Les décisions rendues fin 2025 et début 2026 s’inscrivent dans un mouvement jurisprudentiel significatif en matière de fraude bancaire, notamment dans les situations d’usurpation d’identité du prestataire de services de paiement (vishing, spoofing).
À cet égard, plusieurs juridictions, dont le Tribunal de commerce de Paris (23 décembre 2025, RG n° 2024072764) et la Cour d’appel de Toulouse (6 janvier 2026, RG n° 23/04208), ont rappelé avec clarté que l’authentification technique d’une opération de paiement ne saurait suffire, à elle seule, à caractériser une autorisation juridique, au sens du Code monétaire et financier.
L’essor de l’authentification forte, notamment sous l’impulsion de la directive (UE) 2015/2366 (DSP2), a profondément structuré les dispositifs de sécurité bancaire. Toutefois, la jurisprudence récente met en évidence une limite désormais clairement assumée par les juridictions : un système de paiement peut fonctionner sans défaillance technique tout en produisant un résultat juridiquement irrégulier lorsqu’il est utilisé dans un contexte de manipulation frauduleuse du client.
Les juges opèrent ainsi une distinction fondamentale entre l’acte matériel de validation d’une opération (saisie d’un code confidentiel, confirmation via une application bancaire ou authentification biométrique) et l’expression d’un consentement libre et éclairé du payeur. Cette approche conduit à relativiser la portée des argumentations fondées exclusivement sur la démonstration d’une authententification conforme aux standards techniques en vigueur.
Par ailleurs, les juridictions rappellent que la négligence grave du client ne se présume pas. Elle suppose la caractérisation d’un comportement objectivement inexcusable, apprécié au regard des circonstances concrètes de la fraude. Les modes opératoires contemporains d’usurpation d’identité bancaire, aujourd’hui largement documentés, sont reconnus comme susceptibles de tromper des clients normalement attentifs, sans que leur comportement puisse être automatiquement qualifié de fautif.
Enfin, ces décisions invitent à une appréciation plus globale des obligations pesant sur les établissements de crédit. Sans consacrer une obligation générale de résultat, les juridictions examinent de manière croissante la cohérence d’ensemble du dispositif bancaire, incluant l’information délivrée aux clients, les mécanismes de prévention des fraudes connues et la capacité de réaction face à des scénarios frauduleux récurrents.
En définitive, la jurisprudence récente confirme un principe structurant : la sécurité technique des opérations de paiement ne peut, à elle seule, faire présumer l’existence d’un consentement juridique valable du payeur.
