Des achats apparaissent sur votre relevé bancaire avec la mention « Apple Pay » alors que vous n’avez rien payé. Votre carte a été ajoutée sur l’iPhone d’un escroc, et les transactions s’enchaînent. La banque vous oppose un refus de remboursement en invoquant votre « négligence grave ». C’est le scénario type des dossiers de fraude Apple Pay — et dans la majorité des cas, ce refus est contestable.
Les 3 choses à retenir
La loi vous protège. L’article L. 133-19 du Code monétaire et financier limite votre responsabilité à 50 € maximum pour les opérations non autorisées avant opposition — sauf négligence grave prouvée par la banque.
La faille n’est pas Apple Pay. Le paiement lui-même est sécurisé (tokenisation, biométrie). Le problème se situe à l’ajout de carte : les escrocs obtiennent vos données bancaires par phishing puis ajoutent votre carte sur leur propre iPhone.
La banque doit rembourser immédiatement après votre signalement (article L. 133-18 CMF). Si elle refuse, c’est à elle de prouver la négligence grave — pas à vous de prouver votre innocence.
Comment la fraude Apple Pay fonctionne
Ce n’est pas votre iPhone qui est piraté. C’est votre carte bancaire qui est enregistrée dans le Wallet d’un autre téléphone. Le mécanisme en quatre étapes :
1. Vol des données de carte. Les escrocs récupèrent votre numéro de carte, date d’expiration et cryptogramme. Les sources : phishing par SMS ou e-mail imitant votre banque, fuite de données d’un site marchand, achat sur un site compromis.
2. Ajout de votre carte sur leur iPhone. Avec ces données, ils ajoutent votre carte dans leur application Wallet. La banque envoie un code de vérification par SMS pour valider l’ajout.
3. Interception du code. C’est l’étape clé. Les escrocs obtiennent ce code soit par SIM swapping (transfert frauduleux de votre numéro sur leur carte SIM), soit en vous appelant en se faisant passer pour votre banque et en vous demandant de leur communiquer le code « pour bloquer une opération suspecte ».
4. Achats immédiats. Une fois la carte ajoutée, ils paient en magasin avec Face ID (le leur, pas le vôtre) ou en ligne. Les achats commencent souvent par un petit montant (1-2 €) pour tester, puis s’enchaînent rapidement.
Vous ne voyez rien d’anormal sur votre propre téléphone. La fraude n’apparaît que sur votre relevé bancaire.
Que faire dans les 24 heures
Heure 0-2 : appelez votre banque. Demandez le blocage immédiat de la carte et sa désactivation sur Apple Pay. Exigez un numéro de dossier. Notez le nom de votre interlocuteur et l’heure de l’appel.
Heure 2-4 : sécurisez votre compte Apple. Changez votre mot de passe Apple ID sur appleid.apple.com. Vérifiez les appareils connectés (Réglages > votre nom > Appareils) et supprimez tout appareil inconnu. Activez l’authentification à deux facteurs si ce n’est pas fait.
Heure 4-24 : constituez le dossier. Captures d’écran des transactions frauduleuses dans l’application bancaire. Historique Apple Pay depuis Wallet. Chronologie précise (date de découverte, date d’appel à la banque). Envoyez le tout par e-mail à votre banque dans les 24 heures — ce courrier fait courir les délais légaux.
Déposez plainte si le montant dépasse quelques centaines d’euros. La plainte n’est pas obligatoire pour le remboursement, mais elle renforce votre dossier et prouve votre bonne foi. Vous pouvez la déposer en ligne sur pre-plainte-en-ligne.gouv.fr.
Remboursement : ce que dit la loi
Le Code monétaire et financier est clair. L’article L. 133-18 impose à la banque de rembourser immédiatement les opérations de paiement non autorisées, au plus tard à la fin du premier jour ouvrable suivant le signalement. L’article L. 133-19 limite la responsabilité du client à 50 € maximum avant opposition.
La seule exception : la négligence grave. Si la banque prouve que vous avez commis une négligence grave, elle peut refuser le remboursement. Mais c’est à elle de le prouver, pas à vous.
Ce qui constitue une négligence grave : communiquer volontairement ses codes bancaires à un tiers en sachant qu’il s’agit d’un escroc, laisser son téléphone déverrouillé sans protection.
Ce qui ne constitue pas une négligence grave (selon la jurisprudence) : être victime d’un phishing, même si le faux site était détectable avec du recul. Avoir cliqué sur un lien frauduleux. Ne pas avoir vérifié ses comptes pendant quelques jours. La Cour de cassation a confirmé à plusieurs reprises que la victime d’un phishing sophistiqué ne commet pas de négligence grave.
La banque refuse de rembourser : que faire
Étape 1 — Réclamation écrite. Courrier recommandé avec AR au service réclamations de la banque. Rappelez les articles L. 133-18 et L. 133-19 du CMF. Fixez un délai de 15 jours pour le remboursement.
Étape 2 — Médiateur bancaire. Si la banque maintient son refus, saisissez le médiateur (gratuit). Ses coordonnées figurent sur le site de votre banque et sur vos relevés. Délai de réponse : 90 jours.
Étape 3 — Avocat. Si le médiateur vous donne tort ou si les montants sont importants, un avocat peut mettre en demeure la banque et, si nécessaire, saisir le tribunal. La charge de la preuve pèse sur la banque : c’est elle qui doit démontrer la négligence grave, pas vous qui devez prouver que vous n’avez rien fait de mal.
Éviter la fraude : les gestes qui comptent
Ne communiquez jamais un code reçu par SMS. Votre banque ne vous demandera jamais de lui transmettre un code de validation par téléphone. Si quelqu’un vous appelle en se présentant comme votre banque et vous demande un code, c’est une arnaque. Raccrochez et rappelez votre banque au numéro figurant sur votre carte.
Activez l’authentification à deux facteurs sur votre Apple ID. Réglages > votre nom > Mot de passe et sécurité. Sans cette protection, un escroc qui obtient votre mot de passe accède à tout votre compte Apple.
Activez les notifications de transaction. Chaque paiement déclenche une alerte sur votre téléphone. Un achat de 1 € que vous ne reconnaissez pas est souvent le premier signe d’une fraude en cours.
Mot de passe unique pour l’Apple ID. Si vous utilisez le même mot de passe sur plusieurs sites et que l’un d’eux subit une fuite de données, votre compte Apple est exposé.
Questions fréquentes
Peut-on pirater Apple Pay à distance ?
Pas directement. Apple Pay lui-même n’est pas piraté. Les escrocs ajoutent votre carte sur leur propre iPhone en utilisant vos données bancaires volées par phishing ou fuite de données. Votre téléphone continue de fonctionner normalement.
Quel est le délai de remboursement après signalement ?
La loi impose un remboursement au plus tard à la fin du premier jour ouvrable suivant le signalement. En pratique, comptez 5 à 15 jours si la banque mène une enquête interne. Au-delà, la banque est en retard et vous pouvez le lui rappeler par écrit.
J’ai communiqué un code par téléphone à un faux conseiller. Est-ce une négligence grave ?
La jurisprudence est favorable aux victimes sur ce point. La Cour de cassation a jugé que le fait de répondre à un appel téléphonique usurpant le numéro de la banque (spoofing) et de communiquer un code sous la pression ne constitue pas une négligence grave. Chaque situation est évaluée au cas par cas, mais la tendance est à la protection du client.
Faut-il supprimer Apple Pay après une fraude ?
Non. Après avoir bloqué la carte compromise et sécurisé votre Apple ID, vous pouvez ajouter votre nouvelle carte dans Wallet. Apple Pay reste plus sécurisé qu’un paiement sans contact classique grâce à la tokenisation et l’authentification biométrique.
J’ai découvert la fraude au bout de deux semaines. Suis-je encore protégé ?
Oui. Vous disposez d’un délai de 13 mois à compter de la date de débit pour contester des opérations non autorisées (article L. 133-24 CMF). Un signalement tardif de quelques jours ou semaines ne vous prive pas de vos droits.
Votre banque refuse de rembourser une fraude Apple Pay ?
Les paiements non autorisés via Apple Pay sont contestables au même titre qu’une fraude à la carte bancaire. La banque doit rembourser sauf si elle prouve une négligence grave — ce qui est rarement le cas en situation de phishing ou de spoofing.
→ Fraude bancaire — vos recours
→ Fraude carte bancaire — paiement non autorisé
→ Spoofing — faux conseiller bancaire
Fraude Apple Pay et refus de remboursement ?
Exposez votre situation pour déterminer si la responsabilité de la banque peut être engagée.
Prendre rendez-vous
Inscrit au Barreau de Paris depuis 2003, Maître Pierre accompagne ses clients en droit bancaire et financier
(litiges, crédit, caution, recouvrement, responsabilité de la banque). Vous avez une question sur votre situation ?