Après avoir reçu un faux SMS de Chronopost et un appel frauduleux d'un faux conseiller bancaire, une femme a perdu 8 000 euros, victime d'une arnaque au spoofing. Elle a attaqué sa banque en justice.
INFO Clubic. Une cliente parisienne de BNP Paribas a été victime d'une escroquerie menée en deux actes, qui l'a conduite au tribunal, puis devant la cour d'appel de Paris. Elle est d'abord tombée dans le piège d'un faux SMS de livraison estampillé Chronopost, avant de se faire manipuler au téléphone par un imposteur se faisant passer pour son conseiller bancaire. Dans l'affaire, la victime a perdu 8 000 euros, avant d'essuyer deux refus de remboursement et d'obtenir, finalement, la condamnation de la banque, dans un arrêt du 2 avril 2026.
Une cliente de BNP Paribas piégée par un faux SMS et un faux conseiller, elle perd des milliers d'euros
L'affaire débute bien malgré le 15 février 2023. Ce jour-là, Françoise (nous avons modifié son prénom) reçoit un SMS en apparence tout à fait banal mais dont la tournure doit en théorie inquiéter, lui indiquant qu'il lui manque 1,46 euro pour recevoir un colis Chronopost. Un classique chez les escrocs, on l'a vu avec l'usurpation de l'identité de Mondial Relay, basée sur le même schéma. Le message est rédigé sans la moindre faute, et elle attend effectivement une livraison pour son fils, ce qui n'aide pas. Pour Françoise, rien ne cloche. Elle clique donc sur le lien, tombe sur un site qui imite celui du transporteur du groupe La Poste, y saisit ses coordonnées bancaires et vient, sans le savoir, de les livrer directement aux fraudeurs.
Quelques heures plus tard, son téléphone sonne. Un homme se présente comme un conseiller de BNP Paribas et l'informe qu'elle vient d'être piratée. Des virements suspects auraient été détectés sur ses comptes. Pour les bloquer, il lui demande de valider des « oppositions à prélèvements frauduleux » depuis son application bancaire, via sa clé digitale, autrement dit, le système de validation sécurisée qu'elle utilise au quotidien pour confirmer ses opérations. Rien d'inhabituel en apparence, en tout cas pour la victime.
À ce moment-là, Françoise est convaincue d'avoir bloqué la fraudes. Elle valide à trois reprises les notifications qui s'affichent sur son téléphone. Mais ce qu'elle ignore, c'est que chaque confirmation déclenche en réalité un paiement en ligne : 3 500 euros, puis 3 170,77 euros, et enfin 1 371,37 euros, prélevés depuis ses comptes professionnel et personnel. L'affaire révèle que les adresses IP depuis lesquelles ces transactions ont été initiées pointent vers deux connexions françaises aux numéros différents et une troisième depuis les Émirats arabes unis, le tout en quelques minutes. La vraie conseillère bancaire de Françoise évoquera quant à elle, dans un courrier interne, deux connexions localisées au Maroc.
BNP Paribas invoque la négligence grave de la cliente
Quelques jours plus tard, le 20 février 2023, Françoise alerte sa banque et réclame un remboursement. BNP Paribas refuse. Deux fois. Pour la banque, sa cliente s'est elle-même mise en danger en ayant d'abord communiqué ses coordonnées bancaires sur un site frauduleux, puis validé de sa propre main les trois paiements via sa clé digitale, un geste de confirmation qui, aux yeux de la banque, suffit à prouver qu'elle en était bien à l'origine, ou du moins qu'elle a agi avec une imprudence inexcusable. En droit bancaire, c'est ce qu'on appelle la « négligence grave », un manque de vigilance tellement flagrant qui décharge la banque de toute obligation de remboursement. Une notion qui ressort systématiquement dans ce type d'affaire. Les juges sont alors saisis.
En novembre 2024, le tribunal judiciaire de Paris tranche en faveur de Françoise et condamne BNP Paribas à lui rembourser 8 042,14 euros, auxquels s'ajoutent 500 euros pour le préjudice moral subi. La banque fait appel et maintient que les trois paiements ont été techniquement validés dans les règles, « dûment authentifiés » dans le jargon juridique, et que sa cliente aurait dû se méfier, les arnaques de ce type étant selon elle suffisamment médiatisées pour que chacun en connaisse les risques.
BNP Paribas va jusqu'à affirmer informer régulièrement ses clients des risques d'hameçonnage (ou phishing, qui consiste à usurper l'identité d'une entreprise de confiance pour soutirer des informations personnelles), et que la victime aurait dû, par réflexe de prudence, raccrocher et rappeler elle-même son agence avant de valider. La banque conteste également un point central du récit de sa cliente : rien ne prouve formellement, dit-elle, que l'escroc ait bien affiché le numéro officiel de BNP Paribas sur son écran au moment de l'appel.
Authentification forte ne veut pas dire consentement éclairé, rappellent les juges
Dans son arrêt du 2 avril 2026, la cour d'appel de Paris confirme la condamnation de BNP Paribas au remboursement intégral. Les juges rappellent un principe juridique fondamental, souvent méconnu. Ce n'est pas au client de prouver qu'il n'a pas été négligent, c'est à la banque de prouver qu'il l'a été. C'est la loi, le code monétaire et financier plus précisément, qui l'impose. Et sur ce terrain-là, BNP Paribas n'a pas apporté les preuves suffisantes.
Les magistrats s'appuient sur l'arrêt de cassation du 23 octobre 2024, jurisprudence de référence en la matière, qui établit clairement qu'on ne peut pas reprocher une négligence grave à un client trompé par quelqu'un qui se fait passer pour sa banque. Dans le cas de Françoise, tous les voyants étaient au vert. Le SMS ne contenait aucune erreur, elle attendait réellement un colis, et le faux conseiller ne lui a jamais demandé ses codes secrets. Il lui a simplement demandé de « confirmer une opposition ». Rien, objectivement, ne pouvait la mettre en alerte aux yeux des juges, même si aucun transporteur ne demande de régler des frais de livraison juste avant la réception d'un colis. Quant aux e-mails d'avertissement que la banque affirme lui avoir envoyés, la cour dit qu'ils étaient adressés à des boîtes mail différentes de celle qu'utilisait réellement la victime. La banque ne peut donc pas prouver qu'elle les a reçus.
La cour supprime tout de même les 500 euros de dommages et intérêts accordés en première instance pour préjudice moral. Françoise affirmait avoir été mal traitée par les employés de la banque, mais les juges estiment que ni ce comportement ni la souffrance morale invoquée ne sont suffisamment prouvés, d'autant que sa propre conseillère bancaire avait pris sa défense en interne par écrit. BNP Paribas repart bredouille d'un appel qu'elle avait elle-même déclenché, et se voit en prime condamnée à rembourser 1 500 euros à la victime au titre des frais engagés pour cette procédure d'appel inutile.
