N° RG 23/08759 – N° Portalis DBX6-W-B7H-YI2U

CINQUIÈME CHAMBRE

CIVILE

SUR LE FOND

63D

N° RG 23/08759 – N° Portalis DBX6-W-B7H-YI2U

AFFAIRE :

[M] [H]

C/

S.A. ING BANK N.V.

Grosses délivrées

le

à

Avocats : la SELARL BARDET & ASSOCIES

M^e Lucie LAFUENTE

TRIBUNAL JUDICIAIRE

DE BORDEAUX

CINQUIÈME CHAMBRE CIVILE

JUGEMENT DU 10 MARS 2026

COMPOSITION DU TRIBUNAL

Lors des débats et du délibéré

Madame Myriam SAUNIER, Vice-Présidente

Statuant à Juge Unique

Greffier, lors des débats et du délibéré

Madame Isabelle SANCHEZ, Cadre Greffier,

DÉBATS

A l’audience publique du 13 Janvier 2026

JUGEMENT

Contradictoire

En premier ressort

Par mise à disposition au greffe, les parties ayant été préalablement avisées dans les conditions prévues à l’article 450 alinéa 2 du Code de procédure civile

DEMANDEUR

Monsieur [M] [H]

né le 09 Juillet 1985 à PARIS

de nationalité Française

3 rue Léonard de Vinci

33160 SAINT MEDARD EN JALLES

représenté par Maître Max BARDET de la SELARL BARDET & ASSOCIES, avocats au barreau de BORDEAUX

DÉFENDERESSE

S.A. ING BANK N.V.

40 avenue des Terroirs de France

75001 PARIS

représentée par M^e Lucie LAFUENTE, avocat au barreau de BORDEAUX

N° RG 23/08759 – N° Portalis DBX6-W-B7H-YI2U

EXPOSE DU LITIGE

EXPOSE DES FAITS ET DE LA PROCEDURE

Monsieur [M] [H] est titulaire d’un compte bancaire ouvert dans les livres de la société ING BANK N.V..

Monsieur [H] a déposé plainte le 31 mars 2022, en expliquant qu’après avoir reçu un appel téléphonique le 30 mars 2022 à 9 heures d’une personne ayant connaissance de ses informations personnelles et se faisant passer pour sa banque lui indiquant que des opérations frauduleuses étaient en cours, il a constaté que ce tiers a accédé à son compte et a effectué des virements et des paiements et un retrait sur son contrat assurance-vie, malgré l’appel passé par ses soins au service client de sa banque pour bloquer toute transaction le même jour.

Deux virements ont notamment été réalisés d’un montant de 10.071,41 euros et de 3.417,74 euros. La banque a obtenu la restitution des sommes de 517,74 euros et de 1.938,72 euros le 05 avril 2022.

Exposant avoir vainement sollicité la restitution des fonds, notamment par lettre recommandée du 03 août 2022, réceptionnée le 09 août 2022, par acte délivré le 16 octobre 2023, monsieur [M] [H] a fait assigner la SA ING BANK N.V. devant le tribunal judiciaire de Bordeaux aux fins d’indemnisation de ses préjudices.

La clôture est intervenue le 17 décembre 2025 par ordonnance du juge de la mise en état du même jour.

PRETENTIONS ET MOYENS DES PARTIES

Dans ses conclusions notifiées par voie électronique le 24 mars 2025, monsieur [M] [H] sollicite du tribunal, sous le bénéfice de l’exécution provisoire de droit, de :

condamner la société ING BANK à lui payer la somme de 11.032,69 euros, assortie des intérêts au taux légal à compter du 03 août 2022,condamner la société ING BANK au paiement des dépens et à lui payer la somme de 2.000 euros au titre des frais irrépétibles.

Au soutien de sa demande, monsieur [H] fait valoir à titre principal, sur le fondement des articles L133-4, L133-15, L133-17et L133-20 du code monétaire et financier, que la banque a commis une faute pour ne pas avoir mis en place les mesures destinées à empêcher l’utilisation frauduleuse de son compte, en ce qu’elle a permis l’enregistrement d’un nouveau numéro de téléphone par le fraudeur, lequel a contacté la banque en se faisant passer pour lui. Selon monsieur [H], cette démarche du fraudeur lui a permis d’obtenir l’envoi par la banque d’un SMS, qu’il a validé lorsqu’il était en ligne avec le fraudeur, ce qui a donné à ce dernier l’accès à son compte et à la réalisation des opérations litigieuses. Il soutient donc la légèreté blâmable de la banque pour avoir permis cette modification de numéro de téléphone alors qu’il s’agit du moyen de sécurisation et d’authentification des transactions.

Subsidiairement, monsieur [H] soutient, sur le fondement des articles L133-16, L133-18, L133-23, L133-24 du code monétaire et financier, que la banque est défaillante à démontrer que les opérations litigieuses ont fait l’objet d’une authentification, et une négligence grave de sa part. Il prétend contester avoir autorisé les opérations litigieuses, qu’il a signalées le même jour à la banque. Il conteste toute négligence grave de sa part, celle-ci ne pouvant être caractérisée par la communication de données confidentielles notamment par la transmission du code reçu par SMS. Il ajoute qu’au vu des informations personnelles connues par le fraudeur, il pensait légitimement être en contact avec un conseiller de son établissement bancaire pour réaliser des opérations de sécurisation de son compte, ce qui a nécessairement amoindri sa vigilance, ce dans un contexte de fraude puisqu’il avait été informé quelques jours plus tôt d’une fuite de données bancaires d’une société de commerce en ligne. Il précise que cette confiance a été renforcée par le fait que le SMS réceptionné au cours de cette conversation, n’avait pour objet ni l’ajout de bénéficiaire ni la validation d’une opération de virement ou de paiement.

Monsieur [H] fait valoir qu’il subit, de ce fait, un préjudice évalué à la somme totale de 11.032,69 euros après déduction des sommes restituées, sommes qui doivent porter intérêt au taux légal à compter de la mise en demeure conformément à l’article 1231-6 du code civil.

Dans ses conclusions notifiées par voie électronique le 16 septembre 2025, la société de droit néerlandais ING BANK N.V. demande au tribunal de débouter monsieur [M] [H] de l’intégralité de ses demandes, de le condamner au paiement des dépens et à lui payer la somme de 5.000 euros sur le fondement de l’article 700 du code de procédure civile.

La société ING BANK prétend, au visa des articles L133-6 et 7 du code monétaire et financier ainsi que des conditions générales du compte, que les deux opérations de virement litigieuses ont été autorisées par monsieur [H] dès lors qu’elles ont été réalisées après authentification forte. Elle explique qu’il y a d’abord eu la recréation du code secret permettant l’accès à l’espace client en ligne et à l’enregistrement d’un nouveau numéro de téléphone, information communiquée par monsieur [H] à son interlocuteur, avant l’ajout de deux comptes externes et la réalisation de deux virements autorisés par des codes d’accès renforcés envoyés sur le nouveau numéro de téléphone. Elle en conclut qu’il est indifférent que l’authentification forte résulte de l’utilisation de codes d’accès renforcés adressés sur le nouveau numéro, dès lors que c’est monsieur [H] qui a permis l’enregistrement de ce téléphone dans le cadre d’une authentification forte, et que les dispositions de l’article L133-19 du code monétaire et financier ne sont pas applicables. Elle ajoute qu’il est indifférent que les virements contestés aient été réalisés par monsieur [H] ou par un tiers auquel il a communiqué son mot de passe et le code d’accès renforcé dès lors qu’il est établi qu’ils ont été autorisés par authentification forte.

En tout état de cause, la société ING prétend, au visa des articles L133-16, L133-17 et L133-19 du code monétaire et financier et des conditions générales, que la fraude dont monsieur [H] se prétend victime est la conséquence de sa négligence grave, du fait de la divulgation à un tiers des informations confidentielles, tenant à son mot de passe et à ses codes d’accès renforcés. Elle précise que les mesures élémentaires de prudence sont régulièrement rappelées à ses clients. Selon elle, monsieur [H] n’a pu raisonnablement croire que son interlocuteur était un conseiller d’ING, dont le numéro n’était pas celui affiché lors de l’appel, et explique que les termes du SMS qu’il a reçu étaient clairs sur leur objet de validation d’un nouveau téléphone, et n’avaient donc pas pour objet d’éviter une fraude. Elle ajoute que contrairement à ses allégations, monsieur [H] n’a pas contacté son service client le 30 mars 2022 à 9h45, mais uniquement à 10h39 après l’exécution des virements contestés à 10h18 et 10h30, alors que s’il avait appelé immédiatement, l’exécution des virements aurait pu être empêchée. Elle explique avoir engagé une procédure de rappel de fonds dès qu’elle a été informée, qui a permis le retour de la somme totale de 2.450,46 euros.

MOTIVATION

Sur la demande en restitution formée par monsieur [H]

Sur le fondement du manquement de la banque à son obligation d’empêcher toute utilisation frauduleuse du compte bancaire de son client

En vertu de l’article L133-15 III. du code monétaire et financier, le prestataire de services de paiement empêche toute utilisation de l’instrument de paiement après avoir été informé, conformément aux dispositions de l’article L. 133-17, de sa perte, de son vol, de son détournement ou de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées.

Selon l’article L133-17 du même code, lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l’utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l’instrument, son prestataire ou l’entité désignée par celui-ci.

L’article L133-20 du même code précise qu’après avoir informé son prestataire ou l’entité désignée par celui-ci, conformément à l’article L. 133-17 aux fins de blocage de l’instrument de paiement, le payeur ne supporte aucune conséquence financière résultant de l’utilisation de cet instrument de paiement ou de l’utilisation détournée des données qui lui sont liées, sauf agissement frauduleux de sa part.

En l’espèce, monsieur [H] ne démontre pas avoir informé son établissement bancaire avant la réalisation des virement litigieux. En effet, s’il prétend avoir alerté par téléphone son établissement bancaire le 30 mars 2022 à 9h45, il ne produit aucun document, notamment aucun relevé de son opérateur téléphonique, permettant d’attester de la réalité dudit appel. Au contraire, la banque produit pour sa part la transcription d’un appel, dont l’horaire n’est pas mentionné, mais dans lequel le conseiller bancaire expose les deux prélèvements qui ont déjà été effectués à 10h17 et 10h18. Ces virements étant nécessairement antérieurs à l’information donnée à la banque de la fraude soupçonnée, elle ne peut être tenue, sur ce fondement, à supporter les pertes subies par monsieur [H].

De même, s’il soutient qu’un changement de numéro serait intervenu le même jour à 11h56, il convient de relever qu’il ne fait état d’aucun virement postérieur à cet horaire, et que la banque ne peut être tenue à ce titre en l’absence de tout préjudice. En outre, il apparaît, au vu des numéros mentionnés, que le message reçu à 11h56 constitue en fait la confirmation du changement de numéro intervenu à 10h08.

Enfin, monsieur [H] n’explicite pas en quoi la banque aurait dû refuser le changement de numéro intervenu à 10h08 alors qu’il a été validé par ses soins au moyen de son numéro de téléphone, ni quelles mesures elle aurait dû mettre en œuvre pour empêcher ce changement.

Dès lors le moyen relatif au manquement de la banque à son obligation d’empêcher toute utilisation frauduleuse du compte bancaire de son client doit être écarté.

Sur le fondement de l’opération de paiement non autorisée

L’obligation de restitution du banquier dépositaire des fonds est fondée sur les dispositions de l’article L133-6-I du code monétaire et financier qui définit l’opération autorisée comme étant l’opération par laquelle le payeur a donné son consentement à son exécution et de l’article L133-18 alinéa 1 du code monétaire et financier qui prévoit qu’en cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu. L’article L133-24 du code monétaire et financier impose à l’utilisateur du service de paiement d’informer, sans tarder, une opération de paiement non autorisée.

Par dérogation à ce principe, l’article L133-19 IV du code monétaire et financier prévoit que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17.

L’article L133-16 du code monétaire et financier précise que dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées. /Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées.

L’article L133-23 du code de commerce fixe les règles de preuve de l’opération de paiement non autorisée, et dispose que lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre. / L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement.

Il appartient donc à la banque, en application de ce texte, de prouver que le paiement a été autorisé par le payeur, et ce autrement qu’en démontrant l’utilisation de données confidentielles. Il lui appartient également, dans l’hypothèse d’un paiement non autorisé, de démontrer l’existence de négligence graves commises par son client.

En l’espèce, la société ING BANK ne peut valablement soutenir que les virements litigieux constitueraient des paiements autorisés au seul motif que monsieur [H] a permis à son interlocuteur de modifier le numéro de téléphone. En effet, s’il a par cette opération permis l’accès à son compte bancaire, il n’est en revanche nullement démontré que monsieur [H] a lui-même expressément consenti au montant et au bénéficiaire des virements réalisés, celui-ci ayant immédiatement alerté sa banque et déposé plainte dès qu’il en a eu connaissance. Par ailleurs, si la banque démontre par la production du détail de chacune des opérations et des SMS envoyés, sans que cela ne soit contesté par monsieur [H], que les deux virements litigieux ont été réalisés au moyen d’un système d’authentification forte, il doit être constaté que les éléments d’identification pour la réalisation des opérations ont été adressés sur le nouveau numéro de téléphone, dont il n’est pas contesté qu’il n’appartient pas à monsieur [H]. Il ne peut donc en être déduit l’existence de sa part d’un accord pour la réalisation desdites opérations de virements

Les deux virements réalisés depuis le compte bancaire de monsieur [H] ouvert dans les livres de la société ING BANK constituent donc des opérations de paiement non autorisées.

S’agissant de la négligence grave qui lui est opposée, monsieur [H] admet avoir volontairement transmis à un tiers des codes qui ont permis à celui-ci de modifier le code d’accès au compte en ligne (SMS reçu le 30 mars 2022 à 10h05) puis le numéro de téléphone associé au compte (SMS reçu le 30 mars à 10h08) et donc de réaliser ultérieurement les opérations litigieuses, à savoir l’ajout de comptes externes comme bénéficiaires de virements et les virements. S’il prétend que l’appel provenait d’un prétendu conseiller de la banque ING, il ne rapporte cependant pas la preuve que le numéro affiché sur son téléphone serait celui de son établissement bancaire. Toutefois, il a immédiatement indiqué à son établissement bancaire, dans son appel ayant suivi rapidement les virements réalisés frauduleusement dont les termes sont intégralement retranscrits dans la pièce produite par la banque, qu’il avait eu connaissance d’une possible fuite de ses données suite à une attaque ayant affecté un site d’achat en ligne auquel il avait eu recours, dont il avait été informé par voie de presse, et produit à ce titre l’article daté du 25 mars 2022. Cette situation a nécessairement conduit à affaiblir sa vigilance lors de l’appel reçu. Il a également immédiatement indiqué que la personne qu’il avait au téléphone ne lui a jamais demandé son numéro personnel d’identification pour accéder au compte client, laissant supposer une telle connaissance. Il s’en déduit que monsieur [H] a nécessairement agi sous la pression de cet appel, sans avoir le temps d’une réflexion sur le contenu du SMS reçu lui demandant de valider un nouveau code secret et un nouveau numéro de téléphone. En outre, si la banque justifie qu’elle alerte sa clientèle, il doit d’une part être relevé que le document qu’elle produit est daté du 30 avril 2022, soit une date postérieure aux opérations objets du présent litige, et d’autre part qu’il n’est pas établi que cette information ait été délivrée spécifiquement à monsieur [H].

Dès lors, s’il est constant que monsieur [H] a commis, au regard de ses obligations légales et contractuelles, une imprudence voire une négligence par la communication des codes de sécurité, celle-ci ne peut, compte tenu du contexte d’urgence dans lequel elle est intervenue, être qualifiée de grave au sens du texte susvisé.

Dans ces conditions, le compte bancaire de monsieur [H] doit être rétabli dans l’état dans lequel il se serait trouvé si les deux opérations litigieuses n’avaient pas eu lieu, qui s’établissent à un montant total de 13.489,15 euros, sous déduction des sommes déjà restituées suite à la procédure de rappel des fonds, qui s’établissent à la somme de 2.456,46 euros, soit 11.032,69 euros.

Par conséquent, il convient de condamner la société de droit néerlandais ING BANK N.V. à payer à monsieur [M] [H] la somme de 11.032,69 euros, avec intérêts au taux légal à compter du 16 octobre 2023, date de délivrance de l’assignation, le courrier du 03 août 2022 produit aux débats étant incomplet et ne permettant pas de déterminer s’il constitue une réelle mise en demeure de paiement.

Sur les frais du procès et l’exécution provisoire

Dépens

En vertu de l’article 696 du code de procédure civile, la partie perdante est condamnée aux dépens, à moins que le juge, par décision motivée, n’en mette la totalité ou une fraction à la charge d’une autre partie.[…]

En l’espèce, la société de droit néerlandais ING BANK N.V. perdant la présente instance, il convient de la condamner au paiement des dépens.

Frais irrépétibles

En application de l’article 700 du code de procédure civile, le juge condamne la partie tenue aux dépens ou qui perd son procès à payer : 1° A l’autre partie la somme qu’il détermine, au titre des frais exposés et non compris dans les dépens ; / […]/ Dans tous les cas, le juge tient compte de l’équité ou de la situation économique de la partie condamnée. Il peut, même d’office, pour des raisons tirées des mêmes considérations, dire qu’il n’y a pas lieu à ces condamnations. / Les parties peuvent produire les justificatifs des sommes qu’elles demandent. / […]

En l’espèce, la société de droit néerlandais ING BANK N.V., tenue au paiement des dépens, sera condamnée à payer à monsieur [M] [H] la somme de 2.000 euros au titre des frais irrépétibles qu’il supporte, et déboutée de sa propre demande de ce chef.

Exécution provisoire

Conformément à l’article 514 du code de procédure civile, les décisions de première instance sont de droit exécutoires à titre provisoire à moins que la loi ou la décision rendue n’en dispose autrement.

L’article 514-1 du code de procédure civile dispose que le juge peut écarter l’exécution provisoire de droit, en tout ou partie, s’il estime qu’elle est incompatible avec la nature de l’affaire. /Il statue, d’office ou à la demande d’une partie, par décision spécialement motivée.

En l’espèce, il convient donc de rappeler que l’exécution provisoire du jugement est de droit.

PAR CES MOTIFS

Le tribunal,

Condamne la société de droit néerlandais ING BANK N.V. à payer à monsieur [M] [H] la somme de 11.032,69 euros, avec intérêts au taux légal à compter du 16 octobre 2023 ;

Condamne la société de droit néerlandais ING BANK N.V. au paiement des dépens ;

Condamne la société de droit néerlandais ING BANK N.V. à payer à monsieur [M] [H] la somme de 2.000 euros sur le fondement de l’article 700 du code de procédure civile ;

Déboute la société de droit néerlandais ING BANK N.V. de sa demande formée sur le fondement de l’article 700 du code de procédure civile ;

Rappelle que le présent jugement est assorti de l’exécution provisoire de droit ;

La présente décision est signée par madame Myriam SAUNIER, vice-présidente et madame Isabelle SANCHEZ, cadre greffier.

LE GREFFIER LE PRESIDENT