Spoofing téléphonique, faux conseillers bancaires, IBAN falsifiés sur des factures : les techniques de fraude au virement se sont perfectionnées et les montants détournés atteignent régulièrement plusieurs dizaines de milliers d’euros. Le problème, pour les victimes, commence souvent après la fraude : quand la banque refuse de rembourser.
Le cadre légal : un droit au remboursement sous conditions
Le Code monétaire et financier encadre la responsabilité des prestataires de services de paiement (PSP) en cas d’opération non autorisée. L’article L. 133-18 impose à la banque de rembourser le client « immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé ». Le délai maximum est le premier jour ouvrable suivant la notification.
En pratique, les banques invoquent quasi systématiquement la négligence grave du client pour refuser le remboursement. L’argument est simple : si le client a validé l’opération, même sous l’influence d’un fraudeur, il a commis une faute qui le prive de son droit au remboursement.
Ce que disent les tribunaux en 2025-2026
La jurisprudence récente a considérablement durci les exigences pesant sur les banques. Plusieurs décisions de cours d’appel et de la Cour de cassation ont précisé les règles du jeu.
La banque doit d’abord prouver que l’opération contestée a fait l’objet d’une authentification forte conforme à la directive DSP2 : deux éléments indépendants parmi la connaissance (mot de passe), la possession (téléphone, appareil enregistré) et l’inhérence (empreinte digitale). Si cette preuve n’est pas rapportée, le remboursement est automatique, sans même que le juge ait à examiner le comportement du client.
Ensuite, même si l’authentification forte est établie, c’est à la banque de prouver la négligence grave. L’utilisation de l’instrument de paiement « ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur » (article L. 133-23 du CMF). Les juges exigent des éléments concrets : les logs techniques, la chronologie des connexions, la preuve que le client a été alerté d’un risque qu’il aurait ignoré.
La Cour de cassation a confirmé en janvier 2025 qu’aucun partage de responsabilité n’est possible : soit la négligence grave est prouvée, soit la banque rembourse intégralement (Cass. com., 15 janvier 2025, n° 23-13.579).
Le cas particulier du spoofing
Le spoofing — technique par laquelle le fraudeur usurpe le numéro de téléphone du service client de la banque — pose un problème spécifique. La victime croit sincèrement être en contact avec sa banque. Elle communique des informations ou valide des opérations en pensant sécuriser son compte.
Plusieurs cours d’appel ont jugé que le spoofing exclut la négligence grave, car le client n’est pas en mesure de détecter la supercherie. Le numéro affiché correspond réellement à celui de la banque. La Cour d’appel de Versailles a récemment condamné un établissement de paiement à rembourser près de 98 000 euros dans un dossier de spoofing où les opérations avaient été validées depuis un appareil que le système de la banque n’avait même pas correctement enregistré comme appareil de confiance.
Ce qu’il faut faire en cas de fraude
La rapidité est déterminante. La victime doit informer sa banque le jour même de la découverte de la fraude, par écrit (email ou courrier). Le délai de contestation est de 13 mois pour les particuliers, mais plus la réaction est rapide, plus les chances de récupérer les fonds augmentent, notamment via la procédure de recall (rappel interbancaire des fonds).
Si la banque refuse le remboursement, il est recommandé de consulter un avocat spécialisé en droit bancaire pour évaluer la solidité du refus. Dans de nombreux cas, la banque ne dispose pas de la preuve de négligence grave qu’elle prétend détenir. L’analyse des logs techniques et de la chronologie des opérations permet souvent de démontrer l’absence de faute du client ou une déficience du système d’authentification.
Le FNC-RF : un nouvel outil depuis mai 2026
Depuis le 7 mai 2026, les banques partagent les IBAN suspects via le FNC-RF (fichier national des comptes signalés pour risque de fraude), géré par la Banque de France. Chaque banque peut vérifier, avant d’exécuter un virement, si l’IBAN du bénéficiaire y figure. C’est un progrès pour la prévention. Mais pour les victimes de fraudes déjà réalisées, les recours restent ceux du droit commun.
Nicolas Brémand est juriste en droit du numérique au niveau européen. Il a été enseignant et chercheur. Nicolas aime transmettre ses connaissances aux autres. Il est tout naturellement devenu rédacteur web sur des sujets comme la finance, le numérique et bien d’autres.
Nicolas va vous permettre d’apprendre toutes les actualités pertinentes en matière de banque, de bourse, de placements, de crédit, d’entreprise, d’assurance, de retraite et d’impôts. Vous pourrez également lui poser vos questions en commentaire de ses articles.