55logo mikael le bot avocat

Fraude bancaire et Secur’Pass : l’authentification forte ne prouve pas le consentement du client – TJ Nice, 4e chambre civile, 10 février 2026, n° 24/00689

  • Droit bancaire
Le jugement rendu par le Tribunal judiciaire de Nice le 10 février 2026 offre une illustration intéressante de l’application des dispositions du code monétaire et financier. Face à une banque qui refusait de rembourser 9 150,99 euros de paiements frauduleux au motif que son système d’authentification forte avait été utilisé, le tribunal rappelle que l’utilisation d’un dispositif de sécurité ne suffit pas à prouver le consentement du titulaire du compte. Cette décision illustre la rigueur du cadre juridique protecteur instauré par le Code monétaire et financier, et confirme que la charge de la preuve de la négligence grave du client incombe à la banque.

Tribunal Judiciaire de Nice, 4e chambre civile, 10 février 2026, n° 24/00689

Sommaire

Les faits : une fraude orchestrée via l’enrôlement frauduleux du Secur’Pass

Madame [N] [L], cliente de la Caisse d’Épargne Côte d’Azur, a été victime d’une fraude bancaire sophistiquée en juin 2023. Le scénario débute par la réception d’un premier courriel le 20 juin 2023, l’informant de l’inscription de son système d’authentification forte « Secur Pass » sur un nouveau téléphone portable. Alertée, elle contacte son conseiller bancaire le lendemain.

Trois jours plus tard, le 23 juin 2023, deux nouveaux courriels lui parviennent : le premier, à 16h43, confirme le transfert effectif du système Secur Pass sur un autre appareil ; le second, à 16h52, l’informe d’une augmentation temporaire du plafond de sa carte bancaire. Madame [N] [L] réagit immédiatement en adressant un courriel à son conseiller à 17h51 pour signaler qu’elle n’est pas à l’origine de ces demandes. Malheureusement, il est déjà trop tard : entre 16h49 et 16h51, trois paiements frauduleux ont été effectués pour un montant total de 9 150,99 euros.

📊 Chronologie de la fraude

20 juin 2023
1er mail : inscription Secur Pass en cours → Alerte cliente
21 juin 2023
Contact conseiller bancaire (version contestée)
23 juin 2023
16h43 : Transfert Secur Pass confirmé
16h49-16h51 : 3 paiements frauduleux (9 150,99 €)
16h52 : Augmentation plafond carte
17h51 : Alerte cliente (trop tard)

Malgré le dépôt d’une plainte pour escroquerie le 19 juillet 2023, la Caisse d’Épargne refuse de rembourser les sommes prélevées, estimant que les paiements ont été dûment autorisés par le système d’authentification forte Secur Pass. Face à ce refus, Madame [N] [L] saisit le tribunal judiciaire de Nice en février 2024.

Le cadre juridique applicable : la protection du titulaire en cas de paiement non autorisé

Le principe de remboursement en cas d’opération non autorisée

Le Code monétaire et financier instaure un régime protecteur pour les utilisateurs de services de paiement victimes d’opérations frauduleuses. L’article L. 133-18 du Code monétaire et financier pose le principe selon lequel le prestataire de services de paiement doit rembourser immédiatement le montant de l’opération non autorisée et, le cas échéant, remettre le compte débité dans l’état où il se serait trouvé si l’opération n’avait pas eu lieu.

Ce remboursement doit intervenir au plus tard à la fin du premier jour ouvrable suivant la constatation ou la notification de l’opération. À défaut, les sommes sont assorties d’intérêts au taux légal majoré, ce qui constitue une véritable sanction du retard de la banque.

La charge de la preuve repose sur la banque

L’article L. 133-23 du Code monétaire et financier organise la répartition de la charge de la preuve de manière très favorable au client. Lorsqu’un utilisateur nie avoir autorisé une opération de paiement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée, et qu’elle n’a pas été affectée par une déficience technique ou autre.

Concrètement, le client victime peut se contenter de contester l’opération portée au débit de son compte. Il n’a pas à démontrer comment la fraude s’est produite ni à prouver sa propre diligence. C’est à la banque qu’il revient d’établir la régularité de l’opération.

⚖️ Renversement de la charge de la preuve

CLIENT

Nie avoir autorisé
l’opération

BANQUE

Doit prouver :
• Authentification
• Régularité
• Fraude ou négligence grave

L’authentification forte ne suffit pas à prouver le consentement

Point crucial de ce jugement : l’article L. 133-23 du Code monétaire et financier précise que « l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière ».

Autrement dit, même si la banque peut démontrer que son système d’authentification forte a été utilisé, cela ne constitue pas en soi une preuve suffisante du consentement du titulaire. La banque doit aller plus loin et établir soit que le client a agi frauduleusement, soit qu’il a commis une négligence grave.

Cette jurisprudence s’inscrit dans la lignée d’un arrêt important de la Cour de cassation du 5 mars 2025 (n° 23-22.687), qui a jugé que la négligence grave de l’utilisateur ne peut être déduite de l’enrôlement par un fraudeur d’une clé digitale d’authentification forte sur un nouvel appareil, même si cet enrôlement n’a pu avoir lieu qu’après divulgation par le titulaire du compte d’un code porté à sa seule connaissance.

L’analyse du tribunal : double échec de la banque dans la charge de la preuve

L’absence de preuve de l’autorisation par le titulaire

Le tribunal constate que des tiers ont procédé à l’enrôlement du Secur Pass sur un nouveau téléphone mobile, supprimant l’accès de Madame [N] [L] à son propre dispositif. C’est ce nouveau téléphone qui a reçu les codes de validation des opérations de paiement litigieuses dans le cadre du processus d’authentification forte.

Le tribunal en déduit logiquement que Madame [N] [L] n’a pas autorisé les opérations de paiement contestées, puisque le code renforcé de validation a été reçu sur un autre appareil que le sien. Elle n’est donc pas l’auteur de la dernière étape du processus d’authentification forte, qui impliquait la saisie d’un code reçu par SMS.

La Caisse d’Épargne tentait de déduire le consentement de sa cliente du fait que l’enrôlement du Secur Pass sur un nouvel appareil n’avait été possible que par la divulgation de ses codes d’accès et identifiants à un tiers, après réception d’un mail frauduleux au nom du site marchand Amazon. Mais le tribunal rejette cet argument : cette divulgation présumée ne prouve pas que Madame [N] [L] a effectivement autorisé les paiements.

L’insuffisance des logs informatiques pour prouver le consentement

La Caisse d’Épargne s’appuyait sur ses logs informatiques pour tenter de démontrer que les opérations contestées avaient été régulièrement autorisées par Madame [N] [L]. Le tribunal procède à une analyse détaillée de ces éléments techniques et conclut à leur insuffisance probante.

Les logs produits par la banque établissent que le système d’authentification forte Secur Pass a bien été utilisé lors des opérations litigieuses. Ils révèlent également que le dispositif avait été préalablement enrôlé sur un nouveau téléphone portable le 23 juin 2023 à 16h43, et que c’est ce nouvel appareil qui a reçu les codes de validation nécessaires à l’authentification des paiements effectués entre 16h49 et 16h51.

Le tribunal relève toutefois que ces logs informatiques ne permettent pas d’identifier avec certitude la personne qui a procédé à l’enrôlement du Secur Pass sur le nouvel appareil, ni celle qui a ensuite saisi les codes de validation pour autoriser les paiements. Les logs attestent uniquement de l’utilisation technique du dispositif, mais ne prouvent nullement que cette utilisation émane de Madame [N] [L] elle-même.

💻 Analyse des logs informatiques par le tribunal

Ce que les logs prouvent Ce que les logs ne prouvent pas
✓ Utilisation du système Secur Pass
✓ Enrôlement sur un nouvel appareil
✓ Réception des codes sur ce nouvel appareil
✓ Saisie des codes de validation		 ✗ Identité de la personne ayant procédé à l’enrôlement
✗ Consentement de Mme [N] [L]
✗ Autorisation effective par la titulaire

Le tribunal souligne que la Caisse d’Épargne ne peut se contenter de produire des logs démontrant l’utilisation technique de son dispositif de sécurité. Conformément à l’article L. 133-23 du Code monétaire et financier, cette utilisation enregistrée « ne suffit pas nécessairement en tant que telle » à établir que l’opération a été autorisée par le titulaire du compte.

En d’autres termes, même si les logs attestent du bon fonctionnement du système d’authentification forte et de son utilisation conforme aux procédures techniques, ils ne constituent pas une preuve suffisante du consentement de Madame [N] [L]. La banque devait aller au-delà de cette simple preuve technique pour démontrer que c’est bien la cliente qui a volontairement procédé aux opérations contestées.

Le tribunal insiste sur le fait que les logs révèlent au contraire un élément déterminant : l’enrôlement du Secur Pass sur un appareil distinct de celui de Madame [N] [L], ce qui corrobore les déclarations de la cliente selon lesquelles elle n’est pas à l’origine de cet enrôlement ni des opérations qui ont suivi. Les données informatiques de la banque confirment donc que les codes de validation ont été reçus et saisis sur un téléphone qui n’était pas celui de la titulaire du compte.

L’absence de preuve de la négligence grave de la cliente

Le tribunal rappelle qu’en application de l’article L. 133-19 du Code monétaire et financier, le payeur ne supporte les pertes résultant d’opérations non autorisées que si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations de l’article L. 133-16 (obligation de prendre toute mesure raisonnable pour préserver la sécurité du dispositif de sécurité personnalisé).

La Caisse d’Épargne soutenait que Madame [N] [L] avait « nécessairement été actrice, bien involontaire, de la fraude » en communiquant ses données confidentielles, ce qui constituerait une négligence grave. Le tribunal balaie cet argument : la banque n’apporte aucune preuve concrète de cette divulgation, et celle-ci ne peut se déduire du simple fait que l’instrument de paiement et les données personnelles qui lui sont associées ont été effectivement utilisés.

🔍 Double défaillance de la preuve

Ce que la banque devait prouver Résultat
1. Que les opérations ont été autorisées par Mme [N] [L] ✗ ÉCHEC
2. Que Mme [N] [L] a fait preuve de négligence grave ✗ ÉCHEC

Le tribunal souligne que Madame [N] [L] conteste « vivement » avoir communiqué ses données personnelles, et qu’elle affirme seulement avoir fourni son numéro de carte bancaire pour procéder à un achat en ligne sur Amazon, mais pas ses identifiants. En l’absence de preuve contraire apportée par la banque, le tribunal donne raison à la cliente.

Les conséquences pratiques : remboursement intégral et réparation du préjudice moral

En application de l’article L. 133-18 du Code monétaire et financier, le tribunal condamne la Caisse d’Épargne à rembourser à Madame [N] [L] la somme de 9 150,99 euros, avec les intérêts au taux légal majoré de quinze points. Cette majoration constitue une véritable sanction du retard de remboursement, qui devait normalement intervenir dès le premier jour ouvrable suivant la notification de l’opération contestée.

Au-delà du remboursement des sommes frauduleusement débitées, le tribunal accorde également à Madame [N] [L] la somme de 1 000 euros en réparation de son préjudice moral. Ce préjudice résulte des tracas générés par le défaut de remboursement immédiat, alors que la cliente avait signalé rapidement les opérations contestées à sa banque.

Le tribunal relève que Madame [N] [L] a été contrainte d’adresser plusieurs lettres à la Caisse d’Épargne, qui lui a répondu le 25 juillet 2023 qu’elle avait « certainement fait preuve de négligence en communiquant des données personnelles et sensibles sans quoi ces opérations n’auraient pas été possible » et qu’elle avait « nécessairement été actrice, bien involontaire, de la fraude ». Ces accusations, non fondées selon le tribunal, ont causé à Madame [N] [L] un préjudice moral distinct de celui résultant du simple retard de remboursement.

Le tribunal note également le préjudice matériel subi par la cliente : alors qu’elle gérait correctement ses comptes et ne disposait que d’un découvert autorisé de 1 000 euros, le débit de près de 10 000 euros l’a mise dans une situation de grande précarité, avec rejet de tous ses prélèvements.

Enfin, la Caisse d’Épargne est condamnée aux dépens ainsi qu’à verser à Madame [N] [L] la somme de 2 000 euros au titre de l’article 700 du Code de procédure civile, pour compenser les frais irrépétibles exposés par la cliente.

Conclusion

Ce jugement du Tribunal judiciaire de Nice illustre la rigueur du cadre protecteur instauré par le Code monétaire et financier en faveur des clients victimes d’opérations de paiement non autorisées. Il rappelle que l’utilisation d’un système d’authentification forte, même sophistiqué, ne suffit pas à prouver le consentement du titulaire du compte ni à établir sa négligence grave.

La décision met en lumière un enseignement particulièrement important concernant la valeur probante des logs informatiques : ces données techniques peuvent établir l’utilisation d’un dispositif de sécurité, mais elles ne prouvent pas l’identité de la personne qui l’a utilisé ni son consentement. Les banques ne peuvent donc se retrancher derrière leurs traces informatiques pour refuser le remboursement : elles doivent apporter la preuve concrète, et non présumée, soit de l’autorisation effective par le client, soit de sa négligence grave.

Pour les clients victimes de fraude, cette jurisprudence est rassurante : elle confirme qu’ils bénéficient d’une protection solide, même lorsque les fraudeurs parviennent à détourner des dispositifs d’authentification forte et que les logs bancaires attestent de l’utilisation technique de ces dispositifs. Pour les banques, elle rappelle l’importance de documenter précisément les manquements éventuels de leurs clients au-delà de la simple production de leurs enregistrements informatiques, sous peine de devoir assumer intégralement les conséquences des opérations frauduleuses.

Si vous êtes victime d’une fraude bancaire et que votre banque refuse de vous rembourser, n’hésitez pas à faire valoir vos droits. Le cabinet Lebot-Avocat est spécialisé en droit bancaire et accompagne les particuliers dans leurs démarches contre leur établissement bancaire.

FAQ

Ma banque refuse de me rembourser après une fraude : que puis-je faire ?
Si votre banque refuse de vous rembourser après une fraude bancaire, vous disposez de plusieurs recours. Commencez par contester formellement ce refus par lettre recommandée avec accusé de réception, en rappelant les dispositions de l’article L. 133-18 du Code monétaire et financier qui impose à la banque de rembourser immédiatement les opérations non autorisées. Si la banque persiste dans son refus, vous pouvez saisir le médiateur bancaire gratuitement. En cas d’échec, vous pouvez engager une action en justice devant le tribunal judiciaire. Un avocat spécialisé en droit bancaire pourra vous accompagner et maximiser vos chances d’obtenir gain de cause.
Dois-je prouver que je n’ai pas communiqué mes codes bancaires pour être remboursé ?
Non, vous n’avez pas à prouver que vous n’avez pas communiqué vos codes bancaires. Selon l’article L. 133-23 du Code monétaire et financier, c’est à la banque qu’il incombe de prouver que vous avez autorisé l’opération ou que vous avez fait preuve de négligence grave. Vous pouvez simplement contester l’opération frauduleuse et nier l’avoir autorisée. La banque ne peut pas se contenter d’affirmer que la fraude n’aurait pas été possible sans communication de vos codes : elle doit apporter la preuve concrète de cette communication et du caractère gravement négligent de votre comportement.
Dans quel délai ma banque doit-elle me rembourser après une fraude ?
Selon l’article L. 133-18 du Code monétaire et financier, votre banque doit vous rembourser au plus tard à la fin du premier jour ouvrable suivant la constatation ou la notification de l’opération non autorisée. À défaut de remboursement dans ce délai, les sommes dues sont assorties d’intérêts au taux légal majoré de 15 points, ce qui constitue une véritable sanction du retard. Si votre banque ne respecte pas ce délai, elle s’expose donc à devoir vous payer des intérêts très importants en plus du remboursement du montant fraudé.
Puis-je obtenir une indemnisation pour le préjudice moral causé par le refus de ma banque ?
Oui, comme l’illustre le jugement du Tribunal judiciaire de Nice du 10 février 2026, vous pouvez demander réparation du préjudice moral causé par le refus injustifié de votre banque de vous rembourser. Ce préjudice peut résulter des tracas, du stress, des accusations infondées de négligence, et de la situation de précarité financière dans laquelle vous place le défaut de remboursement immédiat. Dans l’affaire jugée à Nice, la cliente a obtenu 1 000 euros de dommages-intérêts pour préjudice moral, en plus du remboursement intégral des sommes fraudées avec intérêts majorés.
Quelles sont mes chances de succès si je poursuis ma banque en justice après une fraude ?
Vos chances de succès dépendent des circonstances de la fraude, mais le cadre juridique est très favorable aux victimes. La banque supporte la charge de la preuve : elle doit démontrer soit que vous avez autorisé l’opération, soit que vous avez fait preuve de négligence grave. L’utilisation du système d’authentification forte ne suffit pas à rapporter cette preuve. Si vous avez contesté rapidement les opérations frauduleuses auprès de votre banque et que celle-ci ne peut pas prouver une négligence grave de votre part (par exemple, communication volontaire de l’ensemble de vos codes à un tiers), vos chances d’obtenir gain de cause sont très élevées. Un avocat spécialisé pourra analyser votre situation et vous conseiller sur la stratégie à adopter.
Le fait que mon système d’authentification forte ait été utilisé prouve-t-il que j’ai autorisé l’opération ?
Non, l’article L. 133-23 du Code monétaire et financier est très clair sur ce point : l’utilisation de l’instrument de paiement ou du système d’authentification forte « ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ». Même si les fraudeurs ont réussi à détourner votre dispositif d’authentification forte (comme le Secur Pass dans l’affaire jugée à Nice), cela ne prouve pas que vous avez consenti aux opérations frauduleuses. La banque doit aller plus loin et démontrer votre négligence grave, ce qui est très difficile en pratique. La jurisprudence récente de la Cour de cassation (5 mars 2025) confirme cette interprétation protectrice.
Les logs informatiques de ma banque peuvent-ils prouver que j’ai autorisé une opération frauduleuse ?
Non, comme l’a jugé le Tribunal judiciaire de Nice dans sa décision du 10 février 2026, les logs informatiques de la banque ne suffisent pas à prouver votre consentement. Ces données techniques peuvent établir que le système d’authentification a été utilisé, que des codes ont été saisis, ou qu’un dispositif a été enrôlé sur un nouvel appareil, mais elles ne prouvent pas l’identité de la personne qui a effectué ces opérations ni son consentement. La banque ne peut donc pas se contenter de produire ses traces informatiques : elle doit démontrer de manière concrète que c’est bien vous qui avez autorisé l’opération ou que vous avez commis une négligence grave.
1521 2281 max

Besoin de conseils juridiques personnalisés ?

Ne restez pas seul face à vos questions. Un avocat peut vous rappeler gratuitement pour faire le point sur votre situation.

Être recontacté par un avocat

Besoin de conseils juridiques personnalisés ?

RGPD :

Articles similaires

emxn1y8qxwogdxbsb2fkeg55bgfilxn0dw50lxnncbpfa2xpbmcvyzytwjhoeuzpqudtsvbkvnlycvprqs8zedjfqv9yzwfsaxn0awnfyw5kx2vszwdhbnrfc2nlbmvfaw4ucg5n

Créance du factor admise au passif malgré la contestation du mandataire judiciaire : le contrat prime sur tout – CA Besançon, 1re ch. civile et commerciale, 4 juin 2025, n° RG 24/01636

Lorsqu’une entreprise en redressement judiciaire tente d’échapper à sa dette envers son factor en lui reprochant de n’avoir pas cherché à recouvrer les factures contestées, ...

img 9476

Avis de la Cour de cassation sur les clauses de déchéance du terme – Cass. 1ère civ., 8 oct. 2025, n° 25-70.016, Publié au bulletin

La Cour de cassation a récemment rendu un avis important le 8 octobre 2025 (référence : Cass. 1re civ., 8 oct. 2025, n° 25-70.016, Publié ...

produits financiers

Investissements atypiques et escroqueries en ligne : le renforcement de l’obligation de vigilance des Prestataires de Services de Paiement (PSP) – Cass. com., 1er octobre 2025, n° 22-23.136

L’essor des plateformes de trading en ligne, notamment dans des domaines hautement spéculatifs comme le Forex (marché des changes) et les options binaires, a été ...