Minute n°

TRIBUNAL JUDICIAIRE DE VERSAILLES

Deuxième Chambre

JUGEMENT du 19 SEPTEMBRE 2025

N° RG 23/02152 – N° Portalis DB22-W-B7H-RHTR

DEMANDERESSE :

Madame [F] [Y], née [Date naissance 1] 1995 à [Localité 5] (34), de nationalité française

Demeurant [Adresse 3],

représentée par M^e Véronique BROSSEAU, avocat au barreau de VERSAILLES, avocat plaidant/postulant

DEFENDERESSE :

La société BNP Paribas, Société anonyme immatriculée au RCS de [Localité 6] sous le numéro 662 042 449, dont le siège social est situé [Adresse 2], agissant poursuites et diligences de son représentant légal, domicilié en cette qualité audit siège,

représentée par M^e Philippe METAIS, avocat au barreau de PARIS, avocat plaidant, M^e Guillaume NICOLAS, avocat au barreau de VERSAILLES, avocat postulant

ACTE INITIAL du 07 Avril 2023 reçu au greffe le 13 Avril 2023.

DÉBATS : A l’audience publique tenue le 17 Juin 2025, Madame LUNVEN, Vice-Présidente, siégeant en qualité de juge unique, conformément aux dispositions de l’article 812 du Code de Procédure Civile, assistée de Madame SOUMAHORO, Greffier, l’affaire a été mise en délibéré au 19 Septembre 2025.

EXPOSE DU LITIGE

Madame [F] [Y] est titulaire d’un compte chèque, d’un livret A, d’un compte épargne et d’un livret développement durable et solidaire ouverts dans les livres de la SA BNP PARIBAS auxquels elle peut accéder via l’application mobile de la banque.

Madame [F] [Y], qui indique avoir reçu un appel depuis un numéro de téléphone de la banque d’un interlocuteur se présentant comme un salarié du service fraude de la SA BNP PARIBAS, a constaté qu’un virement frauduleux de 11.000 euros avait été réalisé le 20 décembre 2022 depuis son compte chèque vers le compte n° [XXXXXXXXXX04] au nom de [E] et que des virements internes 2.500 et 8.400 euros vers son compte chèque avaient été précédemment effectués pour permettre ce virement externe.

Suivant les instructions du conseiller de la SA BNP PARIBAS avec lequel elle est entrée en contact, Madame [F] [Y] a déposé plainte auprès des services de gendarmerie le 21 décembre 2022 pour soustraction frauduleuse de la somme de 11.000 euros de son compte chèque.

Par courrier du 19 janvier 2023, elle a sollicité le remboursement du virement frauduleux auprès de la SA BNP PARIBAS.

N’ayant pas obtenu satisfaction, Madame [F] [Y] a fait assigner la SA BNP PARIBAS, par acte de commissaire de justice signifié le 7 avril 2023, devant le tribunal judiciaire de Versailles aux fins d’indemnisation.

Aux termes de ses dernières conclusions notifiées par RPVA le 13 décembre 2024, Madame [F] [Y] demande au tribunal de :

Vu les virements non autorisés en date du 20 décembre 2022 opérés depuis le compte de dépôt de Madame [F] [Y] ouvert dans les livres de la SA BNP PARIBAS

Vu l’article 1937 du Code civil,

Vu les articles L 133-6, L 133-18, L 133-19 et L 133-23 du Code monétaire et financier

Vu la jurisprudence bien établie de la Cour de cassation en matière d’escroquerie bancaire par spoofing téléphonique (commerciale 23 octobre 2024 n° 2316.267)

Vu l’article 1343-2 du Code civil

Condamner la SA BNP PARIBAS à payer à Mme [F] [Y] la somme de 11.000 euros avec intérêt au taux légal à compter du 19 janvier 2023 et à défaut de l’assignation délivrée le 7avril 2023,

Ordonner la capitalisation des intérêts depuis le 7 avril 2023, date de délivrance de l’assignation introductive d’instance,

Condamner la SA BNP PARIBAS à 5.000 euros de dommages et intérêts en réparation du préjudice moral subi par Mme [F] [Y] et subsidiairement allouer la même somme sur le fondement de l’abus de résistance par application de l’article 1240 du Code civil,

Débouter la BNP PARIBAS de tous ses moyens, fins, conclusions plus amples ou contraires,

Condamner la SA BNP PARIBAS à payer à Madame [F] [Y] la somme de 5.000 euros au titre de l’article 700 du Code de procédure civile ainsi qu’aux entiers dépens.

Aux termes de ses dernières conclusions notifiées par RPVA le 25 février 2025, la SA BNP PARIBAS demande au tribunal de :

Vu les articles les articles L.133-4, L. 133-16 et suivants, L. 133-44 du Code monétaire et financier ;

Vu les Directives (CE) 2007/64/CE du 13 novembre 2007 (« DSP 1 ») et la Directive (UE) 2015/366 du Parlement européen et du Conseil du 25 novembre 2015 (« DSP 2 ») concernant les services de paiement dans le marché intérieur ;

Vu les articles 1231-1 et suivants du Code civil ;

Vu les articles 696 et 700 du Code de procédure civile ;

Sur la demande formée par Madame [Y] tendant au remboursement du virement litigieux

— Juger que la transaction litigieuse a été dûment authentifiée et que BNP Paribas a parfaitement respecté ses obligations en matière de sécurisation des opérations en ligne de Madame [Y] ;

— Juger que Madame [Y] a commis une négligence grave au sens de l’article L.133-19, IV. du Code monétaire et financier ;

En conséquence,

— Débouter Madame [Y] de sa demande de remboursement des opérations litigieuses à hauteur de 11.000,00 euros avec intérêts au taux légal ;

Sur la demande formée par Madame [Y] tendant au paiement de dommages et intérêts

— Juger que le régime de responsabilité des prestataires de services de paiement tel qu’issu des articles L.133-1 et suivants du Code monétaire et financier fait l’objet d’une application

exclusive et autonome ;

— Juger, en tout état de cause, que BNP Paribas n’a commis aucune inexécution contractuelle ;

En conséquence,

— Débouter Madame [Y] de sa demande de dommages et intérêts à hauteur de 5.000,00 euros au titre du préjudice moral qu’elle prétend avoir subi et de la prétendue résistance abusive opposée par BNP Paribas ;

En tout état de cause

— Débouter Madame [Y] de l’intégralité de ses demandes, fins et conclusions à l’encontre de BNP Paribas ;

— Condamner Madame [Y] à verser à BNP Paribas la somme de 2.500 euros au titre de l’article 700 du Code de procédure civile ainsi qu’aux entiers dépens ;

— Ecarter l’exécution provisoire de la décision à intervenir.

Conformément aux dispositions de l’article 455 du code de procédure civile, il est renvoyé aux conclusions des parties quant à l’exposé détaillé de leurs prétentions et moyens.

L’ordonnance de clôture est intervenue le 10 mars 2025. L’affaire a été fixée pour plaider le 17 juin 2025 et a été mise en délibéré au 19 septembre 2025 par mise à disposition au greffe.

MOTIFS DE LA DECISION

Sur la demande de remboursement des virements litigieux

Madame [F] [Y] fait valoir que la SA BNP PARIBAS échoue à démontrer une négligence grave de sa part dès lors qu’elle a été victime d’une manipulation téléphonique par usurpation de l’identité téléphonique du service Premier de la SA BNP PARIBAS, appelée fraude par spoofing, le fraudeur s’étant fait passer pour un salarié de la banque et ayant montré une vue complète de la situation de ses comptes l’ayant convaincue d’effectuer des opérations bancaires pour la prémunir d’une escroquerie en cours. Elle indique que la cour de cassation a définitivement pris position, dans son arrêt du 23 octobre 2024, en faveur du client victime d’une escroquerie par spoofing téléphonique. Elle ajoute que les virements ont été opérés par le fraudeur à partir de sa propre adresse IP.

Elle précise que les modifications récentes apportées par la SA BNP PARIBAS pour augmenter la sécurité des transactions dont la banque se prévaut n’existaient pas en décembre 2022 ; que la SA BNP PARIBAS ne justifie pas l’avoir mise en garde personnellement sur ce type de fraude dont les usagers n’étaient pas informés en 2022 et qui n’a été mis en lumière qu’avec le communiqué de presse de la cour de cassation du 23 octobre 2024 ; que la fraude du 20 décembre 2022 au soir a été signalée, sans retard, le 21 décembre 2022 les opérations non autorisées, parvenant plus à se connecter à son application suite à la réalisation de la fraude.

Elle souligne que les arrêts de la cour de cassation cités par la SA BNP PARIBAS concernent une fraude faite à partir d’un mode opératoire distinct de celui dont elle a été victime.

Madame [F] [Y] rappelle que l’établissement doit justifier que sa plate-forme bancaire en ligne qui fonctionne avec un système de « Clé Digitale » n’a pas été affecté d’une déficience technique. Elle considère que l’intrusion du fraudeur sur son application en ligne à partir d’une adresse IP qui n’était pas la sienne qui a permis des connexions simultanées sans que cela suscite d’alerte révèle une faille béante dans la sécurité de cette application, à partir du moment où le titulaire du compte n’a pas donné procuration sur son compte.

Madame [F] [Y] demande au tribunal d’écarter la clause 8-1 des conditions générales qui est une convention sur la preuve contraire à l’article L133-23 du code monétaire et financier.

La SA BNP PARIBAS soutient qu’elle a respecté ses obligations de sécurisation des instruments de paiement et des opérations en ligne de Madame [F] [Y] au moyen du système d’authentification forte, la Clé Digitale, mis en place, la réalisation de l’opération notifiée sur le téléphone portable du client supposant une confirmation de sa part au moyen d’un code secret qu’il a lui-même créé et qu’il est seul à connaître.

Elle ajoute que les traces informatiques, dont la preuve est établie par les captures d’écran produites, démontrent que l’ajout d’un bénéficiaire et le virement frauduleux ont bien été validés au moyen de la Clé Digitale de Madame [F] [Y] par la demanderesse elle-même sur instructions du fraudeur, ce que cette dernière reconnaît.

La banque indique que la preuve est ainsi rapportée de l’absence de défaillance technique.

La SA BNP PARIBAS fait valoir que Madame [F] [Y] a commis plusieurs négligences graves ayant permis la réalisation du virement litigieux :

— en communiquant au fraudeur ses identifiant et mot de passe permettant l’accès à son espace en ligne dont la garde lui incombait, manquant de la sorte à son obligation de préserver la sécurité et la confidentialité de ses dispositifs de sécurité personnalisés,

— en validant successivement les deux opérations d’ajout du bénéficiaire et la réalisation du virement frauduleux au moyen de sa Clé Digitale, Madame [F] [Y] n’étant pas sans savoir que ces deux opérations ne correspondaient pas à une opération de blocage des virements de 7.000 et 8.000 euros comme elle le prétend dans sa plainte,

— en omettant de réagir immédiatement pour faire cesser la fraude, et ce malgré les informations envoyés par la banque à la création d’un nouveau bénéficiaire sur l’espace client, et le fait que le débit du virement a été immédiatement constaté par Madame [F] [Y] sur l’espace en ligne,

— en suivant les instructions d’une personne qu’elle ne connaissait pas contrairement aux bonnes pratiques recommandées par la banque sur son site internet, le rappel des fonds n’ayant pu être réalisé en raison du caractère tardif du signalement de la demanderesse.

La banque précise avoir mis en place de nombreuses campagnes aux fins de prévention de la fraude, et plus spécifiquement sur les risques de spoofing par l’envoi de courriels en avril et novembre 2022 et que les consommateurs sont en outre régulièrement sensibilisés par les médias et les pouvoirs publics sur les risques et modes opératoires de la fraude. Elle ajoute que l’arrêt de la cour de cassation de 2024 n’étant pas un arrêt de principe, il est inapplicable en l’espèce compte de la négligence grave et particulièrement patente de Madame [F] [Y] résultant de ses propres aveux.

***

L’article L.133-7 alinéa 1 du code monétaire et financier dispose que le consentement est donné sous la forme convenue entre le payeur et son prestataire de services de paiement. (…) En l’absence d’un tel consentement, l’opération ou la série d’opérations de paiement est réputée non autorisée.

L’article L.133-18 alinéa 1 du code monétaire et financier, dans sa rédaction applicable au litige, dispose qu’en cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L.133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu.

En application des articles L.133-19 IV et L.133-23 du code monétaire et financier, lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre, et il appartient également à la banque, qui se prévaut des articles L.133-16 et L.133-17 du code monétaire et financier imposant à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, que l’utilisateur a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations. Cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.

En l’espèce, Madame [F] [Y] a contesté, auprès de la SA BNP PARIBAS, avoir effectué volontairement le 20 décembre 2022 un virement d’un montant total de 11.000 euros.

Il appartient donc à la SA BNP PARIBAS d’apporter la preuve que le virement contesté a été exécuté par suite du manquement intentionnel ou provoqué par une négligence grave du titulaire du compte à son obligation de prendre toute mesure raisonnable pour préserver la sécurité des dispositifs de sécurité personnalisés d’accès au compte bancaire sur lequel le virement a été opéré.

Il est établi par les déclarations de Madame [F] [Y] et les pièces produites aux débats que :

— Madame [F] [Y] a reçu un appel téléphonique vers 20h provenant du numéro d’appel de la SA BNP PARIBAS l’informant d’une fraude en cours qu’il convenait de contrer, son interlocuteur lui ayant communiqué parmi la liste des bénéficiaires de virement enregistrés le nom d’un certain [E], inconnu d’elle,

— Madame [F] [Y] a alors accepté de suivre les indications de cette personne en ouvrant son application mobile, en remplaçant son code par celui que lui avait transmis cette personne, puis en validant, par le biais de sa clé digitale, la création d’un compte bénéficiaire au nom de [E] et le virement sur ce compte la somme de 11.000 euros croyant ainsi annuler les opérations frauduleuses en cours.

Il est constant que le jour de la fraude, les connexions ont été réalisées à partir de deux adresses IP différentes, celle de Madame [F] [Y] et celle de l’escroc.

Il ressort de ces éléments que Madame [F] [Y] a accepté de remplacer le code d’authentification de son espace mobile par le code transmis par l’escroc, ce qui a permis à ce dernier d’accéder ainsi à son compte.

Madame [F] [Y] a ensuite effectué deux opérations successives au moyen à chaque fois de sa clé digitale nécessaire à leur validation, la première pour ajouter un bénéficiaire en la personne de [E] et la deuxième pour procéder à un virement au profit du compte bénéficiaire qu’elle venait de créer, ces opérations couramment pratiquées par le titulaire d’un compte bancaire accessible en ligne ne pouvant être confondues avec une procédure d’annulation.

L’historique informatique produit par la banque confirme que l’ajout d’un bénéficiaire et le virement frauduleux ont bien été validés au moyen de la clé digitale de Madame [F] [Y] par la demanderesse elle-même excluant toute défaillance technique de la plate-forme en ligne. La connexion en simultanée d’une autre adresse IP sur l’espace client de Madame [F] [Y] n’est constitutif ni d’une défaillance technique du système de sécurité, ni d’un motif d’alerte à partir du moment où la communication des codes d’identification, comme cela a été le cas en l’occurrence, permet la connexion à l’espace personnel de l’utilisateur. Ce dernier doit en effet pouvoir effectuer les opérations bancaires à partir d’un autre poste informatique que l’application de son téléphone portable.

De plus, la SA BNP PARIBAS verse aux débats les mails de prévention contre la fraude par spoofing diffusés à sa clientèle les 7 avril et 23 novembre 2022, soit antérieurement à l’opération litigieuse, Madame [F] [Y] ne pouvant valablement opposer qu’elle n’a pas été personnellement informée de ces risques, notamment au motif que ces mails sont allés dans ses spams ce dont elle ne justifie pas et ne peut en tout état de cause tenir la banque pour responsable.

Ces mails expliquent qu’un conseiller de la banque n’appelle jamais pour demander de valider une opération de paiement ou d’annulation et qu’il ne faut pas se fier au numéro de téléphone de l’interlocuteur dès lors que le fraudeur a les moyens d’usurper le numéro d’appel, la banque sensibilisant les clients à la technique du fraudeur incitant à intervenir rapidement.

Ces mails rappellent en outre aux clients de ne jamais communiquer les identifiants et mot de passe de leur espace client BNP Paribas, en particulier en cas de doute sur l’identité de leur interlocuteur, de toujours vérifier le motif de la clé digitale et de ne jamais valider l’opération dont le motif affiché ne correspond pas à l’action souhaitée. Ainsi les clients, parmi lesquels Madame [F] [Y], étaient-ils sensibilisés sur l’existence de faux conseillers bancaires qui essayent de connaître le code secret pour ainsi accéder à leur compte.

Madame [F] [Y] se prévaut d’un arrêt de la cour de cassation en date du 23 octobre 2024 mentionnant que la négligence grave du client d’une banque n’est pas caractérisée dès lors que, lors d’une escroquerie par la méthode du spoofing, le client a pu être mis en confiance et avoir une vigilance moindre face à un appel téléphonique émanant prétendument de sa banque pour lui faire part du piratage de son compte par rapport à une personne réceptionnant un courriel qui peut avoir plus de temps pour s’apercevoir d’anomalies révélatrices de son origine frauduleuse.

Toutefois, il y a lieu de souligner que l’arrêt porte sur des faits qui se sont déroulés en 2019, à une époque où ce type de fraude était peu connue du grand public et n’avait donné lieu qu’à un nombre limité d’alerte des banques. D’ailleurs, dans cette affaire, la banque n’a jamais soutenu qu’elle avait alerté sa clientèle sur ce mode de fraude et que ses employés ne seraient pas conduits à connaître le code confidentiel des clients.

Or en l’espèce les faits ont été commis en décembre 2022 alors qu’à cette période la technique du faux conseiller bancaire était assez connue du grand public et que la banque établit avoir informé sa clientèle de ce mode de fraude consistant pour un escroc à réaliser des opérations bancaires en mettant en confiance une personne pour connaître son code secret et l’inciter à réaliser des opérations bancaires.

Si le mode opératoire par l’utilisation du « spoofing » a diminué la vigilance de Madame [F] [Y] face à un appel téléphonique émanant prétendument de sa banque pour lui faire part d’une tentative de fraude sur son compte, en revanche en acceptant de réaliser des opérations bancaires ne faisant aucun sens alors que l’appel téléphonique était tardif, soit 20 h, et en partageant avec un tiers le code de son compte bancaire en dépit des recommandations de la banque de se méfier de telles opérations et de ne jamais divulguer ce code, de telles circonstances permettaient à un utilisateur normalement prudent et diligent de douter de l’authenticité des dires de son interlocuteur.

Madame [F] [Y], qui ne présente aucune cause de vulnérabilité en raison de son âge, de ses facultés intellectuelles ou de son état de santé, a, au vu du déroulement des faits rappelés ci-dessus, manqué, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés.

L’opération financière litigieuse effectuée le 20 décembre 2022 trouvant son origine dans la négligence grave commise par Madame [F] [Y] dans la protection des données de sécurité personnalisées associées à son compte bancaire, elle ne peut qu’être déboutée de sa demande de remboursement de 11.000 euros.

En l’absence de preuve d’une faute commise par la banque, la demande indemnitaire formée par Madame [F] [Y] en réparation de son préjudice moral, sera rejetée.

Sur les dépens et les frais irrépétibles

Madame [F] [Y] succombant à l’instance, elle sera condamnée au paiement des dépens en application des dispositions de l’article 696 du code de procédure civile et déboutée de sa demande au titre de l’article 700 du code de procédure civile.

Elle sera également condamnée à payer à la SA BNP PARIBAS la somme de 800 euros au titre de l’article 700 du code de procédure civile.

Sur l’exécution provisoire

L’article 514 du code de procédure civile dispose que les décisions de première instance sont de droit exécutoires à titre provisoire à moins que la loi ou la décision rendue n’en dispose autrement.

L’article 514-1 du même code précise que le juge peut écarter l’exécution provisoire de droit, en tout ou partie, s’il estime qu’elle est incompatible avec la nature de l’affaire.

En l’espèce, il n’y a pas lieu d’écarter l’exécution provisoire de droit, la demande de la SA BNP PARIBAS dans l’hypothèse d’une condamnation prononcée au profit de Madame [F] [Y] étant devenue sans objet.

PAR CES MOTIFS

Le tribunal statuant par jugement contradictoire rendu en premier ressort par mise à disposition au greffe,

DEBOUTE Madame [F] [Y] de l’ensemble de ses demandes,

CONDAMNE Madame [F] [Y] aux dépens,

CONDAMNE Madame [F] [Y] à payer à la SA BNP PARIBAS la somme de 800 euros en application des dispositions de l’article 700 du code de procédure civile,

DIT n’y avoir lieu d’écarter l’exécution provisoire de droit de la présente décision,

Jugement prononcé par mise à disposition au greffe le 19 SEPTEMBRE 2025 par Madame LUNVEN, Vice-Présidente, siégeant en qualité de Juge Unique, assistée de Madame SOUMAHORO, Greffier, lesquels ont signé la minute du présent jugement.

LE GREFFIER LE PRÉSIDENT