TRIBUNAL JUDICIAIRE

DE GRENOBLE

4ème chambre civile

N° RG 24/00401 – N° Portalis DBYH-W-B7I-LTP6

N° JUGEMENT :

CG/BM

Copie exécutoire

et copie délivrées

le :

à :

la SCP GIROUD STAUFFERT-GIROUD

la SELARL LX GRENOBLE-CHAMBERY

TRIBUNAL JUDICIAIRE DE GRENOBLE

Jugement du 06 Octobre 2025

ENTRE :

DEMANDEUR

Monsieur [G] [U], demeurant [Adresse 2]

représenté par Maître Isabelle STAUFFERT-GIROUD de la SCP GIROUD STAUFFERT-GIROUD, avocats au barreau de GRENOBLE

D’UNE PART

E T :

DEFENDERESSE

S.A. BNP, dont le siège social est sis [Adresse 1]

représentée par Maître Alexis GRIMAUD de la SELARL LX GRENOBLE-CHAMBERY, avocats au barreau de GRENOBLE, M^e Pierre MICOLET, avocat au barreau de PARIS

D’AUTRE PART

A l’audience publique du 10 Mars 2025, tenue à juge unique par Coralie GRENET, Vice-Présidente, assistée de Béatrice MATYSIAK, Greffier, les conseils des parties ayant renoncé au bénéfice des dispositions de l’article 804 du code de procédure civile,

Après avoir entendu les avocats en leur plaidoirie, l’affaire a été mise en délibéré, et le prononcé de la décision renvoyé au 16 Juin 2025, Prorogé au 6 Octobre 2025, date à laquelle il a été statué en ces termes :

FAITS, PROCÉDURE ET PRÉTENTIONS DES PARTIES :

Monsieur [G] [U] est titulaire d’un compte ouvert auprès de la S.A. BNP Paribas pour lequel il dispose d’une carte bancaire.

Le 11 janvier 2023, Monsieur [G] [U] a déposé plainte pour des faits d’escroquerie survenu le 10 janvier 2023 et estimé le montant de son préjudice à la somme provisoire de 49.690 euros.

Par courrier du 2 mars 2023, la S.A. BNP Paribas a informé que la mise en place de la procédure de recall avait permis de récupérer la somme de 27.898 euros. Toutefois, elle a indiqué refuser de procéder au remboursement des autres opérations comptabilisées au débit du compte de Monsieur [G] [U] au motif que le client aurait commis des négligences graves dans la conservation de ses données de sécurité personnalisées.

Par exploit de commissaire de justice en date du 12 janvier 2024, Monsieur [G] [U] a assigné la S.A. BNP devant le tribunal judiciaire de Grenoble.

En l’état des dernières conclusions, notifiées le 22 janvier 2025 par RPVA, à la lecture desquelles il convient de se reporter pour un plus ample exposé en fait et en droit, Monsieur [G] [U] demande au tribunal, au visa des articles L. 133-18, L. 133- 19 et L. 133- 23 du code monétaire et financier, ainsi que de la directive UE 201 5/2366 du 25 novembre 2015, de :

— Condamner la S.A. BNP Paribas à lui verser la somme de 17.361 euros ;

— Condamner la S.A. BNP Paribas au paiement de la somme de 3.000 euros sur le fondement de l’article 700 du code de procédure civile ;

— Condamner la même aux entiers dépens.

En soutien à sa demande de paiement, Monsieur [G] [U] fait valoir qu’il a été victime d’une technique de spoofing et qu’il incombe à la banque de prouver que son client a agi frauduleusement ou qu’il n’a pas satisfait intentionnellement ou par négligence grave à ses obligations.

En réponse à la S.A. BNP Paribas qui soutient qu’il a fait preuve d’une négligence grave, Monsieur [G] [U] conteste cette affirmation

au motif que la fraude a été rendue possible par le manque de sécurisation de la ligne téléphonique de la banque, le manque d’information donnée par la banque à ses clients, le manque d’un service anti-fraude en continu, et un manque de contrôle des transferts effectués en ligne.

En premier lieu, il indique que la banque a été défaillante dans la mise en place de mesures préventives visant à éviter la pratique du spoofing. Il lui fait grief de ne pas avoir communiqué aux clients des informations sur la pratique du spoofing et le risque que représente l’utilisation des services numériques de la banque. Il précise n’avoir reçu aucune information à ce sujet ni en ligne ni lors des entretiens avec sa conseillère. En l’espèce, il entend souligner que la fraude a commencé bien avant 20h18 dans la mesure où des connections d’opérateur non connu ont été enregistrée à 16h51 et 16h52. Or, la banque ne lui a pas communiqué les tentatives de piratages, pas plus que les cinq tentatives de connexions en provenance de l’Algérie entre 20h18 et 20h21. Il n’y a eu aucune communication ou tentative de connexion forte. Seules les demandes de confirmation des virements ont été envoyées et confirmées par le client.

En second lieu, il relève avoir été, durant plusieurs heures, dans l’impossibilité de faire opposition à l’utilisation de sa carte bancaire et aux opérations en cours dans la mesure où le numéro de téléphone inscrit à l’arrière de la carte bancaire était contrôlé par les fraudeurs. Il a dû contacter un autre service pour se voir communiquer un autre numéro qui a été inutilisable dans l’instant car le service client fermait à 20h00. Cependant, il rappelle que le montant total des transactions litigieuses effectuées au cours de cette période a été de 49.000 euros, soit un montant nettement supérieur au plafond de retrait et de paiement autorisé. Le système mis en place par la banque pour détecter le dépassement du montant des transactions a donc failli.

Enfin, Monsieur [G] [U] conteste avoir communiqué sa clé digitale, le code PIN de son téléphone et le code de sa carte bancaire. Il affirme que les escrocs ont eux-mêmes procédé au changement du code de la carte bancaire en se connectant sur l’espace client en ligne.

**

En l’état des dernières conclusions, notifiées le 18 novembre 2024 par RPVA, à la lecture desquelles il convient de se reporter pour un plus ample exposé en fait et en droit, la S.A. BNP demande au tribunal, de :

— Débouter Monsieur [U] de l’intégralité de ses demandes à toutes fins qu’elles comportent ;

Subsidiairement,

— Limiter la condamnation de BNP Paribas à la somme de 15.011 euros ;

— Écarter l’exécution provisoire de droit,

— Condamner Monsieur [U] à verser à BNP Paribas la somme de 3.000 euros au titre de l’article 700 du code de procédure civile, ainsi qu’aux entiers dépens.

En réponse à la demande de remboursement formée par son client, la S.A. BNP expose, en premier lieu, que Monsieur [G] [U] ne rapporte pas la preuve d’un spoofing. Il ne produit pas la preuve de l’appel téléphonique reçu et des informations affichées lors de l’appel.

En deuxième lieu, il fait valoir que la banque avait informé son client des risques de spoofing et que seuls les opérateurs téléphoniques sont responsables en cas d’usurpation de ligne.

En troisième et dernier lieu, elle entend démontrer que le client a commis une négligence grave dans la survenance de l’escroquerie. Elle indique que les opérations contestées ont été initiées pour les virements à partir de l’espace personnel de Monsieur [G] [U] dont l’accès sécurisé est subordonné à un identifiant et un mot de passe connu de lui seul et, pour le retrait d’espèce, au moyen de sa carte de paiement personnelle avec usage de son code secret. Elle ajoute que dans le dépôt de plainte effectué par le demandeur, celui-ci reconnaît avoir communiqué aux fraudeurs par téléphone son mot de passe et avoir remis sa carte bancaire à un tiers venu les récupérer à son domicile. Or, elle rappelle que les banques et l’État communiquent régulièrement sur le risque d’escroquerie et la nécessité de ne jamais communiquer ses informations bancaires.

L’instruction de la procédure a été clôturée par l’ordonnance du juge de la mise en état du 28 janvier 2024.

L’affaire a été audiencée le 10 mars 2025 et mise en délibéré au 16 juin 2025, prorogée in fine au 06 Octobre 2025.

MOTIFS DE LA DÉCISION

I – Sur la demande de paiement

Une opération de paiement n’est autorisée au sens des articles L. 133-3 et L. 133-6 du code monétaire et financier que si le payeur l’a initiée et a consenti au montant de l’opération.

En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les délais prévus par l’article L. 133-24 du même code, le prestataire de services de paiement du payeur rembourse à ce dernier le montant de l’opération non autorisée sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement.

Dans cette hypothèse, il incombe au prestataire de paiement de prouver que l’opération litigieuse a été effectuée après une authentification forte, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre, l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement, à savoir l’utilisation des identifiants du client et l’absence de déficience technique ou autre, notamment par le biais de la production d’un relevé de ses connexions, ne suffisant pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur.

L’article L. 133-4 (f) du code précité précise qu’une authentification forte s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît telle qu’un mot de passe, un code secret, une question secrète, etc…), « possession » (quelque chose que seul l’utilisateur possède telle qu’un téléphone portable, une montre connectée, une clé USB etc…) et « inhérence » (quelque chose que l’utilisateur est telle que la reconnaissance faciale ou vocale, la reconnaissance par empreinte digitale, etc…) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification. L’authentification forte repose donc sur l’utilisation de deux de ces éléments, voire plus.

Par ailleurs, la responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à son insu, l’instrument de paiement ou les données qui lui sont liées. Cependant, il supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’agissements frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 du code précité.

Ainsi, pour échapper au remboursement de l’opération contestée, le prestataire de services de paiement doit démontrer, soit que l’ordre émanait bel et bien du client dûment authentifié dans son espace personnel, soit que le vol des identifiants de connexion (ou d’autres données) n’est que la conséquence d’une faute grave de sa part consistant à ne pas avoir satisfait intentionnellement aux obligations lui incombant en la matière ou à les avoir gravement négligées.

En l’espèce, il n’est pas contesté par la banque que Monsieur [G] [U] a été victime d’une escroquerie et qu’il a dans ce cadre remis aux fraudeurs ses données de sécurité personnalisées, à savoir ses identifiant et code d’accès à son espace en ligne, ainsi que sa carte bancaire qui a été utilisée pour procéder à des paiements et un retrait en espèces.

Cependant, si les virements ont été validés depuis l’espace en ligne de Monsieur [G] [U] et le retrait effectué au moyen de sa carte bancaire qui lui été associée, le demandeur n’a cependant pas consenti aux paiements litigieux dans leur principe et leur quantum dès lors qu’il n’est pas discuté qu’il n’est pas à l’origine de l’authentification de ces opérations et/ou qu’il n’avait pas conscience de la nature des opérations validées.

Il convient dès lors de considérer que les opérations litigieuses n’ont pas été autorisées par le demandeur au sens des articles L. 133-3 et L. 133-6 du code monétaire et financier et de rechercher s’il peut se voir reprocher une négligence grave au sens des articles L. 133-16 et suivants du même code faisant obstacle à son indemnisation.

En l’état, il résulte des propres déclarations faites par Monsieur [G] [U] lors de son dépôt de plainte que celui-ci a reconnu avoir reçu « un appel se faisant passer pour la BNP avec le numéro +33140141010 » (pièce 2). Toutefois, le demandeur ne produit pas à l’instance son relevé téléphonique ou tout autre pièce de nature à démontrer la réalité de l’appel reçu, du numéro et du nom affiché sur son téléphone. Il se limite à produire une capture d’écran des messages écrits reçus qui laisse apparaître un message du numéro susmentionné dont le contenu fait référence à deux appels manqués dont le dernier a été reçu à 22h20 (pièce 5). Cette pièce ne permet pas d’établir la preuve de l’appel litigieux reçu ni même de conforter l’affirmation du demandeur selon laquelle la fraude aurait commencé à 16h51 ou 20h18.

À l’inverse, la banque produit à l’instance le relevé détaillé des connexions sur l’espace sécurisé de Monsieur [G] [U] qui permet d’établir que des premières connexions ont été effectués à 16h51 à partir d’un lieu inconnu et par le biais d’un opérateur inconnu (pièce 11). Cependant, ces éléments ne constituent pas la preuve d’une fraude dans la mesure où plusieurs jours auparavant, une telle connexion avait déjà eu lieu à plusieurs reprises. Ce n’est finalement qu’à partir de 20h18 que Monsieur [G] [U] s’est connecté à son application par le biais de son téléphone et qu’il a permis la connexion d’un tiers et la validation des opérations demandées par ce dernier.

Cet élément n’est pas contesté par le demandeur qui a reconnu lors de son procès-verbal de dépôt de plainte qu'« ils m’ont dit que les codes digitaux de mon compte ont été utilisés pour faire des virements à l’extérieur. Ils m’ont alors informé avoir réussi à bloquer ces virements mais que pour me rendre l’argent il fallait que je donne des autorisations. Ils m’ont informé que mon numéro de client n’avait pas été changé par sécurité. Ils m’ont proposé un nouveau numéro client et de nouveaux codes d’accès. Ils m’ont alors demandé mon ancien numéro client et mon ancien code. Ils ont donc réussi à avoir accès à mes comptes. Ils m’ont fait valider des opérations en me disant que c’était des remboursements mais au final je validais des virements vers l’extérieur. » (pièce 2)

Il apparaît ainsi que Monsieur [G] [U] a communiqué spontanément son numéro de client et ses codes d’accès, avant de valider l’ensemble des opérations bancaires affichées notifiées sur son téléphone portable comprenant l’ajout de bénéficiaires pour des virements extérieurs et la validation de virement SEPA.

Le demandeur ne peut pas soutenir que la banque a manqué à ses obligations en autorisant des opérations bancaires sans autorisation préalable alors que le relevé de connexion produit par la S.A. BNP permet d’établir que les opérations validées par le demandeur ont permis d’augmenter les plafonds bancaires (pièce 11).

Enfin, il est acquis aux débats que Monsieur [G] [U] a remis sa carte bancaire à l’un des escrocs qui s’est présenté juste après à son domicile. Lors de son dépôt de plainte, la victime a précisé qu'« Ils m’ont dit qu’ils allaient m’envoyer une nouvelle carte en express et m’ont demandé mes numéros de carte sauf les quatre derniers chiffres. Ils m’ont également dit que quelqu’un allait passer chez moi pour récupérer ma carte bancaire pour accélérer les choses. Quelqu’un a fini par passer chez moi et a récupéré ma carte bancaire suite aux indications de la personne que j’avais au téléphone » (pièce 2). Si le demandeur soutient aujourd’hui avoir découpé au préalable sa carte bancaire et ne pas avoir communiqué son code confidentiel, force est de constater qu’il n’a jamais fait état de cet élément lors de son dépôt de plainte et que les tiers ont pu utiliser librement sa carte bancaire pour procéder à deux achats et un retrait bancaire. L’affirmation du demandeur sur ce point est donc contredite par la réalité de la fraude.

Le simple fait que l’établissement bancaire ne dispose pas d’un service anti-fraude joignable à toute heure du jour et de la nuit ne constitue pas un élément de nature à écarter la négligence grave du client dans la mesure où celui-ci avait déjà communiqué l’ensemble de ses identifiants bancaires et qu’il ne démontre pas avoir pris conscience de la réalité de l’escroquerie avant la fin de l’exécution des virements litigieux, le 10 janvier 2023 à 22h41.

Au regard de l’ensemble de ces éléments, Monsieur [G] [U] ne démontre pas avoir été victime d’un spoofing. Il ne peut, dans ces conditions, mettre en cause la banque pour son défaut de sécurisation de la ligne téléphonique et son absence de communication personnalisée de message préventif alertant ses clients sur le risque de spoofing.

Réciproquement, l’analyse des faits démontre que le client a fait preuve de négligences graves en communicant ses codes d’accès à son espace sécurisé, puis, en validant les opérations bancaires demandées sans en vérifier la teneur, et enfin, en remettant sa carte bleue à un prétendu employé de la banque qui s’est présenté à son domicile, tout ça sur une période restreinte de quelques heures qui a commencé après 20h00, heure à laquelle les établissements bancaires sont traditionnellement fermés.

Si le tribunal ne minimise pas la diminution de vigilance que peut entraîner une escroquerie téléphonique, il relève cependant que Monsieur [G] [U] a fait preuve d’une absence totale de méfiance et de vigilance.

La communication de ses données de sécurité personnalisées et instruments de paiement à un tiers, fût-il un préposé du prestataire de paiement en relation contractuelle avec lui, caractérise un manquement évident de la part de Monsieur [G] [U] à l’obligation de préservation de la sécurité de ses dispositifs de sécurité personnalisés énoncée à l’article L. 133-16 du code monétaire et financier et aux conditions générales et particulières de la convention de compte qui lui sont opposables. Un tel manquement caractérise une négligence grave au sens de l’article L. 133-19 IV du même code.

Considérant l’ensemble de ces éléments, il doit être retenu que Monsieur [G] [U] n’a pas satisfait aux obligations mises à sa charge par les articles L. 133-16 et L. 133-17 du code monétaire et financier en communiquant ses données de sécurité personnalisées à un tiers ainsi que ses instruments de paiement. Ces négligences revêtent un caractère grave au sens de l’article L. 133-19 du code précité en ce qu’elles caractérisent la violation d’obligations évidentes et essentielles à la préservation de la sécurité des fonds de la victime qui se voit ainsi privée de la possibilité de faire supporter par la banque les pertes occasionnées par les opérations de paiement non autorisées.

En conséquence, la demande de remboursement sera rejetée.

II – Sur les autres demandes

A/ Sur les dépens

Aux termes de l’article 696 du code de procédure civile, la partie perdante est condamnée aux dépens de l’instance, à moins que le juge, par décision motivée, n’en mette la totalité ou une fraction à la charge d’une autre partie.

Monsieur [G] [U], qui succombe à l’instance, est condamné aux dépens.

B/ Sur les frais irrépétibles

Aux termes de l’article 700 du code de procédure civile, le juge condamne la partie tenue aux dépens ou qui perd son procès à payer à l’autre partie la somme qu’il détermine, au titre des frais exposés et non compris dans les dépens.

Dans tous les cas, le juge tient compte de l’équité ou de la situation économique de la partie condamnée. Il peut, même d’office, pour des raisons tirées des mêmes considérations, dire qu’il n’y a pas lieu à ces condamnations.

Monsieur [G] [U] qui succombe est débouté de sa demande sur le fondement de l’article 700 du code de procédure civile et condamné à payer à la S.A. BNP la somme de 1.000 euros à ce titre.

C/ Sur l’exécution provisoire

Aux termes de l’article 514 du code de procédure civile dans sa rédaction issue du décret n°2019-1333 du 11 décembre 2019 applicable à l’espèce, les décisions de première instance sont de droit exécutoires à titre provisoire à moins que la loi ou la décision rendue n’en dispose autrement.

En l’espèce, compte tenu de l’absence de motif dérogatoire, il est rappelé que la présente décision est exécutoire de plein droit par provision.

PAR CES MOTIFS :

Le tribunal, statuant à juge unique, en premier ressort et par jugement contradictoire :

DÉBOUTE Monsieur [G] [U] de ses demandes,

CONDAMNE Monsieur [G] [U] aux entiers dépens,

CONDAMNE Monsieur [G] [U] à payer à la S.A. BNP la somme de 1.000 euros au titre des frais irrépétibles,

DÉBOUTE les parties de leurs demandes plus amples ou contraires,

RAPPELLE que l’exécution provisoire du présent jugement est de droit,

PRONONCÉ publiquement par mise à disposition du jugement au greffe du Tribunal, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du Code de Procédure Civile.

LA GREFFIERE LA JUGE

Béatrice MATYSIAK Coralie GRENET