Tribunal Judiciaire de Paris, 9e chambre 3e section, 7 mai 2026, n° 25/07264

TJ Paris 7 mai 2026

Commentaire • 0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées.

Sur la décision

Référence :	TJ Paris, 9e ch. 3e sect., 7 mai 2026, n° 25/07264
Numéro(s) :	25/07264
Importance :	Inédit
Dispositif :	Déboute le ou les demandeurs de l'ensemble de leurs demandes
Date de dernière mise à jour :	16 mai 2026
Lire la décision sur le site de la juridiction

Sur les parties

Avocat(s) :	Patrice ITTAHSally DIARRA
Cabinet(s) :	KLEBERLAW"LETU-ITTAH ASSOCIES"
Parties :	S.A. CCF

Texte intégral

TRIBUNAL

JUDICIAIRE

DE [Localité 1] [1]

[1]

Copies délivrées le :

CCC à Maître Patrice ITTAH #P0120

CE à Maître Sally DIARRA #P159

■

9ème chambre 3ème section

N° RG :

N° RG 25/07264

N° Portalis 352J-W-B7J-DAA22

N° MINUTE :

Assignation du :

12 Juin 2025

JUGEMENT

rendu le 07 Mai 2026

DEMANDERESSE

Madame [C] [K]

[Adresse 1]

[Localité 2] (FRANCE)

Représentée par Maître Patrice ITTAH de la SCP LETU ITTAH ASSOCIES, avocat au barreau de PARIS, vestiaire #P0120

DÉFENDERESSE

S.A. CCF, venant aux droits de la société HSBC CONTINENTAL EUROPE

[Adresse 2]

[Localité 3]

Représentée par Maître Sally DIARRA de l’AARPI KLEBERLAW, avocat au barreau de PARIS, vestiaire #P159

Décision du 07 Mai 2026

9ème chambre 3ème section

N° RG 25/07264 – N° Portalis 352J-W-B7J-DAA22

COMPOSITION DU TRIBUNAL

Madame Béatrice CHARLIER-BONATTI, Vice-présidente, Juge rapporteur

Madame Anne-Cécile SOULARD, Vice-présidente

Monsieur Gilles MALFRE, Premier vice-président adjoint

Assistée de Madame Camille CHAUMONT, Greffière lors des débats et de Madame Malalaniaina DAUPHINÉ, Greffière, lors de la mise à disposition.

DÉBATS

A l’audience du 19 Mars 2026 tenue en audience publique devant Madame CHARLIER-BONATTI, juge rapporteur, qui, sans opposition des avocats, a tenu seule l’audience, et, après avoir entendu les conseils des parties, en a rendu compte au Tribunal, conformément aux dispositions de l’article 805 du Code de Procédure Civile. Avis a été donné aux conseils des parties que la décision serait rendue par mise à disposition au greffe le 07 mai 2026.

JUGEMENT

Rendu publiquement par mise à disposition au greffe,

Contradictoire

en premier ressort

EXPOSÉ DU LITIGE

Madame [C] [K] est titulaire d’un compte courant associé à une carte bancaire, ouvert dans les livres de la SA CCF, venant aux droits de la société HSBC CONTINENTAL EUROPE.

Le 21 janvier 2025 Madame [C] [K] a demandé à sa banque le remboursement de cinq opérations effectuées le 20 janvier 2025 pour un total de 40 000 euros.

Les sommes de 30 euros puis 537,83 euros lui ont été remboursés les 27 janvier 2025 et 05 mars 2025 dans le cadre de la procédure d’opposition.

Le 23 janvier 2025 Madame [C] [K] a déposé plainte pour escroquerie. Elle a déclaré avoir été appelée par une personne se faisant passer pour un conseiller de la SA CCF qui l’avait informée d’une fraude sur son compte en provenance du Nigeria et demandé de procéder à des virements sur quatre nouveaux comptes bénéficiaires pour la stopper.

La SA CCF a refusé de lui rembourser l’intégralité des opérations contestées.

Par acte du 12 juin 2025, Madame [C] [K] a fait assigner la SA CCF venant aux droits de la société HSBC CONTINENTAL EUROPE devant le tribunal judiciaire de Paris, aux fins de remboursement des sommes détournées.

Aux termes de ses dernières conclusions du 03 décembre 2025 elle sollicite, sous le bénéfice de l’exécution provisoire, de voir prononcer :

— La condamnation de la banque au paiement de la somme de 39 432,17 euros, avec intérêt au taux légal majoré de quinze points à compter du 21 février 2025 ;

Décision du 07 Mai 2026

9ème chambre 3ème section

N° RG 25/07264 – N° Portalis 352J-W-B7J-DAA22

— Le débouté de la SA CCF, venant aux droits de la société HSBC CONTINENTAL EUROPE de l’ensemble de ses demandes ;

— La condamnation de la banque au paiement de la somme de 2 000 euros au titre de l’article 700 du code de procédure civile et aux dépens.

Madame [C] [K] fait valoir le caractère non autorisé des opérations litigieuses qu’elle reconnaît avoir validées mais dans un contexte de fraude lequel écarte, selon elle, tout consentement de sa part. Elle rappelle que le simple usage d’un instrument d’authentification ne vaut pas autorisation lorsque le consentement du titulaire a été vicié par la tromperie d’un tiers. Elle réfute toute négligence grave de sa part, exposant qu’elle a été victime d’une fraude de type spoofing, qu’un climat de confiance s’était instauré avec l’interlocuteur qui lui avait indiqué être un employé de sa banque et connaissait ses informations confidentielles.

Par conclusions du 20 octobre 2025, la SA CCF venant aux droits de la société HSBC CONTINENTAL EUROPE demande au tribunal de débouter Madame [C] [K] de ses demandes. Elle demande par ailleurs au tribunal de condamner la requérante à lui payer la somme de 1 000 euros au titre de l’article 700 du code de procédure civile.

A titre principal, la SA CCF soutient que les opérations litigieuses étaient autorisées et que partant seul le régime de droit commun de l’obligation de vigilance était applicable aux faits. A titre subsidiaire, la banque fait valoir que les opérations litigieuses ont fait l’objet d’une autorisation forte. La banque allègue en outre que sa cliente a fait œuvre d’une négligence grave l’exonérant de son obligation de remboursement. Elle conteste l’existence d’un spoofing, relevant que Madame [C] [K] ne démontre pas avoir été contactée par un conseiller de sa banque, l’appel ayant été émis depuis un numéro mobile. Elle estime en outre que plusieurs éléments auraient dû alerter la cliente : l’appel à un horaire tardif en dehors des horaires d’ouverture de la banque, les virements effectués vers un RIB estonien, l’absence de précision sur les montants des transactions frauduleuses, ainsi que l’utilisation d’une application externe pour transmettre une copie de sa carte d’identité. Enfin, elle souligne que ses clients avaient été régulièrement informés des risques de spoofing, ce qui aurait dû renforcer la vigilance de la requérante.

Conformément à l’article 455 du code de procédure civile il est renvoyé aux écritures sus visées pour l’exposé complet des prétentions respectives des parties et de leurs moyens.

La clôture de l’instruction a été prononcée le 05 février 2026 avec fixation à l’audience de plaidoirie du 19 mars 2026, l’affaire a été mise en délibéré au 07 mai 2026.

SUR CE :

I. Sur la demande principale :

L’article L. 133- 6 du code monétaire et financier dispose qu’une opération de paiement est autorisée si le payeur a donné son consentement à son exécution. Cela permet en conséquence de définir l’opération de paiement non autorisée A contrario comme toute opération effectuée sans le consentement du titulaire de l’instrument de paiement.

Une opération de paiement initiée par le payeur qui donne un ordre de paiement à son prestataire de services de paiement et réputé autorisé uniquement si le payeur a également consenti à ce qu’elle soit effectuée sur le compte bancaire du bénéficiaire.

La Cour de cassation est venue préciser qu’en application des articles L. 133-3 et L. 133-6 du code monétaire et financier, une opération de paiement initiée par le payeur, qui donne un ordre de paiement à son prestataire de service de paiement, est réputée autorisée uniquement si le payeur a également consenti au montant de l’opération.

De même, une opération de paiement initiée par le payeur, qui donne un ordre de paiement à son prestataire de service de paiement, est réputée autorisée uniquement si le payeur a également consenti à ce qu’elle soit effectuée sur le compte bancaire du bénéficiaire.

Par conséquent, une opération de paiement est non autorisée lorsque le client n’y a pas consenti dans son principe, son montant et quant au compte bancaire bénéficiaire de l’opération.

En l’espèce, la banque ne remet pas en question le fait que Madame [C] [K] ait été victime d’une fraude. Il n’est pas non plus contesté que compte tenu du mode opératoire de l’interlocuteur qui s’est présenté comme conseiller de la banque le consentement de la cliente ait été vicié.

Il en résulte qu’en l’espèce, seul est applicable le régime exclusif de responsabilité des articles L. 133-18 à L. 133-24 du code monétaire et financier, qui concerne les opérations bancaires non autorisées ou mal exécutées.

En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les délais prévus par l’article L. 133-24 du code monétaire et financier, le prestataire de services de paiement du payeur rembourse à ce dernier le montant de l’opération non autorisée sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement.

Dans cette hypothèse, il incombe au prestataire de paiement de prouver que l’opération litigieuse a été effectuée après une authentification forte, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre, l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement, à savoir l’utilisation des identifiants du client et l’absence de déficience technique ou autre, notamment par le biais de la production d’un relevé de ses connexions, ne suffisant pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur.

L’article L. 133-4 (f) du code précité précise qu’une authentification forte s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît telle qu’un mot de passe, un code secret, une question secrète, etc…), « possession » (quelque chose que seul l’utilisateur possède telle qu’un téléphone portable, une montre connectée, une clé USB etc…) et « inhérence » (quelque chose que l’utilisateur est telle que la reconnaissance faciale ou vocale, la reconnaissance par empreinte digitale, etc…) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification. L’authentification forte repose donc sur l’utilisation de deux de ces éléments, voire plus.

Par ailleurs, la responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à son insu, l’instrument de paiement ou les données qui lui sont liées. Cependant, il supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’agissements frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 du même code.

Ainsi, pour échapper au remboursement de l’opération contestée, le prestataire de services de paiement doit démontrer, soit que l’ordre émanait bel et bien du client dûment authentifié dans son espace personnel, soit que le vol des identifiants de connexion (ou d’autres données) n’est que la conséquence d’une faute grave de sa part consistant à ne pas avoir satisfait intentionnellement aux obligations lui incombant en la matière ou à les avoir gravement négligées.

Le payeur ne supporte aucune conséquence financière si les opérations contestées n’ont pas été réalisées au moyen d’une authentification forte. Il convient dès lors de rechercher si la SA CCF justifie avoir mis en œuvre une authentification forte s’agissant des opérations litigieuses.

La banque soutient que les transactions pour un montant total de 40 000 euros ont fait l’objet d’une authentification forte. Il ressort de l’historique informatique communiqué par la banque :

— qu’à 19h36, la cliente s’est connectée via son téléphone préalablement enregistré plus code de sécurité à 5 chiffres,

— qu’à 19h41, une modification du plafond des virements a été opérée par la cliente,

— qu’à 19h48, un ajout d’un bénéficiaire via le terminal de confiance – IBAN [XXXXXXXXXX01] – compte détenu chez BNP a été validé par la cliente par la saisine du code de sécurité sur le terminal de confiance,

— qu’à 19h57 un ajout d’un bénéficiaire a été opéré via le terminal de confiance par la saisine du code de sécurité sur le terminal de confiance,

— qu’à 19h58, un premier virement de 10.000 euros est effectué vers l’IBAN [XXXXXXXXXX02], validé par la saisine du code de sécurité sur le terminal de confiance,

— qu’à 20h36 le plafond des virements a été modifié par la saisine du code de sécurité sur le terminal de confiance,

— qu’à 20h41, un bénéficiaire a été ajouté via le terminal de confiance – [XXXXXXXXXX03]- compte détenu chez AS LHV P ANK en Estonie par validation par la saisine du code de sécurité sur le terminal de confiance,

— qu’à 20h52, un deuxième virement de 10.000 euros a été effectué via le terminal de confiance, validé par la saisine du code de sécurité,

— qu’à 21h01, un troisième virement de 10.000 euros est effectué via le terminal de confiance, validé par la saisine du code de sécurité,

— qu’à 21h04, un quatrième virement de 4.000 euros est effectué via le terminal de confiance, validé par la saisine du code de sécurité,

— qu’à 21h06 : le fraudeur connecté via le WEB a demandé la création d’un nouveau mot de passe (clique sur mot de passe oublié). Un mot de passe temporaire a été envoyé par SMS sur le numéro de téléphone de la cliente se terminant par 2730,

— qu’à 21h07, un cinquième virement de 6.000 euros a été effectué via le terminal de confiance, validé par la saisine du code de sécurité.

Il est donc établi que les opérations ont fait l’objet d’une authentification forte et qu’elles n’étaient affectées d’aucune déficience technique.

Il a été admis que le mode opératoire du spoofing diminue la vigilance de la personne appelée de telle sorte que dans le cas d’une personne pensant être appelée par son conseiller sa négligence grave peut n’être pas caractérisée.

En l’espèce, Madame [C] [K] ne justifie nullement que le numéro de téléphone par lequel elle a été jointe correspondrait à un numéro de la SA CCF, qui aurait été usurpé s’agissant au surplus d’un appel d’un numéro de téléphone mobile en dehors des horaires habituels de bureau.

En outre, aux termes de sa plainte, Madame [C] [K] déclare avoir accepté d’utiliser une application BISTAMP aux fins de vérification de sa pièce d’identité laquelle est une application externe au système bancaire, sans que ça n’éveille de soupçons de sa part.

De la manière, Madame [C] [K] n’a pas été alertée par le fait que l’interlocuteur ne lui ait pas mentionné le montant des virements frauduleux ni que certains IBAN bénéficiaires aient été domiciliés en Estonie.

Il ressort des pièces communiquées aux débats que pourtant alertée par son établissement bancaire du risque d’appel frauduleux, Madame [C] [K] a validé les cinq opérations de virement à hauteur de 40 000 euros, depuis son terminal de paiement avec son code participant ainsi activement à la fraude dont elle est victime.

Ainsi la négligence grave de Madame [C] [K] est caractérisée et par conséquent, elle sera déboutée de l’ensemble de ses demandes à l’encontre de la SA CCF, venant aux droits de la société HSBC CONTINENTAL EUROPE.

II. Sur les autres demandes :

Madame [K] qui succombe, sera condamnée aux dépens.

Au titre des frais exposés et non compris dans les dépens, Madame [C] [K] sera condamnée à payer la somme de 1 000 euros au CCF..

PAR CES MOTIFS :

Le tribunal, statuant publiquement par jugement contradictoire, en premier ressort et par mise à disposition au greffe,

DÉBOUTE Madame [C] [K] de ses demandes ;

CONDAMNE Madame [C] [K] aux dépens;

CONDAMNE Madame [C] [K] à payer à la SA CCF venant aux droits de la société HSBC CONTINENTAL EUROPE la somme de 1 000 euros en application de l’article 700 du code de procédure civile.

Fait et jugé à [Localité 1] le 07 Mai 2026.

La Greffière La Présidente