Le faux conseiller avait utilisé la technique du spoofing, en appelant la cliente depuis le numéro officiel du service client de la banque, après un premier appel émis depuis un numéro de téléphone mobile. Cet élément est déterminant.

Les établissements bancaires ne peuvent pas se retrancher derrière l’absence d’informations pour refuser d’aider leurs clients à identifier les bénéficiaires de virements frauduleux

En cas d’opération de paiement non autorisée signalée dans les délais, le prestataire de services de paiement est tenu de rembourser immédiatement le montant débité, sauf à démontrer soit que l’opération était autorisée, soit qu’elle résulte d’un comportement frauduleux du client ou d’une négligence grave de celui-ci dans la conservation de ses données de sécurité personnalisées. La charge de la preuve pèse intégralement sur la banque.

En condamnant la banque à rembourser l’intégralité des opérations litigieuses, le tribunal a rappelé avec force que la charge de la preuve de l’authentification des paiements et de l’absence de défaillance technique doit incomber exclusivement au prestataire de services de paiement, et que cette preuve ne saurait résulter de simples affirmations ou de documents imprécis.

La cour rappelle avec force que l’authentification forte ne constitue pas une présomption irréfragable d’autorisation. Elle n’est qu’un élément de preuve parmi d’autres, insuffisant à lui seul pour établir que l’opération est imputable au client. En l’absence de démonstration positive de l’absence de fraude ou de défaillance, la qualification d’opération autorisée ne peut être retenue.

En reliant la perte de l’apport personnel à un événement extérieur, imprévisible et irrésistible, le juge considère que l’escroquerie constitue un cas de force majeure au sens de l’article 1218 du Code civil. Il estime que cette circonstance, indépendante de la volonté de l’acquéreur, a rendu impossible la réalisation de la condition suspensive. La défaillance de la vente ne peut donc lui être imputée.

Le tribunal reconnaît implicitement cette réalité : la vigilance du consommateur ne peut compenser les défaillances des dispositifs de sécurité de la banque, notamment lorsqu’aucune authentification forte n’a été exigée. La décision de Nancy s’inscrit dans une tendance jurisprudentielle nette : la charge de la preuve et la responsabilité technique reposent sur le prestataire de services de paiement.

Le prestataire doit rembourser le client sauf à démontrer que celui-ci a agi avec négligence grave ou de manière frauduleuse. La charge de cette preuve pèse entièrement sur la banque. Le tribunal a donc rappelé avec précision dans sa décision du 14 octobre 2025 que la seule utilisation effective des données d’accès ou de l’instrument de paiement ne saurait, à elle seule, établir la négligence du client.

Ce jugement s’inscrit dans une série de décisions de juridictions de première instance et d’appel qui rappellent avec constance la règle : sauf preuve d’une négligence grave du client, la banque doit rembourser les opérations de paiement non autorisées. L’affaire met également en lumière un point sensible : la place de l’authentification forte dans la lutte contre la fraude.

Le spoofing, ou fraude au faux conseiller bancaire, est en train de changer de visage. Il ne s’agit plus seulement de ces appels isolés où un escroc, usurpant le numéro de la banque, prétendait alerter le client sur une opération suspecte pour lui arracher ses codes de sécurité. Depuis plusieurs mois, dans les dossiers que je traite, une évolution glaçante se dessine : les fraudeurs ne se contentent plus d’un contact ponctuel.

la notion de « négligence grave » doit être interprétée strictement et que les banques ne peuvent pas se retrancher derrière la validation technique de l’opération pour refuser tout remboursement.

L’authentification forte, loin d’être une garantie absolue, ne permet pas de rejeter systématiquement les demandes de remboursement. Le « spoofing » repose précisément sur la capacité des fraudeurs à manipuler la vigilance des clients, en se faisant passer pour des interlocuteurs légitimes, et à obtenir indirectement la validation d’opérations.

Le prestataire de services de paiement doit démontrer une négligence grave de son client, et que la preuve d’une telle négligence de l’utilisateur d’un service de paiement ne peut se déduire de la seule utilisation effective de son instrument de paiement ou des données personnelles qui lui sont liées, aucune présomption ne devant être attachée à l’infaillibilité supposée des instruments de paiement fortement sécurisés dès lors que le risque de la fraude ne pèse pas sur l’util