Tribunal judiciaire, 9ème chambre 1ère section, 17 juin 2026 — n° 25/02315

EXPOSÉ DU LITIGE M. [I] détient un compte dans les livres de la BNP Paribas. Le 21 octobre 2024, M. [I] a demandé à sa banque le remboursement de trois virements qu’il conteste avoir autorisés pour un montant de 2 051 euros chacun, soit 6 153 euros. Puis le 22 octobre 2024, M. [I] a contesté cinq nouvelles opérations frauduleuses pour un montant total de 5 085,50 euros. Il a déposé plainte en relatant avoir été victime d’une fraude au faux conseiller. La BNP Paribas a refusé les remboursements sollicités. Par acte de commissaire de justice du 30 janvier 2025, M. [I] a fait assigner la société anonyme BNP Paribas (ci-après la BNP Paribas) devant le tribunal judiciaire de Paris. Demandes et moyens de M. [I] Dans ses dernières conclusions communiquées par voie électronique le 4 novembre 2025, M. [I] demande au tribunal de : « - CONDAMNER la BNP PARIBAS à verser un montant de 11.238,50 euros à Mr [B] [I], avec intérêts légaux à compter de la signification de l’assignation, - CONDAMNER la BNP PARIBAS à verser un montant de 10.000 € à titre de dommages et intérêts à Mr [B] [I] suite au préjudice moral subi, - CONDAMNER la BNP PARIBAS à verser un montant de 4.000 € à Mr [B] [I] en application de l’article 700 du CPC, - JUGER n’y avoir lieu à écarter l’exécution provisoire, - CONDAMNER la BNP PARIBAS en tous les dépens. » M. [I] fait valoir qu’il a été victime d’agissements frauduleux par spoofing. Il soutient que l’accès du fraudeur à son espace en ligne n’a pas fait l’objet d’une authentification forte. Il admet avoir procédé à la demande du fraudeur à la « validation de quelques opérations par tranche » mais considère que la fraude a été permise par l’accès à son espace en ligne sans authentification forte. Il conteste avoir communiqué ses données de connexion et considère n’avoir jamais été informé par la banque de ce risque de fraude. Demandes et moyens de la BNP Paribas Dans ses dernières conclusions communiquées par voie électronique le 12 janvier 2026, la BNP Paribas demande au tribunal de débouter M. [I] de l’intégralité de ses demandes et de le condamner à lui payer la somme de 3 500 euros au titre de l’article 700 du code de procédure civile, outre sa condamnation aux entiers dépens. La BNP Paribas relève que M. [I] a reçu un SMS prétendûment expédié par l’assurance maladie pour l’inviter à renouveler sa carte vitale et que l’escroc a pu par ce biais récupérer ses données personnelles et bancaires. La BNP Paribas observe que M. [I] dit avoir été appelé par le numéro 07.75.23.31.36 qui ne correspond pas à un numéro attribué à la BNP Paribas, ce qui exclut le spoofing. Elle souligne qu’il a validé lors de sa conversation avec l’escroc 5 notifications d’achat puis trois virements initiés via la plateforme Tink (solution d’initiation de paiement par virement). La BNP Paribas soutient que la négligence grave de M. [I] est avérée dès lors qu’il a communiqué ses informations de connexion à l’escroc et validé lui-même les paiements contestés. Elle expose que l’authentification forte pour accéder à l’espace en ligne n’est pas requise si une authentification forte a déjà été réalisée dans les 90 jours précédents. En revanche, elle affirme que les opérations litigieuses ont fait l’objet d’une authentification forte par le système de clé digitale en application duquel M.

MOTIFS DE LA DÉCISION 1. Sur les opérations non autorisées Une opération de paiement n'est autorisée au sens des articles L.133-3 et L.133-6 du code monétaire et financier que si le payeur l'a initiée et a consenti à son exécution. L’article L.133-18 du code monétaire et financier pose le principe du remboursement par la banque des opérations de paiement non autorisées : « En cas d'opération de paiement non autorisée signalée par l'utilisateur dans les conditions prévues à l'article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l'opération non autorisée immédiatement après avoir pris connaissance de l'opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s'il a de bonnes raisons de soupçonner une fraude de l'utilisateur du service de paiement et s'il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu. » Par dérogation à ce principe, l’article L.133-19 IV prévoit que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17, lesquels lui font obligation notamment de préserver la sécurité de ses données. L’article L.133-16 impose ainsi à l’utilisateur de services de paiement de prendre « toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées » dès qu’il reçoit un instrument de paiement. L’article L.133-23 du code monétaire et financier fixe les règles de preuve applicables lorsque l’utilisateur conteste avoir donné son autorisation au paiement : « Lorsqu'un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, il incombe à son prestataire de services de paiement de prouver que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre. L'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d'initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l'utilisateur de services de paiement. » La négligence grave de l’utilisateur ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été utilisés. L’établissement bancaire qui refuse de procéder au remboursement supporte la charge de la preuve de la négligence grave imputée à son client. Enfin, en application de l’article L.133-19 V du code monétaire et financier, sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l'opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n'exige une authentification forte du payeur. L'article L. 133-4 (f) du même code précise qu’une authentification forte s’entend d’une authentification reposant sur l'utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l'utilisateur connaît telle qu’un mot de passe, un code secret, une question secrète, etc…), « possession » (quelque chose que seul l'utilisateur possède telle qu’un téléphone portable, une montre connectée, une clé USB etc…) et « inhérence » (quelque chose que l'utilisateur est, telle que la reconnaissance faciale ou vocale, la reconnaissance par empreinte digitale, etc…) et indépendants en ce sens que la compromission de l'un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d'authentification. En l’espèce, M. [I] conteste les opérations suivantes : - 5 paiements par carte bancaire réalisés en ligne au profit de « FINARY INVEST » le 19 octobre 2024 pour des montants respectifs de 500 euros, 504 euros, 504 euros, 1 511,25 euros et 2 066,25 euros, soit un total de 5 085,50 euros ; - trois virements initiés auprès du service d’initiation TINK le 19 octobre 2024, chacun pour un montant de 2 051 euros chacun, soit un total de 6 153 euros, - soit un total de 11 238,50 euros pour les 8 opérations contestées. Il ressort de la plainte en ligne de M. [I] et de ses échanges avec sa conseillère bancaire que celui-ci relate : - qu’il a été appelé, depuis le numéro 07.75.23.31.36, par une personne se présentant comme un agent de BNP Paribas remplaçant sa conseillère habituelle, qui lui a déclaré avoir détecté une opération frauduleuse sur son compte pour un montant de 1 329 euros, - que cette personne lui a demandé de lui communiquer son code d’accès à l’application mobile de BNP Paribas, ce qu’il a refusé, - que son interlocuteur lui a envoyé un code d’accès provisoire par SMS, - que ce SMS était identique à ceux envoyés habituellement par BNP Paribas, - qu’en se connectant à son espace en ligne, il a découvert deux virements de 20 000 euros et 8 000 euros entre ses comptes, qu’il n’avait pas initiés, - que le fraudeur l’a invité à procéder à la « validation de quelques opérations par tranche » pour soi-disant annuler les transferts frauduleux, - que lorsqu’il a manifesté sa surprise quant au nom du bénéficiaire de l’opération, le fraudeur lui a répondu qu’il s’agissait du nom du prestataire externe. Il en résulte que M. [I] a été appelé par une personne se faisant passer par un conseiller qui a eu accès à son espace bancaire en ligne. M. [I] reproche à la banque d’avoir permis l’accès à son espace en ligne sans authentification forte. Le règlement délégué (UE) 2018/389 de la Commission du 27 novembre 2017, permet aux prestataires de services de paiement de ne pas appliquer l’authentification forte pour l’accès au solde et aux opérations récentes d’un compte de paiement. L’article 10 de ce texte, compris dans le chapitre III relatif aux dérogations à l’obligation d’authentification forte du client dispose : « 1. Les prestataires de services de paiement sont autorisés à ne pas appliquer l'authentification forte du client, sous réserve du respect des exigences définies à l'article 2 et au paragraphe 2 du présent article, lorsqu'un utilisateur de services de paiement est limité dans son accès à un ou à deux des éléments suivants en ligne sans que des données de paiement sensibles soient divulguées: a) le solde d'un ou de plusieurs comptes de paiement désignés; b) les opérations de paiement exécutées durant les 90 derniers jours par l'intermédiaire d'un ou de plusieurs comptes de paiement désignés. 2. Aux fins du paragraphe 1, les prestataires de services de paiement ne sont pas exemptés de l'application de l'authentification forte du client lorsque l'une des conditions suivantes est remplie: a) l'utilisateur du service de paiement accède pour la première fois en ligne aux informations visées au paragraphe 1; b) plus de 90 jours se sont écoulés depuis la dernière fois que l'utilisateur de services de paiement a accédé en ligne aux informations visées au paragraphe 1, point b), et que la procédure d'authentification forte du client a été appliquée. » Il en résulte que les prestataires de service de paiement peuvent ne pas mettre en œuvre l’authentification forte pour l’accès à l’espace bancaire en ligne lorsque le client s’est déjà connecté dans les 90 jours qui précèdent. M.

PAR CES MOTIFS Le tribunal, statuant publiquement, par jugement contradictoire, mis à disposition au greffe et en premier ressort, REJETTE l’ensemble des demandes de M. [B] [I] ; CONDAMNE M. [B] [I] aux entiers dépens ; CONDAMNE M. [B] [I] à payer à la BNP Paribas la somme de 2 000 euros au titre des dispositions de l’article 700 du code de procédure civile ; REJETTE toute autre demande plus ample ou contraire ; RAPPELLE que le présent jugement est de droit exécutoire à titre provisoire. Fait et jugé à [Localité 1] le 17 juin 2026. La Greffière La Présidente