Fraude bancaire et authentification forte : la banque ne peut pas refuser le remboursement par de simples présomptions – CA Besançon, 1re ch., 24 mars 2026, n° 24/01830

Q: Ma banque dit que j'ai forcément communiqué mes codes puisque l'authentification forte a été utilisée. Est-ce que cela suffit à me priver du remboursement ?

Non. L'article L. 133-23 du Code monétaire et financier est explicite : le seul fait que l'opération ait été enregistrée par les systèmes de la banque comme authentifiée ne suffit pas à prouver que vous avez commis une négligence grave. La banque doit apporter des preuves concrètes supplémentaires — des éléments extrinsèques — établissant que vous avez agi de manière fautive. Si elle ne peut produire que les logs de son système, elle n'a pas rempli son obligation probatoire et doit vous rembourser.

Q: Puis-je obtenir des dommages-intérêts au-delà du remboursement des sommes détournées ?

Oui, dans certains cas. La CA Besançon confirme que les tribunaux peuvent accorder des dommages-intérêts pour préjudice moral lorsque la victime a subi des troubles anxieux, une gêne financière significative ou d'autres conséquences psychologiques avérées de la fraude et du refus de remboursement de la banque. Dans l'affaire jugée, 2 000 euros ont été accordés à ce titre.

Vous avez été victime d’une fraude bancaire et votre banque refuse de vous rembourser au motif que vous auriez « forcément » communiqué vos codes secrets à un escroc ? C’est précisément la position adoptée par la Banque Populaire de Bourgogne Franche-Comté dans une affaire jugée en mars 2026. Elle n’a pas convaincu les juges. La cour d’appel de Besançon rappelle avec force un principe fondamental : la banque doit apporter des preuves concrètes et spécifiques de votre négligence — elle ne peut pas se contenter d’un raisonnement circulaire fondé sur la seule utilisation du système d’authentification forte. Un arrêt important pour toutes les victimes de spoofing ou de fraude au faux conseiller bancaire.

Cour d’appel de Besançon, 1re chambre civile et commerciale, 24 mars 2026, n° RG 24/01830 — Confirmation du jugement du Tribunal judiciaire de Besançon du 19 novembre 2024, RG n° 1123000680

🔑 Points clés à retenir

La banque ne peut pas s’exonérer de son obligation de remboursement en invoquant uniquement le bon fonctionnement du système d’authentification forte.
La preuve d’une négligence grave du client incombe exclusivement au prestataire de services de paiement (la banque) — jamais au client.
Cette preuve ne peut pas résulter d’un simple raisonnement présomptif : la banque doit apporter des éléments extrinsèques concrets.
En cas de fraude par spoofing (usurpation d’identité du conseiller bancaire), la victime n’est généralement pas coupable de négligence grave.
La cour confirme le remboursement de 6 007,80 € de prélèvements frauduleux, majoré des intérêts au taux légal depuis la mise en demeure, ainsi que 2 000 € de dommages-intérêts pour préjudice moral.
Le fait de souscrire un prêt pour combler un découvert causé par une fraude ne constitue pas un motif d’annulation du prêt pour violence, sauf abus caractérisé.

Sommaire ▼

Que s’est-il passé dans cette affaire de fraude bancaire ?
Comment les victimes ont-elles été dépouillées ?
Pourquoi la banque a-t-elle refusé de rembourser ?
Qu’est-ce que l’authentification forte et pourquoi est-elle au cœur du litige ?
Le système Securpass protège-t-il la banque ou le client ?
Qu’est-ce que le spoofing ou la fraude au faux conseiller bancaire ?
Qui doit prouver quoi : quelle est la règle de droit applicable ?
Que dit l’article L. 133-23 du Code monétaire et financier ?
Le seul fait d’utiliser l’authentification forte prouve-t-il la faute du client ?
Comment la cour d’appel de Besançon a-t-elle tranché ?
La banque a-t-elle pu s’exonérer de sa responsabilité ?
Le prêt souscrit pour combler le découvert pouvait-il être annulé ?
Quelles leçons pratiques tirer de cet arrêt pour les victimes de fraude bancaire ?
FAQ — Questions fréquentes

Que s’est-il passé dans cette affaire de fraude bancaire ?

Comment les victimes ont-elles été dépouillées malgré la double authentification ?

L’affaire commence en août 2022. Un couple détient un compte courant à la Banque Populaire de Bourgogne Franche-Comté (ci-après la BPBFC). Comme des millions de Français, ils ont activé le service d’authentification forte de leur banque — baptisé ici « Securpass » — afin de sécuriser leurs opérations bancaires en ligne. Ce système, imposé par la réglementation européenne, est présenté par les établissements bancaires comme un bouclier infaillible contre la fraude.

Le mécanisme Securpass est en apparence robuste : pour valider un virement depuis un téléphone portable, le client doit accomplir quatre étapes successives — saisir les coordonnées de sa carte bancaire, ouvrir l’application mobile avec un code confidentiel ou son empreinte biométrique, vérifier les détails de l’opération affichés (montant, destinataire, date), puis confirmer une seconde fois son code confidentiel. Une véritable série de verrous.

Pourtant, le 15 août 2022, un premier virement de 3 003,90 euros est prélevé sur leur compte, en direction de la société de transfert de fonds Western Union. Deux jours plus tard, le 17 août 2022, un second prélèvement identique de 3 003,90 euros est effectué au profit du même destinataire. En l’espace de 48 heures, le couple a été dépouillé de 6 007,80 euros au total.

Ce n’est que le 19 août 2022, alertés par leur conseiller bancaire, que les victimes prennent conscience de la situation. Elles contestent immédiatement ces opérations, les déclarant non autorisées, et réclament à leur banque le remboursement des sommes détournées.

🔍 Mode opératoire : le spoofing ou fraude au faux conseiller

📞
Étape 1 : Un escroc appelle la victime en usurpant le numéro de téléphone officiel de sa banque (le numéro affiché sur le téléphone est bien celui de la banque)

🎭
Étape 2 : Il se présente comme un agent de sécurité ou conseiller bancaire et signale des « opérations suspectes » sur le compte de la victime

😰
Étape 3 : Sous prétexte de « sécuriser » le compte, il demande à la victime de valider des opérations ou de lui communiquer des codes

💸
Résultat : Les fonds sont virés vers un compte tiers contrôlé par les escrocs, souvent via Western Union ou des comptes à l’étranger

Pourquoi la banque a-t-elle refusé catégoriquement de rembourser ses clients ?

La réponse de la BPBFC ne se fait pas attendre : dans un courrier du 24 août 2022, elle oppose un refus ferme. Son raisonnement est lapidaire : puisque les virements contestés ont bien été validés via le système Securpass, impliquant une double saisie de codes personnels, cela signifie nécessairement que les clients ont communiqué leurs identifiants à des tiers malintentionnés. La banque en déduit que ses clients ont commis une négligence grave, ce qui l’exonère de toute obligation de remboursement.

En clair, la banque adopte un syllogisme : notre système est infaillible → les fraudeurs ont pu l’utiliser → donc les clients leur ont fourni les codes → donc les clients sont fautifs. Ce raisonnement, fondé sur la prétendue fiabilité technique du système, est au cœur de l’argumentation des établissements bancaires dans la quasi-totalité des litiges de fraude DSP2. Et c’est précisément ce raisonnement que la cour d’appel va démolir.

Le couple maintient son refus de payer. Ne pouvant obtenir satisfaction à l’amiable, les victimes se trouvent dans une situation dramatique : leur compte est en solde débiteur, les opérations bancaires courantes sont menacées. Sous la pression de la banque, ils acceptent en octobre 2022 de souscrire un prêt à la consommation de 5 300 euros pour combler le découvert créé par la fraude — une dette qu’ils n’auraient jamais contractée sans les prélèvements frauduleux. Le 3 août 2023, ils saisissent le tribunal judiciaire de Besançon.

Qu’est-ce que l’authentification forte et pourquoi est-elle au cœur du litige ?

📖 Définition — Authentification forte (SCA)
L’authentification forte du client (Strong Customer Authentication ou SCA) est un mécanisme de vérification d’identité imposé par la directive européenne DSP2 (Directive sur les Services de Paiement 2, 2015/2366). Elle repose sur la combinaison d’au moins deux des trois facteurs suivants : ce que vous savez (un code secret), ce que vous possédez (votre téléphone mobile), et ce que vous êtes (donnée biométrique comme l’empreinte digitale ou la reconnaissance faciale). L’objectif est de rendre les paiements en ligne plus sûrs en rendant l’accès au compte et la validation des opérations plus difficiles à usurper.

📖 Définition — DSP2 (Directive sur les Services de Paiement 2)
La directive (UE) 2015/2366 du 25 novembre 2015, dite DSP2, est le texte européen qui encadre les services de paiement en Europe. Transposée en droit français dans le Code monétaire et financier (articles L. 133-1 et suivants), elle fixe les règles relatives aux opérations de paiement non autorisées, à la charge de la preuve, et aux conditions dans lesquelles une banque peut s’exonérer de son obligation de remboursement. La DSP2 a considérablement renforcé les droits des clients victimes de fraude.

Le système d’authentification forte protège-t-il la banque ou le client ?

Il est essentiel de comprendre un point souvent mal présenté par les banques : le dispositif d’authentification forte a été conçu pour protéger le client contre les paiements non autorisés, et non pour créer une présomption irréfragable de faute du client en cas de fraude. La DSP2 impose cette exigence technique aux prestataires de services de paiement (PSP) pour renforcer la sécurité des transactions — ce n’est pas un instrument permettant aux banques de se décharger de leur responsabilité légale.

Or, dans les litiges de fraude bancaire, on observe régulièrement que les établissements bancaires retournent l’argument contre leurs propres clients. Leur raisonnement est le suivant : « nous avons mis en place un système sécurisé et infaillible, si un tiers a pu l’utiliser, c’est que vous lui avez fourni vos codes. » Ce glissement argumentatif consiste à transformer la preuve du fonctionnement du système en preuve de la faute du client. C’est exactement ce que la cour d’appel de Besançon sanctionne dans cet arrêt.

La cour rappelle que la loi est formelle sur ce point. L’article L. 133-23 du Code monétaire et financier dispose explicitement que « l’utilisation de l’instrument de paiement telle qu’enregistrée par le PSP ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur, ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. »

Qu’est-ce que le « spoofing » ou la fraude au faux conseiller bancaire ?

📖 Définition — Spoofing / Fraude au faux conseiller bancaire
Le spoofing (de l’anglais « to spoof » : usurper) est une technique de fraude par laquelle un escroc usurpe l’identité d’un tiers de confiance — ici, un employé de banque — pour manipuler sa victime. Dans la variante dite « fraude au faux conseiller bancaire » ou « fraude au président », le fraudeur utilise une technique d’usurpation du numéro de téléphone (le numéro affiché sur le téléphone de la victime est bien celui de la banque, mais l’appel émane en réalité de l’escroc). La victime, persuadée d’avoir sa banque au téléphone, suit les instructions qu’on lui donne — y compris valider des virements ou communiquer des codes.

La cour d’appel de Besançon qualifie expressément le mode opératoire en cause dans cette affaire de « spoofing » illustrant la technique de « fraude au président ». C’est une reconnaissance judiciaire importante : le spoofing est une fraude sophistiquée dans laquelle la victime est manipulée par des procédés qui trompent même des personnes vigilantes. La cour note que cette technique implique qu’un tiers malveillant « usurpe l’identité d’un responsable de l’organisme teneur de compte pour se faire remettre une provision déposée en compte ou les codes et identifiants personnels en vue de dépouiller la victime. »

Cette qualification est fondamentale car elle change la perception du comportement de la victime : une personne qui reçoit un appel téléphonique sur lequel s’affiche le numéro officiel de sa banque, et qui répond aux instructions d’un individu qui se présente comme son conseiller, ne commet pas nécessairement une négligence grave. Elle est, au contraire, victime d’une escroquerie sophistiquée.

Qui doit prouver quoi : quelle est la règle de droit applicable en matière de fraude bancaire ?

📖 Définition — Négligence grave
La négligence grave est la condition permettant à une banque de refuser le remboursement d’une opération de paiement non autorisée. Le paragraphe 72 de la DSP2 précise qu’elle implique « plus qu’une simple négligence » — il s’agit d’un « défaut de vigilance caractérisé ». En pratique, la jurisprudence retient qu’il doit s’agir d’une faute particulièrement grave, comme le fait de communiquer délibérément son code PIN par courrier électronique ou de répondre à un message manifestement frauduleux. Le simple fait d’être trompé par une fraude sophistiquée ne suffit pas à caractériser une négligence grave.

Que dit l’article L. 133-23 du Code monétaire et financier sur la charge de la preuve ?

L’article L. 133-23 du Code monétaire et financier, qui transpose la DSP2 en droit interne, organise de manière très précise la répartition de la charge de la preuve. Ce texte pose deux règles fondamentales qui bénéficient aux victimes :

Première règle : Il incombe au prestataire de services de paiement (la banque) de fournir « tous les éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de service de paiement. » La banque doit donc prouver activement la faute de son client — elle ne peut pas se contenter d’attendre que le client prouve son innocence.

Seconde règle : L’utilisation de l’instrument de paiement telle qu’enregistrée par le PSP « ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur, ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant. » Autrement dit, le seul fait que les journaux informatiques de la banque montrent que les opérations ont été authentifiées ne constitue pas une preuve suffisante.

Combinées avec l’article L. 133-19 du même code, ces dispositions établissent que la banque doit, pour s’exonérer de son obligation de remboursement :

Ce que la banque DOIT démontrer pour refuser le remboursement :

✅
Que l’opération a été dûment authentifiée (enregistrement technique)

✅
Que l’opération a été correctement enregistrée et comptabilisée

✅
Que l’opération n’a pas été affectée par une déficience technique

ET — au-delà du simple log technique —

⚠️
Des éléments extrinsèques et concrets établissant la négligence grave du client (comportement anormal, avertissements ignorés, communication volontaire et consciente des codes…)

Le seul fait d’utiliser l’authentification forte peut-il prouver la faute du client ?

Non — et c’est le cœur de la solution de cet arrêt. La cour d’appel de Besançon le formule sans ambiguïté : « le simple fait que le protocole de sécurisation prévoit l’utilisation de deux mots de passe pour procéder au paiement à partir d’un téléphone portable ne peut laisser inférer, de manière univoque, une négligence grave de la part du payeur. »

La cour s’appuie ici sur une jurisprudence solide de la Cour de cassation, qui avait posé le même principe dans un arrêt du 18 janvier 2017 (Cass. com., 18 janvier 2017, n° 15-18.102) : la preuve de la négligence grave ne peut résulter d’un raisonnement présomptif et ne peut être déduite du seul usage de l’instrument de paiement ou des données personnelles qui lui sont liées.

La signification pratique de ce principe est considérable : même dans les systèmes d’authentification forte les plus robustes, des fraudeurs sophistiqués peuvent amener des victimes à valider elles-mêmes les opérations frauduleuses sans se rendre compte de ce qu’elles font. Le fait que l’opération ait été techniquement authentifiée ne dit rien sur les conditions dans lesquelles cette authentification a eu lieu.

Comment la cour d’appel de Besançon a-t-elle tranché le litige ?

La banque a-t-elle pu démontrer la négligence grave de ses clients pour s’exonérer de sa responsabilité ?

La réponse est clairement négative. La BPBFC avait indiqué à ses clients dans son courrier du 24 août 2022 : « Nos services ont la preuve que les opérations par carte ont été dûment validées au moyen du dispositif d’authentification forte proposé par notre banque par la saisie du code secret que vous avez préalablement défini ou par l’utilisation de la fonction biométrique dans le cadre de ce dispositif. »

La cour balaie cet argument : « la preuve prétendument détenue n’est aucunement rapportée et ne peut, ainsi qu’il l’a été vu, résulter d’un raisonnement présomptif. » La banque n’a apporté aucun élément concret établissant que les clients auraient agi avec une négligence grave — pas de preuve d’un courriel suspect auquel ils auraient répondu, pas d’analyse comportementale anormale, pas de témoignage, rien d’autre que la seule invocation du fonctionnement du système Securpass.

La cour confirme donc l’intégralité du jugement de première instance, condamnant la BPBFC à :

📋 Ce que la banque doit payer (décision définitive)

6 007,80 €de remboursement des prélèvements frauduleux (principal), majorés des intérêts au taux légal à compter du 19 septembre 2022 (date de la mise en demeure)
2 000 €de dommages-intérêts au titre du préjudice moral subi (stress, angoisse, troubles psychologiques liés à l’escroquerie)
2 000 €de frais de première instance (article 700 du Code de procédure civile)
1 500 €de frais d’appel (article 700 du Code de procédure civile)
+ dépensdes deux instances

La reconnaissance du préjudice moral mérite d’être soulignée. La cour confirme que « la gêne financière, aux incidences psychologiques certaines sur les clients, a justement été réparée […] par l’octroi d’une indemnité réparatrice d’un montant de 2 000 euros. » Il s’agit d’une confirmation que les victimes de fraude bancaire peuvent prétendre à une indemnisation allant au-delà du simple remboursement des sommes détournées, dès lors qu’elles peuvent justifier d’un préjudice moral — angoisse, stress, troubles du sommeil, difficultés financières consécutives à la fraude.

Le prêt souscrit pour combler le découvert pouvait-il être annulé pour violence économique ?

Sur ce point, la solution est défavorable aux clients — et elle mérite une explication. Les victimes avaient demandé, en appel incident, la nullité du prêt à la consommation de 5 300 euros qu’elles avaient souscrit en octobre 2022 pour combler le découvert créé par la fraude. Leur argument : ce prêt a été souscrit sous la contrainte, la banque les ayant mis en demeure de régulariser leur situation sous peine de voir leurs opérations bancaires bloquées. Elles invoquaient la violence au sens des articles 1140 et 1143 du Code civil, notamment l’abus de dépendance économique.

La cour rejette cette analyse. Elle rappelle que « la menace d’une voie de droit, sauf abus, ne peut être regardée comme une contrainte caractéristique d’un vice de violence » et que « l’intérêt du banquier teneur de compte de voir résorber un passif d’endettement ne peut caractériser une contrainte ou un abus de dépendance économique. » Elle relève également que le montant du prêt correspondait exactement au débit enregistré en compte.

Cette solution est juridiquement cohérente avec la jurisprudence classique sur la violence économique, mais elle laisse les victimes dans une situation inconfortable : elles ont obtenu le remboursement de la fraude mais restent tenues de rembourser le prêt souscrit dans la foulée. Il faudra qu’elles utilisent les fonds récupérés auprès de la banque pour solder ce prêt, en espérant que les intérêts légaux courant depuis la mise en demeure couvrent une partie des intérêts contractuels.

Quelles leçons pratiques tirer de cet arrêt pour les victimes de fraude bancaire en 2026 ?

Quels arguments faut-il utiliser face à sa banque pour obtenir remboursement après une fraude ?

Cet arrêt de la cour d’appel de Besançon consolide un corpus jurisprudentiel favorable aux victimes et vous donne des arguments précis à opposer à votre banque :

1. Invoquez la charge de la preuve qui incombe à la banque. En cas de refus de remboursement, la banque doit vous expliquer quels éléments concrets et extrinsèques démontrent votre négligence grave. Il ne lui suffit pas de vous dire que le système d’authentification forte a été utilisé — elle doit apporter la preuve de votre faute, et cette preuve ne peut pas résulter d’un raisonnement circulaire. Exigez-la par écrit.

2. Distinguez l’authentification technique de la preuve de la faute. Le fait que les journaux informatiques de votre banque mentionnent une « double authentification réussie » ne prouve pas que vous avez commis une négligence grave. C’est exactement ce que disent l’article L. 133-23 du Code monétaire et financier et la jurisprudence constante depuis 2017.

3. Décrivez précisément le mode opératoire de la fraude. Si vous avez été victime d’un appel téléphonique avec usurpation du numéro de la banque (spoofing), d’un faux courriel, d’un faux SMS, ou d’une autre technique de manipulation psychologique, décrivez-le en détail. Ce contexte est essentiel pour écarter la qualification de négligence grave : une victime manipulée par un système d’usurpation d’identité sophistiqué n’est pas négligente.

4. Conservez toutes les preuves. Gardez les captures d’écran des SMS et courriels reçus, les relevés téléphoniques montrant l’appel, les échanges avec votre banque. Ces éléments seront précieux si votre dossier arrive devant un tribunal.

5. Respectez les délais pour contester. L’article L. 133-24 du Code monétaire et financier impose de signaler une opération non autorisée dans les 13 mois suivant la date de débit. Ne laissez pas traîner.

Quels sont les leviers juridiques disponibles en cas de refus persistant de la banque ?

Si la démarche amiable échoue, plusieurs voies s’offrent à vous :

La médiation bancaire est obligatoire avant toute saisine du tribunal pour les litiges de moins de 10 000 euros dans certains établissements. Le médiateur de la banque peut rendre un avis favorable, même si celui-ci ne s’impose pas à la banque.

L’action en justice devant le tribunal judiciaire est la voie principale pour les montants significatifs. Cet arrêt vous rappelle que les juges sanctionnent les tentatives des banques de s’exonérer par de simples présomptions, et qu’ils accordent également des dommages-intérêts pour le préjudice moral subi.

Les obligations techniques de la banque au titre des règlements techniques RTS (Regulatory Technical Standards de l’EBA, complétant la DSP2) constituent un levier encore sous-utilisé mais potentiellement puissant. Ces standards imposent aux banques des obligations précises en matière d’authentification forte, de surveillance des transactions et de détection des anomalies comportementales. Lorsqu’une fraude se produit malgré l’authentification forte — notamment dans les cas de spoofing sophistiqué — la question de savoir si la banque a respecté ses obligations de monitoring peut fonder une responsabilité civile distincte, qui s’additionne à l’obligation légale de remboursement.

Le dépôt de plainte pénale reste utile, notamment pour obtenir un soit-transmis qui peut appuyer vos démarches civiles et faciliter l’identification des auteurs, même si la plainte pénale ne constitue pas, en elle-même, un fondement d’indemnisation civile contre votre banque.

⚠️ Attention
L’arrêt du 24 mars 2026 ne constitue pas un droit automatique au remboursement pour toute victime de fraude. Chaque dossier est particulier. La solution dépend des faits précis, du comportement de la victime et de la nature de la fraude. Si vous avez, par exemple, communiqué votre code PIN en réponse à un message clairement identifié comme frauduleux, ou si vous aviez reçu des alertes de votre banque sur les risques de phishing que vous avez ignorées, votre situation pourrait être appréciée différemment. Consultez un avocat spécialisé pour évaluer votre dossier.

Conclusion : un arrêt qui renforce la protection des victimes de fraude bancaire

L’arrêt rendu par la cour d’appel de Besançon le 24 mars 2026 s’inscrit dans une jurisprudence favorable et constante sur les opérations de paiement non autorisées. Il apporte une confirmation bienvenue d’un principe essentiel : dans le contentieux de la fraude bancaire, la banque ne peut pas se retrancher derrière la sophistication de son propre système de sécurité pour s’exonérer de son obligation légale de remboursement. La présomption de bon fonctionnement du système ne crée pas de présomption de faute de l’utilisateur.

Ce rappel est d’autant plus important que les techniques de fraude évoluent constamment. Le spoofing, qui consiste à usurper l’identité de la banque par manipulation du numéro de téléphone affiché, est une fraude sophistiquée que même des personnes vigilantes peuvent ne pas détecter. Exiger des victimes qu’elles prouvent leur innocence reviendrait à les pénaliser deux fois : d’abord par la perte de leurs fonds, ensuite par l’impossibilité pratique d’obtenir réparation.

La décision confirme également que le préjudice moral des victimes de fraude — l’angoisse, le stress, les troubles psychologiques liés à une situation financière brutalement dégradée — mérite réparation au-delà du simple remboursement des sommes détournées.

Si vous êtes victime d’une fraude bancaire et que votre banque refuse de vous rembourser en invoquant votre propre négligence, vous avez des droits et des arguments sérieux à faire valoir. N’acceptez pas un refus définitif sans avoir consulté un avocat spécialisé en droit bancaire.

Votre banque refuse de vous rembourser après une fraude ?

Le cabinet LE BOT Avocat défend les victimes de fraude bancaire face à leur établissement. Contactez-nous pour une première analyse de votre dossier.

Prendre contact avec le cabinet

FAQ — Questions fréquentes

Ma banque dit que j’ai forcément communiqué mes codes puisque l’authentification forte a été utilisée. Est-ce que cela suffit à me priver du remboursement ?

Non. C’est précisément ce que rejette cet arrêt et la Cour de cassation depuis 2017. L’article L. 133-23 du Code monétaire et financier est explicite : le seul fait que l’opération ait été enregistrée par les systèmes de la banque comme authentifiée ne suffit pas à prouver que vous avez commis une négligence grave. La banque doit apporter des preuves concrètes supplémentaires — des éléments extrinsèques — établissant que vous avez agi de manière fautive. Si elle ne peut produire que les logs de son système, elle n’a pas rempli son obligation probatoire et doit vous rembourser.

J’ai été victime d’un faux appel de ma banque (le numéro affiché était bien celui de ma banque). Suis-je considéré comme négligent ?

Non, en principe. Le spoofing (usurpation du numéro de téléphone) est une technique de fraude sophistiquée que les tribunaux reconnaissent comme telle. Le fait qu’un escroc ait réussi à faire afficher le numéro officiel de votre banque sur votre téléphone est une manipulation que même des personnes prudentes peuvent ne pas détecter. La cour d’appel de Besançon dans cet arrêt décrit explicitement ce mécanisme et reconnaît qu’il s’agit d’une fraude sophistiquée — ce qui va dans le sens d’une absence de négligence grave de la victime. Chaque situation reste cependant analysée au cas par cas : si votre banque vous avait spécifiquement averti de ce type de fraude et que vous avez ignoré ces avertissements, l’appréciation pourrait être différente.

Dans quel délai dois-je contester des prélèvements frauduleux auprès de ma banque ?

L’article L. 133-24 du Code monétaire et financier vous impose de signaler l’opération non autorisée à votre banque dans un délai de 13 mois à compter de la date de débit de votre compte. Passé ce délai, vous perdez votre droit au remboursement légal. En pratique, agissez le plus vite possible : plus vous signalez tôt, plus il sera facile de démontrer le caractère frauduleux des opérations et plus les preuves seront fraîches. Dès que vous constatez des prélèvements suspects, contactez votre banque par écrit (en recommandé avec accusé de réception) dans les heures ou jours qui suivent.

Puis-je obtenir des dommages-intérêts au-delà du remboursement des sommes détournées ?

Oui, dans certains cas. Cet arrêt confirme que les tribunaux peuvent accorder des dommages-intérêts pour préjudice moral, lorsque la victime a subi des troubles anxieux, une gêne financière significative ou d’autres conséquences psychologiques avérées de la fraude et du refus de remboursement de la banque. Dans l’affaire jugée, 2 000 euros ont ainsi été accordés à ce titre. Pour maximiser vos chances d’obtenir une telle indemnisation, documentez votre préjudice : arrêts de travail liés au stress, consultations médicales, relevés montrant les incidents de paiement consécutifs à la fraude, etc.

J’ai souscrit un prêt pour combler le découvert créé par la fraude. Puis-je demander la nullité de ce prêt ?

C’est une question difficile. Cet arrêt a refusé d’annuler le prêt souscrit dans ces conditions, au motif que la pression exercée par la banque pour régulariser le découvert ne constituait pas une violence ou un abus de dépendance économique au sens des articles 1140 et 1143 du Code civil. Toutefois, chaque situation est différente. Si la pression de la banque a été particulièrement intense, si vous vous trouviez dans une situation de vulnérabilité particulière, ou si des irrégularités formelles entachent le contrat de prêt (notice d’information manquante, absence de délai de rétractation respecté…), d’autres arguments pourraient être invoqués. Consultez un avocat pour analyser les spécificités de votre contrat.

Que signifie « prestataire de services de paiement » (PSP) dans le contexte de la fraude bancaire ?

Le prestataire de services de paiement (PSP) est l’entité qui gère le compte depuis lequel le paiement est effectué — dans la plupart des cas, il s’agit de votre banque. C’est le PSP qui est légalement responsable du remboursement des opérations de paiement non autorisées, sous réserve de la preuve d’une fraude ou d’une négligence grave de votre part. La distinction est importante car dans certains cas, notamment pour les paiements par carte, plusieurs PSP peuvent intervenir (le PSP du payeur et le PSP du bénéficiaire). C’est toujours le PSP du payeur (votre banque) qui doit vous rembourser en premier lieu.

Cet arrêt de Besançon s’applique-t-il à toutes les banques en France ?

Les principes juridiques appliqués dans cet arrêt — charge de la preuve de la négligence grave incombant au PSP, interdiction des présomptions pures — sont issus de textes nationaux et européens qui s’appliquent à tous les établissements bancaires en France, quelle que soit leur implantation géographique. Les articles L. 133-19 et L. 133-23 du Code monétaire et financier et la directive DSP2 sont d’application générale. En revanche, un arrêt de cour d’appel ne s’impose pas formellement aux autres juridictions — il a une valeur de précédent persuasif et s’inscrit dans un courant jurisprudentiel cohérent, mais chaque tribunal reste souverain dans son appréciation des faits.