Une cliente de BoursoBank a été manipulée par un escroc déguisé en faux conseiller bancaire, à qui elle a viré 8 000 euros. La justice vient de condamner la banque à rembourser l'intégralité de la somme.
INFO Clubic. Fraude bancaire, spoofing, et virement forcé, une cliente de BoursoBank (ex-Boursorama) a vécu le cauchemar de l'arnaque téléphonique. En quelques clics, elle a vu 8 000 euros s'envoler, après avoir été bernée par un faux conseiller. Deux ans et demi plus tard, le tribunal judiciaire de Lyon lui donne raison dans une décision du 30 mars 2026 par laquelle il condamne la banque en ligne à rembourser la somme perdue, faute d'avoir prouvé une négligence grave de sa cliente.
Un faux conseiller Boursorama lui fait virer 8 000 euros, une nouvelle arnaque au spoofing
Tout commence le 27 mai 2023. Une cliente de Boursorama, domiciliée à Champagne-au-Mont-d'Or, près de Lyon, reçoit l'appel d'un inconnu qui se présente comme son conseiller bancaire et l'avertit d'un piratage imminent sur ses comptes. Pour asseoir sa crédibilité, l'escroc emploie une technique redoutable, le spoofing, qui permet de falsifier le numéro affiché sur l'écran du destinataire. Résultat, quand il la rappelle, c'est bien le numéro officiel du service client de Boursorama qui s'affiche. À ce stade, il est impossible,pour la victime, de douter de son identité.
Sous pression, la cliente se connecte à son espace bancaire en ligne et suit les instructions à la lettre. Elle transfère d'abord 7 700 euros depuis son livret vers son compte courant, puis vire 8 000 euros vers un compte tiers dont elle enregistre elle-même les coordonnées, sous la dictée du malfrat. Pour confirmer chaque opération, elle saisit les codes de sécurité envoyés sur son téléphone. Elle franchit donc la fameuse authentification forte, étape censée garantir que c'est bien le titulaire du compte qui agit. Techniquement, tout est parfaitement conforme. Rien ne distingue ces virements de transactions tout à fait banales.
Une fois le téléphone raccroché, la réalité rattrape la cliente, et elle comprend qu'elle vient de se faire arnaquer. Elle contacte immédiatement Boursorama et dépose plainte le jour même. Mais la banque ne veut rien entendre. Pour elle, c'est bien la cliente qui a saisi ses identifiants et validé les opérations avec ses propres codes de sécurité, donc elle a consenti. Peu importe les circonstances, pour Boursorama, les virements sont légitimes. La mise en demeure envoyée par courrier le 20 juillet 2023 ne changera rien.
Pourquoi l'e-mail d'alerte de Boursorama n'a pas suffi à la sauver
La cliente porte l'affaire devant les tribunaux. Le 8 janvier 2024, assistée de son avocat, elle assigne Boursorama devant le tribunal judiciaire de Lyon. Elle réclame le remboursement des 8 000 euros perdus, 2 000 euros supplémentaires pour sanctionner le refus jugé abusif de la banque, et 2 400 euros pour couvrir ses frais de procédure. Elle s'appuie sur deux articles du Code monétaire et financier (les articles L133-18 et L133-19), qui obligent les banques à rembourser leurs clients victimes d'opérations non autorisées, sauf à prouver une faute grave de leur part.
De son côté, Boursorama maintient sa position. La banque rappelle que c'est la cliente qui a tout fait, de bout en bout. Elle a saisi ses identifiants, ajouté le compte du fraudeur comme bénéficiaire, et confirmé les virements avec ses codes de sécurité. Pour Boursorama, agir ainsi, c'est consentir. La banque va plus loin en invoquant la négligence grave de la cliente, qui aurait dû se méfier dès le premier appel, passé depuis un simple numéro de téléphone portable, et ne jamais suivre les instructions d'un inconnu.
Boursorama précise aussi au juge que pendant que les virements s'enchaînaient, la banque a envoyé un e-mail automatique à la cliente (à 16h44) lui indiquant le nom réel du titulaire du compte sur lequel elle s'apprêtait à transférer l'argent. Un nom qui ne correspondait pas à celui que le fraudeur lui avait communiqué. Pour Boursorama, cet e-mail prouve que la cliente avait les moyens de réaliser qu'il se passait quelque chose d'anormal et d'annuler l'opération. Sauf qu'en reconstituant la chronologie des connexions et des validations, le tribunal constate que les virements ont été confirmés dans la même fenêtre de temps, à quelques minutes d'intervalle seulement. Impossible, donc, d'établir que la cliente a eu le temps de lire cet e-mail.
Ni consentement valable, ni négligence grave pour le tribunal
La juge explique que ce n'est pas parce qu'on a soi-même cliqué sur « valider » qu'on a forcément consenti librement. La loi le dit : le simple fait qu'une opération ait été techniquement réalisée par le client ne suffit pas à prouver qu'il l'a voulue. Et pour cause, le fraudeur connaissait déjà le nom de la cliente, son numéro de téléphone et le nom de sa banque avant même de l'appeler. Ces informations lui ont permis de construire un scénario crédible, d'instaurer une fausse confiance et de pousser la victime à agir contre ses propres intérêts. Pour le tribunal, c'est bien la preuve que son consentement avait été manipulé.
Sur la question de la négligence grave, le tribunal a écarté les arguments de Boursorama. Quid de l'e-mail d'alerte envoyé à 16h44 ? Les logs de connexion montrent que les virements ont été validés dans la même minute, ce qui confirme, comme nous l'expliquions déjà un peu plus haut, que la cliente n'a tout simplement pas eu le temps de le lire. La banque aurait aussi pu l'alerter directement via l'application qu'elle était en train d'utiliser, ce qu'elle n'a pas fait. Quant aux mises en garde contre les arnaques, elles figuraient dans les conditions générales signées à l'ouverture du compte, des années plus tôt. Pour le tribunal, un avertissement lu une seule fois, enfoui dans un contrat, ne peut pas raisonnablement suffire à protéger quelqu'un contre une escroquerie menée dans l'urgence, par téléphone, avec le numéro officiel de sa propre banque affiché à l'écran.
Au final, comme souvent en matière de spoofing, Boursorama a été condamnée à rembourser les 8 000 euros à la cliente. Le juge a ajouté des intérêts de retard avec un taux légal majoré de 15 points à compter du 27 juin 2023, soit la date à laquelle la banque aurait dû rembourser. Ces intérêts produisent eux-mêmes des intérêts, ce qu'on appelle la capitalisation. La banque devra également rembourser 1 500 euros de frais d'avocat à la cliente. La cliente n'a en revanche pas obtenu gain de cause sur sa demande de 2 000 euros pour « résistance abusive », rejetée. Le tribunal considère que Boursorama, même en refusant de rembourser, a toujours pris la peine de motiver et d'expliquer ses refus, ce qui suffit à écarter la notion d'abus.
