Arnaque par spoofing : la Cour de cassation protège aussi les entreprises face aux banques

Le spoofing bancaire fait de plus en plus de victimes en France. Derrière ce terme technique, on retrouve une escroquerie bien rodée : un fraudeur usurpe l’identité d’un conseiller ou d’un service anti-fraude pour pousser sa cible à valider des opérations ou à livrer des données sensibles.

Vous avez que la loi protège les personnes quand il y a arnaque bancaire avec notamment le fait que la charge de la preuve est à la banque et que seule, en résumé, une grosse crédulité peut engager la « responsabilité » du client.

La Cour de Cassation considère que c’est la même chose quand la victime est une entreprise. Un arrêt du 12 juin 2025 (n° 24-13.777) vient rappeler que les entreprises bénéficient elles aussi de cette protection, même lorsque la fraude passe par l’un de leurs salariés.

Comment fonctionne l’arnaque par spoofing bancaire ?

Le scénario est toujours le même. Un escroc appelle en masquant son numéro derrière celui de la banque. Il se fait passer pour un technicien ou un conseiller sécurité, prétend qu’un problème technique a eu lieu, puis demande des manipulations urgentes. Les victimes, persuadées de parler à un professionnel de leur banque, suivent les instructions et déclenchent elles-mêmes des virements frauduleux.

Dans l’affaire jugée en juin 2025, une salariée d’une société commerciale a été contactée par un faux technicien BNP Paribas. Prétextant une panne informatique ayant effacé les écritures bancaires du matin, il l’a convaincue d’utiliser le système de paiement à distance pour « rétablir » les opérations. Résultat : deux virements sont partis vers des comptes en Allemagne, pour un montant total de 98 000 €.

La société a immédiatement porté plainte et assigné la banque afin d’obtenir réparation. La cour d’appel de Paris, par un arrêt du 7 février 2024, avait déjà condamné BNP Paribas à rembourser. La banque avait contesté cette décision devant la Cour de cassation.

Quelles sont les obligations légales de la banque en cas de fraude ?

Le code monétaire et financier est clair : lorsqu’une opération de paiement non autorisée est signalée, la banque doit rembourser immédiatement les sommes prélevées (article L.133-18). 2 seules exceptions existent :

• si le client a agi de manière frauduleuse ;
• si le client a commis une négligence grave (article L.133-19).

Cette notion de « négligence grave » est centrale dans les affaires de spoofing, car la victime est amenée à fournir elle-même ses identifiants ou à valider des transactions. Les banques s’appuient régulièrement sur cet argument pour refuser le remboursement, reprochant au client de ne pas avoir protégé ses données. Or, la charge de la preuve repose intégralement sur elles : ce sont elles qui doivent démontrer que leur client a commis une faute caractérisée.

La position ferme de la Cour de cassation

Dans son arrêt du 12 juin 2025, la Cour de cassation a balayé l’argument de BNP Paribas. Elle rappelle d’abord que la banque doit prouver la fraude ou la négligence grave, y compris lorsqu’il s’agit d’une société. Ensuite, elle souligne que plusieurs éléments rendaient l’arnaque particulièrement crédible :

• l’usurpation du numéro de téléphone de la banque ;
• la capacité de l’escroc à communiquer le code affiché à l’écran ;
• sa connaissance des opérations réalisées dans la matinée et prétendument effacées.

Ces éléments renforçaient l’illusion d’un incident informatique réel. La salariée avait donc toutes les raisons de croire qu’elle s’adressait à un technicien légitime. Pour la Haute juridiction, il n’y a donc pas de négligence grave.

Pourquoi cette décision change la donne pour les entreprises ?

Jusqu’ici, les arrêts de la Cour de cassation concernaient surtout des particuliers manipulés par téléphone. Dans cette affaire, la victime est une société commerciale. On aurait pu imaginer que la Cour impose aux entreprises un standard de vigilance renforcé, au motif qu’elles manipulent des sommes plus importantes et disposent de services comptables. Mais elle a refusé cette approche.

Autrement dit, une entreprise trompée par un stratagème de spoofing bénéficie du même régime de protection qu’un particulier. Les banques ne peuvent pas exiger d’elles une vigilance accrue sous prétexte de leur statut. Si la fraude est suffisamment sophistiquée, le remboursement reste dû.

Ce qu’il faut retenir pour les particuliers et les sociétés

Cet arrêt met en lumière un point essentiel : les banques ne peuvent pas se défausser sur leurs clients, qu’ils soient particuliers ou sociétés, dès lors que la fraude repose sur une manipulation élaborée. Elles doivent assumer leur rôle de protection et rembourser les sommes détournées, sauf preuve claire d’une négligence grave.

Pour les particuliers comme pour les entreprises, le message est clair :

• signalez immédiatement toute opération non autorisée ;
• refusez les injonctions bancaires reçues par téléphone si elles vous paraissent inhabituelles ;
• et surtout, sachez que la charge de la preuve repose sur la banque, pas sur vous.

Avec cet arrêt, la Cour de cassation confirme que le spoofing n’est pas une simple négligence du client mais une fraude sophistiquée qui engage la responsabilité des banques. Qu’il s’agisse d’un particulier ou d’une société, la protection juridique reste la même : les établissements financiers doivent rembourser, sauf à démontrer une faute caractérisée. Une piqûre de rappel bienvenue, alors que les banques françaises tentent trop souvent de rejeter la responsabilité sur leurs clients au lieu de renforcer leurs propres dispositifs de sécurité.