Banque Populaire condamnée pour spoofing : la Cour d'appel de Toulouse rappelle que le risque de fraude ne peut pas être imputé au client

La Cour d'appel de Toulouse a condamné la Banque Populaire Occitane à rembourser intégralement 10 250 euros à une victime de spoofing dans son arrêt du 6 janvier 2026. Cette décision de référence apporte trois clarifications majeures : le régime des opérations non autorisées est exclusif de tout autre fondement, valider des codes sous l'effet d'une manipulation ne constitue pas un consentement juridique, et la détection tardive d'anomalies par la banque elle-même ne peut pas être retournée contre le client.

-

Banque Populaire condamnée spoofing : les faits

Monsieur et Madame L., titulaires de plusieurs comptes bancaires auprès de la Banque Populaire Occitane, ont été victimes d'un spoofing le 24 décembre 2021.

Monsieur L. a reçu un appel provenant du numéro correspondant au service officiel d'opposition de sa banque. Son interlocuteur, se présentant comme un agent du service antifraude, l'a alerté d'opérations suspectes et l'a invité à se connecter sans délai à son espace bancaire en ligne CyberPlus pour sécuriser ses comptes.

Au cours de cette connexion, plusieurs virements ont été exécutés au profit de comptes tiers pour un total de 10 250 euros. Monsieur L. a validé à plusieurs reprises des codes de sécurité reçus par SMS, persuadé d'agir pour neutraliser une fraude en cours. Ce n'est qu'après échange avec le véritable service antifraude qu'il a compris avoir été victime d'une escroquerie. Un seul virement a pu être récupéré — les autres sont définitivement perdus.

Une divergence entre le tribunal de première instance et la cour d'appel

Par jugement du 17 novembre 2023, le Tribunal judiciaire de Toulouse avait adopté une position intermédiaire — refusant le remboursement sur le fondement des opérations non autorisées en retenant une négligence grave, mais reconnaissant un manquement de la banque à son devoir de vigilance donnant lieu à une indemnisation partielle.

La Cour d'appel de Toulouse a infirmé cette décision et procédé à une relecture complète du cadre juridique applicable.

Premier apport — Le régime des opérations non autorisées est exclusif

La cour d'appel a rappelé avec fermeté que lorsqu'une opération de paiement non autorisée est invoquée, le régime des articles L.133-18 à L.133-24 du Code monétaire et financier est exclusif de tout autre fondement de responsabilité — y compris la responsabilité contractuelle de droit commun.

Il en résulte que la banque est tenue de rembourser immédiatement les sommes litigieuses, sauf à démontrer une fraude ou une négligence grave imputable à l'utilisateur. La charge de la preuve pèse entièrement sur le prestataire de services de paiement, qui doit établir que l'opération a été authentifiée, dûment enregistrée et qu'elle n'a pas été affectée par une défaillance technique ou organisationnelle.

La cour a précisé que la seule utilisation d'un dispositif d'authentification forte ne permettait ni de présumer le consentement du client ni de caractériser une faute grave de sa part.

Pour comprendre comment ce régime exclusif s'applique dans votre dossier : Remboursement fraude bancaire : dans quels cas la banque doit-elle vous rembourser ?

Deuxième apport — Valider des codes ne constitue pas un consentement juridique

C'est l'un des apports majeurs de cet arrêt. La cour a jugé que les virements exécutés dans un contexte de spoofing téléphonique ne peuvent pas être regardés comme autorisés, dès lors que le consentement du client est vicié par les manœuvres frauduleuses.

Le fait d'avoir validé des codes de sécurité ne suffit pas à établir une volonté libre et éclairée de transférer des fonds au profit de tiers. En croyant suivre les instructions de sa banque pour sécuriser ses comptes, le client n'a pas juridiquement consenti aux opérations litigieuses.

Cette approche confirme une jurisprudence désormais bien établie qui refuse toute assimilation automatique entre validation technique et consentement juridique — contrairement à ce que les banques tentent de soutenir.

Pour comprendre comment ce principe a été appliqué dans d'autres décisions récentes : Spoofing bancaire : le refus de remboursement des banques est juridiquement contestable

Troisième apport — La négligence grave appréciée in concreto

La cour a rappelé que la négligence grave suppose un comportement d'une particulière gravité, excédant la simple imprudence ou l'erreur d'appréciation. Elle doit être appréciée concrètement, au regard des circonstances propres à chaque affaire — pas abstraitement.

En l'espèce, plusieurs éléments ont exclu toute faute grave du client :

L'escroquerie reposait sur une usurpation crédible du numéro bancaire officiel. Le discours de l'escroc était technique et rassurant. Le contexte d'urgence lié à la période des fêtes de Noël a altéré la capacité de discernement. Monsieur L. n'a pas communiqué volontairement ses identifiants bancaires — il a validé des codes en pensant procéder à une opération de sécurisation.

Un élément particulièrement déterminant : la banque elle-même avait détecté des anomalies et déclenché une alerte interne — sans être en mesure d'empêcher l'exécution des virements. Dans ces conditions, aucun comportement gravement fautif ne pouvait être reproché au client. La détection tardive d'anomalies par la banque ne saurait transférer le risque de fraude sur le client.

La condamnation intégrale de la Banque Populaire Occitane

Faute de rapporter la preuve d'une négligence grave, la Cour d'appel de Toulouse a condamné la Banque Populaire Occitane à rembourser l'intégralité des 10 250 euros correspondant aux virements non autorisés, avec intérêts légaux. La banque a également été condamnée à l'intégralité des dépens et à une indemnité au titre des frais irrépétibles exposés en appel.

La cour a expressément écarté toute analyse fondée sur la responsabilité contractuelle de droit commun — le régime spécial du Code monétaire et financier suffit à fonder la condamnation.

Ce que cet arrêt apporte à votre recours

Le contexte de la fraude est déterminant

La cour a pris en compte l'ensemble des circonstances — période des fêtes, urgence créée par le fraudeur, crédibilité de l'usurpation — pour apprécier concrètement la négligence grave. Documentez précisément le contexte dans lequel la fraude s'est produite : date, heure, pression temporelle, informations dont disposait le fraudeur.

La détection d'anomalies par la banque est un argument en votre faveur

Si votre banque a déclenché une alerte interne ou détecté des anomalies sans pour autant bloquer les opérations, cet élément joue en votre faveur — il démontre que la banque elle-même reconnaissait le caractère suspect des opérations sans avoir agi efficacement.

La validation de codes sous contrainte n'est pas un consentement

Si vous avez validé des codes en croyant suivre les instructions de votre banque pour sécuriser vos comptes — et non pour transférer des fonds — votre consentement était vicié. Mentionnez explicitement cette distinction dans votre contestation.

Pour comprendre comment construire votre recours : Refus de remboursement fraude bancaire : comment contester efficacement ?

Pour comprendre le rôle de l'avocat dans votre dossier : Avocat fraude bancaire : est-ce vraiment utile pour obtenir un remboursement ?

À retenir sur la condamnation de la Banque Populaire pour spoofing

• La Banque Populaire Occitane a été condamnée à rembourser 10 250 euros par la CA Toulouse le 6 janvier 2026

• Le régime des articles L.133-18 à L.133-24 du Code monétaire et financier est exclusif de tout autre fondement de responsabilité

• Valider des codes en croyant sécuriser son compte ne constitue pas un consentement juridique aux opérations

• La négligence grave doit être appréciée concrètement — pas abstraitement

• La détection tardive d'anomalies par la banque ne peut pas être retournée contre le client

FAQ — Banque Populaire spoofing et remboursement

J'ai validé des codes de sécurité pendant l'appel — ma banque peut-elle refuser le remboursement ? Non si vous croyiez suivre les instructions de votre banque pour sécuriser vos comptes. La CA Toulouse l'a rappelé le 6 janvier 2026 : valider des codes sous l'effet d'une manipulation ne constitue pas un consentement juridique aux opérations. Il n'y a pas de volonté libre et éclairée de transférer des fonds.

Ma banque a détecté des anomalies mais n'a pas bloqué les virements — est-ce un argument ? Oui, c'est un argument déterminant en votre faveur. La CA Toulouse l'a expressément retenu — si la banque elle-même a détecté des anomalies sans être en mesure d'empêcher les virements, elle ne peut pas transférer le risque de fraude sur le client.

Le fraudeur utilisait le numéro officiel de ma banque — est-ce suffisant pour exclure ma négligence grave ? Oui dans la grande majorité des cas. L'usurpation du numéro officiel est un facteur déterminant qui légitime la confiance du client et altère sa capacité de discernement — ce qui exclut la négligence grave au sens juridique.

La période dans laquelle la fraude s'est produite est-elle pertinente ? Oui. La CA Toulouse a expressément pris en compte le contexte de la période des fêtes de Noël — générateur de stress et de vulnérabilité — comme facteur excluant la négligence grave. Tout élément contextuel qui altérait votre capacité de discernement au moment de la fraude est pertinent.

La Banque Populaire ou votre banque refuse de vous rembourser après un spoofing ?

Nos avocats analysent votre dossier et vous exposent vos recours lors d'une première consultation téléphonique gratuite.