TRIBUNAL

JUDICIAIRE

DE [Localité 1] [1]

[1]

Expéditions

délivrées le:

à

M^e PELPEL

M^e METAIS

■

9ème chambre 2ème section

N° RG 25/03232 – N° Portalis 352J-W-B7J-C7FZK

N° MINUTE :

Assignation du :

28 Février 2025

JUGEMENT

rendu le 18 Février 2026

DEMANDEURS

Monsieur [Z] [O]

[Adresse 1]

[Localité 2]

représenté par Maître Arnaud PELPEL, avocat au barreau de PARIS, vestiaire #E1668

Madame [I] [O]

[Adresse 1]

[Localité 2]

représentée par Maître Arnaud PELPEL, avocat au barreau de PARIS, vestiaire #E1668

DÉFENDERESSE

S.A. BNP Paribas

[Adresse 2]

[Localité 3]

représentée par Maître Philippe METAIS du PARTNERSHIPS BRYAN CAVE LEIGHTON PAISNER (France) LLP, avocats au barreau de PARIS, vestiaire #R030

Décision du 18 Février 2026

9ème chambre 2ème section

N° RG 25/03232 – N° Portalis 352J-W-B7J-C7FZK

COMPOSITION DU TRIBUNAL

Gilles MALFRE, 1er Vice-Président adjoint

Augustin BOUJEKA, Vice-Président

Alexandre PARASTATIDIS, Juge

assistés de Diane FARIN, Greffière.

DÉBATS

A l’audience du 17 décembre 2025 tenue en audience publique devant Alexandre PARASTATIDIS, juge rapporteur, qui, sans opposition des avocats, a tenu seul l’audience, et, après avoir entendu les conseils des parties, en a rendu compte au Tribunal, conformément aux dispositions de l’article 805 du Code de Procédure Civile. Avis a été donné aux avocats que la décision serait rendue le 18 février 2026.

JUGEMENT

Rendu publiquement par mise à disposition au greffe

Contradictoire

En premier ressort

FAITS ET PROCEDURE

Aux termes d’une plainte déposée le 24 décembre 2024 du chef d’escroquerie auprès du commissariat de police de [Localité 4] (94), M. [Z] [O] a déclaré avoir reçu le 20 décembre 2024 vers 19h00 un appel téléphonique d’un homme disant être du service anti-fraude de la SA BNP Paribas et prétendant que des retraits frauduleux étaient en cours de débit sur le compte commun dont il est titulaire avec son épouse dans cet établissement. Il expliquait que l’individu connaissait les dernières opérations effectuées sur ce compte et lui demandait d’effectuer des manipulations bancaires afin de valider, selon ses dires, des refus de débits bancaires frauduleux venant de Pologne. L’individu indiquait également mettre en opposition rapidement les deux cartes bancaires du couple. M. [O] précisait que son interlocuteur, dont le numéro ne s’était pas affiché, avait raccroché vers 20h00. Il ajoutait avoir ensuite constaté sur son compte bancaire deux retraits frauduleux de 3.788.42 euros et 10.309.10 euros effectués avec sa carte et un retrait frauduleux d’un montant de 2.866.14 euros réalisé avec celle de son épouse, précisant que les deux cartes étaient néanmoins toujours en leur possession. Il faisait état d’un préjudice total de l6.963.66 euros.

Le même jour, M. [O] a sollicité le remboursement des trois opérations litigieuses auprès de la BNP Paribas qui, par lettre du 24 décembre 2024, l’a informé ne pas pouvoir faire droit à sa demande de remboursement concernant les deux paiements effectués avec sa carte bancaire, ceux-ci ayant été autorisés au moyen de la clé digitale enregistrée sur son appareil de confiance.

Par lettre en date du 21 janvier 2025, M. [O] a réitéré sa demande, laquelle a fait l’objet d’un nouveau refus de la banque par réponse en date du 29 janvier 2025.

C’est dans ce contexte que, par exploit de commissaire de justice du 28 février 2025, constituant leurs seules écritures, M. [O] et son épouse, Mme [I] [O], ont fait assigner la BNP Paribas devant le tribunal judiciaire de Paris auquel, aux visas des articles L.133-3, L.133-18, L.133-19, et L.133-24 du code monétaire et financier, et 700 du code de procédure civile, il est demandé de :

«  Condamner la BNP Paribas à verser aux époux [O] la somme de 16.963,66 euros, sous astreinte de 100 euros par jour de retard, à compter du 10ème jour suivant la signification du jugement à intervenir,

Condamner la BNP Paribas à verser aux époux [O] et Monsieur [Z] [O] la somme de 5.000 euros au titre de l’article 700 du code de procédure civile. "

A l’appui de leurs prétentions, invoquant les dispositions des articles L.133-16 et suivants du code monétaire et financier, les époux [O] font valoir qu’ils ont été victimes d’une escroquerie rendue possible par l’insuffisante sécurisation du système informatique de la banque qui a permis au fraudeur d’avoir connaissance des dernières opérations réalisées sur leur compte bancaire et donc de s’en prévaloir pour gagner leur confiance et les amener à suivre ses instructions. Les demandeurs précisent néanmoins que M. [O] n’a, à aucun moment, communiqué son numéro de client ni les coordonnées de son compte ou celles de sa carte bancaire. Ils ajoutent avoir fait opposition sur leurs cartes bancaires le 23 décembre 2024 par téléphone. Ils font dès lors valoir le caractère non autorisé des opérations litigieuses et l’absence de négligence de leur part pour réclamer la condamnation de la banque à les rembourser de l’intégralité de leur préjudice financier, et ce sous astreinte.

Par dernières conclusions signifiées le 24 septembre 2025, aux visas des articles L.133-4, L.133-16 et suivants, et L.133-44 du code monétaire et financier, des directives (CE) 2007/64/CE du 13 novembre 2007 (« DSP 1 ») et (UE) 2015/366 du Parlement européen et du Conseil du 25 novembre 2015 (« DSP 2 ») concernant les services de paiement dans le marché intérieur, et des articles 696 et 700 du code de procédure civile, la BNP Paribas demande au tribunal de :

«  Juger que les transactions litigieuses ont été dûment authentifiées et que BNP Paribas a parfaitement respecté ses obligations en matière de sécurisation des instruments de paiement de Monsieur et Madame [O];

Juger que Monsieur et Madame [O] ont commis une négligence grave au sens de l’article L.133-19, IV. du Code monétaire et financier;

En conséquence,

Débouter Monsieur et Madame [O] de leur demande de remboursement des opérations litigieuses à hauteur de 16.963,66 euros;

Débouter Monsieur et Madame [O] de leur demande d’astreinte à hauteur de 100 euros par jour de retard à compter du 10ème jour suivant la signification de la décision à intervenir ;

Débouter Monsieur et Madame [O] de l’intégralité de leurs demandes, fins et conclusions à l’encontre de BNP Paribas ;

Condamner in solidum Monsieur et Madame [O] à verser à BNP Paribas la somme de 2.500,00 euros au titre de l’article 700 du Code de procédure civile et aux entiers dépens ;

Ecarter l’exécution provisoire de la décision à intervenir. "

A l’appui de ses prétentions, la BNP Paribas expose que les époux [O] sont cotitulaires d’un compte chèque ouvert dans ses livres auquel sont rattachées deux cartes bancaires et qu’ils disposent d’un espace en ligne dont l’accès nécessite la connaissance et la saisie d’un identifiant et d’un mot de passe connus seulement d’eux. Elle ajoute que M. [O] est utilisateur d’une clé digitale permettant une authentification forte des opérations en ligne, laquelle est installée sur son seul appareil mobile depuis le 31 décembre 2023.

Elle indique par ailleurs que les opérations litigieuses, qui ont été chacune validées au moyen de la clé digitale, sont les suivantes :

— Un premier paiement de 10.309,10 euros auprès de « Trip.com » réalisé à 19h56 au moyen de la carte Visa Premier ;

— Un deuxième paiement de 3.788,42 euros auprès de « Trip.com » réalisé à 20h08 au moyen de la carte Visa Premier ;

— Un troisième paiement de 2.866,14 euros auprès de « Trip.com » réalisé à 20h32 au moyen de la carte Visa Classic.

Elle soutient tout d’abord que M. [O] n’a jamais fait état du numéro d’appel du fraudeur et qu’il ne peut dès lors être considéré que le couple a été victime d’une escroquerie au moyen de la technique dite de « spoofing ».

Elle fait ensuite valoir que les opérations litigieuses ont été effectuées au moyen des cartes bancaires des époux [O] dont les données (numéros, dates d’expiration, cryptogrammes visuels) ont été saisies sur le site marchand, ce qui implique que le fraudeur en a eu communication par les demandeurs, seuls détenteurs de ces informations. Elle ajoute que lesdits paiements, qui sont intervenus après que M. [O] a augmenté à 19h43 et 20h11 le plafond de paiement des deux cartes, ont fait l’objet d’une authentification forte au moyen de la clé digitale enregistrée sur le téléphone mobile de M. [O], et ce après la réception d’une notification pour chaque opération libellée « validation d’un achat en ligne » qui ne pouvait donc être comprise comme permettant de rejeter une opération. S’appuyant sur les traces informatiques qu’elle verse aux débats, lesquelles ne font pas état de la connexion d’un tiers à l’espace en ligne des époux [O], elle soutient que ces derniers ont eux-mêmes procédé aux augmentations de plafonds et que l’éventuel connaissance par le fraudeur des dernières opérations réalisées sur leur compte n’est donc pas révélatrice d’une quelconque intrusion dans son système, ces informations pouvant être récoltées sur un simple relevé de compte.

Se prévalant d’une décision du présent tribunal du 3 avril 2024 (n° RG 22/13778), elle soutient qu’en présence d’une opération validée au moyen d’un système d’authentification forte par M. [O] lui-même, serait-ce sur les instructions du fraudeur, l’hypothèse d’une déficience technique de son système de sécurisation doit être écartée.

Elle expose qu’au cas particulier, M. [O] reconnaît avoir validé chacun des paiements initiés par le fraudeur au moyen de la Clé Digitale au cours de leur conversation téléphonique, ce que corroborent les captures d’écran qu’elle produit dont le caractère probant est reconnu par la jurisprudence, et qu’ainsi, la concomitance entre l’appel du fraudeur et l’exécution d’opérations frauduleuses exclut l’hypothèse d’une déficience technique du système de sécurisation de l’espace en ligne des demandeurs.

Elle affirme que les trois transactions litigieuses ont donc été authentifiées, enregistrées, comptabilisées et n’ont été affectées d’aucune déficience technique et qu’elle démontre ainsi avoir parfaitement respecté ses obligations en matière de sécurisation des instruments de paiement des époux [O].

Elle fait ensuite grief aux demandeurs d’avoir commis plusieurs fautes caractérisant une négligence grave en ce qu’ils ont nécessairement, d’une part, divulgué, à l’occasion de l’appel ou antérieurement, même involontairement, les données confidentielles de leurs cartes bancaires que le fraudeur a utilisées pour passer les ordres d’achat et, d’autre part, validé les trois paiements alors qu’ils savaient ne pas être à l’origine de ces transactions, et ce sans s’interroger sur la nature et la cohérence des instructions formulées par un tiers les appelant depuis un numéro inconnu aux fins de « rejeter » de prétendues opérations. Elle affirme que les demandes de l’escroc auraient dû conduire les époux [O] à effectuer des vérifications, et ce d’autant plus qu’outre les alertes faites par les autorités publiques et ses propres services sur ce type d’escroquerie, elle a adressé à tous ses clients des courriels portant spécifiquement sur le risque de fraude au faux conseiller en 2022 et 2023.

Elle estime que les demandeurs ont ainsi commis plusieurs manquements graves qui ont conduit à la consommation de l’escroquerie et qui caractérisent une négligence grave, au sens des articles L.133-17 et suivants du code monétaire et financier, les privant de leur droit à obtenir le remboursement des opérations litigieuses.

Conformément aux dispositions de l’article 455 du code de procédure civile, il est renvoyé aux dernières écritures des parties pour l’exposé des moyens et arguments venant au soutien de leurs prétentions.

La clôture de l’instruction a été prononcée le 26 novembre 2025. L’affaire a été évoquée à l’audience de plaidoiries tenue en juge rapporteur du 17 décembre 2025 et mise en délibéré au 18 février 2026.

MOTIFS DE LA DÉCISION

1 – Sur l’obligation de remboursement

Une opération de paiement n’est autorisée au sens des articles L.133-3 et L.133-6 du code monétaire et financier que si le payeur l’a initiée et a consenti au montant de l’opération et au bénéficiaire.

En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les délais prévus par l’article L.133-24 du même code, le prestataire de services de paiement du payeur rembourse à ce dernier le montant de l’opération non autorisée, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement.

Dans cette hypothèse, il incombe au prestataire de paiement de prouver que l’opération litigieuse a été effectuée après une authentification forte, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre, l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement, à savoir l’utilisation des identifiants du client et l’absence de déficience technique ou autre, notamment par le biais de la production d’un relevé de ses connexions, ne suffisant pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur.

Par ailleurs, la responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à son insu, l’instrument de paiement ou les données qui lui sont liées. Cependant, il supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’agissements frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17 du code précité.

Ainsi, pour échapper au remboursement de l’opération, le prestataire de services de paiement doit démontrer, soit que l’ordre émanait bel et bien du client dûment authentifié dans son espace personnel, soit que le vol des identifiants de connexion (ou d’autres données) n’est que la conséquence d’une faute grave de sa part consistant à ne pas avoir satisfait intentionnellement aux obligations lui incombant en la matière ou à les avoir gravement négligées.

Enfin, dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L.133-18 à L.133-24 du code monétaire et financier qui transposent les articles 58, 59 et 60, § 1, de la directive 2007/64/CE, tout autre régime alternatif de responsabilité résultant du droit national devant être écarté.

En l’espèce, la BNP Paribas ne discute pas le contexte frauduleux relaté par les époux [O].

Par ailleurs, la banque verse aux débats les traces informatiques des opérations au cours de la période litigieuse.

Ce relevé informatique doit être regardé comme un commencement de preuve dès lors que, d’une part, la partie adverse dispose de toute latitude pour en contester les termes et que, d’autre part, il s’agit du seul document justificatif dont peut valablement disposer l’établissement bancaire. Dénier toute valeur probante, même relative, aux pièces fournies par l’établissement bancaire reviendrait, de fait, à priver ce dernier de toute possibilité de prouver l’authentification et l’enregistrement des opérations litigieuses.

Il ressort de ce document que les deux augmentations de plafond des cartes ont été réalisées le 20 décembre 2024 depuis l’adresse IP habituelle des époux [O], utilisée antérieurement et postérieurement à l’appel frauduleux, et que les trois paiements litigieux ont fait l’objet d’une authentification forte au moyen de la clé digitale, laquelle n’est pas discutée par les époux [O] qui ne soutiennent pas non plus que cette clé aurait été enrôlée sur un autre appareil ou que le téléphone sur lequel elle était enrôlée n’était plus en leur possession.

Il résulte de ces éléments, mis en parallèle avec les déclarations de M. [O], lequel devant les services de police a indiqué " Ce soit-disant agent anti-fraude nous a demandé de faire des manipulations d’aller ouvrir notre compte commun (…) Par la suite cet homme m’a fait effectuer des manipulations bancaires afin de valider des soit disant des refus de débits bancaires frauduleux (…) ", que les paiements litigieux ont bien été authentifiés par M. [O] au moyen de sa clé digitale, et qu’ils ont ainsi fait l’objet d’une authentification forte depuis l’appareil de sécurité de M. [O] qui a toujours été en la possession de ce dernier.

Il convient dès lors de considérer que la preuve est rapportée pas la banque que ces opérations ont été authentifiées, dûment enregistrées et comptabilisées, et qu’elles n’ont pas été affectées par une déficience technique ou autre.

Cependant, il ne peut se déduire du seul fait que l’instrument de paiement et/ou les données personnelles qui lui sont liées ont été effectivement utilisés qu’en l’espèce, les époux [O] ont autorisé les opérations contestées dès lors que ces derniers ont été trompés dans le cadre de la fraude qu’ils dénoncent et n’ont pas ainsi consenti à la nature des opérations, pensant donner leur accord à des opérations de refus de débit.

Ainsi, en présence d’opérations non autorisées au sens des articles L.133-3 et L.133-6 du code monétaire et financier, il convient de rechercher si les demandeurs peuvent se voir reprocher une négligence grave au sens des articles L.133-16 et suivants du code monétaire et financier faisant obstacle à leur droit à indemnisation, étant rappelé que le régime de responsabilité s’appliquant aux opérations non autorisées énoncé par ces articles est exclusif de tout autre régime de responsabilité, notamment sur le fondement d’un manquement à l’obligation générale de vigilance.

Au cas particulier, les époux [O] contestent avoir communiqué leur numéro client, les coordonnées de leur compte ou celles de leurs cartes bancaires.

Le tribunal relève tout d’abord que si les époux [O] entendent invoquer à leur bénéfice un arrêt de la chambre commerciale de la Cour de cassation du 23 octobre 2024 (pourvoi n°23-16.267), ils ne rapportent pas la preuve du numéro d’appel utilisé par le fraudeur et donc d’avoir été victimes d’une escroquerie de type « spoofing ».Ils ne sauraient dès lors se prévaloir de la solution adoptée par la Cour de cassation dans l’arrêt précité dont les faits d’espèce diffèrent en ce que le client avait été contacté avec le numéro de téléphone affiché de sa conseillère clientèle.

Par ailleurs, il ressort des traces informatiques que les manipulations demandées par le fraudeur ont notamment, outre l’authentification des paiements, consisté en l’augmentation des plafonds des cartes mais également en la consultation du code [Localité 5] d’une des cartes, opérations qui sont sans rapport avec le blocage de prétendues opérations frauduleuses.

Si le tribunal relève que la banque ne produit pas le contenu des notifications adressées via la clé digitale pour demander au client de saisir son code secret, et dont elle indique qu’elles précisaient la nature de l’opération, la date, le numéro client, le site marchand, la carte utilisée et le montant du paiement, il observe néanmoins que le mode opératoire décrit correspond au standard utilisé en décembre 2024 par les établissements bancaires et que les époux [O] ne discutent d’ailleurs ni la réception des notifications ni leur contenu.

Au regard des éléments exposés ci-avant et des opérations ressortant du relevé informatique produit par la banque, les instructions données par le fraudeur ne pouvaient consister qu’en la validation des paiements par carte aujourd’hui contestés.

Or, malgré ces signaux d’alerte, en suivant les instructions d’un tiers dont ils ne démontrent pas avoir vérifié la qualité, les époux [O] ont fait preuve d’une absence de discernement manifeste compromettant la sécurité de leurs données de sécurité personnalisées puisqu’ils ont authentifié les opérations et permis ainsi un usage non conforme aux conditions de délivrance de l’instrument de paiement. Cette négligence qui a concouru à la réalisation des paiements frauduleux revêt un caractère grave au sens de l’article L.133-19 IV qui les prive de leur droit à remboursement, peu important les circonstances dans lesquelles le fraudeur a pu obtenir les données des cartes bancaires et des dernières opérations effectuées sur leur compte.

Enfin, si les époux [O] font grief à la banque de sa passivité, il est rappelé qu’un acte de paiement par carte bancaire est irrévocable et que la banque n’avait donc pas la possibilité de bloquer les paiements dûment authentifiés et dont le caractère non autorisé n’a été, de fait, signalé que postérieurement à leur réalisation.

En conséquence, les époux [O] sont déboutés de leur demande de remboursement.

2 – Sur les autres demandes

2.1 – Sur les frais du procès

Les demandeurs qui succombent sont condamnés in solidum aux dépens ainsi qu’à payer à la défenderesse la somme de 1.500 euros sur le fondement de l’article 700 du code de procédure civile.

2.2 – Sur l’exécution provisoire

La présente décision est revêtue de droit de l’exécution provisoire conformément aux dispositions de l’article 514 du code de procédure civile dans sa version applicable en l’espèce, l’instance ayant été introduite postérieurement au 31 décembre 2019.

Cependant, l’issue donnée au litige commande d’écarter l’exécution provisoire.

PAR CES MOTIFS

Le tribunal, statuant publiquement, contradictoirement et en premier ressort, par mise à disposition au greffe,

DEBOUTE M. [Z] [O] et Mme [I] [O] de leurs demandes ;

CONDAMNE in solidum M. [Z] [O] et Mme [I] [O] aux dépens ;

CONDAMNE in solidum M. [Z] [O] et Mme [I] [O] à payer à la SA BNP Paribas la somme de 1.500 euros sur le fondement de l’article 700 du code de procédure civile ;

ECARTE l’exécution provisoire.

Fait et jugé à [Localité 1] le 18 Février 2026

LA GREFFIÈRE LE PRÉSIDENT