Spoofing : quand le message de confirmation devient l'arme de la banque contre sa victime

📁 Droit Bancaire
📅 18 Mars 2026
⏱️ 10 min de lecture
👤 Me Thomas GAURIAT

L'arrêt de la Cour de cassation du 4 mars 2026 modifie la protection accordée aux victimes d'usurpation de numéro bancaire. La présence d'un message de confirmation explicite concernant un paiement peut désormais suffire à établir une négligence grave si le client n'a pas suspecté la fraude.

Introduction contextuelle

Le scénario est devenu tristement familier : un appel affichant le numéro officiel de votre banque, une voix rassurante signalant des opérations suspectes, et une urgence créant une pression psychologique intense. Jusqu'aux arrêts de 2024-2025, la Cour de cassation considérait que cette usurpation de numéro (spoofing) suffisait à écarter toute négligence grave du client.

L'arrêt du 4 mars 2026 nuance, voire infléchit cette ligne protectrice. La nouvelle règle énoncée : le spoofing seul ne suffit plus. Si le client a reçu un message explicite indiquant un paiement (et non une annulation), la négligence grave peut être retenue contre lui.

Les faits : une fraude classique du spoofing bancaire

En septembre 2022, un client de la Banque CIC Ouest reçoit un appel présenté comme provenant de son agence. Trois éléments renforcent la crédibilité de l'appel :

  • Le numéro affiché correspond exactement à l'agence réelle
  • L'appel survient pendant les heures d'ouverture habituelles
  • Le scénario (bloquer des virements frauduleux) crée une urgence immédiate

Le client se connecte à son application mobile et valide les opérations demandées, croyant annuler des débits frauduleux. En réalité, deux opérations de 3 946 euros au total sont débitées de son compte.

Le jugement du tribunal de proximité

Le tribunal de Morlaix, dans sa décision du 18 juin 2024, donne raison au client en fondant sa décision sur deux piliers :

  • La banque a manqué à son devoir de surveillance prévu à l'article L. 561-6 du Code monétaire et financier
  • Le client n'a commis aucune négligence grave compte tenu des circonstances trompeuses

Le tribunal estime qu'il était « logique » que le client ait cru suivre les instructions de sa banque dans un contexte de spoofing aussi élaboré.

Premier apport : les obligations LCB-FT ne fondent pas une action civile

La Cour de cassation énonce un principe fondamental : « L'obligation de vigilance à l'égard de la clientèle imposée aux organismes financiers en application des articles L. 561-4-1 à L. 561-14-2 du code monétaire et financier a une finalité exclusive : la lutte contre le blanchiment et le financement du terrorisme. »

⚖️ Distinction capitale

Les obligations LCB-FT protègent l'intérêt général, non les intérêts individuels. Elles engagent une responsabilité administrative ou pénale envers les autorités, non une responsabilité civile envers les victimes. Le tribunal avait commis une erreur en les invoquant comme fondement de responsabilité civile.

Second apport : le message de confirmation comme élément de négligence

C'est l'apport majeur de cet arrêt. L'article L. 133-19 du Code monétaire et financier prévoit que le client supporte les pertes en cas de négligence grave, notamment s'il manque à ses obligations de sécurité.

Le tribunal n'avait pas pris en compte un élément crucial : le client avait reçu un message explicite indiquant « Vous allez confirmer un paiement. Il ne s'agit ni d'un remboursement, ni d'une annulation. »

La Cour de cassation casse le jugement car le tribunal n'avait pas recherché si, à la réception de ce message, le client « n'était pas en mesure de suspecter le caractère frauduleux ». L'affaire est renvoyée devant le tribunal judiciaire de Brest.

Implications pratiques pour les victimes de spoofing

🔍 Nouvelle réalité juridique

L'usurpation de numéro seule ne suffit plus à écarter la négligence grave. Il faut établir que le contexte et notamment les messages reçus ne permettaient pas de détecter la fraude.

Si un message explicite a été reçu, la victime devra expliquer pourquoi ce message ne lui a pas permis de suspecter l'escroquerie :

  • État de stress intense causé par la pression psychologique
  • Lisibilité réduite du message sur l'application mobile
  • Manipulation intense par le fraudeur au moment critique
  • Contexte de l'appel créant une urgence apparente légitime

Implications pour les banques

L'arrêt offre aux établissements bancaires une voie d'exonération plus large. Si elles prouvent que leurs messages de confirmation étaient clairs et non ambigus, elles peuvent invoquer la négligence grave avec davantage de chances de succès.

⚠️ Risque soulevé

Les banques pourraient privilégier la multiplication de messages d'alerte au détriment d'un investissement réel dans les systèmes de détection des fraudes. La responsabilité serait ainsi transférée vers les clients plutôt que renforcée au niveau des établissements.

Questions juridiques pertinentes pour défendre votre dossier

Bien que l'arrêt durcisse les conditions de protection, toutes les portes ne sont pas fermées. Voici les questions essentielles à poser :

  1. Le message était-il réellement clair ? Un message technique ou ambigu ne peut être opposé au client.
  2. La victime était-elle dans un état de stress tel que toute analyse critique était impossible ? La manipulation psychologique doit être évaluée.
  3. La banque a-t-elle manqué à ses propres obligations de détection ? Des opérations inhabituelles auraient-elles dû déclencher des alertes automatiques ?
  4. Le contexte rendait-il le message de confirmation légitime aux yeux de la victime ? Si l'escroc a créé un scénario cohérent, le client pouvait légitimement interpréter le message différemment.

Stratégie contentieuse recommandée

Phase précontentieuse

  1. Documenter exhaustivement : Conservez tous les échanges, captures d'écran des messages reçus, enregistrements d'appels si disponibles
  2. Réclamation bancaire formelle : Adressez une mise en demeure circonstanciée
  3. Médiation bancaire : Saisissez le médiateur de votre établissement

Phase contentieuse

  1. Analyse juridique approfondie : Évaluation par avocat spécialisé de la clarté du message et du contexte de manipulation
  2. Constitution du dossier probatoire : Démonstration de l'impossibilité matérielle ou psychologique de suspecter la fraude
  3. Action judiciaire : Assignation fondée sur l'article L. 133-19 du Code monétaire et financier

Conclusion et perspectives

L'arrêt du 4 mars 2026 marque un durcissement de la protection des victimes de spoofing bancaire. Toutefois, il ne ferme pas toutes les portes. La clé réside désormais dans l'analyse concrète du message de confirmation, du contexte de sa réception, et de la manipulation psychologique exercée par les fraudeurs.

Chaque situation doit être évaluée individuellement. L'existence d'un message d'alerte ne scelle pas automatiquement le sort de la victime. La jurisprudence continuera d'évoluer en fonction des circonstances factuelles de chaque affaire.

← Retour aux articles