TRIBUNAL

JUDICIAIRE

DE [Localité 1] [1]

[1]

Copies délivrées le 09/06/2026 à :

M^e NATAF (K0107) CE

Me [Localité 2] (J0011) CCC

■

9ème chambre 2ème section

N° RG :

N° RG 24/13522 – N° Portalis 352J-W-B7I-C6BVV

N° MINUTE :

JUGEMENT

rendu le 09 Juin 2026

DEMANDERESSE

Madame [X] [B] [J]

[Adresse 1]

[Localité 3]

représentée par Maître Jérémie NATAF, avocat au barreau de PARIS, vestiaire #K0107

DÉFENDERESSE

S.A. BNP PARIBAS

[Adresse 2]

[Localité 4]

représentée par Maître Dominique PENIN, avocat au barreau de PARIS, vestiaire #J11

Décision du 09 Juin 2026

9ème chambre 2ème section

N° RG 24/13522 – N° Portalis 352J-W-B7I-C6BVV

COMPOSITION DU TRIBUNAL

Monsieur Gilles MALFRE, Premier vice-président adjoint

Monsieur Augustin BOUJEKA, Vice-Président

Monsieur Alexandre PARASTATIDIS, Juge

assistés de Madame Camille CHAUMONT, Greffière,

DÉBATS

A l’audience du 31 Mars 2026 tenue en audience publique devant Gilles MALFRE, juge rapporteur, qui, sans opposition des avocats, a tenu seul l’audience, et, après avoir entendu les conseils des parties, en a rendu compte au Tribunal, conformément aux dispositions de l’article 805 du Code de Procédure Civile, avis a été donné aux avocats que la décision serait rendue le 26 mai 2026. Le délibéré a ensuite été prorogé au 9 juin 2026.

JUGEMENT

Rendu publiquement par mise à disposition au greffe

Contradictoire

En premier ressort

EXPOSÉ DU LITIGE

Par acte du 17 octobre 2024, Mme [J] a fait assigner la BNP PARIBAS devant le tribunal judiciaire de Paris, afin qu’elle soit condamnée à lui payer la somme de 22 242,98 euros au titre des opérations de paiement non autorisées, outre la somme de 3 000 euros à titre de dommages-intérêts et celle de 2 799 euros en application de l’article 700 du code de procédure civile.

Par ordonnance du 11 mars 2025, cette affaire, appelée devant la 4ème chambre du tribunal, a été redistribuée à la 9ème chambre.

Mme [J] expose que le 17 août 2023, elle a été contactée par un individu prétendant être affilié au service des fraudes de [D] [I], qui lui a indiqué que des transactions frauduleuses étaient en cours sur son compte bancaire. Elle précise que l’appel reçu provenait d’un numéro du service client d'[D] [I] ([XXXXXXXX01]), enregistré dans son répertoire téléphonique, de sorte que l’intitulé « [D] [I] » est apparu sur l’écran de son téléphone au moment de l’appel.

Elle indique que son interlocuteur détenait des informations personnelles la concernant et qu’il lui a décrit la procédure destinée à annuler ces transactions. Mme [J] souligne avoir suivi les directives reçues.

Le 18 août 2023, elle a constaté, en consultant son compte, l’existence de plusieurs virements auxquels elle n’a pas consenti et, ce pour un montant total de 47 488,55 euros (4 x 6 070,54 euros ; 2 x 6 070,26 euros ; 6 065,87 euros et 5 000 euros).

Le 22 août 2023, Mme [J] a déposé plainte au commissariat de [Localité 5].

Elle souligne que, sans explication, par un virement du 24 août 2023, [D] [I], filiale de BNP PARIBAS, a effectué un remboursement partiel des sommes frauduleusement prélevées sur le compte bancaire, à hauteur de 24 745,57 euros.

Le 12 octobre 2023, Mme [J], indiquant ne pas comprendre les raisons de ce remboursement partiel, a formulé une réclamation auprès de sa banque.

Le 20 octobre 2023, la requérante rappelle qu'[D] [I] a refusé de rembourser le solde des virements contestés, au motif qu’ils ont été validés par authentification forte, lui reprochant une négligence grave dans la conservation de ses données confidentielles.

Le même jour, Mme [J] souligne qu'[D] [I] lui a versé la somme de 500 euros, à titre de geste commercial.

Par conclusions d’incident du 2 juin 2025, la BNP PARIBAS a soulevé la forclusion de l’action de Mme [J], incident dont elle s’est désistée par conclusions du 7 juillet 2025.

Par conclusions du 26 novembre 2025, la BNP PARIBAS demande au tribunal de débouter Mme [J] de ses demandes, subsidiairement, s’il était fait droit à la demande de remboursement, de juger que les pénalités de retard prévues à l’article L.133-18 du code monétaire et financier ne s’appliquent qu’à compter du prononcé de la décision et d’écarter l’exécution provisoire et, dans tous les cas, de condamner Mme [J] à lui payer la somme de 3 500 euros au titre de l’article 700 du code de procédure civile.

Par conclusions du 5 janvier 2026, la requérante demande au tribunal de condamner la BNP PARIBAS à lui payer la somme de 22 242,98 euros, avec intérêts au taux légal majoré de quinze points, outre la somme de 2 799 euros au titre des frais de procédure.

La clôture de l’instruction a été prononcée le 3 février 2026.

SUR CE

A titre liminaire et sur les faits, la banque rappelle les déclarations de Mme [J] dans sa plainte : "On ne m’a pas demandé de communiquer mon code bancaire, mais d’aller sur l’application de [D] [I] et de suivre leurs instructions pour annuler ces virements. On m’a demandé de valider chaque annulation avec mon code et effectivement en suivant en parallèle mon compte bancaire sur l’application, ces virements frauduleux disparaissaient. On m’a dit que ma carte bleue avait été piratée.

Une personne a créé un compte à la banque LYDIA à mon nom et s’est fait les virements mais je n’ai pas les coordonnées bancaires du compte créditeur".

Elle ajoute que dès qu’elle a été avertie de cette fraude, elle a mis en place la procédure de rappel de fonds, ce qui explique qu’une partie des virements, à hauteur de la somme de 24 745,57 euros, a pu être restituée.

Sur la demande principale :

Mme [J] estime avoir été victime d’un « spoofing » et se prévaut de l’arrêt de la Cour de cassation du 23 octobre 2024 pour soutenir que sa vigilance a été légitimement atténuée lors de sa conversation téléphonique avec le fraudeur.

A cet égard, sur le fait qu’elle a été appelée par le numéro de téléphone du service clientèle de [D] [I] ([XXXXXXXX01]) qu’elle avait préalablement enregistré sur son téléphone portable, de sorte que le nom de sa banque est apparu sur l’écran de son téléphone, elle fait valoir que les métadonnées de la capture d’écran qu’elle produit attestent qu’elle a été prise le 4 septembre 2023, ce qui confirme son authenticité.

Elle ajoute que cette capture démontre qu’un appel entrant a été reçu le 17 août 2023 à 16 h 00, d’une durée de 49 minutes, et que cet appel provenait du numéro enregistré comme « principal », lequel porte la mention « récent », précisant que sur les iPhone, cette indication atteste qu’il s’agit du numéro avec lequel la dernière communication a été effectuée et que le second numéro sur la capture d’écran, 0820 820 001, figure simplement comme numéro supplémentaire dans la fiche contact sans avoir été utilisé, aucune mention « récent » n’apparaissant à côté de celui-ci.

Contrairement à ce que soutient la banque, elle relève que le numéro 0820 820 001 est également un numéro affilié à la BNP PARIBAS, utilisé par le service « Relations clients ».

Elle précise que le numéro qu’elle a composé pour joindre le service client de [D] [I] est le même que celui utilisé par le fraudeur la veille, ce qui est également confirmé par les métadonnées de la capture d’écran du 4 septembre 2023, attestant ainsi de la fiabilité de la pièce produite et corroborant ses déclarations.

Sur la négligence grave, elle relève que la BNP PARIBAS se contente de produire l’historique des connexions au compte bancaire et de relever que la clé digitale a été utilisée.

Elle estime que cet historique établit que la clé digitale a été utilisée depuis son téléphone, ce qui corrobore ses explications, à savoir qu’elle n’a communiqué aucun identifiant ni code confidentiel, mais a elle-même validé les opérations en croyant suivre une procédure destinée à annuler des virements frauduleux.

Elle note que la BNP PARIBAS ne démontre pas qu’elle aurait communiqué ses données confidentielles.

En réponse, la banque souligne que les traces informatiques qu’elle produit mettent en évidence que l’authentification forte a été déclenchée à huit reprises et qu’elle a dûment fonctionné :

—  6 070,54 euros à 16h14 ;

—  6 070,54 euros à 16h21 ;

—  6 070,25 euros à 16h24 ;

—  6 070,25 euros à 16h26 ;

—  6 070,54 euros à 16h29 ;

—  6 070,54 euros à 16h31 ;

—  6 065,87 euros à 16h35 ;

—  5 000 euros à 16h37 ;

Sur le spoofing, elle note que l’arrêt de cassation qui lui est opposé est un arrêt d’espèce et que les captures d’écran produites par Mme [J] ne font pas apparaître l’opérateur téléphonique, ne sont pas datées, ne sont pas reliées avec certitude à son téléphone par un élément extrinsèque, n’ont pas été communiquées par Mme [J] à l’officier de police lors de son dépôt de plainte et font apparaitre deux numéros de téléphone, dont le « 0820 820 001 » qui n’est pas un numéro de BNP PARIBAS.

Elle en conclut qu’il n’est pas établi que Mme [J] a été appelée par le 01 43 63 15 15 puisqu’elle a pu être appelée par l’autre numéro enregistré sous cette même fiche de contact, le 0820 820 001, relevant que le trait rouge sur ces deux captures d’écran a été ajouté par Mme [J] pour les besoins de la cause, à côté du 01 43 63 15 15.

Sur la négligence grave, la banque estime que l’escroc était contraint de créditer le compte courant de Mme [J] en débitant ses trois livrets d’épargne, qu’il s’est connecté à l’espace personnel de Mme [J], via l’authentification forte, en raison du fait que son téléphone était un terminal inconnu et inhabituel.

Elle en déduit que c’est par l’intervention de Mme [J] que l’escroc a pu se connecter à son espace personnel puisqu’elle a communiqué ses codes d’accès confidentiel à son espace en ligne et validé la notification aux fins de connexion à 16h09.

Elle ajoute que Mme [J] a validé elle-même les huit opérations de paiement contestées et précise que l’escroc a utilisé les services d’initiation de paiement de la société LYDIA pour ordonner chacun des huit virements débités du compte de Mme [J], après la validation de chacun des paiements par clé digitale, ce qui signifie que les virements contestés n’ont pas été initiés depuis l’espace en ligne BNP PARIBAS mais via le site LYDIA, qui permet d’effectuer une opération de paiement sans avoir à visiter le portail en ligne de la banque via une interface sécurisée et qu’une fois connecté à LYDIA, l’escroc a initié une à une les huit demandes de virement, qui sont donc assimilées à des paiements électroniques, ce qui a supposé une authentification forte de chaque opération pour qu’elles puissent être autorisées.

La banque considère en outre que Mme [J] a fait usage de la clé digitale à de multiples reprises à la suite de notifications affichant l’opération en attente, pour valider et non annuler ces paiements, alors qu’elle en avait la possibilité, ce qu’elle a reconnu à l’occasion de son dépôt de plainte.

Ceci étant exposé.

Dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du code monétaire et financier qui transposent les articles 58, 59 et 60, § 1, de la directive 2007/64/CE, tout autre régime alternatif de responsabilité résultant du droit national devant être écarté.

En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les délais prévus par l’article L. 133-24 du même code, le prestataire de services de paiement du payeur rembourse à ce dernier le montant de l’opération non autorisée sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement.

Dans cette hypothèse, il incombe au prestataire de paiement de prouver que l’opération litigieuse a été effectuée après une authentification forte, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre, l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement, à savoir l’utilisation des identifiants du client et l’absence de déficience technique ou autre, notamment par le biais de la production d’un relevé de ses connexions, ne suffisant pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur.

L’article L. 133-4 (f) du code précité précise qu’une authentification forte s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît telle qu’un mot de passe, un code secret, une question secrète, etc…), «  possession » (quelque chose que seul l’utilisateur possède telle qu’un téléphone portable, une montre connectée, une clé USB etc…) et « inhérence » (quelque chose que l’utilisateur est telle que la reconnaissance faciale ou vocale, la reconnaissance par empreinte digitale, etc…) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification. L’authentification forte repose donc sur l’utilisation de deux de ces éléments, voire plus.

Par ailleurs, la responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à son insu, l’instrument de paiement ou les données qui lui sont liées. Cependant, il supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’agissements frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 du code monétaire et financier.

Ainsi, pour échapper au remboursement de l’opération contestée, le prestataire de services de paiement doit démontrer, soit que l’ordre émanait bel et bien du client dûment authentifié dans son espace personnel, soit que le vol des identifiants de connexion (ou d’autres données) n’est que la conséquence d’une faute grave de sa part consistant à ne pas avoir satisfait intentionnellement aux obligations lui incombant en la matière ou à les avoir gravement négligées.

Il est par ailleurs rappelé que la preuve de la négligence grave ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.

En l’espèce, il n’est pas discuté par les parties que les opérations de paiement litigieuses ont fait l’objet d’une authentification forte, qui est d’ailleurs établie par les traces informatiques produites par la banque, de sorte que ces opérations n’ont pas été affectées par une déficience technique.

Sur le « spoofing » allégué par Mme [J], il importe peu que cette dernière ait omis de préciser cette circonstance dans son assignation, alors qu’elle l’avait évoquée dès son dépôt de plainte, d’une manière spontanée.

Il résulte de la capture d’écran et des métadonnées associées à cette capture d’écran qu’elle a été contactée par [D] [I]. En effet, ces pièces mentionnent un appel « entrant » le 17 août 2023 à 16h00, d’une durée de 49 minutes.

De même, Mme [J] verse aux débats des pièces identiques concernant l’appel « sortant » qu’elle indique avoir effectué le lendemain et qu’elle évoque dans sa plainte, cet appel ayant été passé à 17h39, pour une durée de 22 minutes.

La concordance de ces pièces avec les premières déclarations de la requérante permet de retenir qu’elles concernent son téléphone mobile, sauf à considérer que ces pièces auraient été confectionnées pour les besoins de la cause, ce que la banque ne soutient pas.

Les pièces concernant l’appel « entrant » indiquent deux numéros de téléphone : [XXXXXXXX02] et 0820 820 001. S’il ne peut être retenu avec certitude que Mme [J] a été appelée par le premier de ces numéros qui correspond au service client [D] [I], il n’en demeure pas moins que, contrairement à ce que soutient curieusement la banque, le second de ces numéros est un numéro attribué à la BNP PARIBAS, ainsi que la requérante en justifie, puisqu’il s’agit du service clientèle de la banque.

Mme [J] ayant enregistré sous l’intitulé "[Adresse 3]« le premier numéro comme »principal« et le second comme »bureau", il est donc établi que, lorsqu’elle a été contactée par l’escroc, elle pensait être en ligne avec sa banque, étant rappelé que [D] [I] est une filiale de BNP PARIBAS.

Par conséquent, la vigilance de Mme [J] a été légitimement atténuée, lors de sa conversation avec le fraudeur.

Sur la négligence grave, la requérante a indiqué dans sa plainte que son interlocuteur lui a demandé d’aller sur son application bancaire et de suivre ses instructions pour annuler les huit virements qui avaient été effectués à son insu vers un compte « LYDIA ». Elle reconnaît avoir validé chaque annulation avec son code et précise qu’en suivant en parallèle son compte bancaire sur l’application, elle a constaté que les virements frauduleux disparaissaient.

Comme le souligne la banque, il est manifeste que ces validations d’opérations n’avaient pas pour but leur annulation mais leur exécution.

Pour autant, Mme [J] pensait alors être en ligne avec sa banque, ce qui l’a confortée dans les validations à effectuer, d’autant qu’elle a pu constater en direct, ainsi qu’il résulte de ses premières déclarations spontanées, que ces validations permettaient l’annulation successive des huit virements.

Il ne saurait dès lors être retenu à l’encontre de la requérante une négligence grave s’opposant au remboursement du montant des huit virements.

La BNP PARIBAS sera donc condamnée à payer la somme de 22 242,98 euros.

Sur les pénalités de l’article L.133-18 du code monétaire et financier :

Pour s’opposer à la majoration du taux légal de quinze points, la BNP PARIBAS rappelle n’être tenue d’aucune obligation de remboursement tant qu’une juridiction n’a pas statué en sa défaveur.

Elle ajoute que l’action en remboursement d’opérations non autorisées ne doit pas permettre un enrichissement de l’utilisateur de services de paiement, lequel pourrait alors volontairement tarder à introduire son instance, afin de percevoir des intérêts de retard plus élevés.

Elle estime que la soumettre au risque d’une condamnation au paiement d’intérêts majorés, particulièrement conséquents au regard de la somme principale sollicitée, revient à exercer une contrainte, quant aux droits de sa défense.

Ceci étant exposé.

L’article L.133-18 du code monétaire et financier dispose que :

« En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu.

Lorsque l’opération de paiement non autorisée est initiée par l’intermédiaire d’un prestataire de services de paiement fournissant un service d’initiation de paiement, le prestataire de services de paiement gestionnaire du compte rembourse immédiatement, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, au payeur le montant de l’opération non autorisée et, le cas échéant, rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu.

La date de valeur à laquelle le compte de paiement du payeur est crédité n’est pas postérieure à la date à laquelle il avait été débité.

En cas de manquement du prestataire de services de paiement aux obligations prévues aux deux premiers alinéas du présent article, les pénalités suivantes s’appliquent :

1° Les sommes dues produisent intérêt au taux légal majoré de cinq points ;

2° Au-delà de sept jours de retard, les sommes dues produisent intérêt au taux légal majoré de dix points ;

3° Au-delà de trente jours de retard, les sommes dues produisent intérêt au taux légal majoré de quinze points.

Si le prestataire de services de paiement qui a fourni le service d’initiation de paiement est responsable de l’opération de paiement non autorisée, il indemnise immédiatement le prestataire de services de paiement gestionnaire du compte, à sa demande, pour les pertes subies ou les sommes payées en raison du remboursement du payeur, y compris le montant de l’opération de paiement non autorisée.

Le payeur et son prestataire de services de paiement peuvent décider contractuellement d’une indemnité complémentaire."

Par ailleurs, l’article L. 133-19 IV du même code précise que :

« Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17. »

L’objectif poursuivi par la première de ces dispositions, en particulier les pénalités prévues au troisième alinéa de cet article, est de s’assurer que la banque rembourse sans tarder les opérations de paiement non autorisées et signalées par le client.

Les banques ne sont pas tenues à une telle obligation, en particulier en cas de négligence grave du client.

Contrairement à ce que soutient la BNP PARIBAS et sauf à priver de toute portée ces dispositions du troisième alinéa de l’article L. 133-18, ces intérêts majorés proportionnellement ne sauraient être dus qu’à compter du jugement ne retenant pas, au final, la négligence grave opposée par la banque.

En effet, c’est sous sa seule responsabilité que la banque décide de refuser de rembourser des opérations de paiement non autorisées, en opposant la négligence grave du client, prenant alors le risque que le tribunal ne retienne pas cette négligence grave.

De même, c’est d’une manière inopérante que la BNP PARIBAS fait valoir que l’application de ces pénalités pourrait permettre un enrichissement sans cause du client, qui pourrait retarder l’introduction de son instance en remboursement d’opérations de paiement non autorisées.

En effet, il résulte des dispositions de l’article L. 133-24 du code monétaire qu’il appartient au client de signaler sans tarder à sa banque une opération de paiement non autorisée et, au plus tard, dans les treize mois suivant la date de débit sous peine de forclusion, étant rappelé que le client peut être privé de son droit au remboursement pour des opérations qu’il a intentionnellement ou de manière gravement négligente tardé à signaler à sa banque (CJUE 1er août 2025, aff. C-665/23).

Enfin, la BNP PARIBAS n’explique pas en quoi l’application de ces pénalités porterait atteinte aux droits de la défense.

La condamnation au paiement de la somme de 22 242,98 euros sera donc assortie des intérêts au taux légal majoré de quinze points.

Mme [J] ayant informé sa banque des opérations de paiement non autorisées le 18 août 2023, ces intérêts au taux légal majoré de quinze points seront dus à compter du 18 septembre 2023.

Sur les autres demandes :

Au titre des frais exposés et non compris dans les dépens, la BNP PARIBAS sera condamnée à payer la somme de 2 799 euros.

Aucune considération ne justifie d’écarter l’exécution provisoire de droit.

PAR CES MOTIFS

Le tribunal, statuant publiquement par jugement contradictoire, en premier ressort et par mise à disposition au greffe,

CONDAMNE la SA BNP PARIBAS à payer à Mme [X] [B] [J] la somme de 22 242,98 euros au titre des opérations de paiement non autorisées, avec intérêts au taux légal majoré de quinze points à compter du 18 septembre 2023 ;

CONDAMNE la SA BNP PARIBAS aux dépens, ainsi qu’à payer à Mme [X] [B] [J] la somme de 2 799 euros en application de l’article 700 du code de procédure civile ;

DIT n’y avoir lieu à écarter l’exécution provisoire.

Fait et jugé à [Localité 1], le 09 Juin 2026.

La Greffière Le Président