TRIBUNAL

JUDICIAIRE

DE [Localité 1] [1]

[1]

Copies délivrées le 14/04/2026

A M^e HUPIN (G0625) CE

M^e METAIS (R0030) CCC

■

9ème chambre 2ème section

N° RG :

N° RG 25/03556 – N° Portalis 352J-W-B7J-C7HU3

N° MINUTE :

JUGEMENT

rendu le 14 Avril 2026

DEMANDEUR

Monsieur [E] [Z]

[Adresse 1]

[Localité 2]

représenté par Maître Maude HUPIN, avocat au barreau de PARIS, vestiaire #G0625

DÉFENDERESSE

S.A. BNP PARIBAS

[Adresse 2]

[Localité 3]

représentée par Maître Philippe METAIS du PARTNERSHIPS BRYAN CAVE LEIGHTON PAISNER (France) LLP, avocat au barreau de PARIS, vestiaire #R030

Décision du 14 Avril 2026

9ème chambre 2ème section

N° RG 25/03556 – N° Portalis 352J-W-B7J-C7HU3

COMPOSITION DU TRIBUNAL

Monsieur Gilles MALFRE, Premier vice-président adjoint

Monsieur Augustin BOUJEKA, Vice-Président

Monsieur Alexandre PARASTATIDIS, Juge

assistés de Madame Camille CHAUMONT, Greffière,

DÉBATS

A l’audience du 24 Février 2026 tenue en audience publique devant Gilles MALFRE, juge rapporteur, qui, sans opposition des avocats, a tenu seul l’audience, et, après avoir entendu les conseils des parties, en a rendu compte au Tribunal, conformément aux dispositions de l’article 805 du Code de Procédure Civile, avis a été donné aux avocats que la décision serait rendue le 14 avril 2026.

JUGEMENT

Rendu publiquement par mise à disposition au greffe

Contradictoire

En premier ressort

EXPOSÉ DU LITIGE

Par acte du 18 mars 2025, M. [Z] a fait assigner la BNP PARIBAS devant le tribunal judiciaire de Paris, afin qu’elle soit condamnée à lui payer, sous le bénéfice de l’exécution provisoire, la somme de 25 360,62 euros en remboursement des sommes détournées, avec intérêts au taux légal majoré de quinze points à compter du 11 mai 2023, ces intérêts étant capitalisés, celle de 3 000 euros en réparation de son préjudice moral, outre la somme de 3 000 euros au titre de l’article 700 du code de procédure civile.

Il expose que le 11 avril 2023, il a été victime d’une fraude au « faux conseiller », lui faisant croire qu’il était en ligne avec le service fraude de sa banque ayant détecté des opérations de paiement frauduleuses.

Ces opérations effectuées le 10 avril 2023, sont constituées de trois virements depuis le compte bancaire de M. [Z], pour une somme totale de 25 360,62 euros, soit :

— un premier virement de 4 992,62 euros à 00h53 ;

— un deuxième virement de 16 968,00 euros à 00h57 ;

— un troisième virement de 3 400 euros à 10h26.

M. [Z] a déposé plainte pour ces faits le 17 mai 2023, au commissariat de police de [Localité 4].

Par conclusions du 12 décembre 2025, le requérant s’oppose aux prétentions de la banque et maintient ses demandes.

Par conclusions du 17 décembre 2025, la BNP PARIBAS demande au tribunal :

— à titre principal, de débouter M. [Z] de ses demandes ;

— à titre subsidiaire, si le tribunal entendait faire droit à la demande de remboursement, de juger que les pénalités de retard prévues à l’article L. 133-18 du code monétaire et financier ne s’appliquent qu’à compter du prononcé de la décision et de débouter M. [Z] de sa demande de dommages-intérêts ;

— en tout état de cause, de débouter M. [Z] de ses demandes, de le condamner à payer la somme de 2 500 euros au titre de l’article 700 du code de procédure civile et d’écarter l’exécution provisoire.

La clôture de l’instruction a été prononcée le 6 janvier 2026.

SUR CE

Sur la demande de remboursement des opérations de paiement non autorisées :

M. [Z] rappelle qu’il appartient à la banque de prouver que son client, qui nie avoir autorisé une opération de paiement, n’a pas satisfait, intentionnellement ou par négligence grave, à ses obligations, ajoutant que la preuve de cette négligence grave ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été utilisés.

En l’espèce et en premier lieu, il estime que la banque ne démontre pas l’authentification forte des opérations litigieuses puisqu’elle ne produit pas tous les éléments techniques attestant de la mise en œuvre du dispositif lors des opérations en question, notamment les logs de connexion, les traces d’envoi de codes de confirmation, les preuves d’utilisation du dispositif d’authentification ou tout autre élément permettant d’établir que les opérations ont été validées selon les exigences de l’article L. 133-44 du code monétaire et financier.

En particulier, il relève qu’aucun SMS n’est produit par la banque, alors que l’enrôlement de la clé digitale en génère un envoi, pas plus qu’il n’est versé aux débats les messages qui lui auraient été envoyés lors de l’enregistrement du nouveau numéro de téléphone, ainsi que les traces d’envoi des codes de confirmation les 23 mars 2023 et 7 avril 2023.

Par ailleurs, il soutient n’avoir transmis aucune informations personnelle et qu’au contraire, il a été vigilant puisqu’il a vérifié le numéro de téléphone par lequel il a été appelé.

Il entend se prévaloir de l’arrêt du 23 octobre 2024 de la chambre commerciale de la Cour de cassation.

En réponse, la banque rappelle que M. [Z] dispose d’un espace en ligne dont l’accès nécessite la connaissance de l’identifiant et du mot de passe associé, données personnelles et confidentielles, qu’il utilise le système d’authentification forte pour les opérations en ligne via la clé digitale, initialement installée sur son appareil mobile et reliée à son numéro de téléphone renseigné sur son espace en ligne.

Elle souligne que le 7 avril 2023 et non le 4 avril, M. [Z] a reçu un appel d’une personne se présentant comme son conseiller BNP, provenant du numéro 09 80 80 70 32 qui n’est pas l’un des numéros de la BNP PARIBAS, de sorte que M. [Z] n’a pas été victime d’un spoofing, en l’absence d’usurpation du numéro de la banque.

Elle note que M. [Z] indique que son interlocuteur avait connaissance de son numéro de téléphone personnel, de son numéro de compte, de ses codes et du montant de son compte, soit des données disponibles sur son espace en ligne. Elle en conclut que le demandeur a vraisemblablement et préalablement au 7 avril 2023 fait l’objet d’un phishing, c’est-à-dire qu’il a renseigné sur un site internet frauduleux imitant l’identité visuelle du site de BNP PARIBAS les données confidentielles d’accès à son espace en ligne, dont compris ses identifiant et mot de passe, relevant à cet égard que le 23 mars 2023, une connexion depuis une adresse IP n’étant pas celle du requérant a été réalisée sur son espace en ligne, alors que les opérations frauduleuses ont justement été réalisées depuis cette adresse IP.

La banque souligne que le fraudeur a expliqué au requérant qu’il allait affecter à son compte un numéro de téléphone virtuel ([XXXXXXXX01]) et temporaire, afin de bloquer l’utilisation de son compte. Or, elle fait valoir que le 7 avril 2023 à 12h13, le numéro de téléphone renseigné sur l’espace en ligne a fait l’objet d’une modification et a été substitué par ce numéro temporaire.

Elle ajoute que cette manœuvre n’a pu être finalisée que par une validation par le dispositif d’authentification forte, à savoir la clé digitale de M. [Z] enrôlée sur son propre appareil mobile, de sorte qu’il a, sur instructions de son interlocuteur, validé le changement de numéro de mobile renseigné.

A l’issue de cette opération, la banque soutient que M. [Z] a reçu deux messages d’information l’invitant à prendre attache avec la BNP PARIBAS s’il n’en était pas à l’origine, à savoir un SMS sur l’ancien numéro de téléphone renseigné et un courriel sur l’adresse mail renseignée « [Courriel 1] ».

Elle note que le 8 avril 2023 à 23h52, la clé digitale de M. [Z] a été transférée sur un nouvel appareil mobile « NTH-NX9 », soit en exécution de la procédure d’enrôlement via le lien contenu dans un SMS envoyé par la banque sur le numéro renseigné sur l’espace en ligne et que dès lors, le 9 avril 2023, le fraudeur a pu procéder à la création de deux nouveaux bénéficiaires de virements (à 00h01, un premier bénéficiaire « pablo staempli » et à 00h04, un second bénéficiaire "stephanie [H]") et le 10 avril 2023, a pu effectuer trois virements depuis le compte bancaire de M. [Z] vers le premier bénéficiaire.

Sur l’authentification forte, la banque rappelle que l’enrôlement de la clé digitale de M. [Z] sur l’appareil mobile du fraudeur a été opéré en deux temps : par la modification du numéro de téléphone renseigné sur l’espace en ligne de M. [Z] le 7 avril 2023 à 12h13 et par l’enrôlement de la clé digitale sur le téléphone du fraudeur le 8 avril 2023 à 23h52. Elle précise que le 9 avril 2023 à 00h01 et 00h04, après que le fraudeur a saisi les données de chacun des deux bénéficiaires de virement, il a lui-même validé ces opérations au moyen de la clé digitale, alors installée sur son propre appareil mobile.

Elle considère que les traces informatiques produites démontrent que ces deux ajouts ont bien été validés au moyen de la clé digitale de M. [Z], par le fraudeur lui-même dès lors que ces opérations interviennent postérieurement à l’enrôlement de la clé digitale sur son propre téléphone portable et que, de la même manière, le 10 avril 2023 à 00h23, 00h57 et 10h26, le fraudeur a saisi les données des trois virements externes vers le bénéficiaire « pablo staempli » et a, de nouveau, lui-même validé ces transactions au moyen de la clé digitale enrôlée sur propre téléphone.

La BNP PARIBAS considère que M. [Z] opère une confusion lorsqu’il soutient qu’aucun SMS n’a été produit ou qu’il n’existe aucune trace d’envoi des codes de confirmation en visant les traces relatives à l’enrôlement de la clé digitale, puisque si l’enrôlement de la clé digitale est effectué au moyen d’un lien contenu dans un SMS, la validation des opérations au moyen de ladite clé est réalisée par cette clé digitale.

Elle estime qu’il ne saurait lui faire grief de ne pas produire le SMS d’enrôlement envoyé sur le numéro de téléphone de M. [Z] dès lors que ces messages sont automatiquement distribués par ses serveurs lorsqu’un enrôlement de clé digitale est initié, de sorte qu’elle ne peut s’en procurer une copie.

Sur la négligence grave, la BNP PARIBAS fait valoir qu’elle résulte du fait que M. [Z] a suivi des instructions d’un inconnu, en validant une opération qu’il savait ne pas avoir initiée, à savoir le changement de numéro de téléphone renseigné sur l’espace en ligne, qu’en effet, le 7 avril 2023 à 12h13, il a reçu sur son adresse mail un code à usage unique qu’il convenait de saisir sur l’espace en ligne, et sur son appareil mobile une notification de clé digitale qui était alors installée sur son seul téléphone, l’invitant à valider la modification du numéro de mobile renseigné.

Elle estime que la concomitance entre l’appel du fraudeur et la réalisation de cette manœuvre permettent de retenir que l’opération a été validée par M. [Z] lui-même.

Elle relève par ailleurs que le numéro à partir duquel le demandeur a été appelé (09.80.80.70.32) n’est pas un numéro de sa banque, ce qui aurait dû l’alerter et l’empêche dans tous les cas de se prévaloir de l’arrêt de la Cour de cassation du 23 octobre 2024.

Elle note de plus que le requérant n’a pas réagi aux messages envoyés par la banque à la suite des opérations effectuées par le fraudeur, alors même qu’il savait ne pas en être à l’origine, soit lors de la modification du numéro de téléphone renseigné sur l’espace en ligne puisqu’il a reçu un SMS sur son ancien numéro de téléphone renseigné et a reçu un courriel sur son adresse mail et, lors de l’enrôlement de la clé digitale sur l’appareil du fraudeur, à l’occasion de laquelle il a également reçu un courriel sur son adresse mail et un message d’information sur son espace bancaire en ligne, ainsi que lors de l’ajout de chacun des bénéficiaires, par l’envoi de courriels.

La banque ajoute qu’au vu des traces informatiques, M. [Z] s’est connecté à son espace en ligne après la modification du numéro de téléphone, mais avant la réalisation des opérations litigieuses, de sorte qu’il a nécessairement pris connaissance de cette première manœuvre, opérée le 7 avril 2023 à 12h14, qu’en effet, son adresse IP « 88.171.184.174 » s’est connectée à son espace en ligne le 7 avril 2023 à 18h17 puis le lendemain à 17h04 et 21h21, alors que le seul constat de la modification du numéro de téléphone renseigné aurait dû l’alerter.

Ceci étant exposé.

En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les délais prévus par l’article L. 133-24 du code monétaire et financier, le prestataire de services de paiement du payeur rembourse à ce dernier le montant de l’opération non autorisée sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement.

Dans cette hypothèse, il incombe au prestataire de paiement de prouver que l’opération litigieuse a été effectuée après une authentification forte, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre, l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement, à savoir l’utilisation des identifiants du client et l’absence de déficience technique ou autre, notamment par le biais de la production d’un relevé de ses connexions, ne suffisant pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur.

L’article L. 133-4 (f) du code précité précise qu’une authentification forte s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît telle qu’un mot de passe, un code secret, une question secrète, etc…), « possession » (quelque chose que seul l’utilisateur possède telle qu’un téléphone portable, une montre connectée, une clé USB etc…) et « inhérence » (quelque chose que l’utilisateur est telle que la reconnaissance faciale ou vocale, la reconnaissance par empreinte digitale, etc…) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification. L’authentification forte repose donc sur l’utilisation de deux de ces éléments, voire plus.

Par ailleurs, la responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à son insu, l’instrument de paiement ou les données qui lui sont liées. Cependant, il supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’agissements frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 du même code.

Ainsi, pour échapper au remboursement de l’opération contestée, le prestataire de services de paiement doit démontrer, soit que l’ordre émanait bel et bien du client dûment authentifié dans son espace personnel, soit que le vol des identifiants de connexion (ou d’autres données) n’est que la conséquence d’une faute grave de sa part consistant à ne pas avoir satisfait intentionnellement aux obligations lui incombant en la matière ou à les avoir gravement négligées.

Il est par ailleurs rappelé que la preuve de la négligence grave ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.

En particulier, le fait que les traces informatiques établissent qu’une adresse IP, qui n’est pas l’adresse habituelle, s’est connectée sur l’espace client, et que, par la suite, la clé digitale du client a été enrôlée sur un nouvel appareil par l’intermédiaire de cette même adresse ne permet pas de retenir une négligence grave de ce client, cette négligence étant alors déduite de la seule utilisation des données de sécurité personnalisées (Cass. com., 5 mars 2025, n° 23-22.687).

En l’espèce, sur l’authentification forte, il résulte des traces informatiques produites par la banque en pièce n°2, que le 7 avril 2023, à 12h13, le numéro de téléphone renseigné sur l’espace en ligne de M. [Z] a été modifié, par une validation par la clé digitale enrôlée sur l’appareil de M. [Z], d’où le 8 avril 2023, à 23h52, l’enrôlement de la clé digitale de M. [Z] sur l’appareil d’un tiers. La finalisation de l’installation de la clé digitale sur l’appareil du fraudeur a été effectuée après réception d’un SMS d’activation reçu sur le nouveau numéro de mobile [XXXXXXXX02], modifié la veille.

Dès lors, le 9 avril 2023, à 00h01, il a été ajouté le bénéficiaire "[P] [Y]", avec pour IBAN le [XXXXXXXXXX01] et le 9 avril 2023, à 00h04 le bénéficiaire "[A] [H]", avec pour IBAN le [XXXXXXXXXX02].

Puis ont été émis trois virements au profit de "[P] [Y]", le 10 avril 2023 à 10h26 pour un montant de 3 400 euros, à 00h53 pour un montant de 4 992,62 euros et à 00h57 pour un montant de 16 968 euros.

Contrairement à ce que soutient M. [Z], ces données informatiques établissent l’authentification forte des trois virements litigieux.

Sur la négligence grave, dans sa plainte, le demandeur indique avoir reçu, le 4 avril 2023, un appel provenant du [XXXXXXXX03], sur son téléphone portable, d’une personne se présentant comme son conseiller bancaire et lui demandant s’il avait effectué un achat d’un montant de 900 euros sur internet. M. [Z] a répondu par la négative et précise que son interlocuteur lui a demandé de ne plus se servir de sa carte bancaire, une nouvelle devant lui être adressée.

Il rappelle que ce soit-disant conseiller bancaire connaissait son numéro de téléphone, son numéro de compte, ses codes et le solde de son compte.

Il confirme n’avoir donné aucune information concernant son compte bancaire et l’accès à ce compte, pas plus qu’il n’a communiqué le code de son espace bancaire.

M. [X] ajoute que le 14 avril, il a reçu une nouvelle carte bancaire mais était dans l’impossibilité d’accéder à son compte.

Il souligne que le 15 avril, il a contacté sa conseillère financière, qui l’a orienté vers le service anti-fraude, qui lui a signalé les trois virements objet du litige.

Dans sa lettre de contestation du 15 avril 2023, M. [X] reprend uniquement le détail des trois virements dont il indique ne pas être l’auteur.

Ces déclarations n’établissent pas que le requérant aurait commis une négligence grave en communiquant ses données bancaires personnelles.

Si la banque soutient que son client aurait été, antérieurement à l’appel de ce faux conseiller, victime d’un « phishing » dans le cadre duquel il aurait renseigné sur un site internet frauduleux imitant celui de sa banque, ses données confidentielles d’accès à son espace en ligne, il ne s’agit que d’une supposition qui ne saurait être retenue. Il importe peu à cet égard que le 23 mars 2023, une connexion à l’espace en ligne du client ait été enregistrée depuis une autre adresse IP que l’adresse habituelle.

Par ailleurs, c’est par une dénaturation des déclarations du requérant et en l’absence de toute pièce l’établissant que la banque soutient que le fraudeur aurait expliqué au client : "qu’il va affecter à son compte un numéro de téléphone virtuel ([XXXXXXXX01]) et temporaire afin de bloquer l’utilisation de son compte".

De plus, si la banque fait valoir que M. [X] aurait reçu le 7 avril 2023, à 12h13, un courriel contenant un code unique à saisir dans l’espace en ligne, et sur son téléphone portable une notification de clé digitale, pour valider le numéro de portable enregistré, elle ne justifie pas de l’envoi de ce courriel et de cette notification.

La banque ne justifie pas plus de l’envoi d’un courriel et d’un message sur l’espace en ligne, quant à l’information de son client de l’enrôlement de la clé digitale sur un autre téléphone portable.

Décision du 14 Avril 2026

9ème chambre 2ème section

N° RG 25/03556 – N° Portalis 352J-W-B7J-C7HU3

Il en est de même de l’envoi des courriels, à la suite de l’ajout des nouveaux bénéficiaires sur l’espace en ligne, préalablement à l’exécution des virements.

Il n’est donc pas établi que M. [X] aurait été destinataire de ces différentes notifications ayant permis l’enrôlement de sa clé digitale sur un autre support et qui auraient été de nature à l’alerter.

Au final, alors que la charge de la preuve de la négligence grave lui incombe, la banque se contente d’opposer ses données informatiques sur les différentes opérations effectuées, sans que cela ne puisse attester que M. [X] aurait communiqué des données bancaires confidentielles, sur instructions du fraudeur.

Il convient par conséquent de condamner la banque à payer la somme de 25 360,62 euros.

Sur les intérêts majorés de l’article L.133-18 du code monétaire et financier :

Pour s’opposer à la majoration du taux légal de 15 points à compter du 11 mai 2023, la BNP PARIBAS rappelle n’être tenue d’aucune obligation de remboursement tant qu’une juridiction n’a pas statué en sa défaveur.

Elle ajoute que l’action en remboursement d’opérations non autorisées ne doit pas permettre un enrichissement de l’utilisateur de services de paiement, lequel pourrait alors volontairement tarder à introduire son instance, afin de percevoir des intérêts de retard plus élevés.

Elle estime que la soumettre au risque d’une condamnation au paiement d’intérêts majorés, particulièrement conséquents au regard de la somme principale sollicitée, revient à exercer une contrainte, quant aux droits de sa défense.

Ceci étant exposé.

L’article L.133-18 du code monétaire et financier dispose que :

« En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu.

Lorsque l’opération de paiement non autorisée est initiée par l’intermédiaire d’un prestataire de services de paiement fournissant un service d’initiation de paiement, le prestataire de services de paiement gestionnaire du compte rembourse immédiatement, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, au payeur le montant de l’opération non autorisée et, le cas échéant, rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu.

La date de valeur à laquelle le compte de paiement du payeur est crédité n’est pas postérieure à la date à laquelle il avait été débité.

En cas de manquement du prestataire de services de paiement aux obligations prévues aux deux premiers alinéas du présent article, les pénalités suivantes s’appliquent :

1° Les sommes dues produisent intérêt au taux légal majoré de cinq points ;

2° Au-delà de sept jours de retard, les sommes dues produisent intérêt au taux légal majoré de dix points ;

3° Au-delà de trente jours de retard, les sommes dues produisent intérêt au taux légal majoré de quinze points.

Si le prestataire de services de paiement qui a fourni le service d’initiation de paiement est responsable de l’opération de paiement non autorisée, il indemnise immédiatement le prestataire de services de paiement gestionnaire du compte, à sa demande, pour les pertes subies ou les sommes payées en raison du remboursement du payeur, y compris le montant de l’opération de paiement non autorisée.

Le payeur et son prestataire de services de paiement peuvent décider contractuellement d’une indemnité complémentaire."

Par ailleurs, l’article L. 133-19 IV du même code précise que :

« Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17. »

L’objectif poursuivi par la première de ces dispositions, en particulier les pénalités prévues au troisième alinéa de cet article, est de s’assurer que la banque rembourse sans tarder les opérations de paiement non autorisées et signalées par le client.

Les banques ne sont pas tenues à une telle obligation, en particulier en cas de négligence grave du client.

Contrairement à ce que soutient la BNP PARIBAS et sauf à priver de toute portée ces dispositions du troisième alinéa de l’article L. 133-18, ces intérêts majorés proportionnellement ne sauraient être dus qu’à compter du jugement ne retenant pas, au final, la négligence grave opposée par la banque.

En effet, c’est sous sa seule responsabilité que la banque décide de refuser de rembourser des opérations de paiement non autorisées, en opposant la négligence grave du client, prenant alors le risque que le tribunal ne retienne pas cette négligence grave.

De même, c’est d’une manière inopérante que la BNP PARIBAS fait valoir que l’application de ces pénalités pourrait permettre un enrichissement sans cause du client, qui pourrait retarder l’introduction de son instance en remboursement d’opérations de paiement non autorisées.

Décision du 14 Avril 2026

9ème chambre 2ème section

N° RG 25/03556 – N° Portalis 352J-W-B7J-C7HU3

En effet, il résulte des dispositions de l’article L. 133-24 du code monétaire et financier qu’il appartient au client de signaler sans tarder à sa banque une opération de paiement non autorisée et, au plus tard, dans les treize mois suivant la date de débit sous peine de forclusion, étant rappelé que le client peut être privé de son droit au remboursement pour des opérations qu’il a intentionnellement ou de manière gravement négligente tardé à signaler à sa banque (CJUE 1er août 2025, aff. C-665/23).

Enfin, la BNP PARIBAS n’explique pas en quoi l’application de ces pénalités porterait atteinte aux droits de la défense.

Il convient par conséquent de faire droit à cette demande.

En effet, il n’est pas discuté que M. [Z] a sollicité le remboursement des virements frauduleux auprès de BNP PARIBAS le 15 avril 2023.

Le délai de trente jours permettant d’appliquer la majoration de quinze points des intérêts au taux légal a donc pris fin le 15 mai 2023, de sorte que ces intérêts majorés sont dus à compter du 16 mai 2023, et non le 11 mai 2023 comme sollicité.

Sur le préjudice moral :

Il découle de l’arrêt du 2 septembre 2021 (CJUE, 2 septembre 2021, C-337/20), que les articles 58 et 60, paragraphe 1, de la directive 2007/64/CE du 13 novembre 2007, dispositions transposées aux articles du code monétaire et financier susvisés, doivent être interprétés en ce sens qu’ils s’opposent à ce qu’un utilisateur de services de paiement puisse engager la responsabilité du prestataire de ces services sur le fondement d’un régime de responsabilité autre que celui prévu par ces dispositions.

Le régime de responsabilité d’une banque, en présence d’un paiement non autorisé, est donc exclusif de tout autre régime de responsabilité de droit national.

M. [Z] ne peut donc qu’être débouté de sa demande d’indemnisation au titre de son préjudice moral.

Sur les autres demandes :

Au titre des frais exposés et non compris dans les dépens, la banque sera condamnée à payer la somme de 3 000 euros.

Aucune considération ne justifie d’écarter l’exécution provisoire de droit.

PAR CES MOTIFS

Le tribunal, statuant publiquement par jugement contradictoire, en premier ressort et par mise à disposition au greffe,

CONDAMNE la SA BNP PARIBAS à payer à M. [E] [X] la somme de 25 360,62 euros au titre des opérations de paiement non autorisées, avec intérêts au taux légal majorés de quinze points à compter du 16 mai 2023 ;

DÉBOUTE M. [E] [X] du surplus de ses demandes ;

DÉBOUTE la SA BNP PARIBAS de ses demandes et contestations ;

CONDAMNE la SA BNP PARIBAS aux dépens, ainsi qu’à payer à M. [E] [X] la somme de 3 000 euros en application de l’article 700 du code de procédure civile.

Fait et jugé à [Localité 1] le 14 Avril 2026

La Greffière Le Président