Faux conseiller bancaire : la banque doit rembourser malgré l’authentification forte (TJ Saint-Brieuc, 30 juin 2026, n° 25/00709)

Une cliente de la Caisse d’Épargne, piégée par un faux conseiller bancaire au terme d’un scénario désormais classique — SMS de livraison de colis, puis appel téléphonique du prétendu « service des fraudes » —, valide elle-même un virement de 14 894,60 € avec son dispositif d’authentification forte Sécur’Pass. La banque refuse de rembourser en invoquant la négligence grave de sa cliente et la validation par authentification forte. Le tribunal judiciaire de Saint-Brieuc balaie ces deux arguments : le consentement de la victime ayant été vicié par la manipulation de l’escroc, l’opération est non autorisée, et la banque, qui ne prouve ni la négligence grave ni l’information de sa cliente sur les arnaques au faux conseiller, doit rembourser l’intégralité des fonds détournés. Un jugement pédagogique, dans la droite ligne de la jurisprudence de la Cour de cassation sur le spoofing.

Tribunal judiciaire de Saint-Brieuc, chambre civile 1, 30 juin 2026, n° RG 25/00709

🔑 Points clés à retenir

  • Un virement validé par la victime elle-même, sous l’emprise d’un escroc se faisant passer pour sa banque, reste une opération de paiement non autorisée : le consentement donné sous manipulation est vicié.
  • La validation par authentification forte (Sécur’Pass) ne prouve ni le consentement du payeur, ni sa négligence grave : l’authentification vérifie une identité, pas une volonté.
  • C’est à la banque de prouver la négligence grave de son client — preuve qui ne peut se déduire du seul fait que l’instrument de paiement a été utilisé.
  • La banque n’a pas démontré avoir informé sa cliente sur les pratiques des faux conseillers bancaires ni sur les modalités du dispositif d’authentification forte : cet élément a pesé contre elle.
  • Le sentiment d’urgence créé par l’escroc, qui exclut « toute forme de réflexion logique », neutralise le reproche de négligence grave.
  • Condamnation de la Caisse d’Épargne à rembourser 14 894,60 €, outre 1 500 € au titre de l’article 700 du code de procédure civile et les dépens.
Sommaire

Que s’est-il passé dans cette affaire de faux conseiller bancaire ?

Le scénario est malheureusement devenu un grand classique de la fraude bancaire. Le 31 août 2024, vers 15 heures, une cliente de la Caisse d’Épargne et de Prévoyance Bretagne – Pays de Loire reçoit un SMS l’invitant à cliquer sur un lien pour régler un prétendu problème de livraison de colis. Elle renseigne ses coordonnées personnelles et bancaires sur la page frauduleuse. Le piège est amorcé : les escrocs disposent désormais de ses données.

Le soir même, deuxième acte. Un individu se faisant passer pour un conseiller du « service des fraudes » de la Caisse d’Épargne la contacte par téléphone. Le discours est rodé : des sommes auraient été frauduleusement débitées de son compte et, pour être remboursée, elle devrait augmenter le plafond de sa carte bancaire puis valider une opération depuis son téléphone. La cliente s’exécute, avant de suspecter la supercherie et de faire opposition à sa carte bancaire en ligne. Elle dépose plainte pour escroquerie au commissariat le jour même, le 31 août 2024.

Trop tard pour arrêter la mécanique : le 3 septembre 2024, un virement de 14 894,60 € est débité de son compte de dépôt. Par courrier du 10 septembre 2024, elle met sa banque en demeure de lui rembourser la somme sous dix jours. Par courrier du 14 octobre 2024, l’établissement refuse, estimant que sa cliente a « contribué à la réalisation de son préjudice en raison de sa négligence ».

📖 Définition — Arnaque au faux conseiller bancaire (vishing)
Escroquerie par laquelle un fraudeur se fait passer, au téléphone, pour un employé de la banque de la victime — souvent du « service des fraudes » ou du « service sécurité ». Sous prétexte de bloquer des opérations frauduleuses, il amène la victime à valider elle-même, avec ses propres dispositifs de sécurité, des opérations qui profitent en réalité à l’escroc. Elle est fréquemment précédée d’un hameçonnage (SMS de colis, faux site) qui fournit au fraudeur les données personnelles rendant son appel crédible.

Le déroulé de la fraude peut se schématiser ainsi :

📱 31 août 2024, 15h — SMS « problème de livraison de colis » → saisie des données personnelles et bancaires sur un faux site

☎️ 31 août 2024, le soir — Appel du faux « service des fraudes » → augmentation du plafond de carte + validation d’une opération sur smartphone (Sécur’Pass)

🚨 31 août 2024 — Suspicion → opposition à la carte en ligne + dépôt de plainte le jour même

💸 3 septembre 2024 — Virement de 14 894,60 € débité du compte

✉️ 10 septembre 2024 — Mise en demeure de rembourser → ❌ refus de la banque le 14 octobre 2024 (négligence grave invoquée)

⚖️ 18 mars 2025 — Assignation devant le tribunal judiciaire de Saint-Brieuc → condamnation de la banque le 30 juin 2026

Devant le tribunal, la cliente demandait la condamnation de la banque à lui rembourser 14 894,60 € sur le fondement de l’article L. 133-18 du code monétaire et financier. La banque concluait au débouté : selon elle, la cliente avait commis une négligence grave, et l’opération, validée au moyen d’un dispositif d’authentification forte, devait être présumée autorisée. Le tribunal a tranché en faveur de la cliente sur toute la ligne.

Pourquoi un virement validé par la victime reste-t-il « non autorisé » ?

C’est le cœur du jugement, et son apport le plus intéressant. La banque soutenait que l’opération, passée « en la forme convenue » — c’est-à-dire validée par la cliente elle-même au moyen du dispositif d’authentification forte —, était présumée autorisée. Le raisonnement paraît intuitif : comment prétendre qu’un virement n’a pas été autorisé alors qu’on l’a soi-même validé sur son téléphone ?

Que disent les articles L. 133-6 et L. 133-7 du code monétaire et financier ?

Le tribunal répond en revenant aux textes. Selon l’article L. 133-6 du code monétaire et financier, une opération de paiement est autorisée « si le payeur a donné son consentement à son exécution ». L’article L. 133-7 ajoute que ce consentement est donné « sous la forme convenue entre le payeur et son prestataire de services de paiement ». Enfin, l’article L. 133-23, alinéa 2, précise que l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire « ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ».

📖 Définition — Opération de paiement non autorisée
Opération exécutée sans le consentement du payeur. Elle déclenche le régime de remboursement des articles L. 133-18 et suivants du code monétaire et financier : la banque doit recréditer le compte immédiatement, et au plus tard à la fin du premier jour ouvrable suivant le signalement, sauf à prouver la fraude ou la négligence grave de son client.

Le consentement donné sous l’emprise d’un escroc est-il un vrai consentement ?

Non, répond le tribunal, dans un motif qui mérite d’être cité : « Lorsque les virements ont été effectués comme en l’espèce dans le cadre d’une escroquerie téléphonique et exécutés à l’insu du client, son consentement à l’opération est vicié en sorte il ne peut être sérieusement soutenu qu’il s’agit d’une opération autorisée qui échappe au régime de responsabilité prévu par les articles L 133-18 et suivants du code monétaire et financier. »

Autrement dit, le geste matériel de validation ne vaut pas consentement juridique. La cliente a certes appuyé sur son téléphone, mais elle croyait agir sur instruction de sa banque, pour faire cesser des détournements — pas pour ordonner un virement de près de 15 000 € au profit d’un tiers. Sa volonté a été captée par la manœuvre frauduleuse : le consentement est vicié, donc l’opération est non autorisée, et le régime protecteur des articles L. 133-18 et suivants s’applique pleinement.

Le tribunal relève au passage que la banque ne contestait même pas la réalité de l’escroquerie dont sa cliente avait été victime — position pour le moins inconfortable lorsqu’on soutient dans le même temps que l’opération était « autorisée ».

Cette qualification a une conséquence procédurale importante, que le jugement prend soin de rappeler : dès lors que la responsabilité du prestataire de services de paiement est recherchée pour une opération non autorisée, seul le régime des articles L. 133-18 à L. 133-24 s’applique. La cliente n’était donc pas fondée à invoquer, en parallèle, un manquement de la banque à son devoir de vigilance sur le fondement de la responsabilité contractuelle de droit commun. Ce régime est exclusif : c’est une arme à double tranchant qu’il faut connaître avant de rédiger son assignation.

L’authentification forte prouve-t-elle le consentement du client ?

Non — et c’est le deuxième enseignement majeur du jugement. La banque faisait de la validation par authentification forte l’argument central de sa défense : l’opération avait été validée via le dispositif Sécur’Pass sur le smartphone de la cliente, elle était donc régulière.

📖 Définition — Authentification forte
Procédure de sécurité issue de la directive DSP2 et de son règlement technique (RTS), reposant sur au moins deux éléments indépendants parmi : quelque chose que le client connaît (mot de passe), possède (smartphone) ou est (empreinte biométrique). Chez les Caisses d’Épargne, elle prend la forme du dispositif Sécur’Pass. Elle sert à vérifier l’identité de l’utilisateur — pas la réalité de sa volonté.

Le tribunal démonte l’argument avec une clarté remarquable : « la preuve du recours à l’authentification forte ne peut suffire pour démontrer que l’opération litigieuse a bien été autorisée. L’authentification est, en effet, une procédure permettant au prestataire de services de paiement de vérifier l’identité d’un utilisateur de services de paiement ou la validité de l’utilisation d’un instrument de paiement spécifique et ne signifie nullement que le payeur a donné son consentement à l’opération. »

La distinction est fondamentale. L’authentification forte répond à la question « qui agit ? » ; le consentement répond à la question « que veut-il ? ». Un escroc qui manipule sa victime au téléphone ne pirate pas le dispositif de sécurité : il le fait actionner par son titulaire légitime. L’authentification fonctionne parfaitement — c’est la volonté qui est captée. Le tribunal en tire une formule qui fera date dans les prétoires bretons : « Cette espèce démontre que le dispositif supposé éviter toute forme détournement est défaillant face à un escroc qui le connait dans ses moindres faiblesses. »

Ce constat rejoint une réalité que le contentieux révèle d’affaire en affaire : les dispositifs d’authentification forte, conçus pour faire obstacle à l’utilisation frauduleuse des données de paiement par un tiers, sont structurellement impuissants face aux fraudes par manipulation, où c’est le titulaire lui-même qui valide. En faire une présomption de consentement reviendrait à priver le régime des opérations non autorisées de toute effectivité précisément dans les fraudes les plus répandues aujourd’hui.

Qui doit prouver la négligence grave, et pourquoi la banque a-t-elle échoué ?

Restait à la banque une dernière ligne de défense : la négligence grave de sa cliente, qui, en vertu de l’article L. 133-19 du code monétaire et financier, fait supporter au payeur les pertes occasionnées par l’opération non autorisée.

📖 Définition — Négligence grave
Manquement d’une particulière intensité du payeur à ses obligations de préserver la sécurité de ses dispositifs de sécurité personnalisés (articles L. 133-16 et L. 133-17 du code monétaire et financier). Seule la négligence grave — pas la simple imprudence — prive le client de son droit à remboursement. Sa preuve incombe intégralement à la banque et ne peut se déduire du seul fait que l’instrument de paiement a été utilisé.

Sur qui pèse la charge de la preuve ?

Le jugement rappelle méthodiquement l’architecture probatoire des articles L. 133-19 et L. 133-23 : lorsqu’un utilisateur nie avoir autorisé une opération, c’est au prestataire de services de paiement de prouver que l’opération a été authentifiée, dûment enregistrée et comptabilisée, et qu’elle n’a pas été affectée par une déficience technique — mais aussi et surtout de prouver la fraude ou la négligence grave de l’utilisateur. Et cette preuve « ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ».

Cette règle est constante en jurisprudence : la Cour de cassation juge depuis longtemps que la banque qui entend faire supporter les pertes à son client doit prouver à la fois la négligence grave et l’absence de déficience technique de l’opération (Cass. com., 12 novembre 2020, n° 19-12.112). Le doute profite au client.

Le défaut d’information sur les arnaques au faux conseiller a-t-il pesé ?

Oui, et c’est un point saillant du jugement. Le tribunal relève que la banque « ne rapporte pas la preuve qu’elle a régulièrement informé ses clients » — et plus particulièrement la demanderesse — « sur les pratiques des faux conseillers », notamment lors de la mise en place du dispositif d’authentification forte rattaché à son compte, ni qu’elle s’était assurée que sa cliente en avait « bien compris les modalités ».

L’enseignement pratique est précieux : dans le débat sur la négligence grave, la prévention effectivement délivrée par la banque entre en ligne de compte. Un établissement qui déploie un outil de validation à distance sans démontrer avoir mis en garde ses clients contre le détournement le plus fréquent de cet outil — l’appel du faux conseiller — est mal placé pour reprocher à la victime de s’y être laissée prendre. Les banques sont d’ailleurs tenues, au titre du cadre réglementaire issu de DSP2 et de ses normes techniques (RTS), d’assurer la sécurité de l’authentification forte et la surveillance des opérations : un angle encore sous-exploité dans ces contentieux.

La validation sous manipulation est-elle une négligence grave ?

Non, juge le tribunal, au terme d’une appréciation très concrète de la psychologie de la fraude. La victime a certes modifié le plafond de sa carte bancaire puis validé un ordre de paiement dont elle n’était pas à l’origine — mais « dans le cadre d’un discours de prévention de fraude tenu par un interlocuteur téléphonique non identifié », dont la connaissance des modalités d’utilisation des services attachés à son compte « ont pu nécessairement lui faire croire qu’elle agissait sur instruction de la banque et dans son intérêt ». L’escroc lui a fait croire « qu’il fallait agir rapidement pour faire cesser des détournements, excluant dans l’urgence, toute forme de réflexion logique ».

Ce raisonnement s’inscrit dans le sillage direct de l’arrêt rendu par la chambre commerciale de la Cour de cassation le 23 octobre 2024 (n° 23-16.267), publié au bulletin : aucune négligence grave ne peut être imputée au titulaire d’un compte qui, contacté par une personne se faisant passer pour un préposé de sa banque, utilise à sa demande son dispositif de sécurité personnalisé pour déjouer de prétendues opérations malveillantes. Dans cette affaire de spoofing — l’escroc faisait s’afficher le numéro de la conseillère bancaire —, la Cour avait retenu que la mise en confiance créée par l’appel diminuait la vigilance de la victime davantage qu’un simple courriel frauduleux. Le tribunal de Saint-Brieuc transpose cette grille d’analyse au faux conseiller « ordinaire », sans même exiger la démonstration d’une usurpation du numéro d’appel.

Toutes les conditions du remboursement étant réunies — signalement sans délai conforme à l’article L. 133-24, opération non autorisée, négligence grave non démontrée —, la Caisse d’Épargne est condamnée à rembourser 14 894,60 €, outre 1 500 € au titre de l’article 700 du code de procédure civile et les dépens.

Quelle est la portée de ce jugement pour les victimes ?

Ce jugement du tribunal judiciaire de Saint-Brieuc, rendu en premier ressort, n’a évidemment pas l’autorité d’un arrêt de la Cour de cassation. Mais il illustre la manière dont les juridictions du fond reçoivent et appliquent désormais la jurisprudence protectrice issue de l’arrêt du 23 octobre 2024 : appréciation réaliste de la manipulation psychologique, refus de faire de l’authentification forte un totem probatoire, exigence rigoureuse envers la banque sur la charge de la preuve.

Trois affirmations du jugement méritent particulièrement d’être versées au débat dans les dossiers similaires. D’abord, la qualification d’opération non autorisée par le vice du consentement, qui neutralise l’argument — systématiquement opposé par les banques — de la validation « en la forme convenue ». Ensuite, la prise en compte du défaut d’information de la banque sur les arnaques au faux conseiller comme élément excluant la négligence grave. Enfin, le constat que le dispositif d’authentification forte est « défaillant face à un escroc qui le connait dans ses moindres faiblesses » — reconnaissance judiciaire de ce que la faille exploitée n’est pas la crédulité de la victime, mais la conception même du système.

Une réserve d’honnêteté s’impose néanmoins : l’issue de ces contentieux reste sensible aux circonstances de fait. Les juridictions retiennent encore la négligence grave lorsque la victime a ignoré des signaux d’alerte manifestes ou communiqué ses codes dans des conditions inexcusables. Chaque dossier se plaide sur ses pièces : chronologie précise des faits, contenu des messages, historique des alertes de la banque, rapidité du signalement.

Que faire si vous êtes victime d’une arnaque au faux conseiller ?

Les bons réflexes se jouent en quelques heures. Faites immédiatement opposition à vos moyens de paiement et signalez l’opération contestée à votre banque, par écrit, sans attendre — l’article L. 133-24 du code monétaire et financier enferme le signalement dans un délai maximal de treize mois suivant le débit, mais chaque jour compte pour la traçabilité des fonds. Demandez expressément le remboursement sur le fondement de l’article L. 133-18 : la banque doit recréditer le compte au plus tard à la fin du premier jour ouvrable suivant le signalement, sauf à justifier de soupçons de fraude de votre part.

Attention toutefois : ce que vous écrivez à votre banque et ce que vous déclarez dans votre plainte pénale peuvent faire ou défaire votre dossier. Des formulations maladroites — « j’ai validé l’opération », « j’ai donné mes codes » — sont systématiquement exploitées par les banques pour plaider la négligence grave. Avant toute déclaration, lisez notre guide pratique : Fraude bancaire : que dire et ne pas dire à sa banque et dans sa plainte.

En cas de refus de remboursement, ne vous découragez pas : le refus initial de la banque n’est qu’une position de négociation, que les juridictions censurent régulièrement, comme le montre ce jugement. Une mise en demeure argumentée en droit, puis, à défaut, une assignation devant le tribunal judiciaire, permettent d’obtenir le remboursement, les intérêts et l’indemnisation des frais de procédure. Un avocat en droit bancaire saura construire le dossier probatoire — chronologie, pièces, jurisprudence — qui fait la différence.

FAQ — Vos questions sur le remboursement des fraudes au faux conseiller

J’ai validé moi-même le virement frauduleux : puis-je quand même être remboursé ?
Oui, c’est précisément l’apport de ce jugement. Lorsque la validation intervient sous la manipulation d’un escroc se faisant passer pour votre banque, votre consentement est vicié : l’opération reste juridiquement « non autorisée » au sens des articles L. 133-6 et suivants du code monétaire et financier, et le régime de remboursement de l’article L. 133-18 s’applique. Le geste matériel de validation ne vaut pas consentement à l’opération réellement exécutée.
Ma banque refuse de rembourser car l’opération a été validée par authentification forte : que vaut cet argument ?
Peu de chose. L’authentification forte (Sécur’Pass, Certicode Plus, Clé Digitale…) sert à vérifier l’identité de l’utilisateur, pas la réalité de son consentement. Le tribunal de Saint-Brieuc juge expressément que la preuve du recours à l’authentification forte « ne peut suffire » à démontrer que l’opération a été autorisée, et l’article L. 133-23 du code monétaire et financier précise que l’utilisation enregistrée de l’instrument de paiement ne suffit pas non plus à prouver la négligence grave du client.
Qu’est-ce que la négligence grave et qui doit la prouver ?
La négligence grave est un manquement caractérisé du client à son obligation de préserver la sécurité de ses dispositifs de sécurité personnalisés (articles L. 133-16 et L. 133-19 du code monétaire et financier). C’est à la banque — et à elle seule — de la prouver, sans pouvoir la déduire du simple fait que vos codes ou votre téléphone ont été utilisés (Cass. com., 12 novembre 2020, n° 19-12.112). La mise en confiance créée par un faux conseiller au téléphone exclut en principe cette qualification (Cass. com., 23 octobre 2024, n° 23-16.267).
Dans quel délai dois-je contester l’opération auprès de ma banque ?
L’article L. 133-24 du code monétaire et financier impose de signaler l’opération non autorisée « sans tarder » et au plus tard dans les treize mois suivant la date du débit, sous peine de forclusion. En pratique, signalez par écrit dès la découverte de la fraude : la rapidité du signalement, respectée dans cette affaire, a été relevée par le tribunal. Sur la manière de formuler votre contestation sans vous nuire, consultez notre article : Fraude bancaire : que dire et ne pas dire à sa banque et dans sa plainte.
J’ai cliqué sur un lien de phishing avant l’appel : cela me prive-t-il du remboursement ?
Pas nécessairement. Dans cette affaire, la victime avait renseigné ses coordonnées personnelles et bancaires sur un faux site de livraison de colis avant l’appel du faux conseiller — et le tribunal a néanmoins condamné la banque, car la négligence grave s’apprécie au regard de l’ensemble des circonstances : crédibilité du scénario, urgence créée par l’escroc, information préventive délivrée (ou non) par la banque. Chaque dossier reste toutefois apprécié au cas par cas selon les signaux d’alerte que la victime pouvait déceler.
Faut-il porter plainte au pénal, et cela suffit-il à être remboursé ?
Déposer plainte est utile : la plainte date les faits, documente le scénario de l’escroquerie et a servi d’élément de preuve central dans ce jugement. Mais elle ne déclenche pas, à elle seule, le remboursement : celui-ci s’obtient auprès de la banque sur le fondement de l’article L. 133-18 du code monétaire et financier, au besoin devant le tribunal judiciaire. Attention à la rédaction de votre plainte, qui peut être exploitée contre vous : voyez notre guide sur ce qu’il faut dire — et ne pas dire — à sa banque et dans sa plainte.
Ce jugement s’applique-t-il aussi si l’escroc n’a pas usurpé le numéro de téléphone de ma banque ?
Oui, et c’est un point notable. L’arrêt de la Cour de cassation du 23 octobre 2024 (n° 23-16.267) concernait un cas de spoofing, où le numéro de la banque s’affichait sur le téléphone de la victime. Le tribunal de Saint-Brieuc écarte la négligence grave sans exiger cette circonstance : la connaissance par l’escroc des modalités des services bancaires de la victime et l’urgence instillée par son discours suffisaient à rendre la manipulation crédible.

1521 2281 max

Besoin de conseils juridiques personnalisés ?

Ne restez pas seul face à vos questions. Un avocat peut vous rappeler gratuitement pour faire le point sur votre situation.

Besoin de conseils juridiques personnalisés ?

RGPD :

Articles similaires

assets task 01jwrg8hjcen69pzvz5hbfwdx7 1748874082 img 1

Responsabilité bancaire limitée face à une fraude au président : négligence du client sanctionnée – CA Versailles, ch. com. 3-2, 3 février 2026, n° 25/00812

En février 2022, une société française spécialisée dans la construction de machines pour boucherie et charcuterie a perdu plus de 352 000 euros à la ...

victoire caution dirigeante

Preuve consultation FICP : mentions obligatoires et déchéance du droit aux intérêts – CA Douai, ch. 8 sect. 1, 29 janv. 2026, n° 23/01282

Depuis 2011, toute banque qui consent un crédit à un particulier doit consulter le fichier des incidents de remboursement des crédits (FICP) avant de s’engager. ...

assets task 01jxmprh3cfw5bz9bjfbpmt6sn 1749820484 img 1

Communication des codes sous manipulation : victimes de fraude protégées – CA Rouen, ch. civ. et com., 19 février 2026, n° 25/01563

La Cour d’appel de Rouen vient de confirmer un jugement favorable à une cliente victime d’une fraude bancaire sophistiquée. L’arrêt précise les contours de la ...