Spoofing et fraude bancaire : votre banque peut être condamnée même si vous avez remis votre carte volontairement (TJ Bordeaux, 14 mars 2025, n° RG 24/01018)
- Alban Bizieux
- 12 mai 2025
- 5 min de lecture
Dernière mise à jour : 31 mars
Le spoofing bancaire est l'une des fraudes les plus redoutables du moment : un escroc usurpe le numéro officiel de votre banque, se fait passer pour un conseiller, et vous convainc de lui remettre votre carte ou de valider des opérations. Lorsque vous réalisez ce qui s'est passé, votre banque refuse de rembourser en invoquant votre négligence. Est-ce vraiment la fin ? Non. Une décision du Tribunal judiciaire de Bordeaux du 14 mars 2025 le confirme avec netteté. On fait le point.
Les faits : une mise en scène millimétrée
Le 5 septembre 2023, un client de la Banque Postale reçoit un SMS l'alertant d'une transaction suspecte sur son compte. Il rappelle le numéro indiqué, tombe sur une voix rassurante qui se présente comme conseillère de la banque. Le message est clair : sa carte est compromise, un coursier va passer la récupérer pour en délivrer une nouvelle.
Quelques minutes plus tard, un homme en gilet jaune se présente à son domicile et repart avec la carte. La mise en scène est parfaite. Ce que la victime ne sait pas encore, c'est que les fraudeurs ont déjà agi : quatre retraits de 1 000 euros chacun ont été effectués à des distributeurs automatiques dans le même laps de temps. Bilan : 4 000 euros disparus.
Et la chronologie est décisive : les retraits ont eu lieu entre 16h30 et 16h36. L'appel téléphonique avec le faux conseiller — celui qui a conduit à la remise de la carte — n'a commencé qu'à 16h54. Autrement dit, les fraudeurs avaient déjà vidé le compte avant même de récupérer la carte physiquement.
Le cadre légal : c'est la banque qui doit prouver votre faute
Beaucoup de victimes de fraude ignorent ce principe fondamental : en matière d'opération non autorisée, la loi présume la responsabilité de la banque. Ce n'est pas à vous de prouver que vous n'avez pas autorisé l'opération — c'est à votre banque de prouver que vous l'avez fait, ou que vous avez commis une faute grave.
L'article L. 133-18 du Code monétaire et financier impose à la banque de rembourser le montant de toute opération non autorisée au plus tard le premier jour ouvrable suivant le signalement. Elle ne peut s'y soustraire qu'en prouvant que son client a agi frauduleusement, ou avec négligence grave.
L'article L. 133-23 du même code enfonce le clou : même si l'instrument de paiement a été utilisé et que l'opération a été authentifiée, cela ne suffit pas à établir que le client a consenti à l'opération, ni qu'il a été négligent.
La négligence grave : une notion exigeante
La Banque Postale soutenait que le client avait commis une négligence grave en rappelant un numéro frauduleux, en communiquant des informations à de faux conseillers, et en remettant sa carte à un coursier. Elle en concluait qu'il devait supporter intégralement les pertes.
Le tribunal ne suit pas ce raisonnement. La juge relève que le spoofing est précisément conçu pour tromper des personnes raisonnables : numéro officiel affiché, script convaincant, urgence simulée, coursier en uniforme. Se laisser prendre à une mise en scène aussi élaborée ne constitue pas une imprudence caractérisée — c'est une réaction humaine face à une manipulation organisée.
Par ailleurs, la banque n'a pas réussi à prouver que son client avait communiqué ses codes confidentiels ou ses identifiants de connexion. Or ce sont ces données qui ont permis aux fraudeurs d'activer Certicode Plus, d'augmenter le plafond de retrait et d'effectuer les retraits. Faute d'explication sur ce point, la banque ne peut pas établir la négligence grave.
À retenir : la négligence grave ne se présume pas — elle se prouve. Être trompé par une fraude sophistiquée ne suffit pas à vous priver de votre droit au remboursement.
L'authentification forte n'exonère pas automatiquement la banque
La Banque Postale produisait des logs démontrant que les retraits avaient été validés avec authentification forte — c'est-à-dire avec le code PIN du client. Elle en tirait la conséquence que sa responsabilité était nécessairement exclue.
Le tribunal écarte cet argument, conformément à l'article L. 133-23 du CMF : la preuve de l'authentification n'est pas la preuve du consentement. La banque doit aller plus loin et démontrer positivement la faute du client. En l'espèce, elle ne l'a pas fait.
La condamnation : remboursement et pénalités de retard
La Banque Postale est condamnée à rembourser les 4 000 euros de retraits frauduleux. Mais la décision va plus loin : le tribunal applique les pénalités de retard prévues à l'article L. 133-18 du CMF pour défaut de remboursement dans les délais légaux.
Le client avait adressé sa demande de remboursement par courrier le 12 octobre 2023. La banque avait refusé le 30 octobre 2023. Plus d'un an s'était écoulé sans remboursement. Le tribunal applique donc la majoration maximale de 15 points du taux légal, à compter du 12 novembre 2023 — soit trente jours après la demande formelle.
Le barème légal est le suivant :
• Taux légal + 5 points jusqu'à 7 jours de retard
• Taux légal + 10 points entre 7 et 30 jours de retard
• Taux légal + 15 points au-delà de 30 jours
La banque est également condamnée à payer 800 euros au titre de l'article 700 du Code de procédure civile, correspondant à une participation aux frais d'avocat. En revanche, la demande de préjudice moral (1 500 euros) est rejetée, faute de preuves concrètes de ce préjudice.
Comment réagir si vous avez été victime de spoofing ?
• Signalez immédiatement l'opération frauduleuse à votre banque, sans attendre.
• Conservez toutes les preuves : relevés d'appels, SMS, correspondances avec la banque.
• Déposez une plainte pénale pour escroquerie.
• Contestez par écrit le refus de remboursement de votre banque en vous appuyant sur les articles L. 133-18 et L. 133-19 du CMF.
• Consultez un avocat pour évaluer vos chances d'obtenir un remboursement judiciaire.
Vos questions fréquentes
Qu’est-ce que le spoofing bancaire ?
Le spoofing bancaire est une technique de fraude qui permet à un escroc d’afficher le numéro officiel de votre banque sur votre téléphone. Grâce à la technologie VoIP, n’importe quel numéro peut être usurpé — il est impossible de le détecter sans être prévenu.
Ma banque peut-elle refuser de me rembourser si j’ai été victime de spoofing ?
La banque peut invoquer votre négligence grave, mais elle doit en apporter la preuve. Se laisser convaincre par un faux conseiller qui affiche le vrai numéro de votre banque n’est généralement pas considéré comme une négligence grave par les tribunaux.
Dans quel délai dois-je contester l’opération frauduleuse ?
Vous disposez de 13 mois à compter de la date de débit pour contester une opération non autorisée auprès de votre banque (art. L.133-24 CMF). Passé ce délai, toute action contre la banque est irrecevable.
Dois-je déposer plainte même si la banque accepte de rembourser ?
Oui. Le dépôt de plainte pour escroquerie et usurpation d’identité renforce votre dossier, contribue à l’identification des escrocs et peut accélérer la décision de la banque.
Que faire si ma banque invoque mon négligence grave ?
Ne vous laissez pas décourager : mettez la banque en demeure par courrier recommandé en citant les articles L.133-18 et L.133-23 du CMF. En cas de refus persistant, saisissez le médiateur bancaire puis, si nécessaire, le Tribunal judiciaire.
Vous n'êtes pas sûr d'avoir un recours ? Dans la plupart des dossiers, les victimes sous-estiment leurs droits. Parlons-en.
Je peux vous accompagner dans vos démarches et défendre vos droits.
Contactez-moi par téléphone au 07.45.18.33.55 ou par mail à cabinet@bizieux-avocat.fr
Me Alban Bizieux
