TRIBUNAL

JUDICIAIRE

DE PARIS [1]

[1] Copies délivrées le :

CCC à Maître Claudia MASSA #P0286

CE à Maître Christophe PHAM VAN DOAN #P0466

■

9ème chambre 3ème section

N° RG 24/11056

N° Portalis 352J-W-B7I-C5SVA

N° MINUTE :

Assignation du :

06 septembre 2024

JUGEMENT

rendu le 21 Mai 2026

DEMANDEUR

Monsieur [Z] [D]

[Adresse 1]

[Localité 1]

Représenté par Maître Claudia MASSA de la SCP AVENS, avocat au barreau de PARIS, vestiaire #P0286

DÉFENDERESSE

S.A. CCF, venant aux droits de la société HSBC CONTINENTAL EUROPE

[Adresse 2]

[Localité 1]

Représentée par Maître Christophe PHAM VAN DOAN de la SELARL CABINET SABBAH & ASSOCIES, avocats au barreau de PARIS, avocats plaidant, vestiaire #P0466

Décision du 21 Mai 2026

9ème chambre 3ème section

N° RG 24/11056 – N° Portalis 352J-W-B7I-C5SVA

COMPOSITION DU TRIBUNAL

Madame Béatrice CHARLIER-BONATTI, Vice-présidente, juge rapporteur

Madame Anne-Cécile SOULARD, Vice-présidente

Monsieur Gilles MALFRE, Premier vice-président adjoint

Assistés de Madame Malalaniaina DAUPHINÉ, Greffière,

DÉBATS

A l’audience du 02 Avril 2026 tenue en audience publique devant Madame CHARLIER-BONATTI, juge rapporteur, qui, sans opposition des avocats, a tenu seule l’audience, et, après avoir entendu les conseils des parties, en a rendu compte au Tribunal, conformément aux dispositions de l’article 805 du Code de Procédure Civile. Avis a été donné aux conseils des parties que la décision serait rendue par mise à disposition au greffe le 21 mai 2026.

JUGEMENT

Rendu publiquement par mise à dispsosition au greffe,

Contradictoire

en premier ressort

EXPOSE DU LITIGE

Monsieur [D], client depuis plusieurs années de la banque HSBC Continental Europe, aux droits de laquelle vient dorénavant la société « CCF » a été victime le 24 décembre 2022 d’une fraude dite « au faux conseiller bancaire » (ou « spoofing »), pour un montant total de 14.607,23 € résultant de deux prélèvements frauduleux de 13.107,23 € de 1 500 € ayant généré un solde débiteur et des frais bancaires d’un montant de 190,01 €.

Le 29 décembre 2022, il déposait plainte.

Par acte extra-judiciaire en date du 06 septembre 2024, Monsieur [Z] [D] a saisi le tribunal judiciaire de Paris.

Par conclusions en date du 19 janvier 2026, Monsieur [Z] [D] demande au tribunal de:

CONDAMNER la société CCF, venant aux droits de la société HSBC Continental Europe, à payer à Monsieur [D] la somme de 14.607,23 € (13.107,23 € + 1.500 € ) à titre de remboursements des opérations non autorisées outre les intérêts au taux légal majoré de 15 points à compter du 26 janvier 2023,

CONDAMNER la société CCF, venant aux droits de la société HSBC Continental Europe, à payer à Monsieur [D] la somme de 152,76 € correspondant aux intérêts au taux légal majoré pour la période allant du 26 décembre 2022 au 25 janvier 2023,

ORDONNER la capitalisation des intérêts échus dus au moins pour une année entière,

CONDAMNER la société CCF, venant aux droits de la société HSBC Continental Europe, à payer à Monsieur [D] la somme de 190,01 euros au titre des frais bancaires supportés en raison du solde débiteur généré par les prélèvements frauduleux augmentée des intérêts au taux légal à compter du 26 décembre 2022;

DEBOUTER la société CCF de l’ensemble de ses demandes.

CONDAMNER la société CCF, venant aux droits de la société HSBC Continental Europe, à payer à Monsieur [Z] [D] la somme de 4.000 euros sur le fondement des dispositions de l’article 700 du CPC, outre les entiers dépens.

Il sollicite le remboursement des sommes prélevées en soutenant que, dans le cas où le prestataire de services de paiement entendrait faire supporter à l’utilisateur d’un instrument de paiement les pertes occasionnées par une opération non autorisée, il doit, selon la jurisprudence de la Cour de cassation, rapporter la preuve des deux conditions cumulatives :

Un agissement frauduleux ou la faute intentionnelle ou la négligence grave du client Le fait que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

Par conclusions en date du 24 décembre 2025, la société CCF demande au tribunal de :

DEBOUTER Monsieur [D] de toutes ses demandes, fins et prétentions.

CONDAMNER Monsieur [D] à payer à la Société CCF la somme de 2.500 Euros au titre de l’article 700 du Code de procédure civile, ainsi qu’aux entiers dépens.

Le CCF soutient que le SMS d’hameçonnage est à l’origine de la fraude invoquée et qu’ainsi, compte tenu de la négligence grave et l’absence de déficience technique affectant les deux opérations contestées, Monsieur [D] devra être débouté de ses demandes.

Conformément à l’article 455 du code de procédure civile, il est renvoyé aux écritures susvisées pour l’exposé complet des prétentions respectives des parties et de leurs moyens.

L’ordonnance de clôture est intervenue le 19 février 2026 avec fixation à l’audience de plaidoirie du 02 avril 2026. L’affaire a été mise en délibéré au 21 mai 2026.

SUR CE:

I. Sur la demande de remboursement des prélèvements:

L’article L.133-6 du code monétaire et financier dispose que :

« I. – Une opération de paiement est autorisée si le payeur a donné son consentement à son

exécution.

Toutefois, le payeur et son prestataire de services de paiement peuvent convenir que le payeur pourra donner son consentement à l’opération de paiement après l’exécution de cette dernière.

II. – Une série d’opérations de paiement est autorisée si le payeur a donné son consentement à l’exécution de la série d’opérations, notamment sous la forme d’un mandat de prélèvement ».

L’article L.133-7 du même code souligne que « le consentement est donné sous la forme convenue [en ce compris une authentification forte] entre le payeur et son prestataire de services de paiement […] ».

Les articles L.133-3, L.133-8 et L.133-13 du code monétaire et financier prévoient quant à eux qu’à réception par l’établissement bancaire du consentement de son client, et de l’autorisation susmentionnée, celui-ci a l’obligation de l’exécuter, l’opération étant devenue irrévocable.

L’article L. 133-4 du code monétaire et financier qui impose aux prestataires de services de paiement de mettre en place un dispositif de sécurisation des instruments de paiement dispose notamment que :

« a) Les données de sécurité personnalisées s’entendent des données personnalisées fournies à un utilisateur de services de paiement par le prestataire de services de paiement à des fins d’authentification; […]

c) Un instrument de paiement s’entend, alternativement ou cumulativement, de tout dispositif personnalisé et de l’ensemble de procédures convenu entre l’utilisateur de services de paiement et le prestataire de services de paiement et « utilisé » pour donner un ordre de paiement ; […]

e) Une authentification s’entend d’une procédure permettant au prestataire de services de paiement de vérifier l’identité d’un utilisateur de services de paiement ou la validité de l’utilisation d’un instrument de paiement spécifique, y compris l’utilisation des données de sécurité personnalisées de l’utilisateur.

f) Une authentification forte du client s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance », « possession » et « inhérence » et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification ; »

L’article L.133-44 du code monétaire et financier poursuit en disposant:

« I. – Le prestataire de services de paiement applique l’authentification forte du client définie au f de l’article L. 133-4 lorsque le payeur :

1° Accède à son compte de paiement en ligne ;

2° Initie une opération de paiement électronique ;

3° Exécute une opération par le biais d’un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse.

II. – Pour les opérations de paiement électronique à distance, l’authentification forte du client définie au f de l’article L. 133-4 comporte des éléments qui établissent un lien dynamique entre l’opération, le montant et le bénéficiaire donnés. »

L’article L. 133-16 du code monétaire et financier dispose que « dès qu’il reçoit l’instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés. Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation ».

L’article L 133-19 du code monétaire et financier énonce en son IV que « le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17. »

Enfin, l’article L.133-21 du code de monétaire et financer dispose :

« Un ordre de paiement exécuté conformément à l’identifiant unique fourni par l’utilisateur du service de paiement est réputé dûment exécuté pour ce qui concerne le bénéficiaire désigné par l’identifiant unique.

Si l’identifiant unique fourni par l’utilisateur du service de paiement est inexact, le prestataire de services de paiement n’est pas responsable de la mauvaise exécution ou de la non-exécution de l’opération de paiement […] ».

L’article L.133-23 du code monétaire et financier prévoit que :

« Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement.»

En vertu de l’article L.133-23 du code monétaire et financier, la responsabilité du prestataire de services de paiement n’est pas engagée s’il prouve la négligence grave commise par l’utilisateur de services de paiement. Cette négligence grave évoquée aux termes de l’article L. 133-19 susvisé s’apprécie in concreto, par référence à un utilisateur normalement attentif.

La connexion à l’espace personnel par la saisie de l’identifiant et du code confidentiel puis la validation du dispositif d’authentification forte caractérisent le consentement du client lorsque le virement litigieux a été initié via l’espace personnel de banque à distance.

Il est ainsi acquis que le banquier teneur de compte n’a pas à s’immiscer dans les affaires de son client.

Au cas présent, il résulte de la plainte déposée par Monsieur [D] que celui-ci a déclaré aux services de gendarmerie que :

« Le 22/12/2022 j’ai reçu un message sur mon téléphone portable pour la livraison d’un colis pour lequel je devais payer 48 centimes d’euros.

J’ai cliqué sur le lien qui m’a renvoyé sur une page internet semblable à celle de la poste.

J’ai entré mon numéro de carte bancaire ainsi que le cryptogramme ».

Le SMS, dont la copie a été communiquée par Monsieur [D], après sommation, présente de sérieuses anomalies tant dans la forme que dans son contenu.

Monsieur [D] a ainsi commis une négligence particulièrement grave en communiquant les codes 3D Secure reçus sur son téléphone pour valider les opérations.

En communiquant à son interlocuteur, le code absolument secret « 573836 » ainsi reçu par SMS, Monsieur [D] a commis une négligence en ne suivant pas les recommandations figurant non seulement aux conditions générales alors applicables, précisant de ne le divulguer « à qui que ce soit », mais aussi aux termes mêmes du SMS reçu selon lequel il convient de ne « jamais » partager ce code.

Les mesures d’authentification renforcée ayant incontestablement été utilisées, la société CCF a exécuté les opérations ainsi qu’elle en avait l’obligation en sa qualité de mandataire.

Le principe de la non-ingérence du banquier dans les affaires de son client cède devant son obligation de vigilance portant sur la régularité apparente du fonctionnement d’un compte. Ce principe oblige le banquier à exécuter rapidement les instructions reçues de son client pour son compte dès lors que les instructions qu’il reçoit ont l’apparence de la régularité.

En conséquence de quoi, Monsieur [Z] [D] sera débouté de l’ensemble de ses demandes.

II. Sur les frais irrépétibles et les dépens:

Succombant à l’instance, Monsieur [Z] [D] sera condamné aux dépens.

L’équité commande cependant de ne pas faire droit aux demandes au titre de l’article 700 du code de procédure civile.

PAR CES MOTIFS :

Le tribunal, statuant publiquement, par jugement contradictoire, rendu en premier ressort, par mise à disposition au greffe :

DEBOUTE Monsieur [Z] [D] de l’ensemble de ses demandes formées contre la société CCF ;

CONDAMNE Monsieur [Z] [D] aux dépens ;

DIT n’y avoir lieu à application des dispositions de l’article 700 du code de procédure civile.

Fait et jugé à Paris le 21 Mai 2026

La Greffière La Présidente