Par plusieurs arrêts, dont un du 23 octobre 2024, la Cour de cassation avait en quelque sorte exhorté les banques à mettre fin au fléau d’un certain nombre de fraudes bancaires et en particulier du spoofing – la pratique de la fraude au faux conseiller bancaire –, en mettant à leur charge la réparation du préjudice subi par leurs clients, victimes de la fraude. Ainsi, la Cour de cassation avait pu retenir qu’aucune négligence grave ne pouvait être imputée au titulaire d’un compte qui, contacté téléphoniquement par une personne se faisant passer pour un préposé de sa banque, dont le numéro s’affichait comme tel sur son téléphone, avait procédé à la modification de ses bénéficiaires avant de procéder à un virement, y compris en utilisant le dispositif d’authentification forte.
Cette formule, très favorable aux clients, n’a pas manqué d’inciter les victimes de telles escroqueries à porter leur cause devant les juridictions du fond. Depuis près de deux ans, c’est donc une véritable saga jurisprudentielle qui suit son cours, précisant, modifiant et ajustant le cadre du devoir de vigilance au regard de phénomènes de fraude de plus en plus inventifs.
Opérations « autorisées »
ou non, spoofing contre fraude au président
Historiquement, et de longue date, le devoir de vigilance du banquier s’étend, malgré son devoir de non-immixtion/ingérence dans les comptes de ses clients, à celui de bloquer la réalisation de l’opération présentant une anomalie « apparente ». Pour autant, la réforme du Code monétaire et financier (CMF) intervenue en 2021 devait permettre d’encadrer plus spécifiquement les obligations de la banque quant aux opérations dites « non autorisées ». C’est, du moins, la lecture qu’en a retenue la Cour de cassation ayant qualifié d’« exclusif » le régime de responsabilité prévu par le CMF. Les règles qu’il contient imposent, par exemple, au client d’informer, avant l’exécution de l’opération, son prestataire du caractère frauduleux de cette dernière.
Pour autant, la jurisprudence a rappelé qu’un devoir de vigilance n’en demeurait pas moins peser sur le banquier en présence d’opérations « autorisées » – c’est-à-dire non remises en cause par la victime – mais anormales, eu égard à l’historique des virements, au montant de ces opérations ou encore à leur destinataire. De manière notable, on constate cependant que, bien que le régime du CMF, souvent invoqué en matière de spoofing, soit plus restrictif en matière de responsabilité de la banque, le nombre des condamnations sur ce fondement tend à dépasser celles fondées sur la responsabilité contractuelle du banquier.
Il faut y voir la rançon de la sophistication de la fraude au faux conseiller bancaire et la restriction de la notion de « négligence » du client, que même la présence d’un dispositif d’authentification forte en pareil cas ne semble pas caractériser (30 avril 2025).
Les banques ne peuvent pas tout
La solution diffère en matière de fraude au président, où la jurisprudence, malgré un fondement de la responsabilité plus large, semble plus réticente à accorder réparation. Ainsi, la Cour de cassation a-t-elle pu écarter la responsabilité de la banque dans un cas où la comptable d’une société avait été trompée par un e-mail frauduleux et avait réalisé plusieurs virements dont le montant restait cependant dans la limite des plafonds quotidiens autorisés et avait pour destination un compte détenu par une banque agréée d’un pays de l’UE qui « n’attirait pas spécialement l’attention en termes de sécurité ».
Tout récemment encore, le 4 mars 2026, la Cour de cassation a également tempéré sa jurisprudence en matière de spoofing, exigeant une véritable démonstration de la pression subie par le client pour démontrer l’absence de négligence grave. Une chose est sûre, après avoir souhaité protéger les victimes de fraude, la Cour de cassation tente désormais de rationnaliser ces recours massifs. En témoigne un dernier arrêt rejetant toute action fondée sur les obligations LCB-FT de la banque.
