Spoofing bancaire : le Tribunal judiciaire de Nice condamne la Caisse d'épargne malgré l'utilisation de Secur'Pass

Le 5 septembre 2025, le Tribunal judiciaire de Nice a condamné la Caisse d'épargne Côte d'Azur à rembourser 10 000 euros à une victime de spoofing, en rappelant avec fermeté que l'utilisation de l'application d'authentification forte Secur'Pass ne suffit pas à établir le consentement éclairé du client — ni à prouver sa négligence grave.

-

Caisse d'épargne condamnée spoofing Secur'Pass : les faits

Le 24 août 2022, une cliente de la Caisse d'épargne Côte d'Azur reçoit un appel d'une personne se présentant comme membre du service fraude de sa banque. L'interlocuteur dispose d'informations particulièrement précises — identifiant bancaire, nom du conseiller, noms de membres de la famille — et envoie des SMS imitant ceux de la banque pour renforcer sa crédibilité.

Convaincue d'agir pour protéger ses comptes, la cliente valide via l'application Secur'Pass plusieurs opérations qu'elle pense être des mesures de sécurité. En réalité, elle autorise à son insu la réinitialisation de son mot de passe, l'ajout de bénéficiaires frauduleux et l'exécution de virements instantanés pour un total de 10 000 euros.

La Caisse d'épargne refuse le remboursement en invoquant la négligence grave de sa cliente.

La position de la Caisse d'épargne : Secur'Pass comme preuve du consentement

La banque faisait valoir que les validations effectuées via Secur'Pass équivalaient à un consentement exprès du client. Selon elle, la cliente avait commis une négligence grave en validant des opérations qu'elle aurait dû identifier comme suspectes.

Cet argument — régulièrement invoqué par les banques qui ont déployé des applications d'authentification forte — a été fermement rejeté par le tribunal.

La décision du tribunal : trois principes déterminants

1. Secur'Pass ne suffit pas à prouver le consentement

Le tribunal a rappelé que le consentement suppose une volonté libre et éclairée. Or, en cas de manipulation par un fraudeur qui dispose d'informations précises et crédibles, cette condition fait défaut. L'utilisation de l'application d'authentification forte ne peut donc pas être assimilée à un consentement valable aux opérations contestées.

2. Aucune négligence grave n'est caractérisée

Le tribunal a retenu deux éléments déterminants. La cliente n'a à aucun moment divulgué son mot de passe confidentiel. La tromperie reposait sur des informations précises et crédibles fournies par l'escroc — identifiant bancaire, nom du conseiller, noms de membres de la famille — qui ont instauré un climat de confiance légitime.

Dans ces conditions, aucune négligence grave au sens de l'article L.133-19 du Code monétaire et financier ne peut être retenue.

3. La banque est tenue de rembourser

En application des articles L.133-18 et suivants du Code monétaire et financier, la Caisse d'épargne a été condamnée à restituer 10 000 euros avec intérêts au taux légal à compter du jour de la fraude, ainsi qu'à verser 2 500 euros au titre des frais de procédure.

Ce que cette décision apporte aux victimes dont la banque invoque l'authentification forte

Cette décision présente un intérêt particulier pour toutes les victimes de spoofing dont la banque refuse le remboursement en invoquant l'utilisation d'un dispositif d'authentification forte — Secur'Pass, Certiplus, Sécur'Pass, ou tout autre application similaire.

L'authentification forte n'est pas une présomption de consentement

Les établissements bancaires considèrent souvent l'utilisation de ces outils comme une preuve irréfutable du consentement du client. Les tribunaux rappellent systématiquement que ce n'est pas le cas — le consentement suppose une volonté libre et éclairée, condition qui fait défaut quand le client a été manipulé.

La précision des informations détenues par le fraudeur est un argument en votre faveur

Quand le fraudeur dispose de données personnelles précises — identifiant bancaire, nom du conseiller, informations familiales — cet élément renforce la légitimité de la confiance accordée par la victime et exclut la négligence grave. C'est un argument à documenter précisément dans votre dossier.

Ne pas divulguer son mot de passe est déterminant

Le tribunal a expressément retenu que la cliente n'avait pas divulgué son mot de passe confidentiel. Si vous n'avez pas communiqué votre mot de passe — même si vous avez validé des opérations via l'application d'authentification — cet élément est déterminant pour écarter la négligence grave.

Pour comprendre comment la charge de la preuve de l'authentification forte joue en votre faveur : Responsabilité de la banque en cas de défaut d'authentification des opérations

Pour comprendre comment contester le refus de remboursement de votre banque : Refus de remboursement fraude bancaire : comment contester efficacement ?

Une décision qui s'inscrit dans une jurisprudence constante

Ce jugement s'inscrit dans une série de décisions de juridictions de première instance et d'appel qui rappellent avec constance la même règle : sauf preuve d'une négligence grave du client, la banque doit rembourser les opérations de paiement non autorisées.

Il confirme que les dispositifs d'authentification forte — censés renforcer la sécurité des opérations — ne peuvent pas être utilisés par les banques comme un moyen de se déresponsabiliser lorsque le consentement du payeur a été vicié par la tromperie.

Pour comprendre l'ensemble de la jurisprudence favorable aux victimes de spoofing : Spoofing bancaire : le refus de remboursement des banques est juridiquement contestable

Pour comprendre comment obtenir gain de cause face à votre banque : Fraude bancaire et faux conseiller : comment obtenir gain de cause ?

À retenir sur la condamnation de la Caisse d'épargne pour spoofing

• La Caisse d'épargne a été condamnée à rembourser 10 000 euros par le TJ Nice le 5 septembre 2025

• L'utilisation de Secur'Pass ne suffit pas à établir le consentement éclairé du client manipulé

• Ne pas avoir divulgué son mot de passe confidentiel est déterminant pour écarter la négligence grave

• La précision des informations détenues par le fraudeur renforce la légitimité de la confiance accordée par la victime

• Les banques ne peuvent pas utiliser l'authentification forte pour se déresponsabiliser face à une tromperie

FAQ — Caisse d'épargne spoofing et Secur'Pass

Ma banque dit que j'ai validé les opérations via Secur'Pass — peut-elle refuser le remboursement ? Non. Le TJ Nice l'a rappelé le 5 septembre 2025 : l'utilisation de Secur'Pass ne suffit pas à établir votre consentement éclairé aux opérations. Si vous avez été manipulé par un fraudeur disposant d'informations précises sur vous, votre consentement n'était pas libre et éclairé.

Je n'ai pas divulgué mon mot de passe — est-ce un argument décisif ? Oui, c'est un argument déterminant. Le tribunal a expressément retenu cet élément pour écarter la négligence grave de la cliente. Si vous n'avez pas communiqué votre mot de passe confidentiel, mentionnez le explicitement dans votre contestation auprès de la banque.

Le fraudeur connaissait des informations précises sur moi — est-ce pertinent ? Oui. La précision des informations détenues par le fraudeur — identifiant bancaire, nom du conseiller, données personnelles — est un argument en votre faveur. Elle démontre la sophistication de l'escroquerie et la légitimité de la confiance que vous lui avez accordée, ce qui exclut la négligence grave.

Cette décision s'applique-t-elle à d'autres applications d'authentification forte que Secur'Pass ? Oui. Le principe posé par le TJ Nice s'applique à tous les dispositifs d'authentification forte — Certiplus, Sécur'Pass, ou tout autre application similaire. Ce qui compte n'est pas le nom de l'application mais le fait que votre consentement a été vicié par la tromperie du fraudeur.

La Caisse d'épargne ou votre banque refuse de vous rembourser en invoquant l'authentification forte après un spoofing ?

Nos avocats analysent votre dossier et vous exposent vos recours lors d'une première consultation téléphonique gratuite.