55logo mikael le bot avocat

Fraude au faux conseiller : la banque doit prouver l’utilisation du code, pas la déduire (CA Paris, 26 juin 2025, n° 23/16429)

  • Droit bancaire, Moyens de paiement
Un couple voit disparaître 7 597,99 € de son compte en quelques jours, après une fraude au faux conseiller particulièrement aboutie : SMS de phishing, appel d’un prétendu « service des fraudes », faux coursier venu récupérer la « vieille » carte, site miroir d’opposition. La banque refuse de rembourser en invoquant l’authentification forte et la « collaboration active » de ses clients. La Cour d’appel de Paris balaie l’argument : c’est à la banque de prouver, par des éléments positifs, que les données d’authentification du client ont bien été utilisées — et elle n’y parvient pas. Mieux, la cour condamne la banque pour résistance abusive. Décryptage d’un arrêt très favorable aux victimes.

Cour d’appel de Paris, Pôle 4 chambre 9 A, 26 juin 2025, n° RG 23/16429

🔑 Points clés à retenir

  • La banque doit d’abord prouver, par des éléments positifs, que ce sont bien les données d’authentification du client qui ont été utilisées et qu’il n’y a pas eu de défaillance technique.
  • Affirmer que « les opérations n’ont pu se faire que » grâce à la carte et au code PIN ne suffit pas : la cour exige une démonstration, pas une déduction.
  • Le numéro de compte bancaire n’est pas une donnée secrète : le communiquer n’est jamais une négligence grave.
  • Des SMS frauduleux insérés dans le fil de discussion authentique de la banque mettent légitimement le client en confiance.
  • Remettre sa carte à un faux coursier, sans qu’il soit prouvé que le code PIN a été donné, n’est pas une négligence grave compte tenu de la sophistication de la fraude.
  • La banque a été condamnée à rembourser 7 597,99 €, plus 500 € pour résistance abusive et 1 500 € au titre de l’article 700.
Sommaire

Que s’est-il passé dans cette affaire ?

Un couple, titulaire d’un compte de dépôt au Crédit Lyonnais (LCL), conteste une série d’opérations passées sur son compte entre le 10 et le 13 octobre 2022, pour un total de 7 597,99 euros. Le détail des débits illustre parfaitement le mode opératoire : un paiement par carte de 50 euros, deux « régularisations de facture » de 200 et 300 euros, un paiement FNAC de 4 799,99 euros et un dernier débit de 2 248 euros.

Le scénario, classique mais redoutablement bien ficelé, s’est déroulé en plusieurs temps. Tout commence par un SMS de phishing se présentant comme provenant de Netflix : l’un des époux clique sur le lien et renseigne ses coordonnées bancaires. Rien d’anormal ne se produit dans les jours qui suivent. Une semaine plus tard, deux SMS apparaissent sur son téléphone — et c’est là que la fraude bascule dans le sophistiqué : ces messages s’affichent dans le fil de discussion habituel de la banque, à la suite de véritables SMS du Crédit Lyonnais, avec des libellés crédibles (« Une opération pour un montant de 1 019,00 EUR chez FNAC.COM est en attente de validation »).

S’ensuit l’appel d’un faux conseiller se présentant comme un agent du « service des fraudes », qui communique un numéro de dossier de suivi (lui aussi reçu dans le fil de discussion). Ce faux conseiller explique qu’un service de livraison express va remplacer la carte Visa Premier et récupérer l’ancienne pour « recyclage ». Un faux coursier se présente effectivement, remet une nouvelle carte (factice) et repart avec la vraie. Enfin, un dernier SMS, toujours dans le même fil, invite la victime à « faire opposition » via un lien menant à un site miroir (« https://opposition-cartes.fr/LCL »), où le numéro de carte et le code PIN sont saisis.

Le tribunal de proximité de Paris avait condamné LCL à rembourser l’intégralité des sommes. La banque a fait appel, soutenant que l’authentification forte engageait la responsabilité de ses clients et que la fraude n’avait pu se réaliser que grâce à leur « collaboration active ». La Cour d’appel de Paris confirme intégralement le remboursement — et va plus loin.

Qui doit prouver quoi en cas d’opération contestée ?

Pour comprendre la portée de l’arrêt, il faut revenir sur le mécanisme probatoire qui gouverne les paiements non autorisés. C’est un régime spécial, protecteur, prévu par le code monétaire et financier.

📖 Définition — Opération non autorisée
Une opération de paiement n’est « autorisée » que si le payeur y a consenti, sous la forme convenue avec sa banque (articles L. 133-6 et L. 133-7 du code monétaire et financier). À défaut de consentement, l’opération est réputée non autorisée et ouvre droit, en principe, à remboursement par la banque.

L’article L. 133-23 du code monétaire et financier organise la charge de la preuve en deux temps. D’abord, lorsque le client nie avoir autorisé une opération, il incombe à la banque de prouver que l’opération « a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre ». Ensuite — et c’est le cœur du dispositif — le texte précise que « la seule utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant ».

La cour synthétise ce mécanisme par une grille en deux questions que toute banque doit franchir :

Étape 1 — Prouver que ce sont bien les données d’authentification du client qui ont été utilisées et qu’il n’y a pas eu de défaillance technique.

↓ et seulement si cette étape est franchie ↓

Étape 2 — Même si l’authentification est renforcée et les données utilisées, fournir des éléments prouvant la fraude ou la négligence grave du client.

Pourquoi la banque a-t-elle perdu sur la charge de la preuve ?

La banque échoue dès la première étape. La cour observe que LCL ne produit, comme pièces, que des éléments génériques : des articles de presse sur le phishing Netflix, une copie de carte bleue Visa Premier, l’assignation, le jugement, la déclaration d’appel et les conditions générales. Aucune pièce ne démontre que ce sont les données d’authentification personnelles du couple qui ont été utilisées, ni qu’il n’y a pas eu de défaillance technique.

La cour le formule sans détour : c’est à la banque qu’il appartient de prouver ce point, et « elle ne peut se contenter d’affirmer que les opérations n’ont pu se faire que grâce à ces éléments d’identification […] sans le démontrer de manière positive ». Autrement dit, le raisonnement déductif — « puisque l’opération a été authentifiée, le client a nécessairement utilisé sa carte et son code » — est rejeté. La banque dissertait longuement sur les mérites de l’authentification forte sans jamais produire les logs ou éléments techniques propres à l’affaire.

L’authentification forte suffit-elle à engager la responsabilité du client ?

📖 Définition — Authentification forte
Imposée par l’article L. 133-44 du code monétaire et financier (issu de la directive européenne DSP2), l’authentification forte repose sur la combinaison d’au moins deux éléments indépendants parmi trois catégories : la connaissance (un code que seul le client connaît), la possession (un appareil que seul le client détient) et l’inhérence (une donnée biométrique). Elle vise à sécuriser l’accès au compte et la validation des opérations.

La banque soutenait que l’ajout de la locution « pas nécessairement » à l’article L. 133-23 signifierait, a contrario, qu’une opération validée par authentification forte est réputée autorisée. La cour refuse cette lecture. L’authentification forte est une exigence qui pèse sur la banque ; elle ne crée pas une présomption irréfragable contre le client. Même lorsque l’authentification est renforcée et que les données ont été utilisées, la banque doit encore prouver la fraude ou la négligence grave du client. L’authentification forte n’est donc pas un bouclier juridique pour la banque : c’est une obligation technique qui lui incombe.

Le couple a-t-il commis une négligence grave ?

📖 Définition — Négligence grave
C’est le manquement caractérisé du client à son obligation de préserver la sécurité de ses données personnalisées (articles L. 133-16 et L. 133-17). Seule une négligence grave — et non une simple imprudence — permet à la banque de refuser le remboursement. Le seuil est élevé et s’apprécie concrètement, au regard de la sophistication de la fraude.

Même si la banque avait franchi la première étape probatoire (ce qui n’est pas le cas), elle aurait échoué sur la négligence grave. La cour examine successivement chaque comportement reproché et démonte, point par point, l’argumentation de la banque.

Communiquer son numéro de compte est-il fautif ?

Sur le phishing Netflix initial, la cour relève que l’époux a admis avoir cliqué sur un lien et renseigné ses coordonnées bancaires, mais qu’il n’a jamais déclaré avoir donné son code PIN ni même son numéro de carte à cette occasion. Or, souligne la cour, le numéro de compte bancaire ne fait pas partie des éléments confidentiels à ne jamais transmettre : il figure sur tous les chèques, sur les relevés d’identité bancaire réclamés par de nombreuses administrations, et « circule sans faute du détenteur du compte, entre de très nombreuses mains ». Ces coordonnées ne permettent en principe de faire des opérations qu’au bénéfice du compte, non à son préjudice. Surtout, même à supposer une négligence à ce stade, rien ne démontre qu’elle soit à l’origine des débits ultérieurs.

Pourquoi le fil de discussion détourné change-t-il tout ?

C’est l’apport le plus précieux de l’arrêt. Les SMS frauduleux sont apparus dans le fil de discussion authentique du Crédit Lyonnais, à la suite de véritables messages de la banque concernant, par exemple, la disponibilité d’attestations scolaires ou l’activation d’Apple Pay. Pour la cour, « le fait qu’il s’agisse d’un message ainsi inséré dans ce fil de discussion avec sa banque était de nature à le mettre en confiance ». Le client a donc pu, sans faute, répondre à celui qui se présentait comme un agent du service des fraudes.

La logique de confiance exploitée par les fraudeurs

SMS frauduleux inséré dans le vrai fil SMS de la banque apparence parfaite d’authenticité le client baisse légitimement sa garde absence de négligence grave

La cour rappelle d’ailleurs la nuance jurisprudentielle désormais bien établie : ne commet pas de faute l’utilisateur qui répond à un appel apparaissant sur son téléphone comme celui de sa banque, tandis que commet une négligence grave celui qui répond à des messages dont la nature frauduleuse aurait dû lui sauter aux yeux, ou clique sur des liens manifestement douteux. Ici, l’insertion dans le fil légitime place clairement le couple dans la première catégorie.

Remettre sa carte à un faux coursier est-il une négligence grave ?

La banque insistait sur la remise de la carte au coursier et sur le fait que le couple aurait dû repérer la fausse carte. La cour écarte les deux arguments. D’une part, il n’est aucunement établi que le code PIN ait été donné au coursier — cela ne ressort d’aucune déclaration. Et ne pas détruire la carte avant de la remettre n’est pas une négligence grave, dès lors qu’une carte sans code, que le client pensait déjà bloquée, ne pouvait, dans son esprit, servir à quoi que ce soit.

D’autre part, la généralisation des livraisons à domicile — y compris les jours fériés — rendait crédible l’existence d’un tel service de remplacement express, d’autant que les banques envoient elles-mêmes les cartes par la poste. Quant à la fausse carte, seul son libellé était incomplet : pour un consommateur moyen et raisonnable, le reste de son apparence n’était pas distinct de manière évidente d’une vraie carte, et la lettre d’accompagnement était « particulièrement crédible ». Le client d’une banque n’étant pas un expert, ne pas remarquer immédiatement un libellé incomplet ne constitue pas une négligence grave.

Enfin, même la saisie du numéro de carte et du PIN sur le site miroir d’opposition ne suffit pas à caractériser une négligence grave : mis en confiance par l’utilisation du fil de discussion a priori sûr, et face à un site miroir « qui avait toute l’apparence du site de la banque » avec une adresse crédible, le client a pu agir sans faute caractérisée. La cour relève par ailleurs que la dénonciation a été faite le jour même de l’apparition des paiements frauduleux, le 10 octobre 2022 — aucune carence dans l’alerte ne peut donc être reprochée.

Pourquoi la banque est-elle condamnée pour résistance abusive ?

C’est le second enseignement marquant. Là où le tribunal avait refusé d’indemniser le préjudice moral, la cour infirme et alloue 500 euros de dommages-intérêts. Le motif est cinglant : la banque « s’est contentée de procéder par affirmations sans démontrer en aucune manière que les opérations contestées avaient été réalisées à l’aide du code alors même qu’elle disserte dans ses écritures sur les mérites des authentifications fortes ». Cette posture — refuser le remboursement tout en étant incapable d’apporter la moindre preuve — caractérise une résistance abusive ayant causé un préjudice moral aux clients.

Le signal est important pour les victimes : un refus de remboursement opposé par pure affirmation, sans pièce technique à l’appui, peut être sanctionné en lui-même, au-delà de la simple restitution des fonds. La résistance abusive devient un levier indemnitaire complémentaire.

📖 Définition — Résistance abusive
C’est le fait, pour une partie, de refuser d’exécuter une obligation ou de contester une demande de manière injustifiée et fautive, causant à l’autre un préjudice distinct. Lorsque la banque refuse de rembourser sans preuve sérieuse, ce refus peut être jugé abusif et donner lieu à des dommages-intérêts en sus du remboursement.

Que retenir si vous êtes victime d’une fraude au faux conseiller ?

Cet arrêt confirme une ligne jurisprudentielle de plus en plus nette, exigeante envers les banques et protectrice des victimes. Plusieurs réflexes pratiques s’en dégagent.

D’abord, ne vous laissez pas impressionner par l’argument de l’authentification forte. Tant que la banque ne produit pas d’éléments techniques propres à votre dossier démontrant que vos données ont bien été utilisées, sa position est juridiquement fragile. Le simple renvoi à ses conditions générales ou à des articles de presse sur le phishing ne suffit pas.

Ensuite, documentez la sophistication de la fraude : capture d’écran montrant que les SMS frauduleux se sont glissés dans le fil de discussion authentique de la banque, apparence du faux site, crédibilité de la fausse carte et de son courrier. Ce sont précisément ces éléments qui font basculer l’appréciation du côté de l’imprudence excusable plutôt que de la négligence grave.

Signalez et dénoncez sans délai dès la découverte des opérations : ici, la dénonciation le jour même a été décisive pour écarter tout reproche de carence. Déposez plainte — utile pour le récit circonstancié de la fraude — sans oublier que la plainte pénale n’est pas, en elle-même, un fondement civil de remboursement.

Enfin, sur le terrain des leviers résiduels, gardez à l’esprit que les obligations techniques imposées aux banques par le règlement RTS (les Regulatory Technical Standards qui complètent la DSP2 : authentification forte effective, surveillance des transactions, détection des schémas anormaux) constituent un angle encore sous-exploité. Lorsqu’une banque échoue à démontrer la mise en œuvre effective de ces standards, sa responsabilité peut être recherchée sur ce fondement.

Au total, cet arrêt offre aux victimes de fraude au faux conseiller un raisonnement clé en main : exiger la preuve positive de l’utilisation des données d’authentification, refuser la déduction automatique tirée de l’authentification forte, et faire valoir la sophistication du stratagème pour écarter la négligence grave — voire obtenir des dommages-intérêts pour résistance abusive.

FAQ — Questions fréquentes

Ma banque invoque l’authentification forte pour refuser le remboursement. Est-ce un argument décisif ?
Non. L’authentification forte est une obligation qui pèse sur la banque, pas une présomption contre vous. Même si une opération a été validée par authentification forte, la banque doit encore prouver, par des éléments propres à votre dossier, que vos données ont été utilisées et que vous avez commis une fraude ou une négligence grave. Une simple affirmation ne suffit pas.
J’ai communiqué mon numéro de compte à un faux site. Ai-je commis une faute ?
Non, selon cet arrêt. Le numéro de compte n’est pas une donnée confidentielle : il figure sur vos chèques et vos relevés d’identité bancaire et circule entre de nombreuses mains. Le communiquer ne constitue pas une négligence grave et, en principe, ne permet pas de réaliser des opérations à votre préjudice.
Les SMS frauduleux sont apparus dans la conversation de ma banque. Est-ce important ?
Oui, c’est même un élément déterminant. Lorsque des SMS frauduleux s’insèrent dans le fil de discussion authentique de la banque, à la suite de vrais messages, la victime est légitimement mise en confiance. La cour juge qu’elle peut alors répondre sans faute. Conservez des captures d’écran montrant cette insertion.
J’ai remis ma carte à un coursier. Cela me prive-t-il du remboursement ?
Pas nécessairement. Tant qu’il n’est pas prouvé que vous avez donné votre code PIN au coursier, et compte tenu de la crédibilité d’un service de livraison express et de la fausse carte remise en échange, la remise de la carte n’est pas, à elle seule, une négligence grave. C’est ce qu’a jugé la Cour d’appel de Paris dans cette affaire.
Puis-je obtenir des dommages-intérêts en plus du remboursement ?
Oui, c’est possible. Dans cet arrêt, la banque a été condamnée à 500 euros de dommages-intérêts pour résistance abusive, parce qu’elle a refusé le remboursement sans jamais démontrer l’utilisation du code. Un refus opposé par pure affirmation, sans preuve technique, peut être sanctionné comme abusif.
Dans quel délai dois-je signaler une opération frauduleuse ?
Le plus tôt possible : l’article L. 133-24 du code monétaire et financier impose de signaler sans tarder. Dans cette affaire, la dénonciation le jour même de l’apparition des débits a été jugée décisive pour écarter tout reproche de carence. Plus le signalement est rapide, plus votre position est solide.
Un avocat peut-il m’aider à contester le refus de ma banque ?
Oui. Le contentieux des paiements non autorisés repose sur des règles probatoires techniques mais très favorables aux victimes. Un avocat en droit bancaire peut analyser les pièces produites par la banque, identifier les failles de sa démonstration et bâtir une stratégie efficace, y compris pour obtenir des dommages-intérêts pour résistance abusive. Le cabinet LE BOT Avocat accompagne les victimes de fraude bancaire dans ces procédures.
1521 2281 max

Besoin de conseils juridiques personnalisés ?

Ne restez pas seul face à vos questions. Un avocat peut vous rappeler gratuitement pour faire le point sur votre situation.

Être recontacté par un avocat

Besoin de conseils juridiques personnalisés ?

RGPD :

Articles similaires

assets task 01jwdr7f0vfhkatkvcktqqamcv 1748513349 img 0

Protocole transactionnel sans homologation judiciaire : la banque perd 100 000 € pour forclusion – CA Bordeaux, 1re ch. civ., 5 janvier 2026, n° 25/00984

Un couple emprunte plus de 100 000 euros auprès de sa banque. Des difficultés surviennent, les mensualités ne sont plus honorées, la banque prononce la ...

contrat

Virement frauduleux : la banque responsable quand elle rédige l’ordre de paiement – Cass. com., 4 mars 2026, n° 25-11.959, publié au Bulletin

Dans un arrêt du 4 mars 2026, la Cour de cassation vient de clarifier une question essentielle pour les victimes de fraude bancaire : une ...

saisie conservatoire creances

Saisie conservatoire de créances sur compte bancaire : Tout ce qu’il faut savoir

Votre débiteur tarde à honorer ses obligations ? Vous avez déjà tenté plusieurs démarches sans succès et vous vous demandez s’il existe des moyens efficaces ...