu’elles auraient « mal réagi » face aux fraudeurs ? La réponse est non, et cette affaire en est l’illustration concrète.

Ce jugement confirme que la sophistication d’une fraude peut elle-même exclure la négligence grave de la victime. Lorsque des escrocs déploient une mise en scène élaborée — SMS imitant les communications bancaires, faux conseiller au téléphone, coursier déguisé — le fait de s’y laisser prendre ne traduit pas une imprudence caractérisée, mais simplement une vulnérabilité humaine face à une manipulation organisée. Et c’est à la banque, pas au client, de prouver le contraire.

Pour les victimes de ce type de fraude, le message est clair : contestez les opérations, signalez la fraude immédiatement et, si la banque refuse de rembourser, n’hésitez pas à saisir le tribunal. La loi est de votre côté — à condition de respecter les étapes et de constituer un dossier solide dès le premier jour.

FAQ

Ma banque a refusé de me rembourser après un spoofing : quels recours ai-je ?

Si votre banque refuse de rembourser des opérations frauduleuses que vous n’avez pas autorisées, vous disposez de plusieurs voies. En premier lieu, adressez une mise en demeure écrite à votre établissement, en vous fondant expressément sur l’article L. 133-18 du Code monétaire et financier qui impose un remboursement quasi-immédiat. En cas de persistance du refus, vous pouvez saisir le médiateur bancaire, puis, si la médiation échoue, engager une action judiciaire devant le tribunal judiciaire compétent. Un avocat spécialisé en droit bancaire peut vous accompagner dans la constitution du dossier et la rédaction des courriers, ce qui augmente sensiblement vos chances de succès.

Quels délais respecter pour contester des opérations frauduleuses auprès de ma banque ?

Selon l’article L. 133-24 du Code monétaire et financier, vous disposez de 13 mois à compter de la date de débit de l’opération pour la contester auprès de votre banque, sous peine de forclusion. Mais dans la pratique, il est fortement recommandé d’agir le plus tôt possible : signalez la fraude à votre banque dès que vous en avez connaissance, déposez plainte auprès de la gendarmerie ou de la police dans les jours qui suivent, et adressez un courrier recommandé de contestation sans attendre. Chaque jour de délai peut affaiblir votre dossier.

La banque peut-elle vraiment refuser de rembourser si j’ai remis ma carte bancaire à quelqu’un ?

La banque peut tenter d’invoquer votre négligence grave pour refuser le remboursement. Mais comme l’illustre cette décision bordelaise, la remise de la carte sous l’emprise d’une manipulation sophistiquée — un faux conseiller bancaire très convaincant — ne constitue pas nécessairement une négligence grave au sens juridique du terme. Le tribunal apprécie les circonstances concrètes : si vous avez agi en croyant sincèrement vous protéger, si les fraudeurs ont utilisé un mode opératoire élaboré, et surtout si la banque ne parvient pas à prouver que vous avez communiqué vos codes confidentiels, le juge peut refuser de retenir la négligence grave et ordonner le remboursement.

Qu’est-ce que l’authentification forte et pourquoi la banque ne peut-elle pas s’en prévaloir pour refuser de me rembourser ?

L’authentification forte (ou SCA, Strong Customer Authentication) est un système de vérification à deux facteurs utilisé pour valider certaines opérations bancaires, notamment les retraits importants. La banque l’invoque souvent pour dire que l’opération a été validée par un code personnel, donc que le client en est responsable. Mais l’article L. 133-23 du CMF, confirmé par la Cour de cassation, est clair : la seule preuve que l’instrument de paiement a été utilisé et authentifié ne suffit pas à établir que le client a autorisé l’opération ou qu’il a fait preuve de négligence grave. La banque doit aller plus loin et prouver positivement la faute de l’utilisateur. L’authentification forte est un préalable nécessaire à examiner, pas une preuve définitive d’exonération.

Puis-je réclamer des intérêts de retard si ma banque tarde à me rembourser ?

Oui, et c’est même automatique dès lors que le remboursement n’intervient pas dans les délais légaux. L’article L. 133-18 du Code monétaire et financier prévoit un barème de pénalités progressives : une majoration de 5 points du taux légal jusqu’à 7 jours de retard, de 10 points entre 7 et 30 jours, et de 15 points au-delà de 30 jours. Dans la décision commentée, c’est cette majoration maximale de 15 points qui a été appliquée à compter du 30e jour suivant la demande de remboursement du client, soit à partir du 12 novembre 2023. Ces pénalités s’appliquent de plein droit et n’ont pas besoin d’être spécialement négociées.

Dois-je prouver mon préjudice moral pour être indemnisé au-delà du remboursement ?

Oui. Le remboursement des sommes frauduleusement débitées est un droit automatique prévu par la loi si votre banque ne parvient pas à prouver votre négligence grave. En revanche, toute indemnisation supplémentaire — notamment pour préjudice moral lié au stress, à l’anxiété ou à la résistance abusive de la banque — relève du régime de la responsabilité civile classique (article 1240 du Code civil). Vous devez donc apporter des éléments concrets prouvant l’existence et l’étendue de ce préjudice : attestations, éléments médicaux, échanges démontrant l’impact sur votre vie quotidienne. Sans ces preuves, comme l’a rappelé le tribunal de Bordeaux, la demande de dommages et intérêts sera rejetée, même si la fraude est établie et le refus de remboursement reconnu comme injustifié.

1521 2281 max

Besoin de conseils juridiques personnalisés ?

Ne restez pas seul face à vos questions. Un avocat peut vous rappeler gratuitement pour faire le point sur votre situation.

Être recontacté par un avocat

Besoin de conseils juridiques personnalisés ?

RGPD :

Articles similaires

assets task 01jxabfhtderwt79q5d8fcjh58 1749473088 img 1

Crédit affecté et dol du vendeur : la nullité du prêt, même sans annulation du contrat principal et sans fraude directe de la banque !

Les crédits affectés, ces financements spécifiquement dédiés à l’acquisition d’un bien ou d’un service, sont par nature liés au contrat principal qu’ils financent. Mais que ...

5acdefc3 b5e9 4b92 a123 fbdc4a8181ab

Un recours est-il possible lorsqu’un accord de prêt a été consenti par la banque mais qu’elle refuse finalement d’éditer l’offre de prêt ?

Lorsqu’un établissement bancaire accorde un accord de principe pour un prêt mais refuse ensuite d’émettre l’offre de prêt définitive, de nombreux emprunteurs s’interrogent sur les ...

assets task 01jwrg8hjcen69pzvz5hbfwdx7 1748874082 img 1

Faux conseiller bancaire : la Cour d’Appel de Paris confirme la responsabilité des banques et le remboursement des victimes (CA Paris, 22 mai 2025, RG n° 24/02286 et RG n°24/02984)

La Cour d'appel de Paris a rendu deux décisions s’inscrivant dans le courant jurisprudentiel favorable aux victimes (Cass. com., 23 octobre 2024, n° 23-16.267). ...