Fraude au faux conseiller : la banque condamnée à tout rembourser faute d’authentification forte (CA Versailles, 19 mai 2026, n° 25/03537)

Onze cartes bancaires virtuelles créées en quelques secondes, plus de 90 000 euros envolés du compte professionnel d’une entreprise, et une banque qui refuse de rembourser en invoquant la « négligence grave » de sa cliente : voilà le scénario, désormais classique, de la fraude au faux conseiller bancaire. Dans un arrêt du 19 mai 2026, la cour d’appel de Versailles inflige un net revers à l’établissement de paiement. Elle juge que les opérations n’avaient pas été précédées d’une authentification forte valable — parce que l’appareil qui les avait validées n’était même pas reconnu comme appartenant à la cliente — et condamne le prestataire à rembourser l’intégralité des sommes détournées, majorées d’intérêts. Une décision qui rappelle une règle trop souvent oubliée : c’est à la banque de prouver, et le simple affichage d’un « log » informatique ne suffit jamais.

Cour d’appel de Versailles, chambre commerciale 3-2, 19 mai 2026, n° RG 25/03537

🔑 Points clés à retenir

  • La cour d’appel de Versailles infirme le partage de responsabilité retenu en première instance et condamne l’établissement de paiement à rembourser l’intégralité des sommes, soit 97 728,80 euros.
  • Onze cartes bancaires virtuelles avaient été créées et utilisées le 5 novembre 2023 pour un débit total de 90 700 euros, à la suite d’une fraude au faux conseiller par spoofing téléphonique.
  • Les opérations avaient été validées depuis un appareil « Chrome » situé au Canada, resté dans l’application sous le statut « en attente » et jamais accepté : la banque n’a donc jamais vérifié que le client possédait cet appareil.
  • Faute de facteur « possession » vérifié, il n’y a pas eu d’authentification forte, même à supposer qu’un mot de passe (facteur « connaissance ») ait été communiqué aux fraudeurs.
  • La validation depuis un appareil non valablement rattaché constitue en outre une déficience technique imputable au système informatique du prestataire.
  • Lorsque l’authentification forte n’a pas été exigée alors qu’elle était nécessaire, le juge n’a pas à rechercher une négligence grave du client (art. L. 133-19, V) : aucun partage de responsabilité n’est possible.
  • La somme porte intérêts au taux légal majoré de 5, puis 10, puis 15 points (art. L. 133-18) à compter du 7 novembre 2023.
Sommaire

Que s’est-il passé dans cette affaire ?

Une société commerciale titulaire d’un compte professionnel dans les livres d’un établissement de paiement a été victime, à l’automne 2023, d’un scénario de fraude parfaitement rodé. Le 28 septembre 2023, la dirigeante de la société est contactée par téléphone par une personne se présentant comme un conseiller de sa banque. L’appel provient d’un numéro qui est réellement celui du service client de l’établissement : les fraudeurs utilisent la technique du spoofing, qui permet d’afficher sur le téléphone de la victime un numéro qui n’est pas le leur. Difficile, dans ces conditions, de douter de son interlocuteur.

📖 Définition — Spoofing (usurpation de numéro)
Le spoofing téléphonique est une technique de fraude par laquelle l’escroc falsifie le numéro d’appelant affiché sur le téléphone de la victime, pour faire apparaître le numéro officiel de sa banque. La victime croit parler à un conseiller légitime : c’est l’un des ressorts essentiels de la fraude au faux conseiller bancaire.

Ce jour-là, un appareil informatique « Chrome » localisé au Canada est rattaché au compte de la société. Alertée par une notification, la dirigeante modifie immédiatement son code d’accès — ce qui explique, selon elle, un second appel des fraudeurs le soir même. Puis, pendant plus de cinq semaines, rien : aucune opération suspecte n’apparaît sur le compte. Impossible, dans ces conditions, de soupçonner une compromission persistante.

Le couperet tombe le 5 novembre 2023. Depuis le compte de la société, onze cartes bancaires virtuelles sont créées et immédiatement utilisées, entraînant un débit total de 90 700 euros, outre 28,80 euros de frais. La société est avisée de la fraude par sa banque le 6 novembre 2023 et conteste ces opérations, qu’elle affirme n’avoir jamais initiées.

Assignée en paiement, la banque refuse tout remboursement : elle soutient que les opérations ont bien été validées par authentification forte depuis l’appareil enregistré le 28 septembre, qu’aucune défaillance technique n’existe, et que la cliente a commis trois négligences graves (autoriser un appareil tiers, ne pas réagir à la notification, transmettre ses coordonnées au fraudeur). En première instance, le tribunal opère un compromis : il retient un partage de responsabilité et condamne la banque à la moitié des sommes, soit 45 350 euros. Les deux parties font appel. La cour d’appel de Versailles va, elle, balayer la logique du partage et donner entièrement raison à la victime.

Pourquoi ces opérations sont-elles « non autorisées » ?

Tout le raisonnement repose sur une qualification préalable : celle d’opération de paiement non autorisée. La cour rappelle d’abord, sans surprise, que la création d’une carte bancaire virtuelle d’un certain montant constitue bien une opération de paiement (solution déjà consacrée par la Cour de cassation, Com., 18 janvier 2017, n° 15-26.058).

📖 Définition — Opération de paiement non autorisée
Une opération de paiement est « autorisée » lorsque le payeur a donné son consentement à son exécution, sous la forme convenue avec sa banque (art. L. 133-6 du code monétaire et financier). À défaut de consentement, elle est réputée non autorisée. Lorsque le client conteste être l’auteur d’une opération, celle-ci doit être traitée comme non autorisée, ce qui déclenche un régime de responsabilité spécifique.

Or, point décisif, les parties elles-mêmes s’accordaient sur le fait que les opérations litigieuses, que la société niait avoir initiées, n’étaient pas autorisées. La qualification n’était donc pas discutée. Et cette qualification a une conséquence lourde : lorsqu’une opération est non autorisée, la responsabilité du prestataire ne peut être recherchée que selon le régime spécial des articles L. 133-18 à L. 133-24 du code monétaire et financier, « à l’exclusion de tout régime alternatif de responsabilité résultant du droit national » (la cour cite ici Com., 27 mars 2024, n° 22-21.200, publié). Autrement dit : pas de retour possible au droit commun de la responsabilité contractuelle. Le contentieux se joue tout entier sur le terrain du droit des services de paiement, issu des directives européennes DSP 1 (2007/64/CE) et DSP 2 (2015/2366).

Qui doit prouver quoi lorsqu’une opération est contestée ?

C’est le cœur de la protection offerte par le droit des paiements, et c’est ce que beaucoup de victimes ignorent : la charge de la preuve pèse sur la banque, pas sur le client. L’article L. 133-23 du code monétaire et financier est sans ambiguïté. Lorsqu’un utilisateur nie avoir autorisé une opération, il incombe à son prestataire de prouver que l’opération « a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre ».

Et le texte va plus loin. Il précise que l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire — le fameux « log » informatique que les banques brandissent systématiquement — « ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ». C’est au prestataire de fournir des éléments établissant la fraude ou la négligence grave de l’utilisateur.

📖 Définition — Charge de la preuve (art. L. 133-23)
En matière d’opération contestée, la loi inverse la logique intuitive : ce n’est pas au client de prouver qu’il n’a rien autorisé, c’est à la banque de prouver que l’opération a été authentifiée, correctement enregistrée et exempte de déficience technique. Un simple relevé d’authentification interne ne suffit pas : la banque doit démontrer la réalité et la fiabilité du dispositif de sécurité.

La méthode d’analyse imposée par la cour est un enchaînement de questions, dans un ordre précis. Il faut rechercher, pour chaque opération : (1) a-t-elle fait l’objet d’une authentification forte ? (2) existe-t-il une déficience technique ? Et seulement si ces deux premières questions reçoivent une réponse favorable à la banque, (3) la cliente a-t-elle commis une négligence grave ? Comme on va le voir, la banque échoue dès la première marche.

🔎 Le test en trois temps de l’opération non autorisée

Authentification forte ? La banque prouve-t-elle 2 facteurs indépendants ?
↓ si NON → remboursement intégral, on s’arrête là
Déficience technique ? Le système a-t-il fonctionné correctement ?
↓ si déficience → remboursement intégral
Négligence grave du client ? Examen possible uniquement si ① et ② sont acquis à la banque
→ Ici : échec dès l’étape ① et ② → aucun partage possible

Qu’est-ce qu’une authentification forte valable ?

L’authentification forte est la clé de voûte de la sécurité des paiements en ligne depuis la DSP 2. L’article L. 133-4, f), du code monétaire et financier en donne une définition technique mais essentielle à comprendre.

📖 Définition — Authentification forte
C’est une authentification reposant sur au moins deux éléments appartenant à trois catégories : la connaissance (quelque chose que seul l’utilisateur connaît, comme un mot de passe), la possession (quelque chose que seul l’utilisateur possède, comme son téléphone ou un appareil enregistré) et l’inhérence (quelque chose que l’utilisateur est, comme une empreinte digitale). Ces éléments doivent en outre être indépendants : la compromission de l’un ne doit pas remettre en cause la fiabilité des autres.

Ce mot — indépendants — est capital. Deux facteurs qui tombent ensemble, à l’occasion d’une même compromission, ne valent pas authentification forte. C’est précisément ce qui manquait ici. La banque prétendait s’appuyer sur deux facteurs : un mot de passe (connaissance) et l’appareil « Chrome » rattaché au compte (possession). Mais encore fallait-il que le facteur possession existe réellement.

Pourquoi un appareil « en attente » ruine-t-il l’authentification forte ?

C’est ici que l’arrêt devient particulièrement instructif, et que l’attention portée par les juges au détail technique fait la différence. Les opérations du 5 novembre 2023 avaient été validées à partir de l’appareil « Chrome » rattaché au compte le 28 septembre. La banque considérait donc que le facteur « possession » était satisfait.

Sauf que les constats d’huissier produits par la banque elle-même la trahissent. Selon un procès-verbal dressé à sa requête, plus de six mois après les transactions contestées, cet appareil localisé au Canada figurait encore dans la liste des appareils connectés au compte non pas sous le statut d’appareil « accepté », mais sous le statut d’appareil « en attente ». Mieux : à la fin de la ligne relative à cet appareil, un bouton « Examiner la demande » invitait les préposés de la banque à valider manuellement ce rattachement — validation qui n’était jamais intervenue. Un second constat, près d’un an après les faits, confirmait que l’appareil était toujours classé « en attente ».

La conclusion de la cour est implacable : au jour des opérations litigieuses, la banque n’avait pas vérifié que l’appareil Chrome était bien en possession de sa cliente. Il en résulte que les opérations n’ont pas été précédées d’une authentification par l’élément « possession » prétendu. Aucun élément de la catégorie « inhérence » (empreinte, biométrie) n’était par ailleurs invoqué. Dès lors, à supposer même qu’un mot de passe (connaissance) ait été fourni par les fraudeurs, les opérations ne pouvaient être regardées comme précédées d’une authentification forte : il manquait, tout simplement, un second facteur valable.

⚠️ À comprendre
Un appareil qui apparaît dans le back-office de la banque n’est pas nécessairement un appareil « authentifié ». Tant qu’il reste « en attente » de validation, il ne prouve rien quant à la possession par le client. Une banque qui laisse une opération se dérouler depuis un tel appareil ne peut pas se prévaloir d’une authentification forte.

En quoi la validation par cet appareil est-elle une déficience technique ?

La cour ajoute un second motif, surabondant mais éclairant. La validation de ces opérations à partir d’un appareil qui n’était pas encore considéré comme valablement rattaché au compte constitue, en elle-même, une déficience technique imputable au système informatique du prestataire.

📖 Définition — Déficience technique
Au sens de l’article L. 133-23, la déficience technique désigne tout dysfonctionnement du dispositif de sécurité de la banque affectant la fiabilité de l’opération. Lorsqu’une opération est validée alors que le système aurait dû la bloquer — par exemple parce qu’elle émane d’un appareil non validé — la déficience est établie et pèse sur le prestataire, qui doit prouver qu’elle n’existe pas.

Ce point est stratégiquement précieux. Il montre qu’une banque ne peut pas se réfugier derrière l’idée que « le système a fonctionné » : si le système a laissé passer une opération qu’il aurait dû retenir, c’est précisément le signe d’une déficience. La faille de sécurité n’est pas neutralisée par le comportement du client ; elle engage l’établissement.

La banque peut-elle invoquer la négligence grave du client ?

C’est l’argument favori des établissements : « peu importe la mécanique technique, le client a été gravement négligent, donc il supporte la perte ». L’article L. 133-19, IV, du code monétaire et financier prévoit effectivement que le payeur supporte les pertes s’il a agi frauduleusement ou n’a pas satisfait, intentionnellement ou par négligence grave, à ses obligations de sécurité. Mais cet argument se heurte ici à un obstacle dirimant.

L’article L. 133-19, V, dispose que, sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération non autorisée a été effectuée sans que le prestataire n’exige une authentification forte. La Cour de cassation en tire une conséquence procédurale limpide : lorsqu’une authentification forte n’a pas été réclamée par le prestataire alors qu’elle était nécessaire, le juge n’a pas à rechercher si le client a commis une négligence grave (la cour cite Com., 30 août 2023, n° 22-11.707, publié). L’examen de la négligence grave devient sans objet.

📖 Définition — Négligence grave du payeur
La négligence grave est un manquement caractérisé du client à son obligation de préserver la sécurité de ses données personnalisées (code, mots de passe, dispositifs de sécurité). Elle seule — ou la fraude du client — permet à la banque de refuser le remboursement. Mais encore faut-il que la banque ait, au préalable, exigé une authentification forte : à défaut, la négligence grave ne peut même pas être examinée.

Le partage de responsabilité retenu en première instance était donc juridiquement condamné d’avance. La Cour de cassation a en effet jugé que, lorsqu’une opération n’est pas autorisée et que le payeur a commis une négligence grave, il est privé du droit au remboursement, de sorte que le juge ne peut opérer un partage de responsabilité avec le prestataire au motif que celui-ci aurait manqué à ses obligations de vigilance (Com., 15 janvier 2025, n° 23-13.579, publié). Le régime est binaire : soit le client supporte tout (négligence grave, et à condition qu’une authentification forte ait été exigée), soit la banque rembourse tout. Aucune place pour un compromis à 50/50. En infirmant le jugement « en toutes ses dispositions », la cour d’appel de Versailles applique cette logique jusqu’au bout, en faveur cette fois de la victime.

Quelles sanctions financières pèsent sur la banque ?

Le remboursement d’une opération non autorisée n’est pas une faveur discrétionnaire : c’est une obligation légale assortie d’un calendrier strict. L’article L. 133-18 impose à la banque de rembourser immédiatement, et au plus tard à la fin du premier jour ouvrable suivant la connaissance de l’opération — sauf soupçon de fraude du client communiqué par écrit à la Banque de France.

Surtout, le retard se paie cher. En cas de manquement à cette obligation de remboursement, l’article L. 133-18 prévoit une échelle de pénalités qui s’ajoute automatiquement :

📈 L’échelle des intérêts majorés (art. L. 133-18)

🟢 Dès le manquement → taux légal majoré de 5 points
🟠 Au-delà de 7 jours de retard → taux légal majoré de 10 points
🔴 Au-delà de 30 jours de retard → taux légal majoré de 15 points

Dans notre affaire, la cour condamne l’établissement de paiement à verser à la société la somme de 97 728,80 euros, avec intérêts calculés selon ces modalités à compter du 7 novembre 2023 — soit le premier jour ouvrable suivant la date à laquelle la banque avait été avisée de la fraude. À cela s’ajoute une indemnité de 2 000 euros au titre des frais de procédure. Le message est clair : une banque qui traîne à rembourser une opération frauduleuse non authentifiée voit sa dette gonfler mois après mois.

Que retenir de cet arrêt si vous êtes victime ?

Cette décision de la cour d’appel de Versailles n’invente aucune règle nouvelle, mais elle en fait une application rigoureuse et pédagogique, dont chaque victime de fraude au faux conseiller peut s’inspirer. Elle confirme, dans le prolongement d’une jurisprudence désormais nourrie (Com., 12 novembre 2020, n° 19-12.112 ; Com., 20 novembre 2024, n° 23-15.099 ; Com., 30 avril 2025, n° 24-10.149, tous publiés), que la banque qui veut échapper au remboursement doit franchir deux obstacles cumulatifs : prouver une authentification forte réelle et l’absence de déficience technique, avant même de pouvoir discuter la négligence du client.

Le grand enseignement pratique tient en une phrase : un log n’est pas une preuve, et un appareil « en attente » n’est pas un appareil authentifié. Face à une banque qui affiche un tableau d’opérations « validées par authentification forte », il faut systématiquement demander la démonstration des deux facteurs, de leur indépendance, et du statut exact des appareils utilisés. Les constats produits par la banque elle-même contiennent parfois — comme ici — la preuve de sa propre défaillance.

Quels leviers concrets pour obtenir un remboursement ?

Pour une victime de fraude au faux conseiller, spoofing, phishing ou création frauduleuse de cartes virtuelles, plusieurs axes se dégagent de cet arrêt :

1. Contester rapidement et par écrit. Le signalement de l’opération non autorisée déclenche l’obligation de remboursement immédiat de la banque et fait courir les intérêts majorés. Sur la manière de formuler cette contestation sans se piéger soi-même, nous détaillons la marche à suivre dans notre article : Fraude bancaire : que dire et ne pas dire à sa banque et dans sa plainte.

2. Placer le débat sur le terrain de la preuve. Ne cherchez pas à prouver que vous n’avez rien fait : exigez que la banque prouve l’authentification forte et l’absence de déficience technique (art. L. 133-23). C’est elle qui porte le fardeau.

3. Disséquer le dispositif de sécurité. Les deux facteurs étaient-ils réellement indépendants ? L’appareil ayant validé l’opération était-il « accepté » ou seulement « en attente » ? Le plafond des cartes a-t-il été respecté ? Autant de brèches possibles.

4. Ne pas accepter un partage de responsabilité. Le compromis « à moitié » est juridiquement fragile : soit la banque doit tout rembourser, soit rien. Un partage proposé par la banque est souvent un aveu de faiblesse sur la preuve de l’authentification forte.

Il existe enfin un levier encore sous-exploité : les obligations pesant sur la banque au titre du règlement technique RTS (les Regulatory Technical Standards qui complètent la DSP 2 en matière d’authentification forte et de surveillance des transactions). Le manquement à ces standards techniques peut nourrir la démonstration de la défaillance du prestataire, au-delà du seul débat sur l’authentification. Chaque dossier mérite une analyse au cas par cas.

Conclusion

L’arrêt de la cour d’appel de Versailles du 19 mai 2026 est une bonne nouvelle pour toutes les victimes de fraude au faux conseiller bancaire, particuliers comme professionnels. Il rappelle avec force que la protection instaurée par le droit européen des paiements n’est pas théorique : dès lors que la banque ne parvient pas à établir une authentification forte réelle — deux facteurs indépendants, effectivement vérifiés — le remboursement intégral s’impose, sans qu’aucune « négligence grave » du client ne puisse être opposée, et sans partage de responsabilité. Le détail qui a tout emporté ici — un appareil resté « en attente » de validation — illustre à quel point l’examen minutieux des pièces techniques produites par la banque peut renverser un dossier. Si vous êtes confronté à un refus de remboursement après une fraude, ne le tenez jamais pour définitif : la charge de la preuve joue en votre faveur, et c’est souvent dans les propres documents de la banque que se trouve la clé.

FAQ — Questions fréquentes

Ma banque affirme que l’opération a été « validée par authentification forte » : suis-je perdu ?
Non, loin de là. L’affirmation de la banque ne vaut pas preuve. Elle doit démontrer que l’opération reposait sur au moins deux facteurs indépendants (connaissance, possession, inhérence) réellement vérifiés. Comme le montre l’arrêt de Versailles, un appareil simplement « en attente » de validation ne satisfait pas le facteur possession : il n’y a alors pas d’authentification forte, et le remboursement s’impose.
Qui doit prouver quoi en cas d’opération contestée ?
C’est la banque, et non le client, qui supporte la charge de la preuve (art. L. 133-23 du code monétaire et financier). Elle doit prouver que l’opération a été authentifiée, dûment enregistrée et comptabilisée, et qu’elle n’a pas été affectée par une déficience technique. Le simple relevé interne d’utilisation de l’instrument de paiement ne suffit pas.
La banque peut-elle refuser de rembourser en invoquant ma négligence grave ?
Seulement si elle prouve d’abord avoir exigé une authentification forte. En vertu de l’article L. 133-19, V, si l’opération non autorisée a été effectuée sans authentification forte, le payeur ne supporte aucune conséquence financière (sauf fraude de sa part), et le juge n’a même pas à examiner une éventuelle négligence grave.
Le tribunal peut-il « partager » la responsabilité entre la banque et moi ?
Non. La Cour de cassation (Com., 15 janvier 2025, n° 23-13.579) a jugé que le régime est binaire : soit le client a commis une négligence grave et supporte la perte, soit la banque rembourse l’intégralité. Un partage de responsabilité à 50/50, comme celui retenu en première instance dans cette affaire, est juridiquement impossible et a été censuré par la cour d’appel.
Le spoofing (usurpation du numéro de ma banque) exclut-il ma négligence grave ?
Le fait que les fraudeurs aient affiché le vrai numéro du service client par spoofing est un élément fort pour écarter la négligence grave, car il rend l’escroquerie particulièrement crédible. Mais dans l’affaire jugée à Versailles, la question n’a même pas eu besoin d’être tranchée : faute d’authentification forte, l’examen de la négligence grave était sans objet.
Cela concerne-t-il aussi les entreprises et les comptes professionnels ?
Oui. La victime, dans cette affaire, était une société titulaire d’un compte professionnel. Le régime de responsabilité des opérations non autorisées (charge de la preuve, authentification forte, remboursement) s’applique aussi aux personnes morales et aux professionnels, même si certaines modalités (comme les délais de signalement) diffèrent selon la qualité de l’utilisateur.
Comment réagir concrètement après une fraude au faux conseiller ?
Contestez sans tarder et par écrit l’opération auprès de votre banque, en exigeant le remboursement au titre de l’article L. 133-18, et déposez plainte. La formulation de votre contestation et de votre plainte est déterminante : certaines phrases maladroites peuvent être retournées contre vous. Nous expliquons précisément quoi dire et ne pas dire dans notre guide : Fraude bancaire : que dire et ne pas dire à sa banque et dans sa plainte.

1521 2281 max

Besoin de conseils juridiques personnalisés ?

Ne restez pas seul face à vos questions. Un avocat peut vous rappeler gratuitement pour faire le point sur votre situation.

Besoin de conseils juridiques personnalisés ?

RGPD :

Articles similaires

surendettement 1

Surendettement, moratoire et déchéance du terme : la mise en demeure doit identifier précisément la dette réclamée – Cass. civ. 1re, 25 mars 2026, n° 24-20.953

Vous avez bénéficié d’un plan de surendettement comportant un moratoire sur le remboursement de vos prêts, et la banque a, à l’issue du moratoire, réaménagé ...

fraude carte bancaire 2

Authentification forte : stricte charge de la preuve en matière de fraude bancaire – CA Reims, Chambre 1 civile et commerciale, 18 novembre 2025, n° 24/01347

La Cour d’appel de Reims, par un arrêt rendu le 18 novembre 2025, a statué sur un litige opposant la S.A. Banque Populaire Alsace Lorraine ...

assets task 01jwe4t1n4ej2s0xxpe53y2qpy 1748526625 img 1 2

Les Règles Applicables au Paiement en Espèces en France

Alors que le ministre de la Justice, Monsieur Gérald Darmanin, a suggéré devant la commission d’enquête du Sénat sur la délinquance financière, le jeudi 22 ...