Un client de La Banque Postale avait perdu près de 6 500 euros après avoir été piégé par spoofing téléphonique. Le tribunal judiciaire de Paris vient de condamner la banque à le rembourser intégralement.
Pensant recevoir un appel téléphonique en apparence banal de La Banque Postale, avec un numéro officiel affiché sur l'écran, la victime ne pensait pas subir une arnaque en deux actes. Elle a pourtant subi le pire, après avoir été convaincue de communiquer ses identifiants, puis en remettant sa carte bancaire à un livreur. Dans un jugement rendu le 16 février 2026, consulté par Clubic, le tribunal judiciaire de Paris a tranché en sa faveur. La notion de « négligence grave », pierre angulaire de tous les litiges bancaires de ce type, a une fois encore fait toute la différence.
Un appel téléphonique et une carte bancaire récupérée à domicile, le début du cauchemar
Que s'est-il passé le 16 janvier 2024 ? Ce jour-là, Alban, comme nous l'appellerons, décroche son téléphone. Le numéro affiché est celui du service anti-fraude de La Banque Postale, le vrai, celui qu'on peut vérifier sur le site de la banque. L'individu au bout du fil joue le rôle du conseiller vigilant et signale des mouvements suspects sur le compte de son « client». Il lui demande les identifiants et le mot de passe pour « sécuriser » la situation. Tout semble parfaitement normal. C'est précisément le but.
Sauf que nous sommes en plein spoofing. Cette technique pirate permet à un escroc d'afficher n'importe quel numéro sur l'écran de sa victime, y compris celui d'une banque. Mais l'arnaque ne s'arrête pas là. L'individu connaît aussi les informations précises du compte d'Alban, ce qui dissipe le doute. Convaincu d'avoir affaire à un vrai conseiller, il livre ses identifiants et son mot de passe. Une erreur que n'importe quel client bien informé aurait pu commettre face à un tel dispositif.
L'arnaque va encore plus loin. Un livreur se présente en chair et en os au domicile de la victime, envoyé par l'escroc pour récupérer sa carte bancaire, sous prétexte qu'une nouvelle allait lui être remise en échange. La nouvelle carte, vous l'aurez compris, n'est jamais arrivée. En revanche, avant la fin de la journée, deux achats frauduleux (1 714,98 euros) et plusieurs retraits en espèces (4 753,42 euros) avaient déjà été effectués. Pour un total de 6 468,40 euros évaporés.
La Banque Postale brandit la négligence grave du client, mais le tribunal ne marche pas
La Banque Postale refuse alors de rembourser son client. L'établissement se justifie à l'aide de l'article L.133-19 du code monétaire et financier, qui exonère la banque de toute responsabilité si le client a commis une « négligence grave ». Et pour asseoir sa défense, la banque avance que les opérations frauduleuses ont bien été validées par son système d'authentification forte CERTICODE PLUS, et que c'est le client lui-même qui a remis sa carte et livré ses identifiants.
Alban conteste les arguments de La Banque Postale. Il affirme n'avoir reçu aucune demande de validation (ni SMS, ni e-mail) avant la réalisation des opérations. Il insiste surtout sur un fait important : le numéro affiché lors de l'appel était celui, authentique, du service anti-fraude de la banque, et son interlocuteur connaissait ses données personnelles avec une précision troublante, en raison probablement d'informations récupérées lors de diverses fuites de données. Pour Alban, la faille est du côté de la banque, pas du sien.
Le tribunal rappelle alors une règle que l'établissement semblait avoir éludée. C'est en effet à la banque de prouver la négligence grave, pas au client de s'en défendre. L'article L.133-23 du code monétaire et financier l'affirme noir sur blanc : l'enregistrement d'une opération dans les systèmes bancaires ne suffit pas à démontrer que le payeur en est l'auteur consentant. La Banque Postale n'a, aux yeux du juge, pas apporté les éléments requis.
Spoofing téléphonique et négligence grave, une frontière à tracer
Alors que dit le tribunal judiciaire de Paris ? Ce qu'il essaie d'expliquer, c'est qu'au téléphone, on réagit dans l'instant, sans pouvoir prendre le temps de réfléchir. Lorsqu'on reçoit un e-mail suspect, on peut relire, chercher des indices, se raviser. Pas lors d'un appel. Le jugement précise que le spoofing a mis Alban en confiance et diminué sa vigilance. Dans ces circonstances, lui reprocher une négligence grave reviendrait à ignorer délibérément à quel point cette arnaque était difficile à détecter.
Le juge ne s'appuie pas que sur les faits de l'affaire pour statuer, évidemment. Il cite un arrêt de la Cour de cassation (la plus haute juridiction française) rendu le 23 octobre 2024, qui pose le principe qu'un client trompé par spoofing téléphonique ne peut pas être considéré comme négligent. Aujourd'hui, ce discours fait jurisprudence dans ce type de litige. La Banque Postale a donc été condamnée à rembourser les 6 468,40 euros au client, en plus des 1 800 euros de frais de justice.
Ce type de jugement est de plus en plus courant. En janvier 2026, la cour d'appel d'Angers avait condamné le Crédit Agricole dans une affaire de spoofing comparable. La justice commence à tracer une frontière nette avec, d'un côté, les victimes trompées par un numéro usurpé, que les juges refusent de considérer comme négligentes. Et de l'autre, des comportements plus difficiles à défendre, comme ce client de BNP Paribas qui, lui, avait laissé un inconnu accéder librement à son ordinateur pendant deux semaines, et perdu son procès en février 2026.
