TRIBUNAL

JUDICIAIRE

DE [Localité 1] [1]

[1]

Expéditions

délivrées le:

à

M^e TANGA

M^e METAIS

■

9ème chambre 2ème section

N° RG 24/04190 – N° Portalis 352J-W-B7I-C4MHV

N° MINUTE :

Assignation du :

26 Mars 2024

JUGEMENT

rendu le 01 Avril 2026

DEMANDEUR

Monsieur [W] [V]

[Adresse 1]

[Localité 2]

représenté par Maître Arlette TANGA, avocat au barreau de PARIS, vestiaire #E2128

DÉFENDERESSE

S.A. BNP PARIBAS

[Adresse 2]

[Localité 3]

représentée par Maître Philippe METAIS du PARTNERSHIPS BRYAN CAVE LEIGHTON PAISNER (France) LLP, avocats au barreau de PARIS, vestiaire #R030

Décision du 01 Avril 2026

9ème chambre 2ème section

N° RG 24/04190 – N° Portalis 352J-W-B7I-C4MHV

COMPOSITION DU TRIBUNAL

Gilles MALFRE, 1er Vice-Président adjoint

Augustin BOUJEKA, Vice-Président

Alexandre PARASTATIDIS, Juge

assistés de Diane FARIN, Greffière.

DÉBATS

A l’audience du 25 février 2026 tenue en audience publique devant Alexandre PARASTATIDIS, juge rapporteur, qui, sans opposition des avocats, a tenu seul l’audience, et, après avoir entendu les conseils des parties, en a rendu compte au Tribunal, conformément aux dispositions de l’article 805 du Code de Procédure Civile. Avis a été donné aux avocats que la décision serait rendue le 01 avril 2026.

JUGEMENT

Rendu publiquement par mise à disposition au greffe

Contradictoire

En premier ressort

FAITS ET PROCEDURE

Par une réclamation du 30 septembre 2022, M. [W] [V], alors âgé de 88 ans, a fait une demande de remboursement pour une somme totale de 5.907,41 euros auprès de la SA BNP Paribas, déclarant avoir été victime d’escroqueries de types « phishing » et « vishing » et ne pas avoir autorisé les opérations suivantes débitées de son compte ouvert dans les livres de cet établissement :

— Le 8 septembre 2022 : deux paiements en ligne par CB au bénéfice de FNAC.COM (86,31 euros et 2.578,35 euros) ;

— Le 9 septembre 2022 : deux paiements en ligne par CB au bénéfice de FNAC.COM (110,40 euros et 2.578,17 euros) ;

— Le 10 septembre 2022 : un paiement en ligne par CB au bénéfice de SNCF INTERNET (554 euros).

La BNP Paribas a procédé au remboursement des sommes de 86,31 euros et 110,40 euros mais a refusé de rembourser les trois autres paiements litigieux au motif que ces derniers avaient été effectués selon la procédure d’authentification forte via une clé digitale.

Les réclamations ultérieures de M. [V] et une tentative de médiation n’ont pas abouti à une résolution amiable du litige.

C’est dans ce contexte que, par exploits de commissaire de justice des 26 mars et 19 avril 2024, M. [V] a fait assigner la BNP Paribas devant le tribunal judiciaire de Paris en recherche de la responsabilité de cet établissement bancaire.

Par ordonnance du 12 mars 2025, le juge de la mise en état a rejeté la fin de non-recevoir tirée de la forclusion opposée par la SA BNP Paribas, enjoint à M. [V] de communiquer à la BNP Paribas le procès-verbal de son dépôt de plainte désigné comme étant la pièce n°15 intitulée " PV [X] [V] " dans l’assignation délivrée le 26 mars 2024, condamné la défenderesse à verser au demandeur la somme de 1.000 euros en application de l’article 700 du code de procédure civile, réservé les dépens, et renvoyé l’affaire à la mise en état pour les conclusions au fond de la banque.

Par dernières conclusions signifiées le 20 janvier 2026, aux visas des articles L.133-4 et suivants, et L.133-18 et suivants du code monétaire et financier, et de la directive (UE) 2015/2366 du 25 novembre 2015 concernant les services de paiement transposée en droit français par l’ordonnance du 9 août 2017, M. [V] demande au tribunal de :

«  JUGER Monsieur [V] recevable et bien fondée en ses demandes,

En conséquent :

Dire et juger que les opérations litigieuses n’étaient pas autorisées

Dire que BNP ne rapporte pas la preuve exigée par L.133-23 CMF

Dire qu’aucune négligence grave n’est caractérisée

Condamner BNP à rembourser 5 710,52 € au titre du remboursement des opérations non autorisées, assortie des intérêts au taux légal à compter de la date de remboursement des deux opérations reconnues non frauduleuses par la banque ;

Condamner BNP Paribas à payer à Monsieur [V] la somme de 5.000 euros à titre de dommages et intérêts pour préjudice moral et stress post-traumatique ;

Condamner la BNP Paribas à verser à Monsieur [V] la somme de 2500€ en application de l’article 700 du code de procédure civile ainsi qu’aux entiers frais et dépens de l’instance

DIRE n’y avoir lieu à écarter l’exécution provisoire de la décision à intervenir en application des articles 514 et suivants du code de procédure civile. "

M. [V] expose avoir été victime d’une escroquerie particulièrement élaborée qui a débuté par la réception par voie postale le 5 septembre 2022 d’un formulaire de renouvellement de sa carte vitale qu’il reconnaît avoir retourné à son expéditeur, bien qu’ayant eu un doute, en renseignant certaines informations bancaires dont son numéro de carte bancaire pour le règlement de la somme de 95 cents, précisant n’avoir cependant pas communiqué son code confidentiel. Il explique avoir reçu le 8 septembre 2022 un appel téléphonique d’un prétendu conseiller du service Sécurité [Localité 1] Sud de la BNP Paribas évoquant le paiement frauduleux précité et qui, sous prétexte d’une nécessaire sécurisation d’urgence de ses fonds, l’a guidé dans des manipulations qu’il pensait être des mesures de protection de son compte alors qu’en réalité il s’agissait d’opérations de validation de paiements au moyen de trois codes à usage unique communiqués par son interlocuteur.

M. [V] soutient le caractère non autorisé des opérations litigieuses nonobstant leur authentification au moyen d’une clé digitale, soulignant la distinction fondamentale existant entre l’autorisation et l’authentification, et prétend donc à l’application à son profit de l’obligation de remboursement mise à la charge de la banque prévue par les dispositions de l’article L.133-18 du code monétaire et financier qui sont d’ordre public. Rappelant que la Cour de cassation a dit pour droit que la preuve de la négligence grave au sens de l’article L.133-19 IV du code précité ne peut se déduire du seul fait que l’instrument de paiement a été effectivement utilisé, il se prévaut par ailleurs d’un arrêt du 28 mars 2023 de la Cour d’appel de Versailles (RG n°21/07299) ne retenant pas une négligence grave à l’égard d’un client victime de spoofing.

Il estime qu’en l’espèce la banque a engagé sa responsabilité en raison de la défaillance de son système d’enrôlement de la clé digitale qui a permis au fraudeur d’usurper son identité sans aucune vérification complémentaire, relevant la position contradictoire de la défenderesse qui dans le même temps soutient que son client a donné son consentement et qu’il a été victime d’une fraude. Il affirme ainsi qu’il n’a jamais consenti au transfert de sa clé digitale le 7 septembre 2022 ni aux opérations de paiement le jour suivant et qu’il a été victime d’un dol caractérisé lors de l’appel du 8 septembre 2022, indiquant qu’il pensait légitimement sécuriser son compte lorsqu’il a entré les codes d’authentification dont il affirme qu’ils lui ont été communiqués par son interlocuteur.

Il fait grief à la banque de ne pas l’avoir alerté du réenrôlement de sa clé digitale sur un autre appareil, défaillance qui selon lui démontre l’absence de système d’alerte lors d’opérations sensibles, un manquement aux obligations contractuelles d’information et une négligence dans le suivi des dispositifs de sécurité, soutenant que la banque avait l’obligation contractuelle de lui adresser une notification sur sa messagerie électronique en sus de l’envoi d’une notification dans son espace sécurisé, lequel n’est par ailleurs pas démontré.

Il reproche également à la banque un manquement au devoir général de vigilance en ce qu’elle n’a pas relevé les anomalies flagrantes que constituaient le caractère inhabituel des montants, la répétition anormale des opérations sur trois jours, la connexion depuis un terminal différent sur son espace en ligne dans le même temps par deux appareils différents et le transfert préalable de la clé digitale qu’il conteste avoir validé le 7 septembre 2022.

M. [V] conclut à une vulnérabilité critique du système de la BNP Paribas qui a permis à un fraudeur, dès lors qu’il a obtenu les identifiants d’accès à son espace en ligne, de contourner l’authentification forte définie par l’article L.133-4 du code monétaire et financier en manipulant son titulaire pour qu’il transmette des codes envoyés par SMS.

Il affirme que ces défaillances techniques caractérisent l’inexécution de ses obligations contractuelles de sécurisation par la BNP Paribas qui ne saurait se prévaloir d’une négligence grave au sens de l’article L.133-19 IV du code monétaire et financier, dont elle ne rapporte nullement la preuve positive, pas plus qu’elle ne rapporte la preuve de ce que les opérations ont été authentifiées, dûment enregistrées et comptabilisées et non affectées d’une déficience technique, pour s’exonérer de sa responsabilité, faisant valoir que la solution retenue par la Cour de cassation dans un arrêt du 23 octobre 2024 (n°23-16.267) qui a écarté la négligence grave de la victime, trouve à s’appliquer même sans usurpation de numéro de téléphone. Il ajoute que la méconnaissance du public en 2019, date des faits de l’arrêt, de ce type de fraude, constituait encore une circonstance atténuante en 2022 et que les campagnes de sensibilisation invoquées par la banque en avril 2020, novembre 2021 et avril 2022 ne constituaient pas une formation suffisante à l’égard d’une clientèle âgée.

Le demandeur affirme que même dans l’hypothèse où il aurait fait usage de son code confidentiel, étant observé qu’il n’est pas démontré qu’il l’a communiqué par téléphone, courriel, chat ou sur les réseaux sociaux mais qu’il a indiqué l’avoir saisi sur son application, il n’est pas caractérisé à son égard une négligence grave.

Il sollicite en conséquence la condamnation de la banque à l’indemniser, d’une part, de l’intégralité des sommes débitées et, d’autre part, d’un préjudice moral et du stress post-traumatique qu’il a subis résultant notamment de l’absence de soutien de la banque et de la résistance abusive de cette dernière qui a fait preuve de mauvaise foi, et ce par l’allocation de la somme de 5.000 euros.

Aux termes de ses dernières conclusions signifiées le 31 octobre 2025, aux visas des articles L.133-4, L.133-16 et suivants, et L.133-44 du code monétaire et financier, des directives (CE) 2007/64/CE du 13 novembre 2007 (« DSP 1 ») et (UE) 2015/366 du Parlement européen et du Conseil du 25 novembre 2015 (« DSP 2 ») concernant les services de paiement dans le marché intérieur, des articles 1231-1 et suivants du code civil et 696 et 700 du code de procédure civile, la BNP Paribas demande au tribunal de :

«  Sur la demande formée par Monsieur [V] tendant au remboursement des paiements litigieux

Juger que les transactions litigieuses ont été dûment authentifiées et que BNP Paribas a parfaitement respecté ses obligations en matière de sécurisation de l’instrument de paiement de Monsieur [V] ;

Juger que Monsieur [V] a commis une négligence grave au sens de l’article L.133-19, IV. du Code monétaire et financier ;

En conséquence,

Débouter Monsieur [V] de sa demande de remboursement des opérations litigieuses à hauteur de 5.710,52 euros, outre intérêts au taux légal ;

Sur la demande formée par Monsieur [V] tendant au paiement de dommages et intérêts

Juger que le régime de responsabilité des prestataires de services de paiement tel qu’issu des articles L.133-1 et suivants du Code monétaire et financier fait l’objet d’une application exclusive et autonome ;

Juger, en tout état de cause, que BNP Paribas n’a commis aucune inexécution contractuelle ;

En conséquence,

Débouter Monsieur [V] de sa demande de dommages et intérêts à hauteur de 5.000,00 euros au titre du préjudice moral qu’il aurait subi;

En tout état de cause

Débouter Monsieur [V] de l’intégralité de ses demandes, fins et conclusions à l’encontre de BNP Paribas ;

Condamner Monsieur [V] à verser à BNP Paribas la somme de 2.500 euros au titre de l’article 700 du Code de procédure civile ainsi qu’aux entiers dépens ;

Ecarter l’exécution provisoire de la décision à intervenir ; "

La BNP Paribas expose que M. [V], en tant que client, dispose d’un espace en ligne lui permettant d’effectuer diverses opérations et dont l’accès nécessite la saisie d’un identifiant et d’un mot de passe connus de lui seul. Elle ajoute que le demandeur est également utilisateur d’une clé digitale installée sur son appareil mobile.

Elle souligne que le demandeur reconnaît avoir renseigné et renvoyé un formulaire contenant des informations bancaires (n° de client BNP, n° de carte visa) pour le paiement de la somme de 95 cents et qu’il a ainsi été victime d’une escroquerie de type phishing, et ce alors qu’il admet avoir eu un doute qui aurait pu être confirmé par de simples recherches sur internet.

Elle explique également que M. [V] n’a pas été victime d’une escroquerie de type « spoofing », ce dernier ne prétendant pas avoir été appelé par un numéro de téléphone associé à ses services. Elle ajoute que cet appel a eu lieu le 7 septembre 2022 et non le 8 comme l’affirme le demandeur et entend rappeler que dans son acte introductif d’instance, ce dernier indiquait avoir communiqué au fraudeur un « code à usage unique » reçu sur son appareil mobile, indication qu’il ne reprend pas dans ses dernières écritures. Elle précise que ce code lui a été transmis par un SMS d’activation de clé digitale visant à transférer la clé depuis son appareil mobile vers celui du fraudeur, action qui a été enregistrée à 19h19 et qui n’a pu être initiée que depuis l’espace en ligne du client, ce qui implique que le fraudeur a eu connaissance des identifiant et code personnels de M. [V].

La BNP Paribas conclut tout d’abord à l’impossibilité pour M. [V], lequel prétend agir à raison d’opérations de paiement par carte bancaire, de rechercher sa responsabilité sur un autre fondement que celui du régime spécial des services de paiement, conformément à une solution consacrée par la Cour de cassation dans ses arrêts de la chambre commerciale des 27 mars 2024 (n°22-21.200), 2 mai 2024 (n°22-18.074), et 15 janvier 2025 (n°23-13.579 ; n°23-15.437) et appliquée par la présente juridiction dans le cas d’opérations non autorisées, précisant ne pas remettre en question cette qualification pour les paiements objets du présent litige.

La banque fait valoir qu’elle a parfaitement satisfait à ses obligations relatives à la sécurisation de l’instrument de paiement du demandeur, détaillant le fonctionnement de la clé digitale enrôlée initialement sur le téléphone mobile de ce dernier.

Elle expose que celle-ci a été transférée sur l’appareil du fraudeur à l’issue d’une procédure nécessitant que le tiers se connecte à l’espace en ligne du client au moyen des identifiant et mot de passe confidentiels, qu’il initie ensuite le parcours d’activation de la clé, générant ainsi automatiquement l’envoi sur le téléphone de M. [V] d’un SMS d’activation contenant un code à usage unique permettant au fraudeur de finaliser l’opération en reconstituant le lien envoyé auquel il ajoute le code reçu. Elle précise qu’à l’issue de l’enrôlement, le client reçoit un courriel l’informant de l’activation de la clé.

Elle soutient dès lors que les opérations litigieuses n’ont pu être effectuées que parce que M. [V] a divulgué les données de connexion à son espace en ligne ainsi que celles relatives à sa carte bancaire, laquelle a été utilisée par le fraudeur pour initier les paiements litigieux les 8, 9 et 10 septembre 2022, comme le démontrent les traces informatiques dont le caractère probant est reconnu par les juridictions, après avoir permis l’enrôlement de sa clé digitale sur l’appareil du fraudeur en lui communiquant le code ou le lien mentionné dans le SMS qu’il a reçu sur son téléphone enregistré comme appareil de confiance.

Elle affirme ainsi que si les opérations en cause peuvent être qualifiées de non autorisées, elles n’en ont pas moins été authentifiées de manière forte au sens de l’article L.133-4 du code monétaire et financier, cette circonstance excluant l’hypothèse d’une déficience technique du système de sécurisation.

Elle expose ensuite que M. [V] s’est montré particulièrement négligent en ce qu’il a :

— Communiqué au fraudeur de nombreuses informations bancaires confidentielles, dont les identifiant et mot de passe personnels d’accès à son espace en ligne et les données relatives à sa carte bancaire, en répondant à un courrier frauduleux ;

— Communiqué au fraudeur le code confidentiel reçu par SMS, malgré ses mentions explicites sur la confidentialité de celui-ci, permettant l’enrôlement de la Clé Digitale sur son propre appareil mobile ;

— Suivi minutieusement les instructions d’un tiers qu’il ne connaissait pas l’appelant depuis un numéro inconnu, en dépit des campagnes de sensibilisation qu’elle a menées, précisant que le demandeur, qui n’allègue pas avoir été contacté depuis un numéro de ses services, ne saurait se prévaloir de la décision rendue le 23 octobre 2024 par la Cour de cassation dans un cas de spoofing ;

— Omis de réagir sans tarder au détournement de ses données bancaires personnelles, alors qu’une réaction de sa part aurait permis d’éviter la réalisation des paiements frauduleux.

Elle soutient que ces agissement caractérisent des manquements à l’obligation de préservation de la sécurité des dispositifs personnalisés et sont constitutifs de négligences graves au sens de l’article L.133-19 IV du code monétaire et financier faisant obstacle au droit à un remboursement des paiements frauduleux.

Elle conclut également au rejet de la demande indemnitaire fondée sur un préjudice moral, faisant valoir que le régime exclusif de responsabilité des articles L.133-18 et suivants y fait obstacle et, qu’en tout état de cause, ce poste de préjudice n’est justifié ni dans son principe ni dans son quantum.

Enfin, en cas de condamnation prononcée à son encontre, elle sollicite que l’exécution provisoire soit écartée, faisant valoir l’impossibilité de recouvrer les fonds en cas d’infirmation du jugement en cause d’appel.

Conformément aux dispositions de l’article 455 du code de procédure civile, il est renvoyé aux dernières écritures des parties pour l’exposé des moyens et arguments venant au soutien de leurs prétentions.

La clôture de l’instruction a été prononcée le 11 février 2026. L’affaire a été évoquée à l’audience de plaidoiries tenue en juge rapporteur du 25 février 2026 et mise en délibéré au 1er avril 2026.

MOTIFS DE LA DÉCISION

1 – Sur l’obligation de remboursement

Une opération de paiement n’est autorisée au sens des articles L.133-3 et L.133-6 du code monétaire et financier que si le payeur l’a initiée et a consenti au montant de l’opération et au bénéficiaire.

En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les délais prévus par l’article L.133-24 du même code, le prestataire de services de paiement du payeur rembourse à ce dernier le montant de l’opération non autorisée, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement.

Dans cette hypothèse, il incombe au prestataire de paiement de prouver que l’opération litigieuse a été effectuée après une authentification forte, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre, l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement, à savoir l’utilisation des identifiants du client et l’absence de déficience technique ou autre, notamment par le biais de la production d’un relevé de ses connexions, ne suffisant pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur.

Par ailleurs, la responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à son insu, l’instrument de paiement ou les données qui lui sont liées. Cependant, il supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’agissements frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17 du code précité.

Ainsi, pour échapper au remboursement de l’opération, le prestataire de services de paiement doit démontrer, soit que l’ordre émanait bel et bien du client dûment authentifié dans son espace personnel, soit que le vol des identifiants de connexion (ou d’autres données) n’est que la conséquence d’une faute grave de sa part consistant à ne pas avoir satisfait intentionnellement aux obligations lui incombant en la matière ou à les avoir gravement négligées.

Enfin, dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L.133-18 à L.133-24 du code monétaire et financier qui transposent les articles 58, 59 et 60, § 1, de la directive 2007/64/CE, tout autre régime alternatif de responsabilité résultant du droit national devant être écarté.

En l’espèce, la BNP Paribas ne conteste pas la qualité de victime d’une fraude de M. [V] et donc le caractère non autorisé des opérations litigieuses.

Cependant, préalablement à la démonstration de l’existence d’une négligence grave commise par M. [V], dont la preuve incombe à la banque, il revient à cette dernière de démontrer tout d’abord que les paiements en litige ont été dûment authentifiés, comptabilisés et enregistrés et que son système n’a pas été affecté d’une déficience technique.

Au cas particulier, la BNP Paribas verse aux débats une pièce n°1 qu’elle présente comme la preuve, d’une part, de l’enrôlement de la clé digitale de M. [V] sur un nouvel appareil le 7 septembre 2022 et, d’autre part, de l’authentification forte des paiements contestés.

Ces traces informatiques doivent être regardées comme un commencement de preuve par écrit au sens des dispositions de l’article 1361 du code civil, à corroborer par des éléments extérieurs tels que des éléments figurant dans la plainte déposée par le payeur (Cass. Com., 30 avril 2025, n°24-13.663).

Il ressort tout d’abord de ce document que le 7 septembre 2022 à 19h09, la clé digitale de M. [V] a été enrôlée sur un nouvel appareil de type Apple Iphone 14, ce qui suppose tout d’abord que l’initiation de cet enrôlement a été effectuée depuis l’espace en ligne de M. [V] et qu’ensuite, la procédure a été validée avec le lien à code unique adressé sur le numéro de téléphone de M. [V] associé à l’appareil de confiance enregistré auprès de la banque dont il n’est allégué par aucune des parties qu’il aurait été changé au cours de la période examinée.

Le même document fait apparaître que les paiements litigieux ont fait l’objet d’une authentification forte au moyen de la clé digitale liée au compte de M. [V] les 8 septembre 2022 à 15h58 (2.664,98 euros), 9 septembre 2022 à 14h56 (2.688,98 euros) et 10 septembre 2022 à 02h37 (554 euros).

Si M. [V] affirme que le contact téléphonique avec le fraudeur a eu lieu le 8 septembre 2022 aux environs de 17h et non le 7 septembre, le tribunal relève que le demandeur ne produit aucun élément en ce sens, tel un relevé téléphonique ou une capture d’écran du journal d’appels issu de son téléphone.

M. [V] ne conteste pas l’enrôlement de la clé digitale le 7 septembre mais affirme que l’appel du fraudeur le 8 septembre 2022 a eu pour objet de le manipuler afin qu’il valide, au moyen de trois codes à usage unique communiqués par le fraudeur, les trois achats litigieux.

Cependant, les traces informatiques précitées contredisent la chronologie des faits donnée par M. [V] dès lors qu’une fois la clé digitale enrôlée sur son appareil le 7 septembre 2022, le fraudeur pouvait en toute autonomie effectuer les achats qu’il souhaitait puisqu’il était destinataire des notifications aux fins de validation desdites opérations. Le concours de M. [V] ne lui était donc plus nécessaire après le 7 septembre 2022.

Par ailleurs, le tribunal retient que le demandeur ne conteste pas que les paiements litigieux ont été effectués les 8, 9 et 10 septembre 2022. M. [V] ne peut dès lors soutenir que le fraudeur lui a fait valider l’ensemble des opérations le 8 septembre 2022, étant observé au surplus que le paiement du 8 septembre est intervenu à 15h58, soit antérieurement à l’heure d’appel évoquée par le demandeur.

Dès lors, les éléments techniques versés aux débats confrontés aux déclarations de M. [V] permettent de considérer que la clé digitale de ce dernier a été enrôlée sur l’appareil du fraudeur le 7 septembre 2022 et que s’il y a eu échange entre le demandeur et un tiers, ce dernier a eu lieu ce même jour.

Il est également relevé que M. [V] reconnaît dans ses écritures avoir pendant cet entretien suivi les instructions du fraudeur l’amenant à faire des manipulations sous prétexte de « sécurisation urgente » impliquant la communication de codes à usage unique qui ne peuvent que correspondre à ceux envoyés par la banque dans le cadre du processus d’enrôlement d’une clé digitale.

Il convient dès lors de considérer que l’enrôlement de la clé digitale est bien consécutive à la communication par M. [V] du lien à code unique envoyé sur son téléphone le 7 septembre 2022 au cours de l’entretien téléphonique évoqué ci-avant.

Or, une fois la clé digitale enrôlée sur son appareil, le fraudeur a pu initier les paiements par carte bancaire et les authentifier, étant désormais destinataire des notifications aux fins de validation sur son appareil, en composant le code personnel de M. [V] dont il a été démontré ci-avant qu’il en avait eu connaissance pour initier l’enrôlement de la même clé sur son téléphone depuis l’espace en ligne du demandeur.

En effet, M. [V] ne conteste pas avoir communiqué son numéro de carte bancaire, précisant néanmoins ne pas avoir indiqué le code confidentiel associé à ce moyen de paiement, mais également son code d’accès à son espace en ligne en renseignant le formulaire reçu le 5 septembre 2022 et qu’il a retourné par voie postale au fraudeur, ce qui résulte de sa lettre en date du 22 novembre 2022 (pièce n°3 de la défenderesse) dans laquelle il écrit " En remplissant le formulaire, j’ai bien eu un instant un doute devant la ligne code d’accès au compte, mais je suis passé outre, pendant que cela faisait partie des prérogatives de l’Assurance maladie, service de l’Etat… ".

Il résulte de ces éléments que la banque rapporte la preuve que le fraudeur détenait l’ensemble des informations et moyens pour procéder, selon la procédure de sécurisation mise en place par l’établissement, aux paiements litigieux en ligne, lesquels ont bien été authentifiés, dûment enregistrés et comptabilisés et n’ont pas été affectés par une déficience technique ou autre, aucun élément en ce sens n’étant produit par M. [V].

Dès lors, en présence d’opérations non autorisées au sens des articles L.133-3 et L.133-6 du code monétaire et financier, il convient de rechercher si le demandeur peut se voir reprocher une négligence grave au sens des articles L.133-16 et suivants du code monétaire et financier faisant obstacle à son indemnisation, étant rappelé que le régime de responsabilité s’appliquant aux opérations non autorisées énoncé par ces articles est exclusif de tout autre régime de responsabilité, notamment sur le fondement d’un manquement à l’obligation générale de vigilance.

Au cas particulier, M. [V] conteste avoir communiqué le code confidentiel attaché à sa carte bancaire, lequel n’a pas eu à être utilisé dans le cadre des opérations de paiement en ligne.

Il reconnaît en revanche avoir communiqué par négligence ses autres données bancaires, en ce compris son numéro de compte bancaire, son numéro de carte bancaire et le code d’accès à son espace en ligne, dans le cadre d’un phishing dans les jours précédant les paiements litigieux et ne conteste pas le lien de causalité qui peut être établi avec la fraude au faux conseiller dont il a été victime.

Cependant, la victime de phishing ne peut se voir reprocher une négligence grave au sens de l’article L.133-19 IV du code monétaire et financier en l’absence d’autres éléments caractérisant une imprudence ou un manquement intentionnel à ses obligations de sécurité. Il incombe dès lors à la banque de rapporter la preuve de tels éléments qui sont soumis au juge dans le cadre d’une appréciation circonstanciée et objective du comportement du client.

En l’espèce, le tribunal relève tout d’abord que si M. [V] entend invoquer à son bénéfice un arrêt de la chambre commerciale de la Cour de cassation du 23 octobre 2024 (pourvoi n°23-16.267), il ne rapporte pas la preuve du numéro d’appel utilisé par le fraudeur et donc d’avoir été victime d’une escroquerie de type « spoofing ». Le demandeur ne saurait dès lors se prévaloir de la solution adoptée par la Cour de cassation dans l’arrêt précité dont les circonstances factuelles diffèrent en ce que le client avait été contacté avec le numéro de téléphone affiché de sa conseillère clientèle.

En revanche, il a été démontré que M. [V] a suivi les instructions d’un tiers dont il n’a manifestement pas vérifié la qualité, et a notamment communiqué à ce dernier le code à usage unique ayant permis l’enrôlement de la clé digitale sur l’appareil du fraudeur qui a pu ainsi réaliser ultérieurement les paiements litigieux.

M. [V] a dès lors fait preuve d’une négligence compromettant la sécurité de ses données de sécurité personnalisées et revêtant ainsi un caractère grave au sens de l’article L.133-19 IV qui prive le demandeur de son droit à remboursement.

Par ailleurs, M. [V] ne verse aux débats aucune pièce rapportant la preuve que la banque était tenue contractuellement de lui adresser une notification de l’enrôlement de la clé sur sa messagerie électronique. L’argument est dès lors inopérant.

Enfin, la défenderesse produit en pièce n°8 le courriel adressé à sa clientèle en avril 2022, soit antérieurement aux faits du présent cas, dans le cadre d’une campagne « Sécurité – Découvrez notre coach anti-fraude » et dans laquelle elle préconisait les réflexes à avoir notamment lors d’appels téléphoniques de prétendus conseillers tenant un discours anxiogène caractéristique d’une fraude, en donnant notamment les instructions suivantes : « Ne communiquez jamais votre code secret », « Gardez pour vous vos numéros de carte bancaire » et « Vérifiez toujours le motif de votre Clé Digitale ». La banque démontre dès lors avoir porté à la connaissance de ses clients les éléments nécessaires à la prévention d’une fraude et ce dans des termes suffisamment clairs et compréhensibles, quel que soit l’âge du destinataire.

En conséquence, M. [V] est débouté de sa demande de remboursement.

2 – Sur les autres demandes indemnitaires

Compte tenu de l’absence d’obligation de remboursement pesant sur la banque, M. [V] est débouté de sa demande de dommages-intérêts pour préjudice moral.

3 – Sur les autres demandes

3.1 – Sur les frais du procès

Le demandeur qui succombe est condamné aux dépens.

L’équité commande de ne pas faire droit à la demande fondée sur l’article 700 du code de procédure civile.

3.2 – Sur l’exécution provisoire

La présente décision est revêtue de droit de l’exécution provisoire conformément aux dispositions de l’article 514 du code de procédure civile dans sa version applicable en l’espèce, l’instance ayant été introduite postérieurement au 31 décembre 2019.

PAR CES MOTIFS

Le tribunal, statuant publiquement, contradictoirement et en premier ressort, par mise à disposition au greffe,

DEBOUTE M. [W] [V] de ses demandes ;

CONDAMNE M. [W] [V] aux dépens ;

DIT n’y avoir lieu à prononcer une condamnation sur le fondement de l’article 700 du code de procédure civile.

Fait et jugé à [Localité 1] le 01 Avril 2026

LA GREFFIÈRE LE PRÉSIDENT