Tribunal judiciaire de Vannes, 12 mars 2026, n° 25/00524
🔑 Points clés à retenir
- Le tribunal a jugé que l’opération validée par reconnaissance faciale du titulaire était « autorisée » au sens de l’article L. 133-6 du code monétaire et financier, malgré la manipulation du client par un faux conseiller.
- Malgré cette qualification d’opération autorisée, le tribunal a engagé la responsabilité de la banque sur le fondement de son devoir général de vigilance.
- Le fondement décisif est l’article 5 quater du règlement (UE) 2024/886 du 13 mars 2024 (paiements instantanés), qui impose depuis le 9 octobre 2025 la vérification de la concordance entre l’IBAN du bénéficiaire et le nom communiqué par le payeur (procédure dite VoP — Verification of Payee).
- La banque a été condamnée à environ 4 500 euros de remboursement du virement frauduleux, augmentés de 200 euros au titre du préjudice moral.
- Cette décision crée un terrain nouveau pour les victimes de spoofing : le défaut de vérification IBAN/nom devient un manquement bancaire opposable.
- Le levier RTS (Regulatory Technical Standards de l’EBA complétant DSP2) reste exploitable en parallèle, notamment sur l’authentification forte et la détection d’anomalies.
Sommaire ▼
- Pourquoi cette décision intéresse les victimes de spoofing ?
- Que s’est-il exactement passé ?
- Pourquoi l’opération est-elle qualifiée d’autorisée ?
- Le rôle décisif de l’authentification forte
- Conséquence sur l’article L. 133-19 du CMF
- Qu’est-ce que la vérification IBAN/nom (VoP) ?
- Le règlement (UE) 2024/886 expliqué simplement
- Calendrier d’application : pourquoi cette décision arrive maintenant
- Comment la banque a-t-elle été tenue responsable ?
- L’articulation avec le devoir général de vigilance
- Quelle est la portée pratique de cette décision ?
- Les leviers ouverts pour les autres victimes
- Les limites à anticiper
- Que faire si vous êtes victime d’un faux conseiller ?
- FAQ — Questions fréquentes
Pourquoi cette décision intéresse les victimes de spoofing ?
Depuis 2023, les fraudes par « faux conseiller bancaire » — techniquement le spoofing, où l’escroc usurpe le numéro de téléphone de la banque pour se faire passer pour un agent légitime — explosent. Le scénario est désormais industrialisé : un appel apparaît avec le numéro réel du conseiller, une voix professionnelle évoque une tentative de fraude sur le compte, propose un transfert « provisoire » vers un « compte sécurisé » pour mettre les fonds à l’abri, et obtient du client qu’il valide lui-même l’opération depuis son application mobile. Les sommes en jeu sont parfois considérables : plusieurs dizaines de milliers d’euros par dossier ne sont pas rares.
Jusqu’ici, les banques opposaient systématiquement la même défense : puisque le client avait validé personnellement l’opération via son authentification forte (empreinte, reconnaissance faciale, code SMS), il s’agissait d’une opération autorisée. Et qui dit opération autorisée dit absence de remboursement automatique au titre de l’article L. 133-18 du code monétaire et financier. Le client se retrouvait à devoir démontrer une « négligence grave » de la banque, ce qui revenait souvent à un parcours du combattant.
La décision rendue par le tribunal judiciaire de Vannes le 12 mars 2026 ne brise pas frontalement cette ligne : l’opération reste qualifiée d’autorisée. Mais le tribunal ouvre une seconde voie d’action, qui change la donne : la banque qui n’a pas effectué la vérification de concordance entre l’IBAN du bénéficiaire et le nom communiqué — vérification désormais imposée par le droit de l’Union — manque à son devoir de vérification.
Que s’est-il exactement passé ?
Les faits sont d’une banalité désormais tristement familière. Un client d’une banque française reçoit un appel qui affiche, sur son écran, le numéro officiel du service fraude de sa banque. L’interlocuteur, parfaitement à l’aise avec le vocabulaire bancaire, l’informe d’opérations suspectes en cours sur son compte et lui propose, pour les bloquer, d’effectuer un virement de précaution vers un « compte miroir » réservé à la mise en sécurité des fonds.
Le client, mis sous pression psychologique par l’urgence évoquée et rassuré par le numéro affiché, ouvre son application bancaire. Il y saisit lui-même l’IBAN dicté par l’escroc et valide l’opération par reconnaissance faciale, comme il le ferait pour n’importe quel virement légitime. Le virement, d’un montant d’environ 4 500 euros, est exécuté.
Le lendemain, alarmé par l’absence de retour de son conseiller et par un débit qui n’apparaît plus comme « provisoire », il contacte sa véritable banque. Trop tard : les fonds ont été retirés du compte de réception, qui appartient à une « mule » — c’est-à-dire un complice intermédiaire dont le rôle est uniquement de servir de relais. La banque refuse le remboursement, au motif que le client a lui-même validé l’opération par reconnaissance faciale.
Le client saisit le tribunal judiciaire de Vannes en demandant, à titre principal, le remboursement de l’opération non autorisée, et à titre subsidiaire, des dommages-intérêts pour manquement de la banque à ses obligations.
Pourquoi l’opération est-elle qualifiée d’autorisée ?
Le tribunal commence par trancher la question centrale : l’opération est-elle autorisée ou non autorisée au sens de la directive sur les services de paiement (DSP2), transposée aux articles L. 133-6 et suivants du code monétaire et financier ?
Au sens de l’article L. 133-6 du code monétaire et financier, une opération de paiement est dite « autorisée » lorsque le payeur a donné son consentement à son exécution. Ce consentement peut prendre la forme d’une signature, d’un code, d’une empreinte biométrique ou de tout autre dispositif convenu avec la banque. À défaut de consentement, l’opération est « non autorisée », ce qui ouvre le droit au remboursement automatique prévu à l’article L. 133-18 du même code.
Le rôle décisif de l’authentification forte
Le tribunal applique ici la jurisprudence désormais consolidée de la Cour de cassation, en particulier l’arrêt très commenté du 30 août 2023 (Cass. com., n° 22-11.707) : le consentement à l’opération de paiement est établi par la mise en œuvre des dispositifs d’authentification forte. Empreinte biométrique, reconnaissance faciale, code SMS combiné à un mot de passe : dès lors que ces éléments ont été activés par le titulaire lui-même, l’opération est juridiquement consentie, même si le consentement repose sur une représentation erronée des faits induite par un tiers.
En clair, la tromperie ne supprime pas le consentement : elle le vicie. Mais l’article L. 133-6 ne raisonne pas en termes de vice du consentement : il raisonne en termes de validation technique. Le client a posé son visage devant l’appareil. Pour la directive, c’est suffisant.
Conséquence sur l’article L. 133-19 du CMF
Conséquence implacable : l’article L. 133-18, qui impose à la banque le remboursement immédiat des opérations non autorisées, ne s’applique pas. Pas davantage l’article L. 133-19, qui répartit le risque entre client et banque dans le seul cas d’une opération non autorisée. Le client se retrouve donc, à ce stade, dans une impasse.
La doctrine relève depuis longtemps que cette lecture stricte de l’article L. 133-6 confond consentement et instrumentalisation. La directive DSP2 a été pensée pour le risque de piratage de l’instrument, non pour le risque d’ingénierie sociale. Plusieurs cours d’appel — Versailles, Aix, Douai — ont déjà retenu la qualification d’opération non autorisée lorsque la manipulation porte atteinte au consentement libre et éclairé. La position du tribunal de Vannes s’inscrit dans la ligne stricte, mais le débat reste ouvert.
Qu’est-ce que la vérification IBAN/nom (VoP) ?
C’est ici que la décision prend toute sa dimension. Le tribunal refuse de s’arrêter à la qualification d’opération autorisée. Il observe que, depuis le 9 octobre 2025, le droit européen impose à la banque émettrice une obligation nouvelle : vérifier, avant d’exécuter le virement, si le nom du bénéficiaire annoncé par le client correspond bien au titulaire du compte associé à l’IBAN saisi.
La VoP, ou vérification du bénéficiaire, est un service technique obligatoire imposé par le règlement (UE) 2024/886. Avant tout virement, la banque émettrice doit interroger la banque destinataire pour comparer le nom du bénéficiaire annoncé par le payeur et le nom du titulaire réel du compte. Le résultat est restitué au payeur en trois statuts : « concordance » (match), « concordance proche » (close match, en cas d’orthographe approximative) ou « pas de concordance » (no match). En cas de no match, le payeur doit être averti avant validation.
Le règlement (UE) 2024/886 expliqué simplement
Le règlement (UE) 2024/886 du Parlement européen et du Conseil du 13 mars 2024 — dit « règlement Instant Payments » — a profondément réformé l’écosystème des virements en zone SEPA. Son article 5 quater, dont l’application est devenue obligatoire le 9 octobre 2025, impose à tout prestataire de services de paiement émetteur d’offrir gratuitement à ses clients un service de vérification de concordance entre l’IBAN du bénéficiaire et le nom communiqué.
La mécanique est simple :
↓
② La banque émettrice interroge la banque destinataire (en temps réel)
↓
③ La banque destinataire compare le nom annoncé avec le titulaire réel du compte
↓
④ La banque émettrice restitue le résultat au client : match / close match / no match
↓
⑤ Le client confirme ou annule en connaissance de cause
L’objectif est limpide : protéger le payeur contre les fraudes à l’IBAN, qui couvrent à la fois le phishing classique, l’usurpation par e-mail dans les relations entre professionnels et, précisément, le spoofing par faux conseiller. Le règlement ne distingue pas : dès lors qu’un virement est émis, la vérification doit avoir eu lieu.
Calendrier d’application : pourquoi cette décision arrive maintenant
Le calendrier européen est progressif mais désormais en grande partie déployé :
- 9 janvier 2025 : obligation pour toutes les banques de la zone euro de pouvoir recevoir des virements instantanés.
- 9 octobre 2025 : obligation pour toutes les banques de la zone euro de pouvoir émettre des virements instantanés, et entrée en application de la VoP pour les virements instantanés ET les virements SEPA classiques émis par voie électronique.
- 9 juillet 2027 : extension prévue à certains services dérivés (mandats, instructions récurrentes).
Au moment des faits jugés par le tribunal de Vannes — début 2026 —, l’obligation était donc pleinement en vigueur depuis cinq mois. La banque ne pouvait pas, et ne pouvait plus, ignorer le dispositif. Le tribunal ne s’y est pas trompé.
Comment la banque a-t-elle été tenue responsable ?
Sur le plan technique, la banque émettrice avait, dans cette affaire, omis d’effectuer la vérification de concordance IBAN/nom au moment où le client saisissait l’opération. Il est très probable que cette absence soit liée à un déploiement partiel ou défectueux du dispositif chez le prestataire, situation que l’on observe encore largement aujourd’hui dans le marché français.
Le tribunal a estimé que ce défaut de vérification — qui aurait, selon toute probabilité, restitué un statut « no match » dès lors que le compte du bénéficiaire était celui d’une mule — constituait une carence imputable à la banque. Cette carence a privé le client d’une information décisive : il aurait su, avant validation, que le nom du destinataire ne correspondait pas à celui annoncé par le faux conseiller.
L’articulation avec le devoir général de vigilance
Le tribunal raisonne en deux temps :
1. La banque est débitrice d’une obligation textuelle
L’article 5 quater du règlement (UE) 2024/886 impose la vérification de concordance. Cette obligation est précise, technique, immédiate. Son inobservation est en elle-même un manquement.
2. Ce manquement nourrit le devoir général de vigilance
Sur le terrain de la responsabilité civile (article 1231-1 du code civil et obligations professionnelles du banquier), le défaut de vérification entraîne une carence de protection du client. Le préjudice — le virement perdu — est en lien direct avec ce défaut : si la VoP avait été activée, le client aurait été averti et le virement n’aurait pas été émis.
La somme d’environ 4 500 euros représente le montant du virement frauduleux, augmenté de 200 euros au titre du préjudice moral lié à l’anxiété et au temps consacré à la résolution du dossier. Le tribunal n’a pas appliqué de partage de responsabilité : il a estimé que la carence bancaire avait directement causé le préjudice, sans que la vigilance du client ne suffise à atténuer la condamnation.
Quelle est la portée pratique de cette décision ?
La portée est considérable, et elle dépasse de loin le cas particulier jugé. Voici pourquoi.
Les leviers ouverts pour les autres victimes
Pour toute victime d’un faux conseiller bancaire postérieure au 9 octobre 2025, un terrain de défense neuf s’ouvre : la banque a-t-elle effectivement mis en œuvre la VoP ? A-t-elle restitué le résultat au client avant la validation finale ? A-t-elle alerté le client en cas de no match ? Trois questions qui doivent désormais figurer dans toute lettre de réclamation et, à défaut de réponse satisfaisante, dans toute assignation.
Plusieurs configurations sont possibles :
- La banque n’a pas effectué la VoP : manquement direct au règlement 2024/886. Levier le plus fort. C’est précisément la situation de Vannes.
- La banque a effectué la VoP mais n’a pas restitué l’alerte au client : manquement à l’obligation de transparence. Plusieurs cas remontent où l’information du « no match » est noyée dans une interface peu lisible. Levier solide.
- La banque a alerté le client mais l’a laissé valider sans friction : configuration plus délicate, mais le devoir de vigilance peut encore mobiliser le RTS (voir ci-dessous) si des indices d’anomalie de schéma de paiement étaient présents.
Au-delà de la VoP, n’oublions pas un levier encore largement sous-exploité : les obligations de la banque au titre du règlement technique RTS (Regulatory Technical Standards) qui complète la directive DSP2. Ces standards techniques imposent à la banque non seulement l’authentification forte, mais aussi un monitoring permanent des opérations destiné à détecter les anomalies de comportement et les schémas suspects (montant inhabituel, bénéficiaire nouveau, géographie incohérente). Une banque qui ne déploie pas un tel monitoring, ou qui le déploie de façon défaillante, engage sa responsabilité.
Les limites à anticiper
Trois précautions doivent être prises :
D’abord, la décision est rendue en première instance. Elle peut faire l’objet d’un appel, et la chambre commerciale de la Cour de cassation pourrait être tentée d’aligner sa jurisprudence sur une lecture moins favorable aux victimes — comme elle l’avait fait pour le spoofing « première génération » avant 2023.
Ensuite, la défense des banques s’organisera autour de deux arguments : l’inopérance de la VoP face à un client qui valide délibérément l’opération malgré une alerte (argument du « consentement éclairé après alerte ») ; et la conformité technique de leur dispositif au regard des spécifications EBA, qui sont parfois plus permissives que ce que le règlement laisse entendre.
Enfin, le montant accordé reste modeste comparé à d’autres dossiers de spoofing — certains atteignent 80 000 ou 100 000 euros. Le tribunal de Vannes a statué sur un cas relativement simple, à montant limité. Sur des montants supérieurs, le débat sur le partage de responsabilité (négligence du client confronté à des indices d’arnaque évidents) sera probablement plus vif.
Que faire si vous êtes victime d’un faux conseiller ?
La marche à suivre pour préserver vos droits est désormais bien balisée. Quatre étapes essentielles :
- Dans les 24 heures : contacter la banque par téléphone puis par lettre recommandée pour signaler une opération frauduleuse. Demander expressément le remboursement immédiat au titre de l’article L. 133-18 du CMF. Joindre toute capture d’écran de l’appel reçu et de l’application bancaire.
- Dans les 7 jours : déposer plainte auprès du commissariat ou de la gendarmerie. Cette plainte n’est pas un fondement civil d’indemnisation, mais elle est indispensable pour les démarches ultérieures (assurance, recouvrement, déclaration Tracfin par la banque).
- Dans les 30 jours : demander à la banque, par écrit, communication des éléments techniques de l’opération — notamment la preuve que la vérification VoP a été effectuée et le résultat restitué au client. Cette demande s’appuie sur l’article L. 133-23 du CMF (charge de la preuve de l’authentification et de l’enregistrement de l’opération) et sur le RGPD pour les données techniques.
- Au-delà : en cas de refus persistant, consulter un avocat spécialisé pour préparer l’assignation. Les dossiers postérieurs à octobre 2025 disposent désormais d’un fondement solide : le règlement 2024/886 et l’obligation VoP.
Conclusion
La décision du tribunal judiciaire de Vannes du 12 mars 2026 n’est pas une révolution : elle ne renverse pas la lecture stricte de l’opération autorisée que la Cour de cassation a installée depuis 2023. Mais elle ouvre une porte que les victimes de fraudes au faux conseiller attendaient depuis longtemps. Le règlement européen 2024/886 et son obligation de vérification IBAN/nom donnent enfin aux victimes un fondement textuel précis, immédiat, opposable, pour exiger réparation lorsque la banque n’a pas fait son travail.
Pour le cabinet, qui défend chaque mois des dizaines de victimes de spoofing, cette décision confirme une intuition : la bataille ne se gagne plus seulement sur le terrain de l’opération non autorisée, mais sur celui des obligations techniques nouvelles qui pèsent sur les banques. VoP, RTS DSP2, monitoring des anomalies : autant de leviers cumulables que nous mobilisons systématiquement dans nos dossiers. Si vous avez été victime d’un faux conseiller bancaire après le 9 octobre 2025 et que votre banque vous refuse le remboursement, n’attendez pas : les délais courent et les preuves techniques s’effacent.
