Le faux conseiller avait utilisé la technique du spoofing, en appelant la cliente depuis le numéro officiel du service client de la banque, après un premier appel émis depuis un numéro de téléphone mobile. Cet élément est déterminant.

L’établissement bancaire doit démontrer que l’opération contestée a été dûment authentifiée et qu’elle n’est entachée d’aucune défaillance technique. À défaut, la banque doit procéder au remboursement, indépendamment même de la question de la négligence du client. Cette décision s’inscrit dans le contentieux désormais abondant des fraudes bancaires reposant sur des techniques d’ingénierie sociale, mêlant usurpation d’identité et manipulation psychologique des victimes.

Le tribunal a rappelé alors (et on ne le répètera jamais assez) que la fraude par faux conseiller bancaire constitue un procédé de manipulation sophistiqué, destiné à créer un climat de confiance artificiel. Il a souligné en outre que l’affichage du numéro officiel de la banque constitue un facteur déterminant, de nature à légitimer pleinement la confiance de la cliente. Dans ces conditions, aucune personne normalement diligente ne pouvait raisonnablement suspecter la fraude

En cas d’opération de paiement non autorisée signalée dans les délais, le prestataire de services de paiement est tenu de rembourser immédiatement le montant débité, sauf à démontrer soit que l’opération était autorisée, soit qu’elle résulte d’un comportement frauduleux du client ou d’une négligence grave de celui-ci dans la conservation de ses données de sécurité personnalisées. La charge de la preuve pèse intégralement sur la banque.

Le refus de remboursement n’est admis par le Code monétaire et financier que dans des hypothèses strictement limitées. Il appartient à la banque de démontrer soit une fraude intentionnelle du client, soit une négligence grave de sa part. À défaut, le remboursement est de droit

En reliant la perte de l’apport personnel à un événement extérieur, imprévisible et irrésistible, le juge considère que l’escroquerie constitue un cas de force majeure au sens de l’article 1218 du Code civil. Il estime que cette circonstance, indépendante de la volonté de l’acquéreur, a rendu impossible la réalisation de la condition suspensive. La défaillance de la vente ne peut donc lui être imputée.

Le tribunal reconnaît implicitement cette réalité : la vigilance du consommateur ne peut compenser les défaillances des dispositifs de sécurité de la banque, notamment lorsqu’aucune authentification forte n’a été exigée. La décision de Nancy s’inscrit dans une tendance jurisprudentielle nette : la charge de la preuve et la responsabilité technique reposent sur le prestataire de services de paiement.

Ce jugement s’inscrit dans une série de décisions de juridictions de première instance et d’appel qui rappellent avec constance la règle : sauf preuve d’une négligence grave du client, la banque doit rembourser les opérations de paiement non autorisées. L’affaire met également en lumière un point sensible : la place de l’authentification forte dans la lutte contre la fraude.

L’authentification forte, loin d’être une garantie absolue, ne permet pas de rejeter systématiquement les demandes de remboursement. Le « spoofing » repose précisément sur la capacité des fraudeurs à manipuler la vigilance des clients, en se faisant passer pour des interlocuteurs légitimes, et à obtenir indirectement la validation d’opérations.