La jurisprudence bancaire continue d’évoluer en faveur des victimes de fraudes sophistiquées. Après l’arrêt commenté par les soins du 23 octobre 2024, la Cour de cassation a rendu, le 12 juin 2025, une nouvelle décision structurante qui confirme et renforce la protection des clients.
Mais cette fois la Cour de cassation intègre pleinement les clients professionnels dans le champ d’application du régime protecteur.
Cette décision, issue d’un pourvoi formé par la Bnp contre un arrêt rendu par la Cour d’appel de Paris du 7 février 2024, consacre une interprétation rigoureuse de la notion de « négligence grave » et impose aux banques une vigilance accrue face aux techniques de fraude comme le spoofing.
I. La confirmation de la charge de la preuve de la négligence grave par la banque.
Dans la continuité de l’affaire Laurent D. déjà exposée par mes soins (La responsabilité bancaire en cas de fraude par spoofing : vers une protection renforcée des victimes), où la victime d’un appel usurpant le numéro de sa conseillère Bnp Paribas avait été indemnisée pour des virements frauduleux, la Cour de cassation réaffirme ici que la charge de la preuve incombe à la banque, en application de l’article L133-19 du Code monétaire et financier.
L’affaire concerne cette fois une société de transport, dont une salariée a été trompée par un escroc se présentant comme technicien de Bnp Paribas. L’appel, usurpant le numéro de la banque, était d’autant plus convaincant qu’il s’accompagnait de détails techniques précis et de la connaissance des écritures bancaires du jour.
Sous l’apparence d’une intervention de maintenance, l’escroc a demandé à la salariée de réaliser des manipulations sur la plateforme bancaire, aboutissant à deux virements vers l’Allemagne pour un total de 98 000 €. La société, estimant qu’aucune faute grave ne pouvait être reprochée à sa salariée, a demandé le remboursement des sommes.
La Cour d’appel de Paris, par arrêt du 7 février 2024, avait donné raison à la société.
Un appel avait été formé par la société victime à l’encontre d’un jugement du 23 septembre 2021 par le Tribunal de commerce de Paris qui avait donné raison à la S.A. Bnp Paribas.
La société était cliente de la banque depuis quatorze ans.
Elle utilisait un service en ligne sécurisé, avec carte.à puce, code PIN et boîtier d’authentification à usage unique, permettant d’ajouter des bénéficiaires et d’exécuter des virements.
La société a été appelée au téléphone le 23 juillet 2019, par un numéro dont elle dit qu’il serait celui du service technique de la société Bnp Paribas, par une personne se faisant passer pour un technicien de cette banque.
Ce dernier, alléguant un bug informatique, a demandé à une salariée de la société de procéder à diverses manipulations à la suite desquelles cinq virements furent réalisés.
Trois virements vers des numéros de compte suspects ont été rejetés par la société Bnp Paribas, et deux ont été débités vers l’Allemagne pour un montant total de 98 000 euros.
Le 23 juillet 2019, la société a déposé une plainte pour escroquerie.
Se heurtant au refus de la banque de rembourser, la société a assigné la Bnp devant le Tribunal de commerce de Paris afin de la voir condamnée à rembourser les virements débités.
Par jugement contradictoire en date du 23 septembre 2021, le Tribunal de commerce de Paris a débouté la société victime de l’ensemble de ses demandes et l’a condamnée à payer à Bnp Paribas la somme de 2 000 euros sur le fondement de l’article 700 du Code de procédure civile ainsi qu’aux dépens.
Déboutée en première instance le 23 septembre 2021 par le Tribunal de commerce de Paris, la société de transports a interjeté appel. Par arrêt du 7 février 2024, la Cour d’appel de Paris lui a donné raison. La banque a alors formé un pourvoi, rejeté par la Cour de cassation le 12 juin 2025.
Dans le cadre de la procédure d’appel, l’entreprise a fait valoir qu’en vertu du Code monétaire et financier, le payeur ne voit pas engagée sa responsabilité vis-à-vis d’opérations de payement non autorisées et effectuées, à son insu, par le détournement de l’instrument de paiement ou des données qui lui sont liées.
Il n’a pas non plus à en supporter les conséquences financières, sauf s’il est démontré une négligence grave de sa part ou des agissements frauduleux.
En l’espèce, la société a été victime d’une escroquerie du fait d’un tiers, à la suite d’un stratagème clairement établi.
Or cette escroquerie a pu aboutir en raison d’une faille de sécurité du système informatique de la société Bnp Paribas permettant à l’escroc d’accéder à des informations confidentielles de la société et pire encore, de faire disparaître des opérations comptables, avant même qu’il n’ait donné de directives à la salariée de la société A.T.
Ainsi, elle a été contactée téléphoniquement via le numéro de téléphone du service technique de la société Bnp Paribas.
En l’espèce, tout portait à croire que l’interlocuteur était un membre du personnel de la société Bnp Paribas.
D’ailleurs, la société Bnp Paribas s’interroge même sur la réalisation des faits litigieux et démontre qu’ils sont liés à une faille de sécurité. Ainsi des virements, dont aucun représentant de la société Auvray Transports n’est l’auteur, ainsi que cela est démontré par l’historique des opérations, ont été effectués en direction de l’Allemagne. Trois d’entre eux n’ont pu être rejetés qu’au seul motif que les numéros internationaux de compte bancaire correspondaient à des coordonnées bancaires notoirement frauduleuses. L’alerte des services bancaires n’a pas permis d’annuler les deux virements subsistants, et l’agence Bnp Paribas s’est révélée incapable de rapatrier les fonds détournés. Il était attesté que le système informatisé de la société Transports n’était pas en cause.
Au moment des faits, la société Bnp Paribas ne sensibilisait et n’informait pas les clients des potentiels d’escroquerie au conseiller, contrairement à certaines banques.
La cour d’appel a estimé que la société Bnp Paribas ne démontrait pas en quoi son client avait fait preuve d’une négligence grave dans ses obligations, notamment la conservation de ses données personnelles.
Enfin, la cour a indiqué que l’affichage du numéro de téléphone du service technique avait nécessairement mis en confiance son interlocutrice et aucune négligence grave ne saurait s’en déduire.
Au surplus, la simple circonstance que la banque ait bloqué trois virements comme étant frauduleux sur les cinq réalisés au profit d’un numéro international de compte bancaire déjà connu pour vol, suffisait à démontrer que ces opérations étaient contestables et n’ont pas été autorisées par l’entreprise victime sans qu’il puisse aucunement lui être opposé une quelconque négligence. Par ailleurs, elle a relevé que le numéro d’identifiant de connexion qui a servi à créer les bénéficiaires des virements frauduleux n’était ni celui du dirigeant ni celui de la salariée.
À la date des faits litigieux, les dispositions du Code monétaire et financier applicables étaient les suivantes : Article L133-18, alinéa premier :
« En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu ».
Article L133-19 :
« I. - En cas d’opération de paiement non autorisée consécutive à la perte ou au vol de l’instrument de paiement, le payeur supporte, avant l’information prévue à l’article L133-17, les pertes liées à l’utilisation de cet instrument, dans la limite d’un plafond de 50 €.
Toutefois, la responsabilité du payeur n’est pas engagée en cas :
- d’opération de paiement non autorisée effectuée sans utilisation des données de sécurité personnalisées ;
- de perte ou de vol d’un instrument de paiement ne pouvant être détecté par le payeur avant le paiement ;
- de perte due à des actes ou à une carence d’un salarié, d’un agent ou d’une
succursale d’un prestataire de services de paiement ou d’une entité vers laquelle ses activités ont été externalisées.
II. - La responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées.
III. - Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si le prestataire de services de paiement ne fournit pas de moyens appropriés permettant l’information aux fins de blocage de l’instrument de paiement prévue à l’article L133-17.
IV. - Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L133-16 et L133-17.
V. - Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L133-44.
VI. - Lorsque le bénéficiaire ou son prestataire de services de paiement n’accepte pas une authentification forte du payeur prévue à l’article L133-44, il rembourse le préjudice financier causé au prestataire de services de paiement du payeur ».
Article L133-23 :
« Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.
L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement. »
La société niait avoir autorisé les virements litigieux. Il incombait donc à la banque Paribas de prouver que ces opérations ont été authentifiées, dûment enregistrées et comptabilisées et qu’elles n’ont pas été affectées par une déficience technique ou autre.
La banque ne versait aux débats aucune pièce afférente auxdites opérations, considérant que la validation des bénéficiaires et des virements grâce à la carte Transfert sécurisé valait consentement à l’exécution des opérations de payement. Or, l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de payement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur.
L’article L133-16 du Code monétaire et financier dispose :
« Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées.
Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées ».
Il appartient à la banque de fournir des éléments afin de prouver la fraude ou la négligence grave commise par sa cliente.
La secrétaire a reçu un appel téléphonique d’un soi-disant employé de la société Bnp Paribas l’avertissant d’une panne informatique qui avait fait disparaître les écritures du matin ; à la demande de l’escroc, la salariée de l’entreprise s’est connectée au compte bancaire ; son interlocuteur a énuméré toutes les opérations effectuées afin de la mettre en confiance ; elle s’est aperçue que les écritures du matin avaient effectivement disparu ; elle ne s’est pas méfiée de son interlocuteur qui ne lui demandait pas de mot de passe ; l’escroc l’a invitée à se connecter au moyen de sa carte Transfert sécurisé afin de restituer les écritures ; elle a renouvelé la création d’une signature électronique, son interlocuteur prétendant que la manœuvre n’avait pas réussi confirme le déroulement des faits : appelée peu avant midi par un individu se présentant comme appartenant au service technique de la société Bnp Paribas, elle s’est connectée avec le boîtier et la carte, mais sans le mot de passe, et a constaté que des écritures avaient disparu. L’escroc lui a alors demandé de se connecter et de se déconnecter à plusieurs reprises, puis de saisir la clef d’accès créée par le boîtier.
Prétendant que cela ne fonctionnait pas, il lui a demandé d’essayer avec une autre clef d’accès qu’il lui a communiquée. Il lui a refait manipuler le boîtier à plusieurs reprises en l’« embrouillant », puis lui a demandé de confirmer que le code qu’il lui indiquait au téléphone s’affichait, ce qui était le cas. Il lui a fait appuyer sur un ou deux boutons du boîtier, lui a demandé d’attendre et de confirmer. La salariée pense que c’est ce qui a créé une signature pour les virements. Elle a alors mis fin à la conversation. Elle précise que son interlocuteur utilisait les mêmes mots qu’un professionnel, de sorte qu’elle avait confiance.
La circonstance que l’escroc ait pu usurper un numéro de téléphone de la société Bnp Paribas, et qu’il annonçât le code qui s’affichait à l’écran de la salariée était de nature à persuader celle-ci qu’elle était en relation avec un technicien de la banque.
Il en est de même de la connaissance par son interlocuteur tant des opérations réalisées peu auparavant, ce qui n’est réputé connu que de la salariée, de la banque et des bénéficiaires, ces faits ne pouvant que la conforter dans la croyance qu’un incident informatique était survenu.
Compte tenu de ces éléments, il n’est pas démontré par la banque que la société ait commis une négligence grave exonérant la société Bnp Paribas de son obligation de remboursement.
En conséquence, la Cour d’appel de Paris a décidé de condamner l’intimée à
rembourser à la société de Transports la somme de 98 000 euros avec intérêts au taux légal à compter du 8 janvier 2020, date de réception de la mise en demeure, ainsi que la somme de 4 000 euros sur le fondement de l’article 700 du Code de procédure civile et les entiers dépens.
Par son arrêt du 12 juin 2025, la Cour de cassation a rejeté le pourvoi de la banque et confirmé que l’usage trompeur du numéro, la connaissance d’informations internes, et la cohérence du discours de l’escroc excluent toute négligence grave.
II. L’extension explicite de la jurisprudence aux clients professionnels.
L’apport majeur de cette nouvelle décision est de consacrer l’applicabilité du régime protecteur aux personnes morales. Là où l’arrêt du 23 octobre 2024 concernait un particulier, l’arrêt du 12 juin 2025 affirme que les mêmes exigences s’appliquent aux clients professionnels, dès lors qu’aucun comportement manifestement imprudent ne peut leur être reproché.
La cour tient compte du contexte spécifique du spoofing :
- L’appel semble émaner de la banque ;
- L’interlocuteur connaît les écritures bancaires de la journée ;
- Aucune demande directe de code confidentiel n’est faite ;
- La salariée, convaincue de la légitimité de son interlocuteur, agit sans intention fautive.
Cette approche pragmatique de la Cour de cassation empêche la banque de se retrancher derrière le statut professionnel du client pour échapper à ses responsabilités. La victime professionnelle bénéficie des mêmes garanties, dès lors que sa réaction est raisonnable dans les circonstances.
III. Le devoir de vigilance renforcé des établissements bancaires.
Dans cet arrêt, la cour va plus loin : elle impose une obligation de vigilance active aux banques. Il ne suffit plus, pour l’établissement, d’avoir mis en place des dispositifs techniques ; encore faut-il qu’il les adapte aux nouveaux modes opératoires des escrocs.
La banque ne peut plus exécuter un ordre de paiement présentant des caractéristiques inhabituelles (montant, bénéficiaire, fréquence) sans vérifier sa légitimité.
Désormais, la banque est tenue de détecter les anomalies apparentes et d’y répondre efficacement. L’exécution mécanique ne suffit plus.
L’arrêt rappelle ainsi que la responsabilité bancaire ne peut être écartée qu’en cas de comportement objectivement déraisonnable du client, ce qui, en cas de fraude sophistiquée, devient difficile à démontrer.
En résumé, l’arrêt rendu par la Cour de cassation du 12 juin 2025 s’inscrit dans une ligne jurisprudentielle claire : en cas de spoofing, la banque doit rembourser les fonds détournés, sauf à démontrer une négligence grave du client, ce qui est rarement possible lorsque la fraude est crédible.
En étendant cette protection aux clients professionnels, la Cour de cassation envoie un message fort aux établissements bancaires : ils doivent moderniser leurs dispositifs de sécurité, former leurs équipes à la détection des signaux faibles, et traiter chaque anomalie comme un indicateur potentiel de fraude.
Il ne s’agit plus simplement de protéger les consommateurs, mais l’ensemble des clients dans un univers bancaire désormais fortement exposé aux risques numériques.
Cette jurisprudence va pouvoir inciter les banques à revoir en profondeur leurs processus de sécurité et de formation, et pourrait ouvrir la voie à une future harmonisation des normes de sécurité bancaire à l’échelle européenne.
Elle s’inscrit d’ailleurs dans la logique des propositions de directive sur la vigilance numérique, la traçabilité des flux et l’information des usagers.
