L’essentiel
En cas de fraude bancaire, la banque doit rembourser les opérations non autorisées au plus tard le jour ouvrable suivant la notification (art. L. 133-18 CMF). Elle ne peut refuser qu’en prouvant la négligence grave du client (art. L. 133-19, III CMF). La charge de cette preuve pèse sur la banque (art. L. 133-23 CMF), et l’utilisation du code confidentiel ne suffit pas, à elle seule, à l’établir.
Obligation de remboursement : le principe posé par l’article L. 133-18 CMF
L’article L. 133-18 du Code monétaire et financier pose le principe : lorsqu’une opération de paiement non autorisée est signalée par l’utilisateur, le prestataire de services de paiement rembourse immédiatement le montant de l’opération. « Immédiatement » signifie au plus tard à la fin du premier jour ouvrable suivant la prise de connaissance de l’opération contestée, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur lui-même.
Ce texte, issu de la transposition de la directive européenne DSP2 (directive 2015/2366 du 25 novembre 2015, transposée par l’ordonnance n° 2017-1252 du 9 août 2017), s’applique à toutes les opérations de paiement : paiements par carte, virements, prélèvements.
Le délai de contestation est de 13 mois à compter de la date de débit pour les opérations réalisées au sein de l’Espace économique européen (art. L. 133-24 CMF). Au-delà, la demande de remboursement est prescrite.
Franchise de 50 euros et exceptions
L’article L. 133-19 du CMF organise un régime de responsabilité par paliers, selon les circonstances de la fraude.
| Situation | Responsabilité du client | Texte |
|---|---|---|
| Opération non autorisée avant opposition | Franchise de 50 € maximum | Art. L. 133-19, I CMF |
| Opération non autorisée après opposition | Aucune (0 €) | Art. L. 133-19, I CMF |
| Négligence grave du client | Totalité des pertes | Art. L. 133-19, IV CMF |
| Fraude du client lui-même | Totalité des pertes | Art. L. 133-19, IV CMF |
| Défaut d’authentification forte imputable à la banque | Aucune (0 €), même avant opposition | Art. L. 133-19, V CMF |
Le dernier cas est celui qui change le plus la donne depuis l’entrée en vigueur de la DSP2 : lorsque l’opération frauduleuse a été réalisée sans authentification forte alors que celle-ci était requise, le client ne supporte aucune perte, même avant opposition. La franchise de 50 euros ne s’applique pas. C’est à la banque d’assumer l’intégralité du préjudice.
Authentification forte : obligations de la banque (DSP2)
L’article L. 133-44 du CMF impose au prestataire de services de paiement d’appliquer une authentification forte pour les opérations sensibles : paiements en ligne, accès au compte à distance, ajout de bénéficiaire de virement. L’authentification forte repose sur deux facteurs parmi trois catégories : connaissance (code, mot de passe), possession (téléphone, carte), inhérence (empreinte digitale, reconnaissance faciale).
La validation d’un paiement par un code SMS envoyé sur le téléphone du client, combiné à la saisie du code de la carte, constitue une authentification forte. En revanche, un simple code à quatre chiffres, seul, ne remplit pas cette exigence.
Conséquence directe : si la banque n’a pas mis en place l’authentification forte pour une opération qui l’exigeait, elle supporte l’intégralité des pertes (art. L. 133-19, V CMF). Elle ne peut pas invoquer la négligence grave du client pour refuser le remboursement. Ce point est régulièrement méconnu par les établissements bancaires, qui refusent le remboursement sans vérifier si l’authentification forte était en place au moment de la fraude.
Négligence grave : définition et charge de la preuve
Ce que dit la loi
L’article L. 133-16 du CMF impose à l’utilisateur de prendre toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées (code PIN, identifiants bancaires, codes d’authentification). L’article L. 133-17 l’oblige à notifier sans tarder toute opération non autorisée ou toute perte de son instrument de paiement.
Lorsque le client a manqué à ces obligations de manière caractérisée, on parle de négligence grave (art. L. 133-19, IV CMF). Dans ce cas, le client supporte l’intégralité des pertes, sans plafond.
Mais la charge de la preuve de cette négligence pèse exclusivement sur la banque (art. L. 133-23 CMF). C’est un point capital : ce n’est pas au client de prouver qu’il n’a pas été négligent, c’est à la banque de prouver qu’il l’a été.
L’utilisation du code ne prouve pas la négligence
La Cour de cassation a posé un principe clair : l’enregistrement d’un paiement réalisé au moyen du code confidentiel et de la carte ne suffit pas, à lui seul, à prouver que le titulaire a autorisé l’opération ni qu’il a manqué à son obligation de préservation du code.
Les techniques de fraude actuelles (skimming, interception du code par caméra, piratage du terminal de paiement, malware sur le téléphone) permettent aux fraudeurs d’obtenir le code confidentiel sans la moindre négligence de la part du titulaire. La banque qui se contente d’invoquer l’utilisation du code pour refuser le remboursement ne satisfait pas à son obligation de preuve.
Argument fréquent des banques à rejeter : « L’opération a été validée par votre code confidentiel, donc vous l’avez autorisée. » Cet argument est juridiquement insuffisant. L’article L. 133-23 du CMF exige que la banque prouve, par des éléments concrets, que le client a manqué à ses obligations de sécurité. L’utilisation du code est un fait technique, pas une preuve de négligence.
Situations retenues comme négligence grave par la jurisprudence
Les tribunaux apprécient la négligence grave au cas par cas. Certaines situations sont régulièrement qualifiées de négligence grave :
Négligence grave retenue
Code PIN inscrit sur la carte ou conservé avec elle dans le portefeuille. Communication volontaire du code à un tiers. Saisie des identifiants bancaires complets (numéro de carte, code, cryptogramme) sur un site manifestement frauduleux après un email grossier rempli de fautes d’orthographe. Retard prolongé et injustifié dans la déclaration de perte ou de vol.
Négligence grave écartée
Victime d’un phishing sophistiqué reproduisant fidèlement le site de la banque. Victime d’un appel d’un faux conseiller bancaire utilisant le vrai numéro de la banque (spoofing). Piratage du terminal de paiement ou du téléphone. Interception du code par un dispositif de skimming sur un DAB. De manière générale, toute fraude résultant d’un procédé technique que le client ne pouvait raisonnablement détecter.
Le cas du spoofing téléphonique
Le spoofing (usurpation du numéro de téléphone de la banque) pose des difficultés particulières. Le client reçoit un appel qui affiche le vrai numéro de sa banque. L’interlocuteur se présente comme un conseiller, dispose d’informations précises sur le compte, et demande la validation d’opérations prétendument destinées à « bloquer une fraude en cours ».
La Cour de cassation a jugé que la victime d’un tel procédé ne commet pas nécessairement une négligence grave en validant les opérations demandées, dès lors que le mode opératoire était suffisamment trompeur pour abuser un client normalement vigilant. La banque ne peut pas reprocher au client d’avoir fait confiance à un interlocuteur qui semblait être son propre conseiller, utilisant son vrai numéro de téléphone et disposant d’informations que seul un employé de la banque devrait connaître.
En pratique : dans un litige portant sur une fraude bancaire, le dossier doit documenter précisément le mode opératoire de la fraude. Plus celui-ci est sophistiqué (spoofing, phishing de qualité, interception technique), plus il sera difficile pour la banque d’établir la négligence grave. L’historique des appels, les captures d’écran des SMS reçus et les relevés horodatés des opérations sont des pièces déterminantes.
Que faire en cas de refus de remboursement par la banque ?
Exemple concret
Un client constate trois paiements par carte pour un total de 4 200 € qu’il n’a pas effectués. Il fait opposition et conteste les opérations. La banque refuse le remboursement, invoquant que les paiements ont été validés par authentification forte (code SMS). Le client saisit le médiateur, qui constate que la banque ne rapporte aucune preuve de négligence grave au-delà de l’utilisation du code. Le médiateur recommande le remboursement intégral.
Franchise avant opposition : 50 € max (art. L. 133-19, I CMF) Remboursement dû : 4 200 € − 50 € = 4 150 € minimum Si authentification forte absente → 0 € de franchise (art. L. 133-19, V CMF)Questions fréquentes
La banque peut-elle refuser le remboursement au motif que le code confidentiel a été utilisé ?
Non. L’article L. 133-23 du CMF est clair : l’utilisation de l’instrument de paiement et du code confidentiel ne suffit pas à prouver que le client a autorisé l’opération ni qu’il a manqué à ses obligations de sécurité. La banque doit apporter des éléments concrets démontrant la négligence grave du client (code noté avec la carte, communication volontaire à un tiers, etc.).
Quel est le délai pour contester une opération frauduleuse ?
Le client dispose de 13 mois à compter de la date de débit pour signaler une opération non autorisée (art. L. 133-24 CMF). Ce délai s’applique aux opérations réalisées au sein de l’Espace économique européen. Pour les opérations hors EEE, le délai contractuel est généralement plus court (souvent 70 jours). Au-delà de ces délais, la contestation est prescrite.
Qu’est-ce que la négligence grave en matière de fraude bancaire ?
La négligence grave est un manquement caractérisé aux obligations de sécurité imposées par l’article L. 133-16 du CMF (préservation du code et de l’instrument de paiement). Elle se distingue de la simple imprudence : le client qui est victime d’un phishing sophistiqué ou d’un spoofing téléphonique ne commet pas nécessairement une négligence grave. C’est à la banque de prouver cette négligence (art. L. 133-23 CMF).
Que se passe-t-il si la banque n’a pas mis en place l’authentification forte ?
Si l’opération frauduleuse a été réalisée sans authentification forte alors que celle-ci était requise (art. L. 133-44 CMF), le client ne supporte aucune perte financière, y compris la franchise de 50 euros (art. L. 133-19, V CMF). La banque assume l’intégralité du préjudice, même si le client a commis une imprudence.
J’ai validé un paiement frauduleux en croyant parler à ma banque (spoofing) : suis-je remboursé ?
Potentiellement oui. La jurisprudence reconnaît que la victime d’un spoofing téléphonique (usurpation du numéro de la banque) ne commet pas nécessairement une négligence grave en validant des opérations demandées par un interlocuteur qu’elle croyait être son conseiller bancaire. La banque devra prouver que le client aurait dû détecter la fraude malgré la sophistication du procédé. Le dossier dépend des circonstances précises : qualité de l’imitation, informations détenues par le fraudeur, réaction du client.
Votre banque refuse de rembourser une opération frauduleuse ?
J’analyse votre dossier et conteste le refus sur le fondement des articles L. 133-18 et L. 133-23 du Code monétaire et financier. La charge de la preuve pèse sur la banque.
Prendre rendez-vousPour aller plus loin
Inscrit au Barreau de Paris depuis 2003, Maître Pierre accompagne ses clients en droit bancaire et financier
(litiges, crédit, caution, recouvrement, responsabilité de la banque). Vous avez une question sur votre situation ?