Opération non autorisée : délai de signalement et négligence grave (Cass. com., 14 janv. 2026, n° 22-14.822)

Publié en avril 2026 · Actualités juridiques · Droit bancaire

Cass. com., 14 janvier 2026, n° 22-14.822
Mots-clés : opération de paiement non autorisée, délai de signalement « sans tarder », délai de forclusion de 13 mois, négligence grave, charge de la preuve, question préjudicielle CJUE C-665/23 Veracash.

L’essentiel de la décision

Par un arrêt du 14 janvier 2026, la chambre commerciale de la Cour de cassation a tranché une question qui agitait la pratique depuis plusieurs années : quelle est la portée exacte du délai de signalement d’une opération de paiement non autorisée ?

La Cour de cassation avait, au préalable, saisi la Cour de justice de l’Union européenne d’une question préjudicielle (CJUE, 1er août 2025, aff. C-665/23, Veracash). La CJUE avait répondu que le client doit signaler l’opération non autorisée « sans tarder » à sa banque, mais qu’il ne perd son droit au remboursement que s’il a tardé de manière intentionnelle ou par négligence grave. Le simple retard, en l’absence de fraude ou de négligence grave du client, ne suffit pas à le priver de son droit.

Dans son arrêt du 14 janvier 2026, la Cour de cassation reprend cette interprétation et en tire deux conséquences pour le droit interne.

Première règle : le délai « sans tarder » est autonome du délai de 13 mois

L’article L. 133-24 du Code monétaire et financier accorde au client un délai de 13 mois à compter de la date de débit pour contester une opération de paiement non autorisée. Passé ce délai, la demande de remboursement est forclose.

Mais ce délai de 13 mois ne dispense pas le client de signaler l’opération « sans tarder » dès qu’il en a connaissance. La Cour de cassation affirme clairement que ces deux délais coexistent sans se confondre. Un client qui contesterait une opération au bout de 11 mois, alors qu’il en avait connaissance dès le premier jour, pourrait se voir opposer son retard de signalement, quand bien même il se trouverait dans le délai de 13 mois.

Le point de départ du délai « sans tarder ». La Cour de cassation précise que l’obligation de signalement naît « à compter du moment où le client en a eu connaissance ». Il ne s’agit pas de la date de l’opération elle-même, mais de la date à laquelle le client a effectivement constaté l’opération sur son compte. Cette précision est importante : dans beaucoup de dossiers de fraude bancaire, le client ne consulte pas ses relevés tous les jours. Les juges du fond doivent donc rechercher quand le client a réellement découvert les opérations litigieuses.

En l’espèce, la cour d’appel avait omis de déterminer à quelle date le client avait eu connaissance de la première opération non autorisée. La Cour de cassation casse pour manque de base légale : sans cette recherche, il est impossible de savoir si le signalement a été effectué « sans tarder ».

Seconde règle : la négligence grave doit être précisément caractérisée

Le second motif de cassation porte sur la qualification de la négligence grave du client. Pour rappel, en application des articles L. 133-18 et L. 133-19 du CMF, la banque doit rembourser le client victime d’une opération non autorisée, sauf si elle démontre que le client a agi avec une négligence grave. C’est à la banque de rapporter cette preuve (article L. 133-23 CMF).

En l’espèce, la cour d’appel avait retenu la négligence grave du client sans expliquer dans quelles conditions le tiers fraudeur avait eu accès à son identifiant et à sa clé secrète. La Cour de cassation censure cette motivation : il ne suffit pas de constater que les identifiants ont été utilisés par un tiers pour en déduire que le client a été négligent. Encore faut-il établir comment le tiers a obtenu ces identifiants et en quoi le comportement du client a rendu cet accès possible.

Ce que cela change en pratique. Beaucoup de banques se contentent d’invoquer le fait que les identifiants du client ont été utilisés pour conclure à sa négligence. Cet arrêt impose une analyse plus fine : la banque doit prouver les circonstances concrètes dans lesquelles le client a communiqué ses données. Or, dans les cas de spoofing ou de phishing sophistiqué, cette preuve est difficile à rapporter quand le procédé frauduleux était suffisamment crédible pour tromper un client normalement vigilant.

Cette exigence de motivation rejoint la ligne jurisprudentielle amorcée par l’arrêt du 28 mars 2018 (Cass. com., n° 16-20.018), dans lequel la Cour de cassation avait déjà jugé que répondre à un courriel de phishing ne constitue pas nécessairement une négligence grave lorsque le message est crédible.

Les conséquences pratiques pour les victimes de fraude

Cet arrêt a des implications directes pour les clients victimes d’opérations non autorisées.

Signaler immédiatement

Le premier réflexe doit être de prévenir sa banque dès la découverte d’une opération suspecte. Ne pas attendre le relevé mensuel, ne pas temporiser en espérant que la situation se régularise. Le délai de 13 mois existe, mais il ne protège pas contre le reproche d’avoir tardé. Un signalement rapide met le client en position de force dans le contentieux ultérieur. Au-delà du signalement, si un virement frauduleux est en cause, la banque doit engager une procédure de recall dans les meilleurs délais.

Conserver les preuves

L’arrêt confirme que la preuve est au centre du contentieux. Le client a intérêt à conserver tout ce qui documente les circonstances de la fraude : captures d’écran, e-mails de phishing reçus, journal d’appels en cas de spoofing téléphonique, horodatage de la découverte des opérations. Ces éléments permettent de démontrer à la fois la rapidité du signalement et le caractère sophistiqué de la fraude.

Contester le refus de remboursement

Si la banque refuse le remboursement en invoquant la négligence grave, cet arrêt rappelle que c’est à elle de prouver concrètement comment le client a permis l’accès à ses identifiants. Un refus motivé uniquement par le fait que les identifiants ont été utilisés est insuffisant. Le client dispose donc d’arguments pour contester ce refus, d’abord par réclamation, puis devant le médiateur bancaire ou le tribunal.

L’articulation avec le règlement européen 2024/886

Cet arrêt s’inscrit dans un contexte de renforcement de la protection des utilisateurs de services de paiement. Le règlement (UE) 2024/886 du 13 mars 2024, entré en application progressive depuis octobre 2025, impose aux banques une obligation de vérification du bénéficiaire (Verification of Payee) avant l’exécution des virements. Si la banque exécute un virement sans vérifier la concordance entre l’IBAN et le nom du bénéficiaire, sa propre responsabilité peut être engagée.

On voit se dessiner un rééquilibrage : d’un côté, le client doit signaler rapidement les opérations suspectes ; de l’autre, la banque doit mettre en place des dispositifs de prévention et ne peut plus se contenter d’invoquer la négligence de son client sans la caractériser précisément.

Référence de l’arrêt. Cass. com., 14 janvier 2026, n° 22-14.822. Rendu après renvoi préjudiciel à la CJUE (1er août 2025, aff. C-665/23, Veracash). Double cassation pour manque de base légale : défaut de recherche de la date de connaissance de l’opération par le client et insuffisance de motivation sur la négligence grave.
Fraude bancaireVos recours face à la banque Virement frauduleuxQue faire si la banque refuse de rembourser Spoofing bancaireUsurpation d’identité du conseiller Recall virementProcédure, délais et recours

Votre banque refuse de vous rembourser ?

Je vous accompagne dans la contestation des opérations non autorisées et les litiges liés à la fraude bancaire.

Prendre rendez-vous

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut