Boursorama condamné à rembourser une victime de spoofing : le TJ Toulouse confirme la protection des clients

Le Tribunal judiciaire de Toulouse a condamné Boursorama à rembourser 7 930,41 euros à une cliente victime d'un faux conseiller bancaire dans sa décision du 22 mai 2025. Cette décision confirme une jurisprudence désormais bien établie : valider des opérations en croyant légitimement être en relation avec le service anti-fraude de sa banque ne constitue pas une négligence grave au sens du Code monétaire et financier.

Boursorama condamné spoofing : les faits

Le 9 novembre 2024, une cliente de Boursorama a reçu un appel d'un individu se présentant comme un préposé du service anti-fraude de Boursorama, lui indiquant que sa carte bancaire avait été piratée. L'interlocuteur disposait de données personnelles précises concernant la cliente — numéro de carte bancaire, code de vérification à trois chiffres — et tenait un discours parfaitement rodé qui a mis la cliente en confiance tout en diminuant sa vigilance.

Suivant les instructions reçues, la cliente a autorisé des opérations de paiement par carte sur des sites marchands, présentées par le fraudeur comme des annulations destinées à protéger son compte. Elle affirme n'avoir jamais transmis ses codes bancaires.

Comprenant qu'elle avait été victime d'une fraude, elle a immédiatement contacté Boursorama et les sites marchands concernés. Elle a réussi à faire annuler deux transactions — 1 474,90 euros et 2 360 euros. Mais six transactions ont été menées à terme pour un total de 7 930,41 euros, auprès d'enseignes comme Ikea, Leroy Merlin, Trade Republic et Samsung.

Après dépôt de plainte auprès de la gendarmerie et mise en demeure de Boursorama restée sans suite favorable, la cliente a assigné la banque devant le Tribunal judiciaire de Toulouse.

La position de Boursorama : l'authentification forte comme justification du refus

Boursorama avait procédé au remboursement partiel de 1 040,56 euros uniquement, au motif que les autres opérations litigieuses avaient été validées par authentification forte à partir de l'appareil mobile de la cliente. La banque invoquait également ses campagnes de sensibilisation et messages de prévention sur les risques de fraude pour tenter d'établir la négligence grave de la cliente.

La décision du tribunal : l'authentification forte ne suffit pas

Le tribunal a rappelé les principes de l'article L.133-23 du Code monétaire et financier : la banque doit démontrer la négligence grave de son client, et cette preuve ne peut se déduire de la seule utilisation effective de l'instrument de paiement ou des données personnelles qui lui sont liées. Aucune présomption ne peut être attachée à l'infaillibilité des instruments de paiement fortement sécurisés, dès lors que le risque de la fraude ne pèse pas sur l'utilisateur.

Le tribunal a également rappelé l'arrêt de la Cour de cassation du 23 octobre 2024 (n°23-16.267) : aucune négligence grave ne peut être imputée au titulaire d'un compte qui, contacté par une personne se faisant passer pour un préposé de sa banque dont le numéro s'affichait, utilise le dispositif de sécurité personnalisé à sa demande dans le but d'éviter des opérations malveillantes.

En l'espèce, le tribunal a retenu trois éléments déterminants. La cliente croyait légitimement être en relation avec le service anti-fraude de Boursorama en raison de l'usurpation d'identité du fraudeur. Le fraudeur la rassurait avec des données personnelles précises la concernant, diminuant ainsi sa vigilance. L'appel téléphonique, générateur de stress, ne lui a pas permis de prendre le recul nécessaire pour détecter les anomalies révélatrices de son origine frauduleuse.

La condamnation : 7 930,41 euros remboursés intégralement, avec intérêts depuis le 19 novembre 2024.

Ce que cette décision apporte aux victimes de spoofing chez Boursorama

Cette décision présente un intérêt particulier pour les clients de Boursorama — établissement en ligne dont le modèle sans agence physique rend les victimes particulièrement dépendantes des canaux téléphoniques, et donc plus vulnérables au spoofing.

Les campagnes de prévention ne suffisent pas à établir la négligence grave

Boursorama tentait d'utiliser ses propres campagnes de sensibilisation comme preuve de la négligence de sa cliente. Le tribunal a rejeté cet argument — la connaissance théorique des risques de fraude n'implique pas que la victime aurait dû détecter une manipulation sophistiquée en temps réel.

La validation sous stress n'est pas une faute

Le tribunal a expressément reconnu que l'appel téléphonique générateur de stress ne permet pas à la victime de prendre le recul nécessaire pour détecter une fraude. Cette reconnaissance est importante — elle exclut la négligence grave dans toutes les situations où la pression psychologique du fraudeur a altéré la capacité de réaction de la victime.

Pour comprendre comment ce principe s'applique dans d'autres dossiers : Spoofing bancaire : le refus de remboursement des banques est juridiquement contestable

Pour comprendre comment construire votre recours contre Boursorama : Refus de remboursement fraude bancaire : comment contester efficacement ?

À retenir sur la condamnation de Boursorama pour spoofing

• Boursorama a été condamnée à rembourser 7 930,41 euros par le TJ Toulouse le 22 mai 2025

• Valider des opérations en croyant légitimement parler au service anti-fraude de sa banque ne constitue pas une négligence grave

• Les campagnes de prévention de la banque ne suffisent pas à établir la négligence grave du client

• La validation sous stress généré par le fraudeur est reconnue comme un facteur excluant la négligence grave

• L'authentification forte ne constitue pas une présomption irréfragable d'autorisation des paiements

FAQ — Boursorama spoofing et remboursement

J'ai validé des opérations sur mon téléphone après un appel prétendument de Boursorama — puis-je être remboursé ? Oui, dans les conditions retenues par le TJ Toulouse le 22 mai 2025. Si vous croyiez légitimement être en relation avec le service anti-fraude de Boursorama et que le fraudeur disposait de données personnelles vous concernant, votre comportement ne constitue pas une négligence grave.

Boursorama dit que j'ai validé les opérations par authentification forte — est-ce suffisant pour refuser le remboursement ? Non. Le tribunal a rappelé que l'authentification forte ne constitue pas une présomption irréfragable d'autorisation des paiements. La banque doit prouver votre négligence grave — pas simplement démontrer que l'authentification a été utilisée.

Boursorama invoque ses campagnes de prévention pour justifier mon refus de remboursement — que faire ? Contestez cet argument. Le TJ Toulouse a expressément rejeté cette justification — la connaissance théorique des risques de fraude ne suffit pas à établir que la victime aurait dû détecter une manipulation sophistiquée en temps réel.

Votre banque Boursorama refuse de vous rembourser après un spoofing ?

Nos avocats analysent votre dossier et vous exposent vos recours lors d'une première consultation téléphonique gratuite.