TRIBUNAL

JUDICIAIRE

DE [Localité 7] [1]

[1]

Expéditions

délivrées le:

à

M^e BOULAY

M^e BEREST

■

9ème chambre 2ème section

N° RG 23/14383 – N° Portalis 352J-W-B7H-C3BWJ

N° MINUTE :

Assignation du :

25 Octobre 2023

JUGEMENT

rendu le 26 Novembre 2025

DEMANDERESSE

Madame [Z] [V]

[Adresse 2]

[Localité 5]

représentée par Maître Nicolas BOULAY de l’ASSOCIATION FARTHOUAT AVOCATS, avocats au barreau de PARIS, vestiaire #R0130

DÉFENDERESSE

BANQUE POPULAIRE RIVES DE [Localité 7]

[Adresse 4]

[Localité 3]

représentée par Maître Justin BEREST de la SELEURL JB AVOCAT, avocats au barreau de PARIS, vestiaire #D0538

Décision du 26 Novembre 2025

9ème chambre 2ème section

N° RG 23/14383 – N° Portalis 352J-W-B7H-C3BWJ

COMPOSITION DU TRIBUNAL

Gilles MALFRE, 1er Vice-Président adjoint

Augustin BOUJEKA, Vice-Président

Alexandre PARASTATIDIS, Juge

assistés de Diane FARIN, Greffière.

DÉBATS

A l’audience du 01 octobre 2025 tenue en audience publique devant Alexandre PARASTATIDIS, juge rapporteur, qui, sans opposition des avocats, a tenu seul l’audience, et, après avoir entendu les conseils des parties, en a rendu compte au Tribunal, conformément aux dispositions de l’article 805 du Code de Procédure Civile. Avis a été donné aux avocats que la décision serait rendue le 26 novembre 2025.

JUGEMENT

Rendu publiquement par mise à disposition au greffe

Contradictoire

En premier ressort

FAITS ET PROCEDURE

Aux termes d’une plainte déposée pour escroquerie le 31 janvier 2023 auprès des services de police du commissariat de [Localité 6] (92), Mme [Z] [V], titulaire de quatre comptes bancaires ouverts dans les livres de la SA Banque populaire rives de [Localité 7] (ci-après « la Banque populaire » ou la « banque »), exposait avoir reçu le 30 janvier 2023, un appel du 07.45.09.04.34 d’un homme se présentant comme un employé du service anti-fraude de la Banque populaire l’informant de la nécessité de procéder à certaines opérations afin de bloquer des paiements suspects en cours depuis la Côte d’Ivoire suite au piratage de son compte. Elle indiquait avoir manifesté une certaine méfiance que son interlocuteur a dissipée en lui fournissant des informations personnelles la concernant telles que son identité et son adresse. Elle ajoutait que l’individu lui a ensuite fait prendre conscience qu’elle avait été victime quelques jours auparavant d’une escroquerie de type « phishing » en cliquant sur un lien pour commander une vignette « Crit’air » et en renseignant ses informations bancaires. Elle précisait avoir de nouveau émis des doutes sur la qualité de son interlocuteur qui l’appelait depuis un téléphone portable, et que ce dernier l’a alors rappelée depuis le numéro fixe associé au service « d’assistance perte vol carte bancaire » de la Banque populaire ([XXXXXXXX01]). Elle déclarait avoir alors suivi ses instructions qui étaient supposées lui permettre de créer un compte de sécurité à son nom depuis l’application de la banque afin d’y virer les soldes de ses comptes, et qu’elle s’était ainsi ajoutée elle-même en tant que bénéficiaire avec un IBAN fourni par le fraudeur qui justifiait alors la domiciliation du compte auprès de l’établissement Boursorama par des raisons de sécurité. Elle reconnaissait avoir ensuite passé six ordres de virement vers ce compte externe entre 19h22 et 19h38 pour une somme totale de 14.426,95 euros, mais dont trois ont été refusés, ainsi que trois autres ordres de virements de compte à compte. Elle évaluait son préjudice à la somme de 7.056,53 euros correspondant au trois virements qui ont finalement été effectués au profit du compte Boursorama.

Par courriel du même jour à 21h23, Mme [V] a informé la Banque populaire de ce qu’elle venait d’être victime d’une fraude et demandait le remboursement des virements litigieux.

Par lettre en date du 23 février 2023, la banque lui a notifié son refus qu’elle justifiait par le caractère authentique des paiements et la négligence grave de sa cliente. Elle a réitéré sa position par lettre du 13 avril 2023 en réponse à une mise en demeure du conseil de Mme [V] en date du 22 mars 2023.

C’est dans ce contexte que, par exploit de commissaire de justice du 25 octobre 2023, Mme [V] a fait assigner la Banque populaire devant le tribunal judiciaire de Paris aux fins de voir principalement cette dernière condamnée à lui rembourser la somme de 7.056,53 euros.

Aux termes de ses dernières conclusions signifiées le 27 juin 2025, aux visas des articles L.133-18, L.133-19 et L.133-23 du code monétaire et financier, 1231-1 et suivants du code civil, et 699 et 700 du code de procédure civile, il est demandé au tribunal de :

«  CONDAMNER la BANQUE POPULAIRE RIVES DE [Localité 7] à rembourser à Madame [Z] [V] la somme de 7.056, 53 €, cette somme produisant intérêts au taux légal majoré de quinze points en application de l’article L.133-18 du code monétaire et financier à compter de la mise en demeure du 22 mars 2023 ;

CONDAMNER la BANQUE POPULAIRE RIVES DE [Localité 7] à verser à Madame [Z] [V] la somme de 3.000 € en réparation de son préjudice moral ;

CONDAMNER la BANQUE POPULAIRE RIVES DE [Localité 7] à verser à Madame [Z] [V] la somme de 1.500 € pour sa résistance abusive à lui rembourser les sommes détournées ;

CONDAMNER la BANQUE POPULAIRE RIVES DE [Localité 7] à verser à Madame [Z] [V] la somme de 3.500 € au titre de l’article 700 du code de procédure civile et la condamner aux entiers dépens de l’instance. "

A l’appui de ses prétentions, Mme [V] soutient le caractère non autorisé des virements qu’elle a effectués et conclut à l’obligation de remboursement de l’établissement bancaire conformément aux dispositions des articles L.133-18, L.133-19 et L.133-23 du code monétaire et financier dès lors qu’elle a valablement informé la banque de la fraude dans le délai de treize mois prévu par l’article L.133-24 du même code et que cette dernière ne rapporte pas la preuve de l’absence de déficience technique de son système de sécurité, déficience qui, selon elle, a déjà été reconnue par le pôle 5 chambre 6 de la cour d’appel de Paris dans un arrêt du 7 février 2024 (n°21/17709) dans un cas similaire d’escroquerie au moyen de l’utilisation de la ligne téléphonique de l’établissement.

Elle conclut par ailleurs à l’absence de négligence grave de sa part, dont la charge de la preuve incombe à la banque, en ce que le SMS « Crit’ Air » qu’elle a reçu le 25 janvier 2023, et dont il n’est pas démontré qu’il est réellement à l’origine de la fraude, ne comportait aucun indice susceptible d’éveiller ses soupçons, et ce d’autant plus qu’il renvoyait sur le site internet « impôts.gouv.fr », précisant que la simple utilisation des données personnelles de l’utilisateur par un tiers est au demeurant insuffisante à caractériser la négligence grave.

Elle soutient également que la validation d’un nouveau bénéficiaire ne peut à elle seule caractériser une négligence grave, le critère de gravité devant être démontré et ne pouvant être constitué dans le cadre d’une escroquerie où le payeur a été trompé. Elle ajoute qu’il en est de même de l’exécution des virements par la victime sous l’emprise du fraudeur se présentant faussement comme un conseiller de la banque, l’appelant avec le numéro de celle-ci et lui fournissant des données personnelles, précisant que plusieurs décisions récentes ont écarté la négligence grave du client mis en confiance dans le cadre d’une escroquerie par téléphone avec usage du numéro de téléphone attribuée à son établissement bancaire.

Elle fait par ailleurs valoir que si elle reconnaît avoir procédé aux opérations litigieuses depuis son application mobile, la Banque populaire ne rapporte pas la preuve de la validation de ces opérations au moyen du système d’authentification renforcée « Secur’Pass », relevant que la défenderesse qui a affirmé une telle authentification dans une première réponse en date du 23 février 2023 ne l’a plus soutenue par la suite. Elle ajoute que l’examen de la pièce produite par la banque, intitulée « liste complète des opérations du 30.01.2023 », dont l’origine n’est pas précisée et dont elle remet en cause la force probante, échoue à rapporter une telle preuve pour chaque opération dès lors qu’une seule étape de connexion est rapportée à 19h23 pour l’ensemble des opérations, et ce pour un virement ayant échoué, et que les virements se succèdent sans être précédés des étapes d’identification et d’authentification « Secur’pass ».

Mme [V] sollicite en conséquence la condamnation de la banque à lui rembourser la somme en principal de 7.056,53 euros correspondant aux virements litigieux, assortie des intérêts au taux légal majoré de quinze points, en application de l’article L.133-18 du code monétaire et financier, à compter de la mise en demeure du 22 mars 2023. Elle réclame également la somme de 3.000 euros en réparation de son préjudice moral sur le fondement de la responsabilité civile contractuelle de la défenderesse, outre celle de 1.500 euros en raison de la résistance abusive de cette dernière à la rembourser.

Par dernières conclusions signifiées le 2 juin 2025, aux visas des articles L.133-18 à L.133-23 du code monétaire et financier, et 514-1 du code de procédure civile, la Banque populaire demande au tribunal de :

«  DEBOUTER Madame [Z] [V] de l’intégralité de ses prétentions, fins et moyens,

Subsidiairement et s’il était fait droit aux prétentions de Madame [V],

ECARTER l’exécution provisoire de la décision à intervenir,

En tout état de cause,

CONDAMNER Madame [V] à verser à la BANQUE POPULAIRE RIVES DE [Localité 7] la somme de 3 000 € au titre de l’article 700 du Code de procédure civile,

CONDAMNER Madame [V] aux entiers dépens de l’instance. "

La Banque populaire entend rappeler à titre liminaire que la « fraude au faux conseiller » suppose un acte préparatoire consistant pour le fraudeur à obtenir, par des méthodes diverses telles le phishing, la communication d’informations confidentielles avant d’amener la victime à valider les opérations via ses moyens d’authentification forte en la mettant en confiance, notamment en se faisant passer pour sa banque et en prétextant la détection d’opérations suspectes en cours. Elle précise qu’au cas particulier, Mme [V] a fait l’objet d’un hameçonnage, ce qu’elle reconnaît dans sa plainte, et pour lequel la banque ne peut être tenue pour responsable. Elle ajoute qu’il ne fait guère de doute que les opérations litigieuses ont été initiées avec la participation de la défenderesse qui les a validées via son système d’authentification forte, appelé « Secur’Pass » qui, conformément à la législation en vigueur issue des directives européennes, nécessite pour l’abonné la possession d’un appareil qui lui appartient et qui est déclaré en tant que téléphone sécurisé.

Elle conclut au rejet des prétentions de Mme [V] fondées sur le régime de la responsabilité contractuelle de droit commun qui n’est pas applicable en l’espèce, le régime de responsabilité des articles L.133-18 et suivants du code monétaire et financier, visé par la demanderesse elle-même, étant exclusif de tout autre régime de responsabilité.

Elle soutient par ailleurs que dans la mesure où les opérations litigieuses ont été autorisées, celles-ci ayant été déclenchées par la cliente et non un tiers, nonobstant la circonstance qu’elle a été trompée et a donné un ordre de virement ne correspondant pas à son intention, elle n’est soumise à aucune obligation de remboursement.

Si par extraordinaire le tribunal retenait le caractère non autorisé des opérations, la Banque populaire soutient que la demanderesse a commis une négligence grave faisant obstacle à son droit au remboursement des opérations litigieuses. Elle fait ainsi grief à Mme [V] d’avoir suivi les instructions du fraudeur alors que celui-ci l’a contactée avec un numéro de téléphone portable un lundi soir à 19 heures, précisant qu’il n’est pas rapporté la preuve que le fraudeur l’aurait ensuite rappelée avec le numéro fixe [XXXXXXXX01], cet élément ne résultant pas du relevé des appels téléphoniques qu’elle produit, pas plus que de la capture d’écran de son téléphone portable sur laquelle n’apparaissent ni le jour des appels, ni leur nature (entrants ou sortants). Elle ajoute que Mme [V] a ainsi été négligente en ajoutant comme bénéficiaire un compte dont elle s’est aperçue qu’il était domicilié dans un autre établissement (Boursorama) et vers lequel, alors qu’elle n’en était pas titulaire, elle a procédé à six virements, sans réagir aux messages de rejet qui s’en sont suivis pour trois d’entre eux. Elle relève également que la demanderesse ne s’est pas interrogée sur ces virements alors que dans le même temps, le fraudeur lui demandait de procéder à des virements de compte à compte internes pour sécuriser ses fonds, lesquels démontraient l’inutilité de ceux effectués vers un compte externe. Elle souligne également la négligence de la demanderesse qui, antérieurement aux faits, a cliqué sur le lien d’un SMS frauduleux sans vérifier l’adresse du site web vers lequel elle a été dirigée et qui a permis la captation de ses données personnelles en amont de l’escroquerie. Elle conclut en conséquence à l’absence d’obligation de remboursement de sa part, précisant par ailleurs, que dès décembre 2021, elle a diffusé un courriel de vigilance auprès de sa clientèle sur ce type de fraude.

Elle soutient que Mme [V] ne peut se prévaloir de la solution retenue par la chambre commerciale de la Cour de cassation dans une décision du 23 octobre 2024 écartant la négligence grave de la victime d’une escroquerie de type « spoofing », s’agissant d’un arrêt d’espèce impliquant par ailleurs une fraude plus sophistiquée que celle dont elle a été victime et au cours de laquelle le client de l’établissement bancaire n’a effectué aucune opération de manière active.

Elle ajoute que l’absence d’authentification forte soutenue par la demanderesse est contredite par le fichier qu’elle produit et qui permet de relier chaque opération à une authentification de l’utilisateur du service de paiement.

Elle fait valoir que Mme [V] ne rapporte pas non plus la preuve de l’existence d’une déficience technique de ses services et donc de son piratage par un individu malveillant, mais qu’au contraire, il résulte de ses explications et de l’extrait de la page internet du site « cybermalveillance.gouv.fr » que ses données personnelles ont été captées dans le cadre d’un hameçonnage à la vignette « Crit’Air ».

Elle ajoute qu’à supposer que le fraudeur ait contacté Mme [V] avec un numéro correspondant à une de ses lignes, la jurisprudence a eu l’occasion, à plusieurs reprises, d’exonérer la banque de toute responsabilité en raison de la négligence grave du payeur.

Elle conclut en conséquence au rejet des demandes indemnitaires, en ce compris celles formulées au titre du préjudice moral et d’une prétendue réticence abusive qui, selon elle, ne sont pas démontrés.

Enfin, à titre subsidiaire, elle sollicite que l’exécution provisoire soit écartée en cas de condamnation prononcée à son encontre au regard du contexte de la disparition des fonds qui n’a pas encore été éclairci.

Conformément aux dispositions de l’article 455 du code de procédure civile, il est renvoyé aux dernières écritures des parties pour l’exposé des moyens et arguments venant au soutien de leurs demandes.

La clôture de l’instruction a été prononcée le 9 juillet 2025. L’affaire a été évoquée à l’audience de plaidoiries tenue en juge rapporteur du 1er octobre 2025 et mise en délibéré au 26 novembre 2025.

MOTIFS DE LA DÉCISION

1 – Sur l’obligation de remboursement de la banque

Une opération de paiement n’est autorisée au sens des articles L.133-3 et L.133-6 du code monétaire et financier que si le payeur l’a initiée et a consenti au montant de l’opération et au bénéficiaire.

Par ailleurs, l’article L.133-21 du même code prévoit qu’une opération est dite mal exécutée du fait d’une erreur du client dans la fourniture de l’IBAN concernant un virement sollicité. Un virement doit dès lors être qualifié d’opération mal exécutée lorsque l’altération de l’IBAN est antérieure à sa transmission au prestataire chargé d’exécuter l’ordre. Entre notamment dans cette catégorie l’hypothèse où le client s’est vu remettre un IBAN par un escroc se faisant passer pour quelqu’un d’autre. La banque qui a exécuté l’ordre de paiement conformément à l’identifiant unique communiqué par le client ne peut ainsi être tenue pour responsable si cet identifiant est inexact, et ce, même si d’autres informations lui sont fournies. Cette irresponsabilité civile profite tant au prestataire de services de paiement du payeur qu’à celui du bénéficiaire, l’article L.133-21, alinéa 2 précité n’opérant sur ce point aucune distinction. De plus, dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L.133-18 à L.133-24 du code monétaire et financier qui transposent les articles 58, 59 et 60, § 1, de la directive 2007/64/CE, tout autre régime alternatif de responsabilité résultant du droit national devant être écarté.

En l’espèce, les relevés des opérations CyberPlus et la liste informatique des opérations réalisées le 30 janvier 2023 sur le compte de Mme [V] versés aux débats par la Banque populaire font apparaître que les opérations frauduleuses ont toutes été ordonnées et validées entre 18h58 et 19h38 par authentification « Secur’pass » depuis la même adresse IP (176.133.178.213) et au moyen du même appareil Bouygues télécom dont il n’est pas discuté qu’ils appartiennent tous deux à la demanderesse.

Plus particulièrement, après une première connexion à 18h58 sur l’espace en ligne de la banque, il est mentionné que chaque opération a fait l’objet d’une authentification forte.

La demanderesse ne saurait tirer argument du fait qu’il n’y ait qu’une seule connexion, dès lors que celle-ci permet seulement d’accéder à l’espace en ligne depuis lequel ont été ensuite ordonnées les opérations litigieuses, lesquelles ont en revanche été précédées d’une identification et d’une authentification pour chacune d’entre elles.

Ces relevés du système informatique de la Banque populaire doivent être regardés comme un commencement de preuve dès lors que, d’une part, la partie adverse dispose de toute latitude pour en contester les termes et que, d’autre part, il s’agit des seuls documents justificatifs dont peut valablement disposer l’établissement bancaire. Dénier toute valeur probante, même relative, aux pièces fournies par l’établissement bancaire reviendrait, de fait, à priver ce dernier de toute possibilité de prouver l’authentification et l’enregistrement des opérations litigieuses.

Ces documents ne contredisent pas les déclarations de la demanderesse qui, aux termes de sa plainte, reconnaît avoir suivi les instructions de son interlocuteur et avoir validé l’ensemble des opérations et donc, implicitement, avoir suivi la procédure d’authentification forte pour ces opérations.

Il résulte de ces éléments que le système de sécurisation de l’espace en ligne n’était pas affecté d’une déficience technique, sauf à ce que la demanderesse rapporte la preuve contraire, ce qu’elle ne fait pas au cas particulier.

De plus, Mme [V] reconnaît avoir seule, sur les instructions du fraudeur, initié et validé les opérations litigieuses, d’une part, en enregistrant l’IBAN communiqué par son interlocuteur qui lui a fait croire qu’il s’agissait des coordonnées d’un compte ouvert à son nom vers lequel ses fonds seraient transférés et, d’autre part, en donnant les ordres de virement via son application « Secur’Pass ».

En réalité, les virements litigieux doivent être qualifiés d’opérations mal exécutées en ce qu’ils ont été ordonnés par Mme [V] sur la base d’un IBAN remis par un fraudeur qui s’est fait passer pour quelqu’un d’autre et ce, avant que les ordres ne soient donnés à la banque, laquelle devait exécuter les ordres de paiement conformément à l’identifiant unique communiqué par sa cliente.

En conséquence, l’établissement bancaire ne peut être tenu pour responsable.

Mme [V] ne peut dès lors qu’être déboutée de sa demande de remboursement.

2 – Sur les autres demandes indemnitaires

L’article L.133-21 du code monétaire et financier est exclusif de tout autre régime alternatif de responsabilité.

En conséquence, Mme [V] est déboutée de ses demandes formées au titre du préjudice moral et de la résistance abusive.

3 – Sur les autres demandes

3.1 – Sur les frais du procès

Mme [V] qui succombe est condamnée aux dépens ainsi qu’à payer à la banque la somme de 1.500 euros sur le fondement de l’article 700 du code de procédure civile.

3.2 – Sur l’exécution provisoire

La présente décision est revêtue de droit de l’exécution provisoire conformément aux dispositions de l’article 514 du code de procédure civile dans sa version applicable en l’espèce, l’instance ayant été introduite postérieurement au 31 décembre 2019.

L’issue donnée au litige commande d’écarter l’exécution provisoire.

PAR CES MOTIFS

Le tribunal, statuant publiquement, contradictoirement et en premier ressort, par mise à disposition au greffe,

DEBOUTE Mme [Z] [V] de ses demandes ;

CONDAMNE Mme [Z] [V] aux dépens ;

CONDAMNE Mme [Z] [V] à payer à la SA Banque populaire rives de [Localité 7] la somme de 1.500 euros sur le fondement de l’article 700 du code de procédure civile ;

ECARTE l’éxécution provisoire de droit.

Fait et jugé à [Localité 7] le 26 novembre 2025.

LA GREFFIÈRE LE PRÉSIDENT