Fraude au faux conseiller bancaire : la protection des clients professionnels

📁 Droit Bancaire
📅 30 Janvier 2026
⏱️ 8 min de lecture
👤 Me Thomas GAURIAT

Dans un arrêt du 12 juin 2025 (n° 24-13.777), la Cour de cassation a jugé qu'une entreprise ne commet pas de négligence grave lorsqu'elle suit les instructions d'un faux conseiller bancaire après un appel téléphonique usurpant l'identité et le numéro de sa banque.

Les fraudes bancaires par usurpation d'identité téléphonique (spoofing) se multiplient et affectent désormais non seulement les particuliers, mais également les entreprises. Les professionnels bénéficient-ils du même niveau de protection que les consommateurs ? L'arrêt de la Cour de cassation du 12 juin 2025 apporte une réponse claire et protectrice.

Les faits : fraude bancaire par usurpation téléphonique crédible

Une entreprise cliente de la Société Générale a été victime d'une fraude sophistiquée orchestrée selon un scénario désormais classique mais particulièrement efficace.

Déroulement de la fraude

L'entreprise reçoit un appel téléphonique provenant d'un numéro qui correspond exactement à celui de son agence bancaire (technique du spoofing ou usurpation de numéro).

L'interlocuteur se présente comme un technicien de la Société Générale et déclare intervenir pour sécuriser le compte de l'entreprise suite à des tentatives de fraude détectées.

Pour crédibiliser son discours, le fraudeur :

  • Dispose d'informations précises sur le compte de l'entreprise (solde, dernières opérations)
  • Utilise le vocabulaire technique bancaire approprié
  • Crée un contexte d'urgence justifiant une action immédiate

Convaincu d'agir pour sécuriser son compte, le dirigeant de l'entreprise suit les instructions du faux conseiller et communique des éléments d'authentification permettant la réalisation d'opérations frauduleuses.

🎭 Sophistication de la fraude

La technique du spoofing rend la fraude extrêmement crédible : le numéro affiché sur le téléphone de la victime est authentique. Même une personne prudente et expérimentée peut légitimement croire qu'elle communique avec sa banque.

La qualification juridique : opération non autorisée

Le cadre juridique applicable découle des articles L.133-6 et L.133-7 du Code monétaire et financier qui transposent la directive européenne sur les services de paiement (DSP2).

Principe du consentement

Une opération de paiement n'est considérée comme autorisée que si le payeur a donné son consentement à l'exécution de cette opération.

Le consentement suppose que le client ait l'intention de :

  • Réaliser une opération de paiement
  • Au profit d'un bénéficiaire déterminé
  • Pour un montant précis

Dans le cas d'une fraude par usurpation d'identité, le client n'a jamais l'intention de payer le bénéficiaire réel (le fraudeur). Il pense effectuer une opération de sécurisation de son compte ou valider son identité.

"L'opération de paiement non autorisée s'entend de celle qui n'a pas été consentie par le payeur dans les conditions prévues à l'article L.133-7."
Article L.133-6 du Code monétaire et financier

Authentification forte et preuve du consentement

La banque défenderesse avait invoqué que les opérations avaient été correctement authentifiées selon les dispositifs de sécurité en vigueur. Cet argument a été rejeté par la Cour de cassation.

Distinction entre authentification et autorisation

L'article L.133-23 du Code monétaire et financier impose à la banque de prouver que l'opération a été authentifiée, mais cette preuve ne suffit pas à établir que l'opération a été autorisée par le client.

⚖️ Principe jurisprudentiel fondamental

L'utilisation des données de sécurité personnalisées ne prouve pas l'autorisation du client.

Dans les fraudes par ingénierie sociale, le client utilise effectivement ses propres moyens d'authentification, mais il le fait en étant manipulé. Il n'a jamais l'intention de réaliser le paiement effectif.

Cette distinction constitue un pilier de la protection des utilisateurs de services de paiement face aux fraudes sophistiquées.

L'appréciation de la négligence grave

Si l'opération n'est pas autorisée, la banque doit, en principe, rembourser immédiatement le client (article L.133-18 du CMF). Toutefois, une exception existe : le remboursement n'est pas dû si la banque prouve que le client a agi avec négligence grave.

Définition de la négligence grave

L'article L.133-19, IV du Code monétaire et financier définit la négligence grave comme un "comportement d'une particulière gravité".

La jurisprudence considère qu'il y a négligence grave lorsque le client :

  • A volontairement remis sa carte bancaire à un tiers
  • A communiqué son code PIN en toute connaissance de cause
  • A agi en violation manifeste des avertissements de sa banque

Application au cas du spoofing

La Société Générale soutenait que l'entreprise avait commis une négligence grave en communiquant ses éléments d'authentification à un tiers.

La Cour de cassation a rejeté cet argument en considérant que :

  • L'appel provenait d'un numéro authentique (spoofing)
  • L'interlocuteur disposait d'informations précises sur le compte
  • Le contexte rendait la fraude particulièrement crédible
  • L'entreprise pensait légitimement protéger son compte
"Le fait de suivre les instructions d'un interlocuteur se présentant comme un technicien de la banque, dans un contexte où l'appel provient du numéro officiel de l'établissement, ne constitue pas un comportement d'une particulière gravité."
Cour de cassation, chambre commerciale, 12 juin 2025, n° 24-13.777

Portée de l'arrêt : renforcement de la protection

Cet arrêt constitue une avancée majeure dans la protection des victimes de fraude bancaire, qu'il s'agisse de particuliers ou de professionnels.

Protection étendue aux clients professionnels

Certaines décisions antérieures avaient laissé penser que les professionnels, en raison de leur expérience commerciale, pourraient être soumis à un standard de diligence plus élevé.

La Cour de cassation affirme clairement que les professionnels bénéficient du même niveau de protection que les consommateurs face aux fraudes sophistiquées par spoofing.

Charge de preuve sur la banque

L'arrêt réaffirme que c'est à la banque de démontrer la négligence grave du client, conformément à l'article L.133-23 du CMF.

La simple preuve de l'authentification ne suffit pas. La banque doit établir un comportement manifestement imprudent du client.

Refus de faire de l'authentification un transfert du risque

L'arrêt rejette l'idée que les dispositifs d'authentification forte transfèrent automatiquement le risque de fraude sur le client.

Les techniques de spoofing démontrent que même des mécanismes de sécurité robustes peuvent être contournés par l'ingénierie sociale. Le client ne peut être tenu pour responsable lorsqu'il est victime d'une manipulation crédible.

🛡️ Principe de protection renforcée

La sophistication croissante des fraudes impose aux banques de développer des systèmes de détection et de prévention toujours plus performants. Le risque de fraude ne peut être entièrement transféré au client sous prétexte que celui-ci a "validé" l'opération.

Enseignements pratiques pour les victimes

Cet arrêt offre des enseignements essentiels pour les entreprises et professionnels victimes de fraude bancaire.

Le spoofing exclut généralement la négligence grave

Lorsque la fraude est caractérisée par :

  • L'usurpation du numéro de téléphone de la banque
  • La possession d'informations précises sur le compte
  • Un scénario crédible (sécurisation du compte, détection de fraude, etc.)

Le fait de suivre les instructions du faux conseiller ne constitue pas une négligence grave.

Contestation immédiate recommandée

Dès la découverte de la fraude :

  • Contestez immédiatement les opérations par écrit
  • Décrivez précisément le contexte de la fraude (spoofing, informations précises détenues par le fraudeur)
  • Invoquez l'absence d'autorisation et l'absence de négligence grave
  • Demandez le remboursement intégral

Résistance prévisible des banques

Les banques invoquent systématiquement :

  • Que l'opération a été authentifiée
  • Que le client a communiqué ses codes
  • Que le client aurait dû être plus vigilant

Ces arguments sont juridiquement insuffisants au regard de la jurisprudence actuelle. Un accompagnement juridique spécialisé permet de faire valoir efficacement vos droits.

Conclusion

L'arrêt de la Cour de cassation du 12 juin 2025 marque une étape importante dans la protection des victimes de fraude bancaire, y compris les clients professionnels.

Les principes établis :

  • L'authentification ne prouve pas le consentement
  • Le spoofing crédibilise la fraude et exclut généralement la négligence grave
  • Les professionnels bénéficient de la même protection que les consommateurs
  • La charge de la preuve repose sur la banque

Si vous êtes victime d'une fraude au faux conseiller bancaire par spoofing, vous disposez de solides arguments juridiques pour obtenir le remboursement des sommes débitées. Maître Gauriat accompagne régulièrement des entreprises et particuliers dans ces contentieux et se tient à votre disposition pour analyser votre situation.

← Retour aux articles