Tribunal judiciaire de Marseille, le 11 septembre 2025, n°23/06916
Le Tribunal judiciaire de Marseille, 11 septembre 2025, se prononce sur le remboursement de virements effectués à la suite d’une escroquerie au faux conseiller. Le titulaire d’un compte, ayant validé plusieurs opérations via une authentification forte, conteste toute négligence grave et demande la restitution des sommes non récupérées, assortie de dommages-intérêts. La banque rétorque que l’utilisateur a approuvé chaque ordre au moyen de son dispositif sécurisé et qu’aucune faute ne lui est imputable au regard de son devoir de non-immixtion.
Les faits sont simples et précis. Après l’ouverture d’un compte de dépôt, six virements ont été initiés entre fin juin et début juillet 2022 pour un total de vingt-quatre mille euros. Un rappel de fonds a permis la récupération partielle de cinq mille euros. Le client a porté plainte et saisi le juge par assignation, sollicitant le remboursement du solde, des dommages-intérêts et une indemnité procédurale. La banque conclut au rejet, invoquant la validation par l’application sécurisée, la régularité apparente des opérations et l’existence d’avertissements antifraude.
Le débat se cristallise autour de deux questions. D’abord, l’articulation entre l’authentification forte et le régime spécial des opérations non autorisées prévu par le code monétaire et financier. Ensuite, les critères de la négligence grave lorsque l’utilisateur agit sous l’emprise d’une manœuvre de social engineering crédible, avec usurpation d’identité et données bancaires en temps réel. La juridiction retient l’exclusivité du régime des articles L. 133-18 et suivants, l’absence de négligence grave, puis écarte les demandes indemnitaires de droit commun et celles fondées sur la lutte contre le blanchiment.
I. Le sens de la décision
A. L’exclusivité du régime des articles L. 133-18 à L. 133-24 CMF
Le jugement s’appuie sur une construction désormais classique qui exclut le droit commun au profit du régime spécial. Il cite d’abord que « La responsabilité contractuelle de droit commun résultant de l’article 1231-1 du code civil, n’est pas applicable en présence d’un régime de responsabilité exclusif. » La conséquence est immédiatement tirée par cette autre formule, d’inspiration prétorienne constante: « Il s’ensuit que, dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du code monétaire et financier, qui transposent les articles 58, 59 et 60, § 1, de la Directive 2007/64/CE, à l’exclusion de tout régime alternatif de responsabilité résultant du droit national. »
Le rappel de la charge probatoire suit cette logique. Le client ayant contesté l’autorisation des opérations, le texte spécial commande le remboursement, sauf démonstration d’un agissement frauduleux ou d’une négligence grave du payeur. Le jugement entérine ce schéma en fixant la priorité du remboursement, avant examen d’une éventuelle faute lourde imputable à l’utilisateur. Il précise encore, à propos de la qualification des opérations, que « Dès lors, il y a lieu de considérer qu’il s’agit d’opérations non autorisées, ce qui n’est au demeurant pas contesté par la banque, de sorte que le régime de l’article L.133-18 du code monétaire et financier est seul applicable. » Le cadre normatif se trouve ainsi refermé, excluant le cumul avec l’article 1231-1 du code civil.
B. L’appréciation concrète de la négligence grave face au social engineering
Le cœur de l’espèce réside dans l’évaluation des diligences de l’utilisateur confronté à une usurpation d’identité. La juridiction retient plusieurs éléments précis: connaissance par l’escroc du nom du conseiller habituel, accès apparent aux soldes en temps réel, et libellé rassurant des ordres simulant un virement interne. Pris ensemble, ces indices ont « légitimement de nature à diminuer la vigilance » d’un usager normalement attentif. L’authentification forte devient ici le vecteur de la tromperie, non la preuve d’un consentement éclairé.
La décision refuse alors de déduire mécaniquement la négligence grave de la seule répétition des validations SCA. Elle souligne la plausibilité de la mise en scène et l’absence d’indices manifestes d’anomalie, notamment quant aux montants et au caractère domestique des bénéficiaires. En conséquence, la banque ne rapporte pas la preuve d’un manquement intentionnel ou gravement négligent aux obligations de conservation des données personnalisées. Le remboursement du solde non récupéré s’impose, sans accessoire indemnitaire de droit commun.
II. La valeur et la portée
A. Un alignement cohérent sur la jurisprudence de principe
La motivation s’inscrit dans une ligne jurisprudentielle affirmant l’autonomie du régime spécial des services de paiement. En retenant que « seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du code monétaire et financier », le jugement adopte une lecture conforme à la directive et à son esprit de protection du payeur. Cette orthodoxie renforce la sécurité juridique, car elle évite les contournements par le droit commun de la responsabilité contractuelle.
La solution sur la négligence grave s’avère mesurée et contextualisée. Elle refuse l’automaticité parfois recherchée dans les contentieux d’authentification forte, en rappelant que la validation technique n’épuise pas la question du consentement juridique. L’angle probatoire demeure décisif: il appartient au prestataire d’établir des faits positifs révélant une légèreté blâmable, ce qui suppose plus qu’un simple usage de l’application. Cette exigence protège le standard, sans exonérer les utilisateurs manifestement imprudents.
B. Des conséquences pratiques nettes pour les contentieux de spoofing
La portée immédiate est double. Elle confirme, d’une part, que la réparation se limite en principe au remboursement prévu par le code monétaire et financier, le régime étant exclusif. Elle rappelle, d’autre part, l’inopposabilité aux clients des obligations de vigilance LCB-FT. Le jugement l’énonce clairement: « Ces obligations de vigilance ou de vérification, parfaitement indépendantes des obligations de la banque à l’égard de ses clients, ne peuvent donner lieu à des actions en responsabilité civile de ces derniers contre la banque. » Les tentatives de fondement sur ces textes sont donc vouées au rejet.
L’économie du dispositif s’en trouve clarifiée. Le client obtient la restitution du préjudice financier primaire, intérêts au taux légal, et une indemnité procédurale, tandis que la demande de dommages-intérêts de droit commun est écartée. Cette architecture préserve la cohérence du régime européen des paiements, tout en incitant les prestataires à affiner leurs mécanismes de détection des scénarios de spoofing crédibles. Elle fixe enfin un standard probatoire exigeant mais réaliste pour caractériser la négligence grave dans un environnement d’authentification forte.
Nos données proviennent de la Cour de cassation (Judilibre), du Conseil d'État, de la DILA, de la Cour de justice de l'Union européenne ainsi que de la Cour européenne des droits de l'Homme.
En savoir plus sur Kohen Avocats
Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.
Le Tribunal judiciaire de Marseille, 11 septembre 2025, se prononce sur le remboursement de virements effectués à la suite d’une escroquerie au faux conseiller. Le titulaire d’un compte, ayant validé plusieurs opérations via une authentification forte, conteste toute négligence grave et demande la restitution des sommes non récupérées, assortie de dommages-intérêts. La banque rétorque que l’utilisateur a approuvé chaque ordre au moyen de son dispositif sécurisé et qu’aucune faute ne lui est imputable au regard de son devoir de non-immixtion.
Les faits sont simples et précis. Après l’ouverture d’un compte de dépôt, six virements ont été initiés entre fin juin et début juillet 2022 pour un total de vingt-quatre mille euros. Un rappel de fonds a permis la récupération partielle de cinq mille euros. Le client a porté plainte et saisi le juge par assignation, sollicitant le remboursement du solde, des dommages-intérêts et une indemnité procédurale. La banque conclut au rejet, invoquant la validation par l’application sécurisée, la régularité apparente des opérations et l’existence d’avertissements antifraude.
Le débat se cristallise autour de deux questions. D’abord, l’articulation entre l’authentification forte et le régime spécial des opérations non autorisées prévu par le code monétaire et financier. Ensuite, les critères de la négligence grave lorsque l’utilisateur agit sous l’emprise d’une manœuvre de social engineering crédible, avec usurpation d’identité et données bancaires en temps réel. La juridiction retient l’exclusivité du régime des articles L. 133-18 et suivants, l’absence de négligence grave, puis écarte les demandes indemnitaires de droit commun et celles fondées sur la lutte contre le blanchiment.
I. Le sens de la décision
A. L’exclusivité du régime des articles L. 133-18 à L. 133-24 CMF
Le jugement s’appuie sur une construction désormais classique qui exclut le droit commun au profit du régime spécial. Il cite d’abord que « La responsabilité contractuelle de droit commun résultant de l’article 1231-1 du code civil, n’est pas applicable en présence d’un régime de responsabilité exclusif. » La conséquence est immédiatement tirée par cette autre formule, d’inspiration prétorienne constante: « Il s’ensuit que, dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du code monétaire et financier, qui transposent les articles 58, 59 et 60, § 1, de la Directive 2007/64/CE, à l’exclusion de tout régime alternatif de responsabilité résultant du droit national. »
Le rappel de la charge probatoire suit cette logique. Le client ayant contesté l’autorisation des opérations, le texte spécial commande le remboursement, sauf démonstration d’un agissement frauduleux ou d’une négligence grave du payeur. Le jugement entérine ce schéma en fixant la priorité du remboursement, avant examen d’une éventuelle faute lourde imputable à l’utilisateur. Il précise encore, à propos de la qualification des opérations, que « Dès lors, il y a lieu de considérer qu’il s’agit d’opérations non autorisées, ce qui n’est au demeurant pas contesté par la banque, de sorte que le régime de l’article L.133-18 du code monétaire et financier est seul applicable. » Le cadre normatif se trouve ainsi refermé, excluant le cumul avec l’article 1231-1 du code civil.
B. L’appréciation concrète de la négligence grave face au social engineering
Le cœur de l’espèce réside dans l’évaluation des diligences de l’utilisateur confronté à une usurpation d’identité. La juridiction retient plusieurs éléments précis: connaissance par l’escroc du nom du conseiller habituel, accès apparent aux soldes en temps réel, et libellé rassurant des ordres simulant un virement interne. Pris ensemble, ces indices ont « légitimement de nature à diminuer la vigilance » d’un usager normalement attentif. L’authentification forte devient ici le vecteur de la tromperie, non la preuve d’un consentement éclairé.
La décision refuse alors de déduire mécaniquement la négligence grave de la seule répétition des validations SCA. Elle souligne la plausibilité de la mise en scène et l’absence d’indices manifestes d’anomalie, notamment quant aux montants et au caractère domestique des bénéficiaires. En conséquence, la banque ne rapporte pas la preuve d’un manquement intentionnel ou gravement négligent aux obligations de conservation des données personnalisées. Le remboursement du solde non récupéré s’impose, sans accessoire indemnitaire de droit commun.
II. La valeur et la portée
A. Un alignement cohérent sur la jurisprudence de principe
La motivation s’inscrit dans une ligne jurisprudentielle affirmant l’autonomie du régime spécial des services de paiement. En retenant que « seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du code monétaire et financier », le jugement adopte une lecture conforme à la directive et à son esprit de protection du payeur. Cette orthodoxie renforce la sécurité juridique, car elle évite les contournements par le droit commun de la responsabilité contractuelle.
La solution sur la négligence grave s’avère mesurée et contextualisée. Elle refuse l’automaticité parfois recherchée dans les contentieux d’authentification forte, en rappelant que la validation technique n’épuise pas la question du consentement juridique. L’angle probatoire demeure décisif: il appartient au prestataire d’établir des faits positifs révélant une légèreté blâmable, ce qui suppose plus qu’un simple usage de l’application. Cette exigence protège le standard, sans exonérer les utilisateurs manifestement imprudents.
B. Des conséquences pratiques nettes pour les contentieux de spoofing
La portée immédiate est double. Elle confirme, d’une part, que la réparation se limite en principe au remboursement prévu par le code monétaire et financier, le régime étant exclusif. Elle rappelle, d’autre part, l’inopposabilité aux clients des obligations de vigilance LCB-FT. Le jugement l’énonce clairement: « Ces obligations de vigilance ou de vérification, parfaitement indépendantes des obligations de la banque à l’égard de ses clients, ne peuvent donner lieu à des actions en responsabilité civile de ces derniers contre la banque. » Les tentatives de fondement sur ces textes sont donc vouées au rejet.
L’économie du dispositif s’en trouve clarifiée. Le client obtient la restitution du préjudice financier primaire, intérêts au taux légal, et une indemnité procédurale, tandis que la demande de dommages-intérêts de droit commun est écartée. Cette architecture préserve la cohérence du régime européen des paiements, tout en incitant les prestataires à affiner leurs mécanismes de détection des scénarios de spoofing crédibles. Elle fixe enfin un standard probatoire exigeant mais réaliste pour caractériser la négligence grave dans un environnement d’authentification forte.