Fraude par spoofing : portée du message de confirmation pour apprécier la négligence grave du payeur

Il résulte de l’article L 133‑19 du Code monétaire et financier que le payeur supporte les pertes résultant d’opérations de paiement non autorisées lorsqu’il a manqué, intentionnellement ou par négligence grave, à ses obligations de sécuriser ses données personnelles et d’utiliser l’instrument de paiement conformément aux conditions régissant son utilisation.

Le titulaire d’un compte bancaire constate que deux opérations de paiement à distance ont été débitées de son compte. Il alerte sa banque en indiquant avoir reçu un appel téléphonique d’une personne s’étant fait passer pour un conseiller bancaire et lui ayant demandé de se connecter à son application afin d’annuler des opérations prétendument frauduleuses. Pensant sécuriser son compte, il valide en réalité des opérations de paiement. Il poursuit la banque en remboursement des sommes débitées.

Pour écarter toute négligence grave, un tribunal relève que l’appel provenait du numéro officiel de l’agence bancaire et qu’il était intervenu durant les heures d’ouverture, de sorte que ces circonstances pouvaient convaincre une personne raisonnable de la légitimité de l’interlocuteur.

La Cour de cassation censure cette décision au motif que les juges du fond n’avaient pas recherché si, à la réception du message de confirmation adressé par la banque mentionnant une validation de paiement et non une annulation, le client n’était pas en mesure de suspecter le caractère frauduleux des opérations.

A noter : Les fraudes bancaires par téléphone, consistant en l’usurpation de l’identité et du numéro d’un conseiller bancaire (spoofing), donnent souvent lieu à des opérations de paiement non autorisées, que la banque doit en principe rembourser à son client immédiatement après en avoir eu connaissance. Elle peut toutefois s’en exonérer, notamment en invoquant la négligence grave du client dans la conservation de ses données de sécurité personnalisées (C. mon. fin. art. L 133-19). La charge de la preuve de cette négligence grave pèse sur la banque (jurisprudence constante). Pour apprécier la notion de négligence grave, il convient d’examiner le mode opératoire utilisé par l’escroc et les conditions dans lesquelles le payeur a donné son consentement.
La Cour de cassation a récemment jugé qu’aucune négligence grave au sens de l’article L 133-19 précité ne peut être imputée au titulaire d’un compte qui, contacté téléphoniquement par une personne se faisant passer pour un préposé de sa banque dont le numéro s’affichait, a utilisé à la demande de ce dernier le dispositif de sécurité personnalisé pour supprimer puis réinscrire des bénéficiaires de virements. Mais tout dépend du mode opératoire utilisé par l’escroc. Ainsi la négligence grave du payeur a été écartée, les juges du fond ayant relevé, notamment, que le numéro téléphonique affiché correspondait bien à celui de l’établissement bancaire (« spoofing »), qu’un code idoine s’affichait sur l’ordinateur de la salariée abusée et que son interlocuteur disposait d’informations précises de nature à conforter la thèse d’un appel destiné à corriger un incident informatique. Il convient donc de déterminer, au vu des manœuvres employées, si le payeur était en mesure ou non de suspecter l’existence de la manipulation devant le conduire à révéler les données de sécurité personnalisées ou à effectuer des opérations permettant l’émission de faux ordres de paiement. L’arrêt commenté s’inscrit dans cette approche en exigeant que soit recherchée l’existence d’indices objectifs d’anomalie. Il appartient en l’espèce au tribunal judiciaire de renvoi de déterminer, si, à la réception du message de confirmation de la banque mentionnant une validation de paiement et non une annulation, le client pouvait suspecter le caractère frauduleux des opérations et avait commis une négligence grave.

Cass. com. 4-3-2026 n° 24-19.588 F-B, Banque CIC Ouest c/ V.

L'@ctualité en ligne, www efl.fr 10/06/2026