Escroquerie à l'enfant qui a perdu ou cassé son téléphone : la banque doit prouver l’authentification forte avant tout refus de remboursement (TJ Paris, 22 mai 2026, n° 24/09224)

Victimes d’une « escroquerie à l’enfant qui a cassé son téléphone », deux clients d’une banque parisienne se voient débiter 10 805 euros en une seule journée, par carte, au profit de fraudeurs. La banque refuse tout remboursement : selon elle, le client a transmis lui-même ses données de carte et a donc commis une « négligence grave ». Le 22 mai 2026, le Tribunal judiciaire de Paris balaie l’argument et condamne la banque à rembourser l’intégralité des sommes. La raison est limpide et tient en une phrase que toute victime de fraude devrait connaître : avant même de discuter d’une faute du client, c’est à la banque de prouver qu’elle a mis en œuvre une authentification forte. Et un tableau interne orné de dessins ne suffit pas.

Tribunal judiciaire de Paris, 9^e chambre 2^e section, 22 mai 2026, n° RG 24/09224

🔑 Points clés à retenir

La banque a été condamnée à rembourser 3 844 € (compte joint) et 6 961 € (compte personnel), soit la totalité des 10 805 € frauduleusement débités le 19 décembre 2023.
En matière d’opération non autorisée, la charge de la preuve pèse d’abord sur la banque : elle doit établir l’authentification forte de l’opération avant de pouvoir invoquer une négligence grave du client (article L.133-23 du code monétaire et financier).
Un tableau récapitulatif interne, comportant des dessins assortis de légendes (« notification validée », « code OTP + biométrie »), n’est qu’un simple commencement de preuve par écrit (article 1361 du code civil) qui doit être corroboré : seul, il ne prouve pas l’authentification forte.
L’authentification forte suppose la combinaison d’au moins deux éléments parmi « connaissance », « possession » et « inhérence » (article L.133-4, f). Le tribunal n’en a trouvé aucun dans les pièces de la banque.
La banque ayant échoué à prouver l’authentification forte, le tribunal n’a même pas eu à examiner la prétendue négligence grave du client.
Limites : la demande de préjudice moral et de résistance abusive (6 000 €) et la capitalisation des intérêts ont été rejetées, le régime de la DSP2 étant d’harmonisation totale. Les sommes ne portent que les intérêts au taux légal majoré, et non le taux de 15 % réclamé.

Sommaire ▼

Que s’est-il passé dans cette affaire ?
Qui doit prouver quoi en cas de paiement non autorisé ?
Pourquoi la banque doit-elle prouver l’authentification forte en premier ?
La négligence grave du client suffit-elle à exonérer la banque ?
Qu’est-ce qu’une authentification forte et comment se prouve-t-elle ?
Un tableau interne de la banque suffit-il à prouver l’authentification forte ?
Qu’a finalement décidé le tribunal de Paris ?
Quelles sont les limites de cette décision pour les victimes ?
Que faire si vous êtes victime d’une fraude au faux conseiller ?
FAQ — Questions fréquentes

Que s’est-il passé dans cette affaire ?

Un couple est titulaire d’un compte joint dans les livres d’une banque privée parisienne ; l’époux dispose en outre d’un compte personnel dans le même établissement. Le 19 décembre 2023, onze opérations par carte bancaire débitent leurs deux comptes pour un montant total de 10 805 euros, en quelques heures. Sur le compte joint, quatre paiements identiques de 961 euros sont passés au profit d’un même bénéficiaire. Sur le compte personnel, six paiements de 1 000 euros et un paiement de 961 euros viennent s’ajouter.

Les clients expliquent avoir été pris au piège d’un scénario désormais bien rodé, que la pratique désigne sous le nom d’« escroquerie à l’enfant qui a perdu ou cassé son téléphone ». Concrètement, l’époux a été contacté par une personne se présentant comme sa fille, prétendument injoignable sur son numéro habituel parce que son téléphone serait hors service. Mis en confiance — le fraudeur connaissait des éléments personnels et le nom de la fille apparaissait même dans des échanges de SMS produits aux débats —, le client a fini par communiquer les informations qui ont permis les paiements litigieux. Il s’agit donc d’une variante de la fraude au faux conseiller (ou spoofing) appliquée au cercle familial.

📖 Définition — Fraude au faux conseiller (spoofing)
Technique d’escroquerie consistant, pour le fraudeur, à se faire passer pour une personne de confiance (conseiller bancaire, proche, administration) afin d’obtenir des données sensibles ou de faire valider des opérations. Le spoofing désigne plus précisément l’usurpation d’un numéro d’appel ou d’une identité numérique pour rendre la supercherie crédible. La victime croit dialoguer avec un interlocuteur légitime alors qu’elle communique en réalité avec un escroc.

Les clients réagissent vite : signalement auprès de la gendarmerie nationale, formulaires de contestation adressés à la banque dès le 3 janvier 2024, puis lettre recommandée avec accusé de réception de leur conseil le 13 février 2024. Faute de remboursement, ils assignent la banque le 22 juillet 2024 pour engager sa responsabilité, en s’appuyant notamment sur les articles L.133-6 et suivants du code monétaire et financier. Ils réclament le remboursement des sommes débitées, des intérêts au taux majoré de 15 % à compter du 19 janvier 2024, la capitalisation des intérêts, ainsi que 6 000 euros au titre du préjudice moral et de la résistance abusive de la banque.

La banque, elle, refuse de rembourser. Son argument est frontal : le client aurait commis une négligence grave en transmettant l’intégralité de ses identifiants et coordonnées de carte à un tiers, fût-il présenté comme sa fille. Elle souligne que l’intéressé avait déjà été victime d’une fraude en 2023 (4 650 euros, treize opérations), prise en charge par ses soins en juillet de la même année — laissant entendre qu’il aurait dû être plus vigilant. Elle affirme enfin que les opérations litigieuses ont fait l’objet d’une authentification forte, validée par le client lui-même.

🗓️ Le fil de l’affaire en un coup d’œil

19 déc. 2023 — 11 opérations frauduleuses par carte (10 805 €)
→ 27 déc. 2023 — Signalement à la gendarmerie
→ 3 janv. 2024 — Formulaires de contestation à la banque
→ 13 févr. 2024 — Mise en demeure par LRAR
→ 22 juil. 2024 — Assignation de la banque
→ 22 mai 2026 — Jugement : banque condamnée à rembourser l’intégralité

Qui doit prouver quoi en cas de paiement non autorisé ?

C’est tout l’enjeu du dossier, et c’est là que la décision est précieuse. Lorsqu’un client conteste une opération qu’il dit ne pas avoir autorisée, le réflexe naturel — entretenu par les banques — serait de croire que c’est à lui de démontrer qu’il n’est pour rien dans l’opération. C’est exactement l’inverse. Le code monétaire et financier, qui transpose la deuxième directive européenne sur les services de paiement (dite DSP2), fait peser la charge de la preuve sur le prestataire de services de paiement, c’est-à-dire la banque.

📖 Définition — Opération de paiement non autorisée
Opération qui n’a pas reçu le consentement du titulaire du compte selon les modalités convenues. Dès lors qu’une telle opération est signalée par l’utilisateur dans le délai légal de treize mois (article L.133-24), la banque doit en principe rembourser immédiatement, et au plus tard le premier jour ouvrable suivant, sauf à pouvoir s’exonérer dans des conditions strictement encadrées.

L’article L.133-23 du code monétaire et financier est le pivot du raisonnement. Il dispose que, lorsqu’un utilisateur nie avoir autorisé une opération exécutée, « il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre ». Autrement dit, c’est la banque qui supporte le risque de la preuve. Si elle ne parvient pas à établir ces éléments, elle doit rembourser.

Pourquoi la banque doit-elle prouver l’authentification forte en premier ?

Le tribunal rappelle que la banque ne peut s’exonérer de sa responsabilité, du fait des paiements non autorisés, qu’à une double condition : d’une part, établir que ces paiements ont été authentifiés, dûment enregistrés et comptabilisés, sans déficience technique de son système ; d’autre part, démontrer que l’utilisateur a commis une négligence grave. Ces deux conditions ne sont pas au même niveau : elles s’enchaînent dans un ordre logique impératif.

La formule employée par le jugement est remarquable de clarté : « avant d’établir l’existence d’une négligence grave excluant tout droit à réparation des demandeurs, l’établissement bancaire doit prouver que les opérations en litige ont fait l’objet d’une authentification forte ». La preuve de l’authentification forte est donc un préalable. Tant qu’elle n’est pas rapportée, la discussion sur le comportement du client n’a même pas lieu d’être. C’est un point capital : la banque ne peut pas se contenter d’agiter la « négligence grave » du client pour court-circuiter son propre fardeau probatoire.

⚖️ L’ordre de la preuve, étape par étape

1. La banque doit d’abord prouver l’authentification forte + l’enregistrement + l’absence de déficience technique
↓ si elle échoue à cette première étape
➜ Remboursement automatique du client — fin du débat

↓ ce n’est que si elle réussit la première étape
2. … qu’elle peut alors tenter de démontrer une négligence grave du client

La négligence grave du client suffit-elle à exonérer la banque ?

Non, et c’est là toute la subtilité que les banques tentent souvent d’occulter. La négligence grave n’est qu’une seconde condition d’exonération, qui ne peut être examinée qu’une fois la première franchie. Dans cette affaire, la banque misait beaucoup sur la transmission, par le client, de ses données de carte à un tiers — un comportement qui, dans d’autres contentieux, peut effectivement caractériser une négligence grave.

📖 Définition — Négligence grave
Manquement caractérisé de l’utilisateur à son obligation de préserver la sécurité de ses données de paiement (article L.133-16). Elle suppose un comportement d’une particulière imprudence, dépassant la simple négligence. C’est à la banque de la prouver, et elle s’apprécie au regard des circonstances concrètes : sophistication de la fraude, mise en confiance de la victime, usurpation d’identité, etc.

Mais le tribunal n’a pas eu à trancher cette question. Puisque la banque a échoué dès la première étape — l’authentification forte —, le juge a expressément indiqué qu’il n’avait pas « à statuer sur les autres conditions exigées par la loi pour retenir une exonération de responsabilité de cet établissement bancaire ». La prétendue négligence grave du client, longuement développée par la banque, est ainsi devenue sans objet. Voilà un enseignement stratégique de premier ordre : attaquer la preuve de l’authentification forte permet, dans bien des cas, de rendre inutile tout le débat sur le comportement de la victime.

Qu’est-ce qu’une authentification forte et comment se prouve-t-elle ?

L’authentification forte est au cœur du dispositif de sécurité voulu par la DSP2. Elle n’est pas une formalité : c’est une exigence technique précise, dont la définition est posée par l’article L.133-4, f du code monétaire et financier.

📖 Définition — Authentification forte du client
Procédure reposant sur l’utilisation d’au moins deux éléments indépendants appartenant à des catégories différentes : la « connaissance » (quelque chose que seul l’utilisateur connaît, par exemple un mot de passe), la « possession » (quelque chose que seul l’utilisateur possède, par exemple un téléphone enregistré) et l’« inhérence » (quelque chose que l’utilisateur est, par exemple une empreinte biométrique). Les éléments doivent être indépendants : la compromission de l’un ne doit pas remettre en cause la fiabilité des autres.

Concrètement, pour un paiement par carte, l’authentification forte se traduit le plus souvent par la combinaison d’un code unique à usage unique (OTP), transmis sur un appareil téléphonique appartenant au client et préalablement enregistré, et d’une validation par biométrie ou par un code de sécurité. La banque qui veut s’exonérer doit donc démontrer que deux facteurs distincts ont effectivement été mis en œuvre pour chacune des opérations contestées. Ce n’est pas une simple affirmation : c’est une preuve technique, opération par opération.

Un tableau interne de la banque suffit-il à prouver l’authentification forte ?

C’est la question décisive, et la réponse du tribunal est nuancée mais ferme. Pour prouver l’authentification forte, la banque produisait un tableau chronologique des opérations litigieuses. Ce document comportait, selon les lignes, soit « un dessin formé d’un rond au tracé irrégulier duquel partent deux traits vers la droite », censé signifier que « le client a validé une notification via son téléphone enrôlé », soit « l’esquisse d’une personne surmontée d’une clé et d’une bulle de discussion », censée signifier que le client a saisi un code OTP reçu par SMS puis validé par biométrie ou code de sécurité.

Premier point, favorable à la banque sur le principe : le tribunal admet que la valeur probante de ce document ne peut être écartée du seul fait qu’il émane de la banque elle-même. Un prestataire de services de paiement peut en effet « difficilement démontrer la mise en œuvre de l’authentification forte par d’autres moyens » que ses propres journaux techniques. Le juge accepte donc de considérer ce tableau comme un commencement de preuve par écrit au sens de l’article 1361 du code civil.

📖 Définition — Commencement de preuve par écrit
Écrit qui rend vraisemblable le fait allégué sans le prouver à lui seul. Il ne vaut preuve complète qu’à condition d’être corroboré par d’autres éléments (témoignages, indices, autres documents). Un commencement de preuve par écrit, laissé sans corroboration, est insuffisant pour emporter la conviction du juge.

Et c’est précisément là que la banque échoue. Le tribunal relève qu’à l’examen, le tableau « ne révèle aucun des deux attributs » parmi la « connaissance », la « possession » et l’« inhérence » que doit réunir une authentification forte. Les légendes explicatives, émanant du seul prestataire, ne suffisent pas : la banque ne produit aucun élément démontrant que les deux facteurs ont effectivement été utilisés. Le code unique aurait-il été envoyé sur le téléphone enregistré du client ? Une validation biométrique aurait-elle été réalisée ? Aucune pièce ne l’atteste. Ni le signalement effectué par le client auprès de la gendarmerie, ni aucun autre document ne vient corroborer le tableau.

En somme, des dessins accompagnés de légendes rédigées par la banque ne valent pas preuve de l’authentification forte. Il faut des éléments objectifs, vérifiables, démontrant la mise en œuvre concrète de deux facteurs indépendants. Le commencement de preuve par écrit n’ayant pas été corroboré, il s’effondre.

Qu’a finalement décidé le tribunal de Paris ?

La conclusion s’impose d’elle-même. Ne démontrant pas que les opérations litigieuses ont fait l’objet d’une authentification forte, la banque est tenue d’en opérer le remboursement, « sans que le tribunal ait à statuer sur les autres conditions exigées par la loi » — c’est-à-dire sans examiner la négligence grave. La banque est condamnée à verser au couple, pris ensemble, la somme de 3 844 euros (compte joint), et à l’époux, seul, la somme de 6 961 euros (compte personnel). Soit la totalité des sommes frauduleusement débitées.

Ces sommes portent intérêts au taux légal majoré, dans les conditions prévues à l’article L.133-18 du code monétaire et financier. La banque est en outre condamnée aux dépens et à verser 1 500 euros au titre de l’article 700 du code de procédure civile.

✅ Ce que la banque doit payer

• 3 844 € au couple (opérations du compte joint)
• 6 961 € à l’époux (opérations du compte personnel)
• Intérêts au taux légal majoré (art. L.133-18)
• 1 500 € au titre de l’article 700 + dépens

✗ Demandes rejetées

• 6 000 € de préjudice moral et résistance abusive
• Capitalisation des intérêts
• Taux d’intérêt conventionnel de 15 % réclamé

Quelles sont les limites de cette décision pour les victimes ?

La victoire est nette sur le principal, mais elle n’est pas totale, et il serait malhonnête de le passer sous silence. Le tribunal a en effet rejeté deux demandes accessoires importantes, pour un motif qui mérite l’attention de toute victime et de son conseil : l’harmonisation totale de la DSP2.

📖 Définition — Harmonisation totale
Technique d’harmonisation européenne par laquelle une directive fixe un régime uniforme que les États membres ne peuvent ni alléger ni durcir. Pour les services de paiement, la DSP2 (directive (UE) 2015/2366) est d’harmonisation totale : le régime de responsabilité qu’elle organise se suffit à lui-même et exclut l’application de règles nationales concurrentes.

Sur ce fondement, le tribunal écarte d’abord la demande de capitalisation des intérêts : elle n’entre pas dans le champ de l’article L.133-18, dont les dispositions résultent d’une directive d’harmonisation totale. Il rejette ensuite la demande de 6 000 euros au titre du préjudice moral et de la résistance abusive : ce chef de demande supposait de mobiliser le droit commun de la responsabilité civile (article 1240 du code civil), or le régime spécial des articles L.133-18 et suivants, issu de la DSP2, « exclut l’application de tout régime alternatif de responsabilité issu du droit national ». Pour la même raison, le taux d’intérêt conventionnel de 15 % réclamé est écarté au profit du seul taux légal majoré.

On peut s’interroger sur la rigueur de cette lecture. Si le mécanisme de remboursement des opérations non autorisées relève bien du régime exclusif de la DSP2, on peut soutenir qu’un préjudice distinct du simple débit frauduleux — par exemple les tracas et démarches occasionnés par un refus de remboursement persistant et infondé — ne se confond pas nécessairement avec l’objet du régime spécial. La frontière entre ce que la DSP2 absorbe et ce qui peut subsister sur le terrain du droit commun reste un terrain de discussion, que les prochaines décisions et, le cas échéant, la Cour de justice de l’Union européenne, seront amenées à préciser. Le débat n’est pas clos.

Il existe par ailleurs un levier encore sous-exploité par les victimes : les obligations techniques de la banque au titre des normes RTS (les standards techniques de réglementation qui complètent la DSP2), qui imposent des exigences précises en matière d’authentification forte et de surveillance des transactions. La méconnaissance de ces standards peut, elle, nourrir utilement l’argumentation contre l’établissement. À l’inverse, on évitera de fonder une demande d’indemnisation sur un manquement de la banque à ses obligations de lutte contre le blanchiment : ces obligations poursuivent une finalité d’ordre public et ne protègent pas les intérêts privés du client. Quant au dépôt de plainte et au signalement aux autorités, ils restent utiles sur le plan probatoire et pour le recouvrement, mais ne constituent pas, en eux-mêmes, un fondement civil d’indemnisation.

Que faire si vous êtes victime d’une fraude au faux conseiller ?

Cette décision dessine une feuille de route claire pour les victimes. Le premier réflexe est de contester sans tarder les opérations auprès de la banque, par écrit, en respectant impérativement le délai de treize mois prévu par l’article L.133-24 — au-delà, l’action est forclose. Conservez la trace de toutes vos démarches : formulaires de contestation, courriers recommandés, récépissé de plainte ou de main courante.

Le deuxième réflexe est de ne pas se laisser intimider par l’argument de la « négligence grave ». Tant que la banque n’a pas prouvé l’authentification forte, opération par opération, par des éléments objectifs et vérifiables, votre comportement n’a pas à être discuté. Exigez de la banque qu’elle produise la preuve technique réelle des deux facteurs d’authentification, et non un simple tableau récapitulatif assorti de légendes maison. Comme le montre cette affaire, l’absence d’une telle preuve emporte à elle seule le remboursement.

🧭 Les bons réflexes en cas de fraude bancaire

1. Contester par écrit, immédiatement, dans le délai de 13 mois
2. Déposer plainte et conserver tous les justificatifs
3. Demander à la banque la preuve technique de l’authentification forte
4. Ne pas se laisser opposer la « négligence grave » tant que cette preuve n’est pas rapportée
5. Faire analyser le dossier par un avocat en droit bancaire avant d’engager l’action

Conclusion

Le jugement du Tribunal judiciaire de Paris du 22 mai 2026 est une excellente nouvelle pour les victimes de fraudes par carte. Il réaffirme avec netteté un principe trop souvent malmené : en matière d’opération de paiement non autorisée, c’est à la banque de prouver qu’elle a mis en œuvre une authentification forte, et cette preuve doit précéder toute discussion sur le comportement du client. Un tableau interne agrémenté de pictogrammes ne suffit pas ; il faut des éléments objectifs établissant la combinaison effective de deux facteurs indépendants. À défaut, la banque rembourse — peu importe que le client ait, par ailleurs, été imprudent.

La décision comporte certes ses limites : sous couvert d’harmonisation totale de la DSP2, le tribunal a refusé le préjudice moral, la résistance abusive et la capitalisation des intérêts. Ce point mérite d’être discuté et, sans doute, contesté dans de futurs dossiers. Mais sur l’essentiel — le remboursement intégral des sommes détournées —, la victime obtient gain de cause. Pour qui sait porter le débat sur le terrain de la preuve de l’authentification forte, le rapport de force avec la banque s’inverse. Si vous êtes confronté à un refus de remboursement après une fraude, n’hésitez pas à faire examiner votre dossier : la jurisprudence est aujourd’hui largement de votre côté.

FAQ — Questions fréquentes

Ma banque refuse de me rembourser une fraude par carte en invoquant ma négligence. Que faire ?

La banque ne peut vous opposer une négligence grave qu’après avoir d’abord prouvé l’authentification forte des opérations contestées. Tant qu’elle n’apporte pas cette preuve technique, opération par opération, le débat sur votre comportement n’a pas lieu d’être et le remboursement s’impose. Exigez qu’elle produise les éléments objectifs établissant la mise en œuvre de deux facteurs d’authentification indépendants.

Qu’est-ce que l’authentification forte exactement ?

C’est une procédure de sécurité reposant sur au moins deux éléments indépendants appartenant à des catégories différentes : la connaissance (un mot de passe), la possession (un téléphone enregistré) et l’inhérence (une empreinte biométrique). Pour un paiement par carte, cela se traduit généralement par un code à usage unique reçu sur votre téléphone, combiné à une validation biométrique ou par code de sécurité. La banque doit prouver que ces deux facteurs ont réellement été utilisés.

Un tableau récapitulatif fourni par la banque prouve-t-il l’authentification forte ?

Pas à lui seul. Le Tribunal judiciaire de Paris a jugé qu’un tel document, émanant de la seule banque et comportant des dessins assortis de légendes, n’est qu’un commencement de preuve par écrit. Il doit être corroboré par d’autres éléments démontrant concrètement l’usage des deux facteurs d’authentification. Sans corroboration, il ne suffit pas et la banque doit rembourser.

J’ai moi-même communiqué mes données au fraudeur. Puis-je quand même être remboursé ?

Oui, c’est possible. Dans l’affaire jugée le 22 mai 2026, le client avait transmis ses données à un escroc se faisant passer pour sa fille, et il a pourtant obtenu le remboursement intégral. La raison : la banque n’a pas réussi à prouver l’authentification forte, condition qui doit être remplie avant même d’examiner une éventuelle négligence grave. La transmission de vos données ne scelle donc pas automatiquement votre sort.

Dans quel délai dois-je contester une opération frauduleuse ?

Vous disposez d’un délai de treize mois à compter de la date de débit pour signaler une opération non autorisée à votre banque (article L.133-24 du code monétaire et financier). Passé ce délai, votre action est forclose. Il est vivement conseillé de contester par écrit dès la découverte de la fraude, sans attendre, et de conserver la preuve de vos démarches.

Puis-je obtenir des dommages-intérêts en plus du remboursement ?

C’est plus incertain. Dans cette affaire, le tribunal a rejeté la demande de préjudice moral et de résistance abusive, estimant que le régime de la DSP2, d’harmonisation totale, exclut l’application du droit commun de la responsabilité. Cette lecture est discutable et pourra être contestée dans d’autres dossiers, notamment pour des préjudices réellement distincts du débit frauduleux. Le remboursement des sommes détournées, en revanche, est solidement acquis.

Faut-il un avocat pour agir contre sa banque après une fraude ?

Ce n’est pas obligatoire pour les démarches amiables, mais l’assistance d’un avocat en droit bancaire est précieuse dès lors que la banque oppose un refus. Le contentieux se joue sur la charge de la preuve et sur des notions techniques (authentification forte, RTS, DSP2) que l’avocat saura mobiliser pour renverser l’argumentation de la banque. Un examen du dossier permet d’évaluer vos chances avant d’engager l’action.