55logo mikael le bot avocat

Fraude bancaire : l’IA des banques, un argument pour se faire rembourser (RTS, DSP2 — Cass. com., 4 mars 2026, n° 24-19.588)

  • Droit bancaire, Moyens de paiement
Depuis dix-huit mois, les banques et leurs conseils répètent la même promesse : grâce à l’intelligence artificielle, elles détectent désormais la fraude « en temps réel », analysent des millions de transactions et bloquent automatiquement les opérations suspectes. Cette communication, sincère et abondante, a une conséquence juridique que les établissements sous-estiment : elle démontre qu’ils disposent des moyens techniques que le règlement technique européen (les « RTS ») leur impose précisément de mettre en œuvre. Une banque qui se targue publiquement de savoir neutraliser la fraude peut difficilement, devant le juge, plaider qu’elle ne pouvait pas la détecter. Pour la victime d’un virement ou d’un paiement frauduleux, c’est un levier de remboursement encore largement sous-exploité.

Règlement délégué (UE) 2018/389 du 27 novembre 2017 (RTS DSP2) — articles L. 133-18, L. 133-19 et L. 133-44 du code monétaire et financier — Cass. com., 4 mars 2026, n° 24-19.588

🔑 Points clés à retenir

  • En 2024, la France a recensé 7,8 millions d’opérations frauduleuses (+9,3 %) pour 1,189 milliard d’euros de pertes (Observatoire de la sécurité des moyens de paiement, Banque de France).
  • Les banques affirment publiquement détecter et bloquer la fraude « en temps réel » grâce à l’IA — un aveu de leur capacité technique.
  • L’article 2 du RTS (règlement délégué UE 2018/389) impose justement aux banques des mécanismes de surveillance des opérations pour détecter les transactions frauduleuses.
  • L’article L. 133-18 du CMF impose le remboursement immédiat d’une opération non autorisée, sous peine d’intérêts au taux légal majoré de 5 à 15 points.
  • Sans authentification forte, le client « ne supporte aucune conséquence financière » sauf fraude de sa part (art. L. 133-19, V, CMF).
  • Le bon fondement est le droit des paiements (DSP2/RTS), et non la LCB-FT, écartée par la Cour de cassation le 4 mars 2026.
Sommaire

Que disent vraiment les banques sur leur IA anti-fraude ?

Le discours du secteur bancaire est aujourd’hui d’une remarquable uniformité : l’intelligence artificielle aurait fait basculer la lutte contre la fraude d’une logique de réaction vers une logique d’anticipation. Ce n’est plus un projet de laboratoire, mais un argument commercial et stratégique assumé.

Dans une étude publiée le 9 mars 2026, Deloitte écrit que l’IA « permet aujourd’hui d’anticiper, détecter et neutraliser les attaques en temps réel ». Le cabinet décrit une détection « proactive et prédictive », capable « d’analyser en temps réel des millions de transactions », et, pour la fraude au virement, des « modèles séquentiels (LSTM), analyse de l’historique des virements, détection de ruptures dans les habitudes, croisement avec d’autres signaux (géolocalisation, appareil utilisé) ». L’objectif annoncé est le « blocage automatisé » ou la « demande d’informations complémentaires » dès qu’une opération atypique est repérée (Deloitte, « Fraude bancaire : l’IA transforme la menace en levier stratégique », 9 mars 2026).

Quels chiffres et quelles promesses mettent-elles en avant ?

Les établissements eux-mêmes communiquent dans le même sens. La presse spécialisée rapporte que la Société Générale traite plus de 200 millions de transactions par jour à l’aide de modèles combinant règles métier et apprentissage automatique, tandis que BNP Paribas vise plusieurs centaines de millions d’euros de valeur générée par l’IA, notamment dans la détection de la fraude et du blanchiment. Les analyses sectorielles décrivent un véritable affrontement « IA contre IA » : les fraudeurs déploient des outils génératifs, les banques répondent par des dispositifs analysant en quelques secondes des milliers de paramètres — géolocalisation de l’appareil, biométrie comportementale, heure et habitudes de dépense — y compris sur les flux de virement instantané. Ce discours n’est pas réservé aux publications spécialisées : la presse grand public le relaie tout aussi nettement. Dans un dossier publié le 27 mai 2026 en partenariat avec Visa, Le Parisien rapporte que, selon l’éditeur Finastra, 28 % des établissements financiers français ont déjà généralisé l’IA sur plusieurs fonctions, et qu’aux dires d’un responsable des risques de Visa, « chaque transaction est désormais analysée » pour repérer un montant inhabituel, un changement soudain de localisation ou un comportement sortant des habitudes — l’enjeu revendiqué étant la détection en temps réel de signaux faibles, parfois invisibles à l’œil humain (Le Parisien, 27 mai 2026). Lorsqu’un acteur du paiement affirme publiquement analyser chaque opération en temps réel, il en assume aussi la portée juridique.

Ces moyens sont mobilisés face à une menace bien réelle. Selon le rapport annuel 2024 de l’Observatoire de la sécurité des moyens de paiement de la Banque de France, le nombre d’opérations frauduleuses a progressé de 9,3 % en 2024, atteignant 7,8 millions d’opérations pour un préjudice total de 1,189 milliard d’euros. La communication des banques est donc sincère sur un point décisif : les outils existent, ils sont déployés à grande échelle, et le secteur en fait un atout. C’est précisément ce qui la rend juridiquement intéressante pour les victimes.

Qu’impose le règlement technique RTS aux banques ?

Cette capacité technique n’est pas une simple faculté offerte aux banques : c’est une obligation réglementaire à part entière.

📖 Définition — Le RTS (règlement technique)
Les « RTS » (Regulatory Technical Standards) sont les normes techniques de réglementation qui précisent et complètent une directive européenne. En matière de paiements, le règlement délégué (UE) 2018/389 du 27 novembre 2017 complète la deuxième directive sur les services de paiement (DSP2). Entré en application le 14 septembre 2019, il fixe les standards d’authentification forte du client et de communication sécurisée que toute banque doit respecter.

L’article 2 de ce règlement impose aux prestataires de services de paiement de mettre en place des mécanismes de surveillance des opérations permettant de détecter les opérations non autorisées ou frauduleuses. Ces mécanismes doivent s’appuyer sur des facteurs de risque précis : listes d’éléments d’authentification compromis, montant de chaque opération, scénarios de fraude connus, signes d’infection par logiciel malveillant et localisation du payeur. Autrement dit, le « monitoring » que les banques présentent comme une innovation maison est, depuis 2019, une exigence de droit positif.

📖 Définition — L’authentification forte du client
C’est une procédure de sécurité reposant sur au moins deux éléments indépendants parmi trois catégories : ce que l’utilisateur sait (mot de passe), ce qu’il possède (téléphone, carte) et ce qu’il est (biométrie). Pour un paiement à distance, elle doit créer un lien dynamique entre l’opération, son montant et son bénéficiaire.

Le droit français traduit cette même exigence à l’article L. 133-44 du code monétaire et financier, qui impose l’authentification forte dès que le payeur accède à son compte en ligne, initie un paiement électronique ou exécute une opération à distance « susceptible de comporter un risque de fraude ». La sécurité des opérations n’est donc pas une promesse marketing : c’est une obligation légale, dont le RTS définit le standard technique.

En quoi cette communication devient-elle un argument juridique ?

Le rapprochement de ces deux réalités — d’un côté la communication des banques, de l’autre les obligations du RTS — produit un effet que les établissements n’anticipent pas toujours.

De la promesse marketing à l’aveu juridique

La banque affirme : « notre IA détecte en temps réel les ruptures d’habitude et bloque automatiquement les virements suspects »

Le RTS impose : des mécanismes de surveillance des opérations pour détecter la fraude (art. 2, règlement UE 2018/389)

Conclusion : la banque reconnaît détenir l’outil que la loi lui impose. Elle ne peut plus plaider l’impossibilité technique de détecter la fraude.

Lorsqu’une banque revendique une IA capable de repérer en temps réel une « rupture dans les habitudes » de virement et de bloquer automatiquement l’opération, elle reconnaît détenir exactement l’outil que le RTS lui impose de mettre en œuvre. Sa propre communication — études, communiqués, supports commerciaux — devient un élément de preuve de sa capacité technique, opposable devant le juge. Le débat se déplace alors : il ne s’agit plus de savoir si la banque pouvait détecter l’opération frauduleuse, mais de comprendre pourquoi elle ne l’a pas fait dans le cas du client.

Quels fondements pour obtenir le remboursement ?

En matière d’opération de paiement non autorisée, le code monétaire et financier pose un principe clairement favorable au client. Encore faut-il l’articuler correctement.

Que prévoit l’article L. 133-18 sur le remboursement immédiat ?

L’article L. 133-18 du code monétaire et financier oblige la banque à rembourser immédiatement, et au plus tard à la fin du premier jour ouvrable suivant le signalement, le montant d’une opération non autorisée — sauf si elle a de bonnes raisons de soupçonner une fraude de l’utilisateur lui-même, qu’elle doit alors communiquer par écrit à la Banque de France. Le texte est assorti de pénalités dissuasives : en cas de retard, les sommes dues portent intérêt au taux légal majoré de cinq points, puis de dix points au-delà de sept jours de retard, et de quinze points au-delà de trente jours. Le principe légal est donc le remboursement d’abord ; la contestation ensuite.

Pourquoi l’absence d’authentification forte change tout ?

L’article L. 133-19, V, du code monétaire et financier est encore plus net : sauf agissement frauduleux du payeur lui-même, le client « ne supporte aucune conséquence financière » lorsque l’opération a été réalisée sans que la banque ait exigé une authentification forte. La sécurité technique n’est donc pas neutre dans le partage des pertes : son absence fait basculer le coût de la fraude sur l’établissement. Vérifier si l’opération litigieuse a réellement déclenché une authentification forte conforme — et pas une simple validation contournée par ingénierie sociale — est souvent la première question à poser.

Comment répondre à l’argument de la négligence grave ?

Reste l’argument que les banques opposent presque systématiquement : la négligence grave du client qui, sur le fondement des articles L. 133-16 et L. 133-19, peut le priver de tout remboursement. C’est ici que la communication des banques sur leur IA se retourne contre elles. Si l’établissement soutient que ses modèles détectent en temps réel les anomalies — montant inhabituel, bénéficiaire inconnu, appareil ou géolocalisation incohérents — il lui devient délicat d’expliquer pourquoi un virement manifestement atypique, vers un bénéficiaire jamais utilisé, a été exécuté sans la moindre alerte ni blocage. La capacité technique que la banque revendique fixe le niveau de diligence qu’on est en droit d’attendre d’elle. Apprécier la « négligence grave » du client sans examiner, en miroir, la défaillance du dispositif de surveillance que la banque dit pourtant maîtriser revient à ne regarder qu’un seul plateau de la balance. On notera que le secteur, tout en vantant cette détection quasi exhaustive, tend dans le même temps à présenter le consommateur comme le maillon faible et à déplacer la fraude du terrain technologique vers le terrain psychologique : un glissement commode, qui ne saurait dispenser la banque de l’obligation de surveillance qui pèse sur elle.

Pourquoi fonder la demande sur le RTS et non sur la LCB-FT ?

Un point de méthode est ici décisif, et la jurisprudence récente l’a confirmé. Par un arrêt du 4 mars 2026 (Cass. com., 4 mars 2026, n° 24-19.588, publié), la chambre commerciale a jugé que l’obligation de vigilance issue du dispositif de lutte contre le blanchiment et le financement du terrorisme (articles L. 561-4-1 à L. 561-14-2 du code monétaire et financier) a « pour seule finalité » la LCB-FT : la victime d’agissements frauduleux ne peut donc pas se prévaloir de son inobservation pour réclamer des dommages et intérêts à la banque. Le jugement qui avait condamné la banque sur ce fondement a été cassé.

L’enseignement est clair : fonder une demande de remboursement sur les textes anti-blanchiment est une impasse. Le terrain pertinent est celui des obligations de surveillance des opérations de paiement — l’authentification forte de l’article L. 133-44, les mécanismes de monitoring de l’article 2 du RTS, et le régime de responsabilité des articles L. 133-18 et L. 133-19. C’est sur ce fondement, et non sur la LCB-FT, que la capacité technique revendiquée par les banques prend tout son poids.

On observera d’ailleurs que, dans ce même arrêt, la Cour de cassation a aussi censuré le jugement sur la négligence grave, en reprochant aux premiers juges de ne pas avoir recherché si, à la réception d’un message de confirmation mentionnant qu’il s’agissait d’une opération de validation de paiement — et non d’annulation —, le client n’était pas en mesure de suspecter la fraude. La décision rappelle ainsi que la négligence grave s’apprécie concrètement, au cas par cas. Or ce raisonnement vaut dans les deux sens : si l’on attend du client qu’il décode un message de confirmation, on peut tout autant attendre de la banque, qui se targue d’analyser des milliers de paramètres par seconde, qu’elle décèle un schéma de virement frauduleux. La symétrie est rarement plaidée ; elle mérite de l’être.

Conclusion : transformer la communication des banques en argument de la victime

Le paradoxe est saisissant. Plus les banques vantent la puissance de leur intelligence artificielle, plus elles affaiblissent l’argument qu’elles opposent ensuite aux victimes. On ne peut pas, dans le même temps, affirmer détecter et neutraliser la fraude « en temps réel » et soutenir devant le juge qu’une opération manifestement atypique était indétectable. Pour la victime d’un virement ou d’un paiement frauduleux, l’enjeu pratique est double : documenter le caractère non autorisé et atypique de l’opération (bénéficiaire inconnu, montant et timing inhabituels, absence ou contournement de l’authentification forte), et opposer à la banque sa propre communication sur sa capacité de détection. Mobilisés dans le bon cadre juridique — celui des articles L. 133-18, L. 133-19 et L. 133-44 du code monétaire et financier, éclairés par les obligations du RTS — ces éléments renforcent sensiblement la position du client. Le cabinet LE BOT Avocat accompagne les victimes de fraudes aux moyens de paiement dans la construction de cette argumentation et leurs démarches de remboursement.

FAQ — Questions fréquentes

Ma banque refuse de me rembourser après une fraude. Que dit la loi ?
L’article L. 133-18 du code monétaire et financier impose à la banque de rembourser immédiatement, et au plus tard à la fin du premier jour ouvrable suivant votre signalement, le montant d’une opération non autorisée. Elle ne peut différer ce remboursement que si elle a de bonnes raisons de soupçonner une fraude de votre part, qu’elle doit alors signaler par écrit à la Banque de France.
En quoi l’IA anti-fraude des banques peut-elle m’aider juridiquement ?
Les banques communiquent abondamment sur leur capacité à détecter et bloquer la fraude en temps réel. Cette communication démontre qu’elles disposent des outils de surveillance que le règlement technique RTS leur impose. Elle affaiblit donc l’argument selon lequel une opération frauduleuse atypique aurait été indétectable, et renforce votre demande de remboursement.
Qu’est-ce que le RTS et pourquoi est-il important ?
Le RTS (règlement délégué UE 2018/389) complète la directive européenne sur les services de paiement (DSP2). Son article 2 impose aux banques des mécanismes de surveillance des opérations pour détecter la fraude, et l’authentification forte du client. Ces obligations techniques peuvent fonder une responsabilité de la banque lorsqu’elles sont méconnues.
La banque m’oppose une « négligence grave ». Suis-je sans recours ?
Non. La négligence grave s’apprécie au cas par cas, à la lumière de circonstances concrètes : un appel provenant du numéro officiel de l’agence, aux heures d’ouverture, peut tromper une personne raisonnable. Surtout, l’argument doit être mis en balance avec la capacité de détection que la banque revendique : si ses outils repèrent les opérations atypiques, leur silence dans votre dossier interroge.
L’absence d’authentification forte a-t-elle une incidence ?
Oui, déterminante. Selon l’article L. 133-19, V, du code monétaire et financier, sauf agissement frauduleux de votre part, vous ne supportez aucune conséquence financière si l’opération a été réalisée sans que la banque exige une authentification forte conforme. Il faut donc vérifier si l’opération litigieuse a réellement déclenché cette procédure.
Puis-je invoquer un manquement de la banque à la lutte anti-blanchiment ?
Non, ce n’est pas le bon terrain. La Cour de cassation a jugé le 4 mars 2026 (n° 24-19.588) que les obligations de vigilance anti-blanchiment ont pour seule finalité la lutte contre le blanchiment et le financement du terrorisme : une victime ne peut s’en prévaloir pour obtenir des dommages et intérêts. Il faut se placer sur le terrain du droit des paiements (DSP2 et RTS).

Cet article est publié à titre d’information générale et ne constitue pas une consultation juridique. Chaque situation de fraude bancaire s’apprécie au regard de ses circonstances propres.

1521 2281 max

Besoin de conseils juridiques personnalisés ?

Ne restez pas seul face à vos questions. Un avocat peut vous rappeler gratuitement pour faire le point sur votre situation.

Être recontacté par un avocat

Besoin de conseils juridiques personnalisés ?

RGPD :

Articles similaires

crédit à la consommation

« Crédit en réserve » requalifié en prêts personnels distincts : déchéance totale du droit aux intérêts — CA Rouen, 19 février 2026, n° 24/04213

Vous remboursez un « crédit en réserve », un « crédit modulable » ou un « prêt rechargeable » dont chaque utilisation a donné lieu ...

cabinet lebot avocat 1

Chèque Falsifié et faux chèque : Obligations et responsabilités bancaires 

La falsification de chèques demeure une préoccupation majeure dans le secteur bancaire français. Bien que l’utilisation des chèques ait diminué au profit de moyens de ...

fraude carte bancaire 2

CJIP Banco Santander : 22,5 millions d’euros d’amende – TJ Paris, 5 décembre 2025, RG n° 219-2025

Le 5 décembre 2025, le Tribunal judiciaire de Paris a validé une convention judiciaire d’intérêt public (CJIP) entre le parquet et la banque espagnole Banco ...