BforBank condamnée pour spoofing : le TJ Rennes rembourse 18 112 € à une victime de faux conseiller

Vous avez communiqué un code reçu par SMS à un « conseiller » qui connaissait votre nom, votre banque et vos opérations en cours et votre banque refuse aujourd'hui de vous rembourser au motif que vous auriez commis une négligence grave ? Le jugement rendu par le Tribunal judiciaire de Rennes le 11 mai 2026 rappelle utilement que cette communication ne suffit pas, à elle seule, à priver la victime de son droit au remboursement.

Ce qu'il faut retenir

Par ce jugement, le Tribunal judiciaire de Rennes condamne BforBank à rembourser l'intégralité des opérations frauduleuses réalisées à l'insu du titulaire du compte, en écartant l'argumentation tirée de la négligence grave du payeur, pourtant destinataire et transmetteur de plusieurs données de sécurité personnalisées. La décision s'inscrit dans un mouvement jurisprudentiel désormais bien engagé, confirmé au plus haut niveau par la Cour de cassation, qui dépasse une lecture purement formaliste des articles L. 133-16 et suivants du Code monétaire et financier au profit d'une appréciation concrète des circonstances de la fraude et des procédés d'ingénierie sociale employés par les escrocs.

Les faits : un scénario d'une crédibilité redoutable

En l'espèce, le demandeur, titulaire d'un compte auprès de BforBank, est contacté téléphoniquement alors qu'il se trouve à l'étranger. L'appel affiche le nom de la banque et émane prétendument d'un conseiller l'informant de mouvements frauduleux en cours sur son compte. Simultanément, plusieurs courriels authentiques provenant de l'établissement confirment des modifications des paramètres de sécurité : augmentation du plafond de paiement et enregistrement d'un nouvel appareil mobile.

Dans ce contexte, le fraudeur obtient du client la communication de plusieurs informations sensibles ainsi que la validation de codes reçus par SMS. Les escrocs procèdent alors à l'enrôlement de la carte bancaire sur un appareil Apple et réalisent vingt opérations frauduleuses pour un montant total de 18 112,83 euros.

Après opposition et dépôt de plainte, la banque refuse de rembourser. Elle soutient que le client a commis une négligence grave en transmettant ses identifiants de connexion, certaines données personnelles et des codes de validation. Sa défense repose pour l'essentiel sur un argument technique : les opérations litigieuses ont été authentifiées au moyen des dispositifs de sécurité forte mis à disposition du client, notamment via 3D Secure et Apple Pay. Pour comprendre le mécanisme du spoofing et l'ensemble des recours associés, vous pouvez consulter notre dossier dédié : spoofing bancaire : quels recours après une arnaque au faux conseiller.

L'apport central : authentification technique n'est pas consentement juridique

C'est ici que le jugement présente son intérêt le plus net. Le tribunal rappelle avec fermeté l'économie générale du régime institué par les articles L. 133-18, L. 133-19 et L. 133-23 du Code monétaire et financier.

La charge de la preuve pèse exclusivement sur la banque

Si le prestataire de services de paiement peut s'exonérer de son obligation de remboursement en démontrant une négligence grave du payeur, la charge de cette preuve lui incombe exclusivement. Ce n'est pas au client de prouver qu'il n'a pas été négligent, mais à l'établissement de démontrer la négligence grave qu'il invoque. Cette règle, ancrée à l'article L. 133-19 IV du Code monétaire et financier, a été solennellement rappelée par la Cour de cassation dans son arrêt du 23 octobre 2024 (Cass. com., n° 23-16.267, publié au bulletin), qui a rejeté le pourvoi d'une banque condamnée à rembourser une victime de spoofing. C'est dans le prolongement direct de cette jurisprudence que s'inscrit le jugement rennais, lequel va plus loin encore dans la distinction entre la technique et le droit.

Un code validé sous la manœuvre ne vaut pas consentement libre

L'utilisation correcte des dispositifs de sécurité personnalisés ne suffit pas, à elle seule, à établir ni le consentement du payeur à l'opération, ni l'existence d'une négligence grave. Le tribunal distingue ainsi clairement l'authentification technique de l'opération et le consentement juridique du titulaire du compte, distinction fondamentale, mais encore trop souvent brouillée dans le contentieux bancaire. La banque reconnaissait elle-même l'existence d'une escroquerie par spoofing, c'est-à-dire d'une usurpation d'identité destinée précisément à obtenir frauduleusement la validation des opérations. Dans ces conditions, il ne pouvait être sérieusement soutenu que le client avait librement et valablement consenti aux paiements litigieux. Qu'un code de sécurité ait été saisi ne dit rien de la volonté réelle de celui qui l'a saisi sous l'effet d'une manœuvre frauduleuse. C'est précisément ce raisonnement que la Cour d'appel de Versailles a consacré en réaffirmant la charge probatoire des banques.

La négligence grave appréciée in concreto

Restait la question centrale : la caractérisation d'une éventuelle négligence grave. Sur ce point, la motivation est particulièrement nuancée.

La croyance légitime en un véritable conseiller

Le tribunal constate certes que le demandeur a communiqué plusieurs données confidentielles au fraudeur, mais il refuse d'en déduire automatiquement une faute grave privative du droit au remboursement. Les juges retiennent au contraire que la victime pouvait légitimement croire qu'elle était en relation avec un véritable conseiller bancaire : l'appel apparaissait comme provenant de « BFORBANK », le fraudeur disposait déjà de plusieurs informations personnelles exactes, et l'échange s'inscrivait dans un contexte d'urgence lié à un prétendu piratage en cours. Le Tribunal judiciaire de Toulouse a condamné Boursorama dans des circonstances comparables, jugeant que valider des opérations en croyant parler au service anti-fraude de sa banque ne constitue pas une négligence grave.

La dimension psychologique propre au spoofing téléphonique

Le tribunal insiste également sur la dimension psychologique de ce type d'escroquerie. La technique du spoofing téléphonique réduit sensiblement la vigilance de la victime, davantage encore qu'une tentative classique de phishing par courriel : là où l'e-mail laisse un temps d'analyse susceptible de révéler des incohérences, l'appel en direct crée une pression immédiate et exploite les mécanismes de confiance et de panique. Cette appréhension réaliste des méthodes contemporaines de fraude mérite d'être approuvée : l'appréciation de la négligence grave ne saurait être abstraite ni détachée des techniques d'ingénierie sociale aujourd'hui utilisées à grande échelle par les réseaux criminels.

La décision et sa portée

En conséquence, le Tribunal judiciaire de Rennes condamne BforBank à rembourser l'intégralité des sommes détournées, assorties des intérêts majorés prévus par l'article L. 133-18 du Code monétaire et financier, ainsi qu'au paiement d'une indemnité au titre de l'article 700 du Code de procédure civile. Les demandes complémentaires relatives au préjudice moral et aux frais bancaires ont en revanche été rejetées, faute de justification suffisante.

Cette décision confirme une évolution désormais sensible : la seule communication de données de sécurité personnalisées ne caractérise plus mécaniquement une négligence grave. Les juridictions examinent au contraire, avec une attention croissante, le contexte concret de la fraude, le degré de sophistication du procédé employé et la capacité réelle du consommateur moyen à déceler la manœuvre. Dans un contexte d'explosion des fraudes au faux conseiller bancaire, ce jugement illustre le renforcement de la protection juridictionnelle accordée aux victimes de spoofing et rappelle aux établissements l'exigence probatoire particulièrement élevée qui pèse sur eux lorsqu'ils entendent s'exonérer de leur obligation légale de remboursement.

Questions fréquentes

Ma banque peut-elle refuser de me rembourser parce que j'ai communiqué un code reçu par SMS ?

Pas automatiquement. La communication d'un code de sécurité ne suffit pas, à elle seule, à caractériser une négligence grave. Le juge apprécie l'ensemble des circonstances : crédibilité de la manœuvre, informations déjà détenues par le fraudeur, contexte d'urgence et de pression. C'est ce que confirme le Tribunal judiciaire de Rennes, dans le prolongement de la Cour de cassation. La seule communication d'un code ne suffit donc pas à établir la négligence grave : pour en comprendre les raisons, voir notre analyse sur le remboursement de la fraude bancaire.

La banque peut-elle se contenter d'invoquer l'authentification forte (3D Secure, Apple Pay) ?

Non. L'authentification technique de l'opération ne se confond pas avec le consentement juridique du titulaire du compte. Une opération peut être techniquement authentifiée tout en ayant été validée sous l'effet d'une manœuvre frauduleuse, auquel cas le consentement libre fait défaut.

Sur qui pèse la charge de la preuve de la négligence grave ?

Sur la banque, exclusivement (articles L. 133-19 IV et L. 133-23 du Code monétaire et financier). Ce n'est pas au client de prouver qu'il n'a pas été négligent, mais à l'établissement de démontrer la négligence grave qu'il invoque. La Cour de cassation l'a rappelé le 23 octobre 2024 (n° 23-16.267).

Le spoofing téléphonique est-il traité différemment du phishing par e-mail ?

La jurisprudence reconnaît que l'appel téléphonique en direct réduit davantage la vigilance que le courriel, en créant une pression immédiate. Cette dimension psychologique est prise en compte dans l'appréciation du comportement de la victime.

Vous êtes victime d'un faux conseiller ?

Un refus de remboursement n'est pas définitif : c'est une position unilatérale, souvent fragile juridiquement. Si votre banque refuse de vous rembourser après un spoofing, découvrez comment contester efficacement ce refus. Nos avocats analysent votre situation et vous exposent vos recours lors d'une première consultation téléphonique.