TRIBUNAL

JUDICIAIRE

DE [Localité 1] [1]

[1]

Copies délivrées le

05/05/2026 à :

M^e AMMAR (P0279) CE

Me [Localité 2] (J0011) CCC

■

9ème chambre 2ème section

N° RG :

N° RG 25/00279 – N° Portalis 352J-W-B7J-C6QF6

N° MINUTE :

JUGEMENT

rendu le 05 Mai 2026

DEMANDEUR

Monsieur [X] [A]

[Adresse 1]

[Localité 3]

représenté par Maître Walid AMMAR de l’AARPI ORME AVOCATS, avocat au barreau de PARIS, vestiaire #P0279

DÉFENDERESSE

S.A. BNP PARIBAS

[Adresse 2]

[Localité 4]

représentée par Maître Dominique PENIN du PARTNERSHIPS MORGAN LEWIS & BOCKIUS UK LLP, avocat au barreau de PARIS, vestiaire #J0011

Décision du 05 Mai 2026

9ème chambre 2ème section

N° RG 25/00279 – N° Portalis 352J-W-B7J-C6QF6

COMPOSITION DU TRIBUNAL

Monsieur Gilles MALFRE, Premier vice-président adjoint

Monsieur Augustin BOUJEKA, Vice-Président

Monsieur Alexandre PARASTATIDIS, Juge

assistés de Madame Camille CHAUMONT, Greffière,

DÉBATS

A l’audience du 10 Mars 2026 tenue en audience publique devant Gilles MALFRE, juge rapporteur, qui, sans opposition des avocats, a tenu seul l’audience, et, après avoir entendu les conseils des parties, en a rendu compte au Tribunal, conformément aux dispositions de l’article 805 du Code de Procédure Civile, avis a été donné aux avocats que la décision serait rendue le 5 mai 2026.

JUGEMENT

Rendu publiquement par mise à disposition au greffe

Contradictoire

En premier ressort

EXPOSÉ DU LITIGE

Par acte du 18 décembre 2024, M. [X] [A] a fait assigner la BNP PARIBAS devant le tribunal judiciaire de Paris, afin qu’elle soit condamnée à lui payer la somme de 39 618,83 euros au titre des opérations de paiement frauduleuses, avec intérêts au taux légal majoré de 15 points à compter du 8 février 2024, outre la somme de 4 800 euros au titre de l’article 700 du code de procédure civile.

Le 16 janvier 2024 à 20h29, il a reçu un SMS lui indiquant : « BNP PARIBAS : un changement d’adresse mail est en cours. Si vous n’en êtes pas l’auteur, veuillez contacter au plus vite l’un de nos conseillers au 3477 ». Le même jour, il a reçu deux courriels lui notifiant, à 19h59, l’activation de sa clé digitale sur l’IPhone de [X] et, à 20h29, qu’une action était en cours sur son adresse e-mail.

N’étant pas à l’origine de ces actions, il précise avoir tenté de joindre son conseiller, sans succès, puis le 3477, et a constaté qu’un compte bancaire en Chine avait été ajouté, à son insu, à la liste de ses bénéficiaires, deux demandes de virements ayant été faites vers ce compte bancaire.

Le 19 janvier 2024 à 9h25, il a reçu un SMS l’informant que la clé digitale avait été activée dans les dernières 72 heures sur l’Iphone de [X].

Il ajoute que grâce à sa réactivité ces deux opérations ont pu être bloquées et le bénéficiaire supprimé et que, par sécurité, sa clé digitale a été désactivée par la banque et qu’une opposition a été faite sur sa carte bancaire.

M. [A] souligne avoir réinstallé une clé digitale avec un nouveau code d’activation sur son téléphone portable le 19 janvier 2024. Il a reçu le 1er février 2024 à 21h41, un SMS de sa banque l’informant d’une connexion inhabituelle et lui demandant, s’il en était à l’origine, de cliquer sur le lien : « https://mabanque.bnpparibas/otp/708381 pour vous connecter », indiquant s’être connecté à son espace bancaire mais sans cliquer sur le lien contenu dans ce SMS.

Le 5 février 2024 à 10h35, il a reçu un SMS de sa banque l’informant qu’elle avait détecté un ou plusieurs virements inhabituels, mis en suspens dans l’attente d’une confirmation, et lui demandant d’appeler les numéros suivants : 0160954000 depuis la France ou +33160954500 depuis l’étranger et, qu’à défaut de réponse dans les 5 jours, les opérations étaient considérées comme autorisées.

Le 6 février 2024 à 9h07, il a reçu un SMS mentionnant que le service clé digitale avait été activé dans les dernières 72 heures et l’invitant, en cas de doute, à contacter un conseiller. Il souligne avoir appelé son agence bancaire et que sa conseillère a bloqué les codes d’accès en ligne à son compte et lui a demandé de contacter le service de détection des fraudes, ce qu’il a fait.

Or, il précise que ce service lui a indiqué que 2 nouveaux comptes bancaires en Allemagne et en Belgique avaient été ajoutés, à son insu, à la liste de ses bénéficiaires et que 2 virements de 19 618,85 euros et 19 999,98 euros (39 618,83 euros) avaient été débités de son compte les 5 et 6 février 2024 vers un compte allemand, outre 2 autres virements, de 19 999 euros et 17 291 euros vers un compte belge, mis en suspens dans l’attente d’une confirmation de son autorisation.

Il ajoute avoir effectué les démarches auprès de sa banque pour confirmer le caractère non autorisé de ces opérations, bloquer l’instrument et demander que les fonds lui soient retournés.

Il indique avoir également déposé plainte le jour même auprès des services de police du chef d’escroquerie.

Si les deux virements mis en suspens, pour un total de 37 290 euros, ont pu être bloqués, M. [A] indique que le 19 février 2024, il a demandé à sa banque de recréditer les 2 autres virements pour un montant de 39 618,83 euros, ce qui lui a été refusé.

Par conclusions du 23 juin 2025, la BNP PARIBAS demande au tribunal de débouter M. [A] de ses demandes, subsidiairement, s’il était fait droit à la demande de remboursement, de juger que les pénalités de retard prévues à l’article L.133-18 du code monétaire et financier ne s’appliquent qu’à compter du prononcé de la décision et d’écarter l’exécution provisoire et, dans tous les cas, de condamner M. [A] à lui payer la somme de 3 500 euros au titre de l’article 700 du code de procédure civile.

Par conclusions du 6 octobre 2025, le requérant maintient ses demandes.

La clôture de l’instruction a été prononcée le 16 décembre 2025.

SUR CE

A titre liminaire, sur les faits, la banque rappelle que le 16 janvier 2024 à 19h59, il a été enregistré un désenrôlement de la clé digitale de M. [A], mais que l’escroc n’a pu procéder à aucune manœuvre frauduleuse, M. [A] ayant réinstallé cette clé le 19 janvier 2024, sur son téléphone.

Elle ajoute que le 1er février 2024 à 17h10, il a été enregistré un second désenrôlement de la clé digitale de M. [A] au profit d’un nouvel appareil et à 22h45, un RIB d’un compte bancaire ouvert dans les livres d’une banque allemande a été ajouté sur l’espace client de M. [A], cette opération ayant été validée par la clé digitale.

Enfin, elle précise que le 2 février 2024 à 23h09 et 23h44, deux virements (19 618,65 euros et 19 999,98 euros) ont été ordonnés à l’aide de la clé digitale, au profit de ce compte bancaire ouvert dans les livres d’une banque allemande.

Sur la demande principale :

M. [A] estime que la banque ne prouve pas que la connexion à son espace client, préalable aux opérations contestées, a fait l’objet d’une authentification forte, tout comme chacune des opérations de paiement.

Il note que c’est seulement après les opérations frauduleuses que la banque a procédé à une authentification forte pour accéder à son espace particulier en ligne.

Il relève à cet égard que la BNP PARIBAS reconnait que l’authentification forte n’a pas eu à se déclencher lorsque l’escroc s’est connecté.

Il en conclut que la preuve n’est pas rapportée que les opérations litigieuses n’ont pas été affectées d’une déficience technique ou autre.

Sur ce point, il considère que la pièce n°1 produite par la partie adverse, censée correspondre aux données techniques, est un document spécialement établi pour les besoins de la cause qui ne contient en lui-même aucune information intelligible, ni probante.

Par ailleurs, il estime que la banque ne prouve pas qu’il aurait commis une négligence grave.

Il rappelle à cet égard qu’il a toujours continué de recevoir des appels téléphoniques et des SMS provenant de sa banque sur son téléphone portable de sorte qu’il n’était pas en capacité de détecter une éventuelle fraude.

Il souligne avoir uniquement subi une interruption de son accès internet le vendredi 2 février 2024 mais qui a été rétabli le jour même par ORANGE, après le remplacement de sa carte SIM usée par une nouvelle, précisant que l’interruption de l’accès à internet est d’ailleurs postérieure aux premières tentatives de fraudes qui sont intervenues sur son compte le 16 janvier 2024 et est a priori sans lien avec les faits dont il a été victime.

Il conteste avoir reçu un SMS le 16 janvier 2024 à 19h59 et le 1er février 2024 dont le contenu serait : "Activez La Clé Digitale en cliquant sur le lien joint (…)", outre que la banque ne démontre pas l’envoi de ce SMS.

Il indique qu’il en est de même du SMS du 1er février 2024 à 17h10, dans lequel il était mentionné un second désenrôlement de la clé digitale au profit d’un nouvel appareil.

Il soutient également ne pas avoir reçu un courriel de la banque l’informant de l’activation de la clé digitale sur un autre téléphone mobile.

M. [A] souligne que sur une sommation de sa banque, il a transmis l’historique de ses communications téléphoniques.

Il précise que c’est seulement le 5 février 2024 qu’il a reçu un SMS l’informant que la banque aurait détecté un ou des virements inhabituels ayant été bloqués et mis en suspens dans l’attente d’une confirmation, ce message ayant été suivi d’un SMS indiquant que le service clé digitale avait été activé dans les 72 heures et l’invitant à contacter son conseiller en cas de doute.

En réponse la banque fait valoir, sur l’authentification forte, que l’article 10 du règlement délégué (UE) 2018/389 du 27 novembre 2017 a prévu une dérogation si une authentification forte a été déployée dans les 90 derniers jours (à l’époque des faits, 180 jours aujourd’hui).

Or, en l’espèce, elle souligne qu’il y a eu usage de la clé digitale les jours qui ont précédé la fraude, en particulier à l’occasion de sa réinstallation le 19 janvier 2024 et que cela explique que l’authentification forte n’a pas eu à se déclencher lorsque l’escroc s’est connecté à l’espace personnel du client le 1er février 2024.

Sur la négligence grave, la banque soutient que son client a nécessairement communiqué ses informations de connexion, ses identifiant et mot de passe à l’escroc, ce qui explique que ce dernier ait pu se connecter à l’espace personnel pour enregistrer la clé digitale sur son téléphone, d’une part, et, d’autre part, pour ajouter un nouveau bénéficiaire des virements litigieux.

Elle rappelle que cet enrôlement sur un autre téléphone a généré l’envoi d’un SMS sur le téléphone de M. [A], contenant un « lien cliquable » composé d’un code nécessaire à la finalisation du processus d’enrôlement sur le téléphone.

Par la suite, elle souligne qu’il y a eu ajout d’un nouveau bénéficiaire de virement, validé par clé digitale le 1er février 2024 à 22h45 et exécution des deux virements les 2 février 2024 à 23h09 et 23h44.

Ceci étant exposé.

Dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du code monétaire et financier qui transposent les articles 58, 59 et 60, § 1, de la directive 2007/64/CE, tout autre régime alternatif de responsabilité résultant du droit national devant être écarté.

En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les délais prévus par l’article L. 133-24 du même code, le prestataire de services de paiement du payeur rembourse à ce dernier le montant de l’opération non autorisée sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement.

Dans cette hypothèse, il incombe au prestataire de paiement de prouver que l’opération litigieuse a été effectuée après une authentification forte, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre, l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement, à savoir l’utilisation des identifiants du client et l’absence de déficience technique ou autre, notamment par le biais de la production d’un relevé de ses connexions, ne suffisant pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur.

L’article L. 133-4 (f) du code précité précise qu’une authentification forte s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît telle qu’un mot de passe, un code secret, une question secrète, etc…), « possession » (quelque chose que seul l’utilisateur possède telle qu’un téléphone portable, une montre connectée, une clé USB etc…) et « inhérence » (quelque chose que l’utilisateur est telle que la reconnaissance faciale ou vocale, la reconnaissance par empreinte digitale, etc…) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification. L’authentification forte repose donc sur l’utilisation de deux de ces éléments, voire plus.

Par ailleurs, la responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à son insu, l’instrument de paiement ou les données qui lui sont liées. Cependant, il supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’agissements frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 du code monétaire et financier.

Ainsi, pour échapper au remboursement de l’opération contestée, le prestataire de services de paiement doit démontrer, soit que l’ordre émanait bel et bien du client dûment authentifié dans son espace personnel, soit que le vol des identifiants de connexion (ou d’autres données) n’est que la conséquence d’une faute grave de sa part consistant à ne pas avoir satisfait intentionnellement aux obligations lui incombant en la matière ou à les avoir gravement négligées.

Il est par ailleurs rappelé que la preuve de la négligence grave ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.

En particulier, le fait que les traces informatiques établissent qu’une adresse IP, qui n’est pas l’adresse habituelle, s’est connectée sur l’espace client, et que, par la suite, la clé digitale du client a été enrôlée sur un nouvel appareil par l’intermédiaire de cette même adresse ne permet pas de retenir une négligence grave de ce client, cette négligence étant alors déduite de la seule utilisation des données de sécurité personnalisées (Cass. com., 5 mars 2025, n° 23-22.687).

En l’espèce, sur l’authentification forte, il est rappelé qu’il appartient uniquement à la banque de rapporter la preuve de cette authentification concernant les opérations de paiement non autorisées dont le remboursement est sollicité, soit en l’espèce, les deux virements du 2 février 2024 à 23h09 et 23h44, et pour des montants respectifs de 19 618,65 euros et 19 999,98 euros. Cette preuve ne porte pas sur les actes préparatoires à l’exécution de ces opérations de paiement non autorisées, en particulier la connexion préalable à l’espace bancaire.

Or, en l’espèce, en pièce n°1, la banque justifie que chacun des virements litigieux a fait l’objet d’un déclenchement d’une authentification forte, par la mention, dans ces traces informatiques du code 1 dans la rubrique « déclenchement AF » et qu’une telle authentification a été effectuée, par la mention du code 2 dans la rubrique « mode validation AF », ce qui correspond à une validation de l’authentification par la clé digitale.

Sur la négligence grave, la banque se contente de déduire des différentes traces informatiques des opérations préalables à l’exécution des virements que M. [A] a nécessairement communiqué ses informations de connexion, sans pour autant l’établir alors que le demandeur conteste avoir communiqué de telles données. Or, comme précédemment rappelé, la négligence grave ne saurait se déduire de la seule utilisation des données de sécurité personnalisées.

En particulier, elle ne démontre nullement que le client aurait permis l’enrôlement de la clé digitale sur le téléphone du fraudeur. En effet, elle ne produit pas aux débats le SMS et le courriel qui auraient été adressés à cette occasion à M. [A], alors que ce dernier conteste avoir reçu de tels messages.

La négligence grave n’étant pas établie, il convient de condamner la BNP PARIBAS à payer la somme de 39 618,83 euros, au titre des deux virements litigieux.

Sur les pénalités de l’article L.133-18 du code monétaire et financier :

M. [A] rappelle avoir signalé les opérations non autorisées le 6 février 2024, de sorte que la banque aurait dû exécuter son obligation de remboursement au plus tard le 7 février 2024. Il entend en conséquence que la somme à rembourser soit assortie des intérêts au taux légal majoré de 15 points à compter du 8 février 2024.

En réponse, la banque soutient que cette pénalité n’est applicable qu’à compter du présent jugement, rappelant qu’au vu des éléments du dossier, elle était légitime à retenir une négligence grave commise par son client.

Ceci étant exposé.

L’article L.133-18 du code monétaire et financier dispose que :

« En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu.

Lorsque l’opération de paiement non autorisée est initiée par l’intermédiaire d’un prestataire de services de paiement fournissant un service d’initiation de paiement, le prestataire de services de paiement gestionnaire du compte rembourse immédiatement, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, au payeur le montant de l’opération non autorisée et, le cas échéant, rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu.

La date de valeur à laquelle le compte de paiement du payeur est crédité n’est pas postérieure à la date à laquelle il avait été débité.

En cas de manquement du prestataire de services de paiement aux obligations prévues aux deux premiers alinéas du présent article, les pénalités suivantes s’appliquent :

1° Les sommes dues produisent intérêt au taux légal majoré de cinq points ;

2° Au-delà de sept jours de retard, les sommes dues produisent intérêt au taux légal majoré de dix points ;

3° Au-delà de trente jours de retard, les sommes dues produisent intérêt au taux légal majoré de quinze points.

Si le prestataire de services de paiement qui a fourni le service d’initiation de paiement est responsable de l’opération de paiement non autorisée, il indemnise immédiatement le prestataire de services de paiement gestionnaire du compte, à sa demande, pour les pertes subies ou les sommes payées en raison du remboursement du payeur, y compris le montant de l’opération de paiement non autorisée.

Le payeur et son prestataire de services de paiement peuvent décider contractuellement d’une indemnité complémentaire."

Par ailleurs, l’article L. 133-19 IV du même code précise que :

« Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17. »

L’objectif poursuivi par la première de ces dispositions, en particulier les pénalités prévues au troisième alinéa de cet article, est de s’assurer que la banque rembourse sans tarder les opérations de paiement non autorisées et signalées par le client.

Les banques ne sont pas tenues à une telle obligation, en particulier en cas de négligence grave du client.

Pour autant, contrairement à ce que soutient la BNP PARIBAS et sauf à priver de toute portée ces dispositions du troisième alinéa de l’article L. 133-18, ces intérêts majorés proportionnellement ne sauraient être dus qu’à compter du jugement ne retenant pas, au final, la négligence grave opposée par la banque.

En effet, c’est sous sa seule responsabilité que la banque décide de refuser de rembourser des opérations de paiement non autorisées, en opposant la négligence grave du client, prenant alors le risque que le tribunal ne retienne pas cette négligence grave.

Il convient par conséquent de faire droit à cette demande.

Sur le détail des intérêts majorés réclamés, le tribunal ne peut modifier les termes de la demande, en ce que le point de départ de ces intérêts est à fixer au 8 février 2024.

Cependant, la majoration due à cette date n’est que de cinq points et ce, jusqu’au 14 février 2024, puis cette majoration n’est que de dix points, du 15 février 2024 au 15 mars 2024, et elle n’est de quinze points comme sollicité, qu’à compter du 16 mars 2024.

Sur les autres demandes :

Au titre des frais exposés et non compris dans les dépens, la BNP PARIBAS sera condamnée à payer la somme de 3 000 euros.

Aucune considération ne justifie d’écarter l’exécution provisoire de droit.

PAR CES MOTIFS

Le tribunal, statuant publiquement par jugement contradictoire, en premier ressort et par mise à disposition au greffe,

CONDAMNE la SA BNP PARIBAS à payer à M. [X] [A] la somme de 39 618,83 euros, au titre des opérations de paiement non autorisées ;

DIT que cette somme sera assortie des intérêts au taux légal majoré de cinq points du 8 février 2024 au 14 février 2024, des intérêts majorés de dix points, du 15 février 2024 au 15 mars 2024, et des intérêts majorés de quinze points à compter du 16 mars 2024 ;

CONDAMNE la SA BNP PARIBAS aux dépens, ainsi qu’à payer à M. [X] [A] la somme de 3 000 euros en application de l’article 700 du code de procédure civile ;

DIT n’y avoir lieu à écarter l’exécution provisoire de droit.

Fait et jugé à [Localité 1], le 05 Mai 2026.

La Greffière Le Président