Vous constatez un virement que vous n’avez pas ordonné, un paiement par carte sur un site que vous ne connaissez pas, ou un prélèvement frauduleux sur votre compte en ligne. Vous signalez la fraude à votre banque. Elle refuse de rembourser en invoquant votre « négligence ». C’est un contentieux que je traite très régulièrement au cabinet.
Le cadre juridique est clair : la banque doit rembourser les opérations non autorisées, sauf si elle prouve que le client a commis une négligence grave dans la conservation de ses données de sécurité. Et cette preuve est à la charge de la banque, pas du client. Le droit européen (directive DSP2) et le Code monétaire et financier organisent un régime de protection du payeur qui est largement méconnu.
Ce qu’il faut retenir
Obligation de remboursement : la banque doit rembourser immédiatement toute opération de paiement non autorisée signalée par le client (article L. 133-18 du Code monétaire et financier).
Exception : la négligence grave : la banque est exonérée si elle prouve que le client a commis une négligence grave dans la conservation de ses données de sécurité personnalisées (article L. 133-19 IV du CMF).
Charge de la preuve : c’est à la banque de prouver la négligence grave du client, pas au client de prouver qu’il n’a pas été négligent (article L. 133-23 du CMF).
Délai de signalement : 13 mois maximum après la date de débit pour signaler une opération non autorisée (article L. 133-24 du CMF).
Authentification forte : si l’opération frauduleuse a été exécutée sans authentification forte alors qu’elle aurait dû l’être, le payeur ne supporte aucune perte (article L. 133-19 V du CMF).
Sur cette page
- Les obligations de la banque en matière de sécurité
- Le droit au remboursement des opérations frauduleuses
- La négligence grave : ce que la banque doit prouver
- Le phishing et la question du remboursement
- L’authentification forte (DSP2) et ses conséquences juridiques
- Que faire en cas de refus de remboursement
- Questions fréquentes
Les obligations de la banque en matière de sécurité
La banque n’est pas un simple prestataire technique qui fournit un accès en ligne. Elle est tenue par des obligations légales de sécurité définies par la directive européenne DSP2 (directive 2015/2366 du 25 novembre 2015) transposée en droit français aux articles L. 133-1 et suivants du Code monétaire et financier.
L’obligation de fournir des dispositifs de sécurité
La banque doit mettre en place des dispositifs de sécurité conformes aux normes réglementaires (article L. 133-44 du CMF). Elle doit proposer une authentification forte pour les opérations sensibles (connexion, virements, paiements en ligne). Si son système de sécurité présente une faille technique qui permet une fraude, la banque en assume la responsabilité. Le client ne peut pas être tenu responsable d’une défaillance du système de la banque.
L’obligation de surveillance des opérations suspectes
La banque doit disposer de mécanismes de surveillance des transactions pour détecter les opérations suspectes (article L. 133-45 du CMF). Un virement inhabituel de 15 000 EUR vers un compte étranger, effectué depuis un terminal inconnu à 3 heures du matin, sur un compte dont les opérations habituelles ne dépassent pas quelques centaines d’euros, devrait déclencher une alerte. Si la banque laisse passer une telle opération sans réagir, sa responsabilité peut être engagée pour défaut de vigilance.
L’obligation d’information
La banque doit informer le client des moyens de signaler une opération suspecte et lui fournir un moyen de bloquer ses instruments de paiement à tout moment (article L. 133-17 du CMF). Le numéro d’opposition et les procédures de signalement doivent être accessibles en permanence.
Point pratique : si votre banque ne vous a jamais communiqué de procédure claire pour signaler une fraude, ou si son service d’opposition est inaccessible le week-end, c’est un manquement à ses obligations. Notez la date et l’heure de chaque tentative de contact en cas de litige futur.
Le droit au remboursement des opérations frauduleuses
L’article L. 133-18 du CMF pose le principe : lorsqu’une opération de paiement non autorisée est signalée par le client, la banque rembourse immédiatement le montant de l’opération et, le cas échéant, rétablit le compte dans l’état où il se serait trouvé si l’opération n’avait pas été exécutée. Le remboursement doit intervenir au plus tard à la fin du premier jour ouvrable suivant la notification de la fraude, sauf si la banque a de bonnes raisons de soupçonner une fraude du client lui-même.
Ce droit au remboursement s’applique à toutes les opérations de paiement non autorisées : virements, paiements par carte, prélèvements. Il s’applique que la fraude ait été commise en ligne, par téléphone ou par tout autre moyen.
Le plafond de la franchise
Si l’opération frauduleuse résulte de l’utilisation d’un instrument de paiement perdu ou volé, le client peut supporter une franchise de 50 EUR maximum (article L. 133-19 I du CMF). Au-delà, c’est la banque qui assume la perte. Cette franchise ne s’applique pas si le client n’a pas pu détecter la perte ou le vol avant l’utilisation frauduleuse, ou si la perte résulte d’un acte d’un salarié ou d’un agent de la banque.
La franchise de 50 EUR disparaît complètement dans plusieurs cas : quand l’opération a été exécutée sans authentification forte alors qu’elle aurait dû l’être (article L. 133-19 V du CMF), quand la banque n’a pas fourni de moyen de signaler la perte ou le vol, ou quand la banque n’a pas appliqué l’authentification forte alors qu’elle y était tenue.
Attention : le délai pour signaler une opération non autorisée est de 13 mois à compter de la date de débit (article L. 133-24 du CMF). Passé ce délai, le droit au remboursement est perdu. Ce délai est réduit à 70 jours (extensible à 120 jours par contrat) pour les opérations vers un prestataire situé hors de l’Espace économique européen. Surveillez vos relevés régulièrement.
La négligence grave : ce que la banque doit prouver
La seule exception au remboursement (outre la fraude du client lui-même) est la négligence grave. L’article L. 133-19 IV du CMF prévoit que le client supporte toutes les pertes s’il a commis une négligence grave dans la conservation de ses données de sécurité personnalisées. Mais la charge de la preuve est sur la banque (article L. 133-23 du CMF).
Ce que la banque doit démontrer
L’article L. 133-23 du CMF est précis : si le client nie avoir autorisé une opération, il incombe à la banque de prouver que l’opération a été authentifiée, dûment enregistrée et comptabilisée, et qu’elle n’a pas été affectée par une déficience technique. L’utilisation de l’instrument de paiement telle qu’enregistrée par la banque ne suffit pas, à elle seule, à prouver que l’opération a été autorisée par le client ou que celui-ci a commis une négligence grave.
Ce point est fondamental. Beaucoup de banques refusent le remboursement en arguant que « le code de validation a été utilisé, donc le client a autorisé l’opération ». La loi dit explicitement le contraire : le simple fait que le code ait été utilisé ne prouve pas que le client est responsable.
Ce qui constitue (ou non) une négligence grave
Communiquer ses codes d’accès et son code de validation à un tiers qui se présente par téléphone comme un conseiller bancaire, en réponse à un appel non sollicité (Cass. com., 12 novembre 2020, n° 19-12.112). Transmettre son code confidentiel par email en réponse à un message manifestement suspect (adresse expéditeur incohérente, fautes grossières).
Être victime d’un phishing sophistiqué avec usurpation du numéro de téléphone de la banque (spoofing), quand le client n’avait pas de moyen raisonnable de détecter la fraude. La Cour de cassation a durci sa position en faveur des clients dans les cas de spoofing téléphonique (Cass. com., 23 octobre 2024, n° 23-16.267).
La jurisprudence évolue en faveur des clients. La Cour de cassation exige de la banque qu’elle caractérise précisément la négligence grave. Le seul fait que le client ait été trompé par un phishing ne constitue pas automatiquement une négligence grave. Le juge doit examiner les circonstances concrètes : le degré de sophistication de la fraude, les moyens dont disposait le client pour la détecter, et la réaction du client une fois l’anomalie identifiée.
Le phishing et la question du remboursement
Le phishing (hameçonnage) est la cause la plus fréquente de fraude bancaire en ligne. Le client reçoit un email, un SMS ou un appel téléphonique imitant la banque, et communique ses données de sécurité au fraudeur. La banque invoque ensuite la négligence grave pour refuser le remboursement.
Le spoofing téléphonique
La fraude la plus difficile à détecter est le spoofing : le fraudeur appelle en affichant le vrai numéro de téléphone de la banque (technique d’usurpation de numéro). Le client voit s’afficher le numéro qu’il connaît, croit parler à son conseiller, et suit les instructions (validation d’une opération, communication d’un code reçu par SMS). Dans ce cas, les tribunaux tendent à considérer que la victime ne pouvait pas raisonnablement détecter la fraude et que la négligence grave n’est pas caractérisée.
La Cour de cassation a confirmé cette approche dans un arrêt du 23 octobre 2024 (n° 23-16.267) : le client qui reçoit un appel apparemment émis par le numéro de sa banque et qui transmet un code de validation en croyant à une procédure de sécurisation ne commet pas nécessairement une négligence grave. Le juge doit vérifier si le client avait les moyens concrets de détecter l’arnaque.
Le phishing par email ou SMS classique
Pour le phishing classique (email avec lien vers un faux site), la solution dépend du degré de sophistication. Un email truffé de fautes d’orthographe, envoyé depuis une adresse Gmail, demandant de « cliquer ici pour sécuriser votre compte » : le client qui y répond s’expose à ce que la négligence grave soit retenue. En revanche, un email parfaitement imité, avec le logo de la banque, envoyé depuis une adresse ressemblant à s’y méprendre à celle de la banque, dans un contexte plausible (juste après un achat en ligne par exemple) : la négligence grave sera plus difficile à caractériser.
Exemple concret
Un client reçoit un appel affichant le numéro de sa banque. L’interlocuteur se présente comme le service fraude, l’informe d’une tentative de piratage de son compte, et lui demande de « valider la sécurisation » en confirmant un code reçu par SMS. Le client obtempère. En réalité, le code validait un virement de 4 800 EUR vers un compte tiers.
La banque refuse le remboursement en invoquant la négligence grave. Le client saisit le tribunal judiciaire. Le juge constate que le numéro affiché était bien celui de la banque (spoofing), que le discours de l’escroc était crédible, et que la banque n’avait pas mis en place d’alerte sur cette opération inhabituelle. La banque est condamnée à rembourser les 4 800 EUR plus 800 EUR de dommages-intérêts pour résistance abusive.
L’authentification forte (DSP2) et ses conséquences juridiques
La directive DSP2 (directive 2015/2366 du 25 novembre 2015), transposée en droit français, impose l’authentification forte du client pour les opérations sensibles : accès au compte en ligne, virements, paiements par carte sur internet supérieurs à 30 EUR (article L. 133-44 du CMF et règlement délégué 2018/389).
Ce qu’est l’authentification forte
L’authentification forte repose sur au moins deux éléments parmi trois catégories : quelque chose que le client connaît (mot de passe, code PIN), quelque chose que le client possède (téléphone, carte à puce, token), et quelque chose que le client est (empreinte digitale, reconnaissance faciale). Un simple code SMS ne constitue pas à lui seul une authentification forte : il faut un second facteur.
La conséquence en cas de fraude sans authentification forte
C’est le point juridique le plus important et le plus mal connu. L’article L. 133-19 V du CMF est limpide : si la banque n’a pas exigé l’authentification forte alors qu’elle y était tenue, le payeur ne supporte aucune perte financière. Aucune. La franchise de 50 EUR ne s’applique pas. La négligence grave du client ne peut pas être invoquée. La banque assume 100 % de la perte.
Concrètement, si un virement frauduleux de 10 000 EUR a été exécuté sans authentification forte (par exemple parce que la banque a laissé passer l’opération avec un simple code SMS sans second facteur), la banque doit rembourser intégralement, même si le client a communiqué son code SMS à un escroc.
Attention : la banque doit prouver que l’authentification forte a bien été utilisée (article L. 133-23 du CMF). Si elle ne peut pas apporter cette preuve technique (logs de connexion, traçabilité de l’authentification), l’opération est présumée non authentifiée et le remboursement est dû. Exigez les preuves techniques de l’authentification forte dans votre réclamation.
Que faire en cas de refus de remboursement
Contactez immédiatement le service fraude ou opposition de votre banque (article L. 133-17 du CMF). Envoyez ensuite une réclamation écrite par lettre recommandée, en demandant le remboursement sur le fondement de l’article L. 133-18 du CMF. Conservez une copie de tout : captures d’écran, relevés, courriers, numéros d’appel.
Déposez plainte au commissariat ou à la gendarmerie, ou sur la plateforme Thésée pour les escroqueries en ligne. Pour les fraudes à la carte bancaire, le signalement peut aussi être fait sur la plateforme Perceval. La plainte n’est pas une condition du remboursement, mais elle renforce votre dossier.
Si la banque refuse de rembourser en invoquant votre négligence grave, demandez-lui par écrit de produire la preuve de l’authentification forte, la preuve que l’opération a été dûment authentifiée et enregistrée, et la caractérisation précise de votre négligence grave (article L. 133-23 du CMF). La banque ne peut pas se contenter de dire « le code a été utilisé ».
Si la réclamation écrite est rejetée, saisissez le médiateur de votre banque (article L. 316-1 du CMF). La médiation est gratuite et le médiateur doit rendre un avis dans les 90 jours. L’avis n’est pas contraignant pour les parties, mais il a un poids réel : beaucoup de banques suivent l’avis du médiateur pour éviter un contentieux judiciaire.
Si la médiation échoue, l’action est portée devant le tribunal judiciaire (ou le juge des contentieux de la protection pour les litiges inférieurs à 10 000 EUR). La banque devra prouver devant le juge que l’authentification forte a été utilisée et que le client a commis une négligence grave. En pratique, beaucoup de banques cèdent avant l’audience quand les textes sont correctement invoqués dans l’assignation.
La responsabilité de la banque peut aussi être engagée au-delà du simple remboursement : frais bancaires causés par la fraude (agios, rejets de prélèvements), fichage abusif au FICP ou au FCC résultant des incidents de paiement provoqués par la fraude, préjudice moral. La résistance abusive au remboursement peut donner lieu à des dommages-intérêts supplémentaires.
Questions fréquentes
La banque peut-elle refuser de rembourser au motif que j’ai validé l’opération avec mon code SMS ?
Non, pas automatiquement. L’article L. 133-23 du CMF dit clairement que l’utilisation de l’instrument de paiement telle qu’enregistrée par la banque ne suffit pas à prouver que l’opération a été autorisée ou que le client a été négligent. Le simple fait que le code SMS ait été saisi ne prouve pas que c’est vous qui l’avez saisi volontairement. La banque doit prouver positivement votre négligence grave.
J’ai communiqué mon code par téléphone à quelqu’un que je croyais être ma banque. Suis-je remboursé ?
C’est le cas le plus fréquent (spoofing). La jurisprudence récente tend à considérer que ce n’est pas une négligence grave quand l’escroc a usurpé le numéro de téléphone de la banque et que le discours était crédible. Le résultat dépend des circonstances concrètes : si le numéro affiché était celui de la banque, si la demande semblait cohérente, si vous avez réagi rapidement après avoir compris la fraude. L’arrêt de la Cour de cassation du 23 octobre 2024 (n° 23-16.267) confirme cette approche favorable aux victimes.
Quel est le délai pour signaler une fraude à ma banque ?
13 mois à compter de la date de débit pour les opérations au sein de l’EEE (article L. 133-24 du CMF). Mais dans la pratique, agissez immédiatement. Plus le signalement est rapide, plus les chances de blocage des fonds sont élevées, et plus votre position est solide en cas de litige sur la négligence grave.
La banque doit-elle rembourser si j’ai cliqué sur un lien de phishing ?
Oui, sauf si la banque prouve votre négligence grave. Le fait d’avoir cliqué sur un lien frauduleux n’est pas en soi une négligence grave, surtout si le phishing était sophistiqué. En revanche, si l’email était grossièrement frauduleux (expéditeur fantaisiste, fautes d’orthographe, demande incohérente) et que vous avez malgré tout communiqué vos codes, la négligence grave pourrait être retenue. Tout dépend du cas concret.
Mon compte a été piraté malgré l’authentification forte. Que faire ?
Si l’authentification forte a bien été utilisée mais que la fraude a quand même eu lieu (par exemple par détournement de l’application mobile), la banque doit prouver que son système fonctionnait correctement et que vous avez commis une négligence grave. Si la faille est technique (malware ayant intercepté le processus d’authentification), la banque ne peut pas imputer la perte au client. Exigez les logs techniques de la transaction.
Manquement de la banque, défaut de vigilance, indemnisation
Fichage consécutif à une fraude, radiation, préjudice
Responsabilité de la banque envers la caution
Contestation de créance, demande reconventionnelle
Victime d’une fraude bancaire en ligne ? La banque refuse de rembourser ?
J’analyse votre dossier pour vérifier si la banque respecte ses obligations de remboursement et engager les recours adaptés.
Prendre rendez-vous
Inscrit au Barreau de Paris depuis 2003, Maître Pierre accompagne ses clients en droit bancaire et financier
(litiges, crédit, caution, recouvrement, responsabilité de la banque). Vous avez une question sur votre situation ?