TRIBUNAL

JUDICIAIRE

DE [Localité 5] [1]

[1]

Expéditions

délivrées le:

à

M^e FRERING

Me [Localité 6]

■

9ème chambre 2ème section

N° RG 24/15393 – N° Portalis 352J-W-B7I-C6Q5P

N° MINUTE :

Assignation du :

17 Décembre 2024

JUGEMENT

rendu le 14 Janvier 2026

DEMANDEUR

Monsieur [N] [E]

[Adresse 3]

[Localité 1]

représenté par Maître Xavier FRERING de la SELARL CAUSIDICOR, avocats au barreau de PARIS, vestiaire #J0133

DÉFENDERESSE

S.A. BNP PARIBAS

[Adresse 2]

[Localité 4]

représentée par Maître Dominique PENIN du PARTNERSHIPS MORGAN LEWIS & BOCKIUS UK LLP, avocats au barreau de PARIS, vestiaire #J11

Décision du 14 Janvier 2026

9ème chambre 2ème section

N° RG 24/15393 – N° Portalis 352J-W-B7I-C6Q5P

COMPOSITION DU TRIBUNAL

Gilles MALFRE, 1er Vice-Président adjoint

Augustin BOUJEKA, Vice-Président

Alexandre PARASTATIDIS, Juge

assistés de Diane FARIN, Greffière.

DÉBATS

A l’audience du 29 octobre 2025 tenue en audience publique devant Alexandre PARASTATIDIS, juge rapporteur, qui, sans opposition des avocats, a tenu seul l’audience, et, après avoir entendu les conseils des parties, en a rendu compte au Tribunal, conformément aux dispositions de l’article 805 du Code de Procédure Civile. Avis a été donné aux avocats que la décision serait rendue le 14 janvier 2026.

JUGEMENT

Rendu publiquement par mise à disposition au greffe

Contradictoire

En premier ressort

FAITS ET PROCEDURE

M. [N] [E], qui est titulaire d’un compte bancaire ouvert dans les livres de la société Hello Bank, la banque digitalisée de la SA BNP Paribas, a contesté auprès de cette dernière, par une réclamation en date du 29 juin 2024, réitérée par lettre de son conseil en date du 17 juillet suivant, deux achats par carte bancaire validés par clé digitale le 26 juin 2024 à 21h37 et 21h43 pour les sommes de 9.205,82 euros et 5.034,55 euros, soit un montant total de 14.240,37 euros débité le 27 juin, qu’il a également signalés par deux plaintes en ligne sur le site PERCEVAL.

La BNP Paribas n’a pas fait droit à sa demande de remboursement mais a néanmoins proposé un geste commercial de 1.500 euros que M. [E] a refusé.

Une procédure de conciliation a été tentée sans succès.

C’est dans ce contexte que, par exploit de commissaire de justice du 17 décembre 2024, M. [E] a fait assigner la BNP Paribas devant le tribunal judiciaire de Paris en recherche de sa responsabilité. Aux termes de ses dernières conclusions signifiées le 7 août 2025, il est demandé au tribunal de :

«  CONDAMNER BNP Paribas à indemniser les préjudices subis par Monsieur [N] [E], soit à payer la somme de 14 240,37€,

JUGER que la somme produira intérêt depuis la date de l’assignation,

CONDAMNER BNP PARIBAS à payer à Monsieur [N] [E] la somme de 5000€ en réparation du préjudice moral.

CONDAMNER BNP PARIBAS à payer à Monsieur [N] [E] la somme de 3000€ au titre de l’article 700 du Code de procédure civile.

CONDAMNER BNP PARIBAS aux entiers dépens dont distraction au profit de l’avocat constitué."

A l’appui de ses prétentions, M. [E] expose avoir renseigné ses coordonnées bancaires sur un site qu’il pensait être celui de l’assurance maladie le 25 juin 2024. Il indique que le 27 juin suivant, il a été contacté téléphoniquement par un prétendu membre de la « sécurité de BNP Paribas », lequel prétextant deux virements frauduleux en cours sur son compte l’a convaincu d’effectuer des manipulations via l’application de la banque qui devaient permettre le blocage des opérations. Il ajoute avoir découvert le 28 juin qu’en réalité les opérations avaient été portées au débit de son compte, et ce malgré le signalement qu’il avait effectué auprès de la banque sur le caractère frauduleux de l’appel.

Il fait dès lors valoir le caractère non autorisé des opérations litigieuses qu’il reconnaît avoir validées mais dans un contexte de fraude qui écarte, selon lui, tout consentement de sa part sur leur montant et leur nature dans les conditions prévues avec la banque, rappelant que le simple usage d’un instrument d’authentification ne vaut pas autorisation juridiquement lorsque le consentement du titulaire a été vicié par la tromperie d’un tiers.

Invoquant les dispositions de l’article L.133-18 du code monétaire et financier qui, selon lui, sont les seules applicables en l’espèce, M. [E] soutient que la banque est dans l’obligation de le rembourser en l’absence de négligence grave pouvant lui être reprochée alors qu’il a été victime d’une fraude de type spoofing rendue possible par des failles systémiques de la défenderesse qui ont permis aux fraudeurs de le mettre en confiance et d’altérer sa vigilance. Il affirme par ailleurs, nonobstant ce contexte, n’avoir jamais divulgué ses données de sécurité ni partagé l’accès à son dispositif clé digitale.

Il fait également grief à la banque de ne pas, d’une part, démontrer les diligences précises qu’elle a mis en œuvre après l’alerte qu’il a faite auprès de ses services le 28 juin 2024 à 8h06 et, d’autre part, donner la raison pour laquelle une seule des trois opérations frauduleuses qu’il a signalées a pu être bloquée, précisant que la défenderesse ne peut lui opposer sa propre négligence grave qu’après avoir rapporté la triple démonstration que les opérations ont été authentifiées, dûment enregistrées et comptabilisées, et qu’elles n’ont pas été affectées par une déficience technique ou autre, ce qu’au cas particulier, elle ne fait pas.

Il sollicite dès lors la condamnation de la BNP Paribas à lui payer la somme de 14.240,37 euros en réparation de son préjudice matériel ainsi que celle de 5.000 euros en réparation de son préjudice moral.

Par dernières conclusions signifiées le 18 avril 2025, la BNP Paribas demande au tribunal de :

«  Débouter Monsieur [E] de l’intégralité de les demandes à toutes fins qu’elles comportent.

Ecarter l’exécution provisoire de la décision à intervenir.

Condamner Monsieur [E] à verser à BNP Paribas la somme de 3.500 € au titre de l’article 700 du Code de procédure civile ainsi qu’aux entiers dépens. "

A l’appui de ses prétentions, la défenderesse expose que M. [E] a fait un signalement par un appel passé à ses services le 28 juin 2024 à 8h06 au cours duquel il a expliqué avoir été contacté par un prétendu conseiller de la SA Société générale, et non de la BNP Paribas, précisant que son interlocuteur lui a indiqué qu’un accord existait entre les deux banques, et que malgré cette incohérence, il a suivi les instructions d’un tiers qui l’a amené à valider des notifications portant sur les opérations litigieuses, et ce dans le cadre d’une escroquerie de type « vishing » et non « spoofing », aucun élément n’étant rapporté sur le numéro utilisé par le fraudeur.

Elle ajoute qu’à supposer que le contexte de spoofing soit démontré, M. [E] ne saurait se prévaloir de la solution retenue par la Cour de cassation dans un arrêt du 23 octobre 2024 qui n’a pas retenu la négligence grave du client victime de telles manœuvres après une analyse des circonstances de l’espèce particulières, rappelant que les faits étaient antérieurs à la loi n°2020-901 du 24 juillet 2020, dite Naegelen, qui a été adoptée pour lutter contre le spoofing, et sont intervenus à une période où les utilisateurs n’étaient pas encore sensibilisés sur les risques et modes opératoires en matière de fraude, précisant avoir elle-même alerté ses clients sur le risque de spoofing à compter de décembre 2022 via son site internet.

La banque relève ainsi que les relevés télématiques qu’elle produits et l’aveu même du demandeur lors des appels à ses services, démontrent le rôle actif de ce dernier qui a accepté de concourir à la validation des achats litigieux en utilisant la clé digitale enrôlée sur son téléphone portable, qu’il est le seul à posséder, après qu’une notification l’invitant à valider ou à annuler une opération dont le détail était fourni (nature de l’opération, nom du site marchand et montant de l’achat à valider ou à annuler) ait été envoyée sur cet appareil et qu’il ait confirmé son choix par la composition d’un code secret qu’il est seul à connaître, précisant que ce système répond aux exigences de l’authentification forte assurant la sécurité des paiements en ligne.

Elle soutient dès lors qu’il convient de l’exonérer de son obligation de remboursement en raison des négligences graves commises par M. [E], relevant par ailleurs que ce dernier n’a procédé à aucune démarche vis-à-vis des commerçants pour signaler la fraude et obtenir le remboursement des paiements faits par erreur, ce qui aurait pu limiter son dommage.

La BNP Paribas conclut par ailleurs à l’impossibilité pour M. [E] d’obtenir l’indemnisation d’un préjudice moral, dont elle relève qu’il n’est justifié par aucun élément probant, le régime de responsabilité des prestataires de services de paiements à l’égard de l’utilisateur en cas d’opérations non autorisées prévu par le code monétaire et financier étant exclusif de tout autre régime de responsabilité.

Conformément aux dispositions de l’article 455 du code de procédure civile, il est renvoyé aux dernières écritures des parties pour l’exposé des moyens et arguments venant au soutien de leurs prétentions.

La clôture de l’instruction a été prononcée le 17 septembre 2025. L’affaire a été évoquée à l’audience de plaidoiries tenue en juge rapporteur du 29 octobre 2025 et mise en délibéré au 14 janvier 2026.

MOTIFS DE LA DÉCISION

1 – Sur l’obligation de remboursement

Une opération de paiement n’est autorisée au sens des articles L.133-3 et L.133-6 du code monétaire et financier que si le payeur l’a initiée et a consenti au montant de l’opération et au bénéficiaire.

En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les délais prévus par l’article L.133-24 du même code, le prestataire de services de paiement du payeur rembourse à ce dernier le montant de l’opération non autorisée, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement.

Dans cette hypothèse, il incombe au prestataire de paiement de prouver que l’opération litigieuse a été effectuée après une authentification forte, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre, l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement, à savoir l’utilisation des identifiants du client et l’absence de déficience technique ou autre, notamment par le biais de la production d’un relevé de ses connexions, ne suffisant pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur.

Par ailleurs, la responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à son insu, l’instrument de paiement ou les données qui lui sont liées. Cependant, il supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’agissements frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17 du code précité.

Ainsi, pour échapper au remboursement de l’opération, le prestataire de services de paiement doit démontrer, soit que l’ordre émanait bel et bien du client dûment authentifié dans son espace personnel, soit que le vol des identifiants de connexion (ou d’autres données) n’est que la conséquence d’une faute grave de sa part consistant à ne pas avoir satisfait intentionnellement aux obligations lui incombant en la matière ou à les avoir gravement négligées.

Enfin, dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L.133-18 à L.133-24 du code monétaire et financier qui transposent les articles 58, 59 et 60, § 1, de la directive 2007/64/CE, tout autre régime alternatif de responsabilité résultant du droit national devant être écarté.

En l’espèce, la BNP Paribas verse aux débats d’une part, les traces informatiques des opérations au cours de la période litigieuse et, d’autre part, les enregistrements audio des appels passés par le demandeur à ses services le 28 juin 2024 à 8h06 puis à 12h12.

Le relevé informatique doit être regardé comme un commencement de preuve dès lors que, d’une part, la partie adverse dispose de toute latitude pour en contester les termes et que, d’autre part, il s’agit du seul document justificatif dont peut valablement disposer l’établissement bancaire. Dénier toute valeur probante, même relative, aux pièces fournies par l’établissement bancaire reviendrait, de fait, à priver ce dernier de toute possibilité de prouver l’authentification et l’enregistrement des opérations litigieuses.

Il ressort tout d’abord de ce document que les deux opérations contestées ont été réalisées le 26 juin 2024 à 21h37 et 21h43 et ont été enregistrées comme ayant fait l’objet d’une authentification forte via la clé digitale enrôlée sur le téléphone mobile de M. [E], ce que ce dernier ne conteste pas aux termes de ses écritures, dès lors qu’il reconnaît avoir suivi les instructions de son interlocuteur qui lui a demandé de « se connecter sur son compte bancaire via son application pour que ces montants lui soient recrédités ».

Par ailleurs, le demandeur admet également avoir été victime quelques jours plus tôt d’un hameçonnage en voulant mettre à jour sa carte vitale et avoir ainsi renseigné ses coordonnées bancaires sur un site qu’il pensait être celui de l’assurance maladie, faisant ainsi implicitement le lien entre les deux évènements.

Il résulte de ces éléments que le fraudeur a pu initier les deux paiements litigieux en renseignant en ligne les informations concernant la carte bancaire de M. [E] obtenus quelques jours plus tôt et qu’ensuite, ce dernier a validé les opérations en recevant sur son téléphone mobile les notifications adressées par sa banque.

Il convient dès lors de considérer que les opérations litigieuses ont fait l’objet d’une authentification forte depuis l’appareil de sécurité de M. [E] qui a toujours été en la possession de ce dernier.

Il ressort de ces éléments que la banque rapporte la preuve que les deux paiements en ligne litigieux ont été authentifiés par le demandeur, dûment enregistrés et comptabilisés et n’ont pas été affectés par une déficience technique ou autre, aucun élément en ce sens n’étant produit par M. [E].

Cependant, il ne peut se déduire du seul fait que l’instrument de paiement et/ou les données personnelles qui lui sont liées ont été effectivement utilisés qu’en l’espèce, M. [E] a autorisé les opérations contestées dès lors que ce dernier a été trompé dans le cadre de la fraude qu’il dénonce et n’a pas ainsi consenti à la nature de l’opération, pensant donner son accord à une opération de crédit à son profit et non de débit.

Ainsi, en présence d’opérations non autorisées au sens des articles L.133-3 et L.133-6 du code monétaire et financier, il convient de rechercher si le demandeur peut se voir reprocher une négligence grave au sens des articles L.133-16 et suivants du code monétaire et financier faisant obstacle à son indemnisation, étant rappelé que le régime de responsabilité s’appliquant aux opérations non autorisées énoncé par ces articles est exclusif de tout autre régime de responsabilité, notamment sur le fondement d’un manquement à l’obligation générale de vigilance.

Au cas particulier, M. [E] conteste avoir communiqué des données de sécurité personnelles relatives à son espace en ligne et/ou à sa carte bancaire. Il reconnaît néanmoins avoir communiqué par négligence ses données bancaires dans le cadre d’un phishing dans les jours précédant les paiements litigieux et ne conteste pas le lien de causalité qui peut être établi avec la fraude au faux conseiller dont il a été victime.

Cependant, la victime de phishing ne peut se voir reprocher une négligence grave au sens de l’article L.133-19 IV du code monétaire et financier en l’absence d’autres éléments caractérisant une imprudence ou un manquement intentionnel à ses obligations de sécurité. Il incombe à la banque de rapporter la preuve de tels éléments qui sont soumis au juge dans le cadre d’une appréciation circonstanciée et objective du comportement du client.

Le tribunal relève tout d’abord que si M. [E] entend invoquer à son bénéfice un arrêt de la chambre commerciale de la Cour de cassation du 23 octobre 2024 (pourvoi n°23-16.267), il ne rapporte pas la preuve du numéro d’appel utilisé par le fraudeur et donc d’avoir été victime d’une escroquerie de type « spoofing ». M. [E] ne saurait dès lors se prévaloir de la solution adoptée par la Cour de cassation dans l’arrêt précité dont les faits d’espèce diffèrent en ce que le client avait été contacté avec le numéro de téléphone affiché de sa conseillère clientèle.

De plus, la banque verse aux débats les enregistrements audio des appels de M. [E] à ses services aux termes desquels il a indiqué que le fraudeur s’était présenté à lui comme un préposé de la Société générale, et non de la BNP Paribas, se prévalant d’un accord entre les banques pour justifier l’incohérence de son propos.

Cette seule circonstance était de nature à alerter le demandeur, lequel ne conteste pas l’authenticité des propos qui lui sont attribués, sur la nature frauduleuse de l’appel, et ce d’autant plus qu’il avait été victime deux jours auparavant d’un hameçonnage de ses données bancaires.

Au regard des éléments exposés ci-avant et des opérations ressortant du relevé informatique produit par la banque, les instructions données par le fraudeur ne pouvaient consister qu’en la validation des paiements par carte aujourd’hui contestés.

Or, en suivant les instruction d’un tiers dont il ne démontre pas avoir vérifié la qualité, M. [E] a fait preuve d’une négligence compromettant la sécurité de ses données de sécurité personnalisées et revêtant ainsi un caractère grave au sens de l’article L.133-19 IV qui prive le demandeur de son droit à remboursement.

Enfin, si M. [E] fait grief à la banque de ne pas démontrer les diligences effectuées pour bloquer et récupérer les fonds, il ne démontre pas l’existence d’une troisième opération frauduleuse qui aurait été bloquée par la BNP Paribas et qui démontrerait un manque de diligence de la banque s’agissant des deux paiements litigieux, étant rappelé qu’un acte de paiement par carte bancaire est irrévocable. Il ne démontre pas plus avoir formé une demande de retour des fonds auprès de sa banque.

En conséquence, M. [E] est débouté de sa demande de remboursement.

2 – Sur les autres demandes indemnitaires

Compte tenu de l’absence d’obligation de remboursement pesant sur la banque, M. [E] est débouté de sa demande de dommages-intérêts pour préjudice moral.

3 – Sur les autres demandes

3.1 – Sur les frais du procès

Le demandeur qui succombe est condamné aux dépens ainsi qu’à payer à la défenderesse la somme de 2.000 euros sur le fondement de l’article 700 du code de procédure civile.

3.2 – Sur l’exécution provisoire

La présente décision est revêtue de droit de l’exécution provisoire conformément aux dispositions de l’article 514 du code de procédure civile dans sa version applicable en l’espèce, l’instance ayant été introduite postérieurement au 31 décembre 2019.

Cependant, l’issue donnée au litige commande d’écarter l’exécution provisoire.

PAR CES MOTIFS

Le tribunal, statuant publiquement, contradictoirement et en premier ressort, par mise à disposition au greffe,

DEBOUTE M. [N] [E] de ses demandes ;

CONDAMNE M. [N] [E] aux dépens ;

CONDAMNE M. [N] [E] à payer à la SA BNP Paribas la somme de 2.000 euros sur le fondement de l’article 700 du code de procédure civile ;

ECARTE l’exécution provisoire de droit.

Fait et jugé à [Localité 5] le 14 Janvier 2026

LA GREFFIÈRE LE PRÉSIDENT