Bancaire & voies d’exécution - 09/10/2025
Référence : Tribunal de commerce de Paris, 6e chambre, jugement du 12 décembre 2024 – RG n° 2023008727
Imaginez.
Une entreprise de conseil se fait appeler un samedi par un prétendu conseiller bancaire de la société Qonto.
L'appel semble légitime : le numéro affiché sur le téléphone correspond exactement à celui enregistré comme celui de Qonto.
La dirigeante, pensant parler à un interlocuteur de confiance, est en réalité victime d’un spoofing, une technique d’escroquerie consistant à usurper un numéro de téléphone pour tromper la cible.
En quelques minutes, plusieurs virements sont autorisés. Au total, 27 500 euros sont prélevés.
Qonto bloque une partie des opérations, mais refuse d’indemniser sa cliente.
Le tribunal, saisi, condamne partiellement la société Qonto à verser des dommages et intérêts, en estimant que les conditions de sécurité n’étaient pas suffisantes.
Le jugement est clair : l’escroc a pu se faire passer pour un agent de Qonto, utilisant le numéro officiel de la société.
C’est précisément cette usurpation technique qui a permis à la fraude de se dérouler avec succès.
Le fraudeur invite la dirigeante à télécharger une application frauduleuse, lui fait croire qu’elle sécurise son compte, puis l’amène à valider plusieurs virements, croyant se protéger d’une attaque.
Qonto invoquait la validité des opérations en se fondant sur le fait qu’elles avaient été authentifiées par l’utilisateur via l’application bancaire.
Or, le tribunal rappelle un principe fondamental : une opération peut être techniquement validée sans être juridiquement autorisée, dès lors que le client agit sous l’influence d’un tiers malveillant.
Le simple respect formel des étapes de validation par Qonto ne suffit pas à établir que le consentement du client était libre et éclairé.
C’est l’essence même de la fraude au spoofing : détourner les mécanismes de sécurité eux-mêmes à des fins malveillantes.
Le Tribunal condamne Qonto à rembourser une partie des virements effectués sous l’effet de la fraude.
En complément, Qonto est condamnée à verser 3 000 euros au titre des frais de procédure.
Ce jugement est important à plusieurs égards.
Il confirme que les prestataires de services de paiement comme Qonto ne peuvent pas ignorer les risques liés au spoofing.
Ces prestataires (PSP) sont responsables au même titre que les banques traditionnelles.
Le fait qu’un escroc ait pu téléphoner avec le vrai numéro de Qonto impose à la cet établissement de mettre en œuvre des dispositifs de vigilance accrus, même sur des canaux indirects comme la téléphonie.
Cela souligne une évolution du droit vers une approche plus protectrice des entreprises clientes, souvent moins armées pour détecter les fraudes techniques.
La Cour de cassation s'est également inscrite dans cette ligne.
Le jugement rappelle que l’authentification forte ne constitue pas une garantie absolue en cas de fraude par manipulation, notamment lorsqu’un tiers prend le contrôle du processus de validation.
Les banques en ligne, et les sociétés offrant des prestations de services de paiement comme Qonto doivent tirer les leçons de cette décision : il ne suffit plus d’automatiser la sécurité, il faut aussi informer, prévenir, et contrôler les usages frauduleux de leur image et de leurs numéros.
Ce jugement du tribunal de commerce de Paris constitue un tournant dans l’appréciation juridique du spoofing.
Il fait peser sur Qonto, comme sur tout autre PSP (prestataire de service de paiement) et banque, une obligation renforcée de protection contre les escroqueries techniques utilisant son identité.
Le Code monétaire et financier leur est applicable.
Pour les entreprises clientes de Qonto, cette décision rappelle qu’en cas de fraude, il est possible d’agir en justice même si les opérations ont été validées.
L’essentiel est de démontrer que le consentement a été obtenu par ruse, et que QONTO n’a pas pris toutes les mesures pour éviter ce type de détournement.
Le spoofing n’est plus un fait extérieur ou inévitable : c’est désormais un risque que les établissements proposant des services de paiement doivent assumer, techniquement, juridiquement et financièrement.