Spoofing bancaire : BNP Paribas et Bouygues Telecom condamnés — la responsabilité de l'opérateur télécom enfin reconnue

Le Tribunal judiciaire de Paris a rendu le 15 janvier 2026 une décision qui marque un tournant dans la lutte contre le spoofing bancaire. Pour la première fois, un opérateur téléphonique — Bouygues Telecom — a été condamné à garantir intégralement la banque — BNP Paribas — pour avoir laissé transiter un appel frauduleux usurpant un numéro bancaire sensible. Cette décision dépasse le cadre classique du contentieux banque/client pour intégrer pleinement les acteurs techniques ayant permis la fraude.

Spoofing responsabilité opérateur télécom : les faits

Mme C., cliente de BNP Paribas et utilisatrice des services de Bouygues Telecom, a reçu un appel d'un individu se présentant comme un conseiller de sa banque. Le numéro affiché correspondait exactement à celui figurant au dos de sa carte bancaire — numéro officiellement communiqué par la banque à ses clients.

L'escroc démontrait une connaissance précise de la situation de la cliente, en évoquant un achat récent réel, ce qui achevait de crédibiliser l'appel. Dans un climat d'urgence soigneusement construit, la cliente a communiqué ses identifiants, permettant l'enrôlement frauduleux d'une nouvelle clé digitale sur un appareil contrôlé par le fraudeur. Celui-ci a ensuite réalisé deux paiements frauduleux pour un total de 8 861,34 euros.

Dès la découverte de la fraude, la cliente a immédiatement contacté sa banque, changé son mot de passe et contesté les opérations. BNP Paribas a néanmoins refusé tout remboursement en invoquant une négligence grave.

La cliente a assigné BNP Paribas devant le tribunal. La banque, tout en contestant sa responsabilité, a appelé en garantie Bouygues Telecom, estimant que l'opérateur avait commis un manquement en laissant transiter un appel frauduleux usurpant un numéro bancaire sensible.

Le cadre juridique : deux régimes de responsabilité distincts

La responsabilité de la banque — Articles L.133-18 et suivants du Code monétaire et financier

Le principe est celui que les juridictions rappellent constamment : toute opération de paiement non autorisée doit être remboursée immédiatement par le prestataire de services de paiement. La banque ne peut s'exonérer qu'en prouvant la fraude ou la négligence grave du client — charge qui lui incombe intégralement.

La responsabilité de l'opérateur télécom — Article L.44 IV du Code des postes et des communications électroniques

C'est ici que réside la nouveauté déterminante de cette décision. Le tribunal s'est fondé sur l'article L.44 IV du CPCE, issu de la loi du 24 juillet 2020 dite "loi Naegelen", qui impose aux opérateurs téléphoniques, lorsqu'un numéro usurpé appartient à une catégorie sensible — notamment les numéros bancaires — soit de procéder à l'authentification de l'appel, soit d'interrompre sa transmission.

La décision du tribunal : deux condamnations distinctes

BNP Paribas condamnée : absence de négligence grave

Le tribunal a rappelé que la fraude par faux conseiller bancaire constitue un procédé de manipulation sophistiqué, destiné à créer un climat de confiance artificiel. L'affichage du numéro officiel de la banque constitue un facteur déterminant, de nature à légitimer pleinement la confiance de la cliente — aucune personne normalement diligente ne pouvait raisonnablement suspecter la fraude dans ces conditions.

Le tribunal a également retenu le comportement exemplaire de la cliente après la découverte des faits — contact immédiat de la banque, changement de mot de passe, contestation des opérations — excluant toute légèreté ou inertie susceptible de caractériser une négligence grave.

Faute de démontrer une négligence grave, BNP Paribas a été condamnée à restituer 8 861,34 euros avec intérêts légaux.

Bouygues Telecom condamné : manquement à la loi Naegelen

Le tribunal a retenu que Bouygues Telecom avait été fautif en laissant transiter un appel frauduleux d'une durée de 21 minutes, usurpant un numéro bancaire sensible. En s'abstenant de toute authentification ou interruption de cet appel, l'opérateur avait manifestement manqué aux obligations impératives de l'article L.44 IV du CPCE.

Reconnaissant un lien direct entre ce manquement et la réalisation de la fraude, le tribunal a condamné Bouygues Telecom à garantir intégralement BNP Paribas des condamnations prononcées.

Ce que cette décision change pour les victimes de spoofing

Un nouveau levier contre les opérateurs téléphoniques

Cette décision ouvre une voie nouvelle que les victimes de spoofing et leurs avocats peuvent désormais explorer : mettre en cause la responsabilité de l'opérateur téléphonique qui a laissé transiter l'appel frauduleux, sur le fondement de la loi Naegelen. Si votre opérateur n'a pas authentifié ni interrompu un appel usurpant un numéro bancaire sensible, il peut être tenu pour responsable.

Une responsabilisation partagée de la chaîne technique

La décision du TJ Paris du 15 janvier 2026 consacre une vision systémique de la fraude — la sécurité des paiements ne peut pas reposer exclusivement sur la vigilance des clients. Les banques et les opérateurs téléphoniques sont des acteurs de la chaîne de sécurité et doivent en assumer les responsabilités.

Le comportement post-fraude de la victime est pris en compte

Le tribunal a expressément retenu le comportement réactif de la cliente après la découverte de la fraude comme argument excluant la négligence grave. Documentez immédiatement vos démarches — appels à la banque, changement de mot de passe, contestation des opérations — car ces éléments sont pris en compte par les juges.

Pour comprendre comment la charge de la preuve joue en votre faveur : Responsabilité de la banque en cas de défaut d'authentification des opérations

Pour comprendre l'ensemble des recours disponibles après un spoofing : Fraude bancaire et faux conseiller : comment obtenir gain de cause ?

Pour comprendre comment contester le refus de remboursement de votre banque : Refus de remboursement fraude bancaire : comment contester efficacement ?

Une décision qui préfigure une évolution durable

Cette décision consacre trois avancées majeures pour la protection des victimes de spoofing bancaire.

Une lecture pleinement protectrice du régime des opérations non autorisées — la sophistication de la fraude exclut la négligence grave du client normalement diligent. Une reconnaissance claire du rôle causal des opérateurs télécoms — leur inaction face à un appel usurpant un numéro bancaire sensible engage leur responsabilité. Une responsabilisation partagée des acteurs techniques et financiers — banques et opérateurs doivent conjointement assumer la lutte contre le spoofing.

Ce jugement pourrait préfigurer une évolution durable de la jurisprudence vers une responsabilisation élargie de l'ensemble des acteurs de la chaîne de communication et de paiement.

À retenir sur la condamnation de BNP Paribas et Bouygues Telecom pour spoofing

• BNP Paribas a été condamnée à rembourser 8 861,34 euros — absence de négligence grave de la cliente établie

• Bouygues Telecom a été condamné à garantir intégralement la banque — manquement à la loi Naegelen

• L'affichage du numéro officiel de la banque exclut la négligence grave du client normalement diligent

• Le comportement réactif de la victime après la fraude est un argument favorable à retenir

• La responsabilité de l'opérateur téléphonique peut être engagée sur le fondement de l'article L.44 IV du CPCE

FAQ — Spoofing et responsabilité de l'opérateur téléphonique

Mon opérateur téléphonique peut-il être tenu responsable du spoofing dont j'ai été victime ? Oui, depuis le jugement du TJ Paris du 15 janvier 2026. Sur le fondement de l'article L.44 IV du Code des postes et des communications électroniques, l'opérateur est tenu d'authentifier ou d'interrompre tout appel usurpant un numéro bancaire sensible. Son inaction engage sa responsabilité civile.

Comment la loi Naegelen s'applique-t-elle au spoofing bancaire ? La loi du 24 juillet 2020 dite "loi Naegelen" impose aux opérateurs téléphoniques d'authentifier ou d'interrompre les appels usurpant des numéros appartenant à des catégories sensibles — notamment les numéros bancaires. Un opérateur qui laisse transiter un tel appel sans intervention manque à ses obligations légales.

J'ai communiqué mes identifiants au fraudeur — puis-je quand même obtenir gain de cause ? Oui dans de nombreux cas. Le tribunal a retenu que l'affichage du numéro officiel de la banque constituait un facteur déterminant qui légitimait la confiance de la cliente. Si le fraudeur utilisait le numéro officiel de votre banque, aucune personne normalement diligente ne pouvait raisonnablement suspecter la fraude — ce qui exclut la négligence grave.

Le comportement que j'ai eu après avoir découvert la fraude est-il important ? Oui — le tribunal l'a expressément pris en compte. Contacter immédiatement votre banque, changer votre mot de passe et contester les opérations dès la découverte de la fraude démontre votre bonne foi et exclut toute légèreté susceptible de caractériser une négligence grave.

Vous êtes victime de spoofing bancaire et votre banque refuse de vous rembourser ?

Nos avocats analysent votre dossier — y compris la responsabilité potentielle de votre opérateur téléphonique — lors d'une première consultation téléphonique gratuite.