Spoofing : un tournant défavorable aux consommateurs ?

L’obligation de vigilance imposée aux banques pour lutter contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT) ont une finalité exclusive d’intérêt général. Ainsi a jugé la Cour de cassation dans un arrêt rendu mercredi 4 mars. Une victime de fraude ne peut donc pas invoquer un manquement à cette obligation pour engager la responsabilité de la banque et obtenir des dommages et intérêts.

Cet arrêt confirme une solution solidement établie par la chambre commerciale depuis 2004. Il ferme la porte à toute tentative d’instrumentalisation des règles LCB-FT au profit d’intérêts privés. En parallèle, il précise les contours de la négligence grave du client victime d’hameçonnage par usurpation du numéro de téléphone de la banque (spoofing), en durcissant les critères d’appréciation de son comportement.

Les juges face à un équilibre délicat

La sophistication croissante des fraudes bancaires place les juges face à un équilibre délicat. Ils doivent protéger les clients, souvent victimes de manipulations psychologiques complexes, sans faire peser sur les établissements financiers une obligation de garantie absolue. L’arrêt rendu par la chambre commerciale de la Cour de cassation le 4 mars 2026 illustre parfaitement cette tension.

En l’espèce, un client d’une banque avait été victime d’une escroquerie. Une personne se présentant comme un conseiller bancaire l’avait contacté depuis le numéro de téléphone officiel de son agence. Le fraudeur l’avait convaincu de valider des opérations sur son application mobile, en lui faisant croire qu’il s’agissait d’annuler des paiements frauduleux.

Le client, ayant constaté les débits, avait assigné sa banque en remboursement. Le tribunal de proximité de Morlaix avait condamné la banque, et retenu un manquement de l’établissement à son obligation de vigilance sur le fondement de l’article L. 561-6 du Code monétaire et financier. Il avait également écarté toute négligence grave de la part du client. La banque avait alors formé un pourvoi en cassation.

La question posée à la Cour de cassation était double. D’une part, une victime de fraude peut-elle engager la responsabilité contractuelle de sa banque en se prévalant d’un manquement aux obligations de vigilance relatives à la lutte contre le blanchiment et le financement du terrorisme ? D’autre part, la validation d’un paiement après réception d’un message de confirmation explicite suffit-elle à caractériser la négligence grave du client, malgré la manœuvre d’usurpation téléphonique ?

En consacrant une conception restrictive de la vigilance LCB-FT et en objectivant la négligence du client, la Cour de cassation opère un transfert de risque critiquable du professionnel vers le consommateur.

Confirmation d’une jurisprudence établie

La solution n’est pas nouvelle. La chambre commerciale avait déjà jugé que les obligations de vigilance et de déclaration imposées aux organismes financiers ont pour seule finalité la lutte contre le blanchiment des capitaux et le financement du terrorisme. La victime d’agissements frauduleux ne peut donc se prévaloir de leur inobservation pour réclamer des dommages et intérêts. Cette position a été réitérée plus récemment, précisant que ces dispositions ne visent pas à protéger les intérêts des clients des banques.

L’arrêt du 4 mars 2026 s’inscrit dans cette lignée orthodoxe. Il reprend mot pour mot le principe de l’arrêt de 2022. La publication au Bulletin signale la volonté de la Cour de clore tout débat sur ce point. Le pourvoi offrait l’occasion de dissiper un doute né d’une décision de 2023. La Cour avait alors admis que le non-respect des obligations LCB-FT pouvait constituer une faute de concurrence déloyale, ouvrant droit à réparation sur le fondement de la responsabilité extracontractuelle.

Certains auteurs y avaient vu les prémices d’une « juridictionnalisation de la LCB-FT »[1], qui aurait pu s’étendre aux actions individuelles des clients. La Cour de cassation écarte cette extension. La Cour trace une frontière nette. La violation des règles LCB-FT peut sanctionner un trouble concurrentiel sur le marché, mais elle ne peut fonder une action en réparation pour un préjudice individuel subi par un client. La finalité de la norme demeure le critère déterminant.

La Cour de cassation raisonne par application de la théorie de la finalité de la norme. Celle-ci est connue en droit allemand comme la doctrine de la Schutznorm (§ 823, al. 2, BGB) : une règle d’ordre public ne fonde une responsabilité civile au profit d’un particulier que si elle vise à protéger les intérêts d’une catégorie définie de personnes, et non l’intérêt général.

Protéger l’intérêt général

Le fondement de cette jurisprudence est théoriquement solide. Les obligations de vigilance et de déclaration à Tracfin sont des outils de police financière. Elles visent à protéger l’ordre public économique et la sécurité collective, non les patrimoines individuels. La doctrine majoritaire approuve cette lecture.

Thierry Bonneau souligne que ces diligences « n’ont pas pour finalité la satisfaction d’intérêts privés, mais uniquement la protection de l’intérêt général »[2]. Admettre la solution inverse reviendrait à dénaturer le dispositif. Comme l’écrivait Hervé Synvet, il n’y a « aucune raison pour que les victimes d’escroqueries banales tirent profit, par accident, d’une défaillance des établissements de crédit dans l’exécution de leur obligation de vigilance »[3].

Contrairement à d’autres réglementations d’ordre public dont les tiers peuvent parfois se prévaloir, la confidentialité absolue et la nature inquisitoriale du dispositif LCB-FT empêchent toute forme d’instrumentalisation privée. L’action en responsabilité civile se heurte à un obstacle technique : le client ne peut démontrer un lien de causalité direct entre la violation d’une norme d’intérêt général et son préjudice personnel.

De plus, des considérations pratiques renforcent cette position. Le dispositif LCB-FT est soumis à une stricte confidentialité. Une banque ne peut ni informer son client des soupçons qui pèsent sur une opération, ni lui révéler qu’une déclaration a été faite.

Cette opacité, jugée « essentielle » par le nouveau règlement européen (UE) 2024/1624, rendrait la preuve d’une faute par le client quasiment impossible. La solution de la Cour est donc aussi pragmatique que juridiquement fondée. La protection du client doit être recherchée sur d’autres terrains.

La sophistication de la fraude ne suffit plus

Sur le terrain des opérations de paiement non autorisées, la Cour de cassation opère un rééquilibrage sévère. Elle tempère sa jurisprudence antérieure, très protectrice des victimes de spoofing, en renforçant l’analyse du comportement concret du client au moment de la validation des opérations.

Jusqu’à présent, la Cour de cassation se montrait particulièrement clémente. Elle considérait que le client contacté par un faux conseiller utilisant le véritable numéro de la banque ne commettait pas de négligence grave en communiquant ses données de sécurité[4]. La sophistication de la manœuvre d’ingénierie sociale semblait excuser l’imprudence du client. L’apparence de légitimité créée par l’usurpation du numéro suffisait à écarter la faute qualifiée.

L’arrêt du 4 mars 2026 marque une inflexion notable. La Cour ne dit pas que le client a commis une négligence grave. Elle reproche aux juges du fond de ne pas avoir poussé leur analyse assez loin. Le tribunal de proximité s’était arrêté au contexte de l’appel frauduleux (numéro officiel, horaires d’ouverture), jugé suffisant pour « rassurer et convaincre une personne raisonnable ».

La Cour de cassation estime que ce n’est pas suffisant. Les juges auraient dû rechercher si le message de confirmation reçu par le client avant la validation finale n’était pas, en lui-même, un signal d’alerte décisif. Ce message précisait sans ambiguïté qu’il s’agissait de « confirmer un paiement » et « ni d’un remboursement, ni d’une annulation ».

Pour la Cour, un utilisateur normalement attentif, face à une telle contradiction avec le discours du prétendu conseiller, aurait dû suspecter la fraude. Le spoofing n’est plus un fait justificatif dirimant. L’analyse se déplace du contexte de la fraude vers la capacité de discernement du client face aux ultimes avertissements de sécurité. Une telle manœuvre « n’exclut plus per se l’existence d’une négligence grave du payeur », comme le souligne la doctrine[5].

Un standard de vigilance déconnecté de la réalité ?

La portée pratique de cette décision est considérable. Pour les victimes de fraude, la charge de la preuve s’alourdit. Il ne suffira plus d’établir la réalité du spoofing ; il faudra désormais démontrer pourquoi le contenu des messages d’authentification forte n’a pas permis de déceler l’escroquerie. Pour les banques, cet arrêt offre un moyen de défense renforcé, leur permettant de se retrancher derrière la clarté de leurs messages de sécurité.

Cette solution est critiquable en ce qu’elle postule une rationalité parfaite de la part d’un client en situation de manipulation. Elle ignore les enseignements de la psychologie cognitive sur les biais exploités par l’ingénierie sociale : le biais d’autorité (l’appel provient du numéro officiel de la banque), l’effet tunnel (le client est focalisé sur la résolution du faux problème) et le stress induit, qui altèrent gravement le discernement.

Le standard de « l’utilisateur normalement attentif » apparaît ainsi déconnecté de la réalité d’une attaque psychologique intense. Surtout, cette approche omet d’interroger la responsabilité de la banque au titre de son obligation de sécurité. Le fait même que le numéro de téléphone d’une agence puisse être usurpé ne constitue-t-il pas une défaillance dans la sécurisation de ses propres systèmes de communication ?

La responsabilité de l’établissement pourrait être recherchée sur ce terrain, indépendamment du comportement de l’utilisateur. La protection des clients ne se résume pas à la détection d’opérations atypiques ; elle commence par la garantie de canaux de communication fiables.

L’arrêt du 4 mars 2026 marque un tournant régressif pour la protection du consommateur face à la cybercriminalité. En sanctuarisant la finalité d’ordre public de la LCB-FT, la Cour de cassation ferme une voie de recours potentielle et confirme l’imperméabilité de ce dispositif aux intérêts privés. Surtout, en objectivant la négligence grave du client et en ignorant les ressorts psychologiques de la manipulation, elle impose un fardeau déraisonnable à la victime.

Cette jurisprudence consacre un transfert de risque du professionnel, mieux armé pour lutter contre la fraude systémique, vers le particulier démuni. L’avenir des contentieux résidera sans doute moins dans le débat sur l’imprudence du client que dans la mise en cause de l’obligation de sécurité de la banque elle-même, notamment quant à l’intégrité de ses moyens de communication.

[1] O. Lyon Lynch et J. Serrier, BJB nov. 2023, n° BJB201o0

[2] Droit bancaire, 16e éd., LGDJ, 2025, n° 362

[3] obs. ss Cass. com. 28 avr. 2004, D. 2006. 155

[4] Cass. com. 23 oct. 2024, n° 23-16.267, P ; Cass. com. 12 juin 2025, n° 24-13.777, P

[5]  T. Gérard, préc.