Cour d’appel de Rennes, 2e chambre, 26 mai 2026, n° RG 24/00410 (sur le régime applicable à l’enrôlement frauduleux d’une carte dans un portefeuille de paiement mobile).
🔑 Points clés à retenir
- Le Ghost Tap est une fraude par relais NFC : la carte volée est enrôlée dans un wallet (Apple Pay / Google Pay) sur le téléphone du fraudeur, puis un complice paie en magasin pendant que le signal est relayé en temps réel, parfois à des centaines de kilomètres.
- L’association européenne pour les transactions sécurisées (EAST) a constaté une hausse d’environ 25 % de la fraude sur les terminaux de paiement début 2025, en grande partie liée au relais NFC et au Ghost Tap.
- Ces paiements sont des opérations de paiement non autorisées : la banque doit rembourser immédiatement (art. L. 133-18 du code monétaire et financier), sauf à prouver une cause d’exonération.
- L’enrôlement d’une carte dans un wallet, validé une fois par SMS, ne vaut pas autorisation des paiements suivants : l’authentification forte doit porter sur chacune des opérations (CA Rennes, 26 mai 2026).
- C’est à la banque de prouver que chaque débit a été authentifié, enregistré et comptabilisé sans déficience technique (art. L. 133-23 CMF). La seule utilisation de la carte ou d’un code ne suffit pas.
- Si l’opération a eu lieu sans authentification forte, le client ne supporte aucune perte, sauf fraude de sa part — même s’il a été négligent (art. L. 133-19, V CMF).
- Pas besoin de plainte pour être indemnisé : une opposition rapide après l’alerte suffit à démontrer sa diligence.
Sommaire ▼
- Qu’est-ce que le Ghost Tap et en quoi est-ce une fraude inédite ?
- Comment fonctionne concrètement une attaque par relais NFC ?
- Faut-il confondre le « Ghost Tap » NFC et le « Ghost Tapping » tactile ?
- Ces paiements sont-ils des opérations « non autorisées » au sens de la loi ?
- Qui doit prouver la fraude : vous ou votre banque ?
- L’enrôlement de ma carte dans Apple Pay vaut-il autorisation de tous les paiements ?
- La banque peut-elle m’opposer une « négligence grave » ?
- Que se passe-t-il s’il n’y a pas eu d’authentification forte ?
- Quels autres leviers mobiliser face à la banque ?
- Que faire concrètement si vous êtes victime d’un Ghost Tap ?
- FAQ — Questions fréquentes
Qu’est-ce que le Ghost Tap et en quoi est-ce une fraude inédite ?
Le Ghost Tap (littéralement « tapotement fantôme ») est une technique de fraude apparue dans le paysage français au début de l’année 2026. Elle exploite une faiblesse non pas des cartes elles-mêmes, mais de la chaîne d’enrôlement des cartes dans les portefeuilles de paiement mobile. Son principe est aussi simple que redoutable : faire payer, dans un magasin physique, une carte bancaire qui se trouve en réalité à des centaines de kilomètres de là, sur le téléphone d’un fraudeur.
Là où la fraude « classique » à la carte suppose souvent une transaction en ligne ou la possession physique de la carte, le Ghost Tap rompt le lien entre la carte et le lieu du paiement. Le fraudeur n’a plus besoin de votre carte : il lui suffit d’avoir réussi, une fois, à l’enrôler dans son propre wallet. Ensuite, des complices « mules » écoulent les paiements en boutique, en approchant simplement leur smartphone du terminal.
Le Ghost Tap est une fraude qui consiste à relayer en temps réel le signal de paiement sans contact (NFC) entre deux téléphones distants. La carte volée est enregistrée dans un portefeuille mobile sur l’appareil du fraudeur ; un complice approche un second téléphone d’un terminal en magasin, et la transaction est validée comme si la carte était présente.
Ce qui rend le phénomène préoccupant, c’est sa montée en puissance. L’association européenne pour les transactions sécurisées (EAST) a relevé une hausse d’environ 25 % de la fraude sur les terminaux de paiement en Europe début 2025, en grande partie imputable au relais de données NFC et au Ghost Tap. Les outils nécessaires, initialement conçus pour la recherche en sécurité informatique, circulent désormais sur des forums clandestins, abaissant le niveau technique requis pour passer à l’acte.
Comment fonctionne concrètement une attaque par relais NFC ?
Pour bien saisir l’enjeu juridique, il faut comprendre la mécanique. Une attaque Ghost Tap se déroule typiquement en cinq temps.
1. Le vol des données et du code de validation. Tout commence souvent par un hameçonnage (faux SMS de la banque, d’un service de livraison, d’un organisme officiel) ou par un logiciel malveillant. Le but n’est pas seulement de récupérer le numéro de carte : c’est surtout d’intercepter le code de validation à usage unique (reçu par SMS ou notification) qui sert à enrôler la carte dans un portefeuille mobile.
2. L’enrôlement frauduleux dans le wallet. Muni de ces éléments, le fraudeur ajoute la carte volée à Apple Pay ou Google Pay sur son propre téléphone. La carte est désormais « tokenisée » et prête à payer, sans que la victime ne se doute de rien.
3. La mise en place du relais. Deux smartphones équipés d’une application de relais NFC communiquent via un serveur intermédiaire : l’un détient la carte enrôlée, l’autre sera présenté en magasin.
4. Le passage en caisse. Une « mule » approche son téléphone du terminal de paiement. La demande du terminal est relayée instantanément vers le téléphone du fraudeur qui détient la carte. Le terminal reçoit une réponse valide et autorise le paiement, sans détecter que l’opération provient d’un autre lieu — ce qui neutralise au passage les contrôles de géolocalisation.
5. L’écoulement en série. L’opération est répétée, dans plusieurs commerces, jusqu’à ce que la victime s’aperçoive des débits et fasse opposition.
🕐 Le schéma d’une attaque Ghost Tap
Hameçonnage → vol du numéro de carte + interception du code de validation
↓
Enrôlement de la carte dans le wallet du fraudeur (téléphone tiers)
↓
Relais NFC entre le téléphone du fraudeur et celui de la « mule »
↓
Paiements en magasin validés à distance, géolocalisation contournée
↓
Opposition de la victime dès la première alerte
Le point décisif, sur le terrain du droit, est le suivant : la fraude ne réussit que parce qu’une carte a pu être enrôlée dans un wallet. Or, comme on va le voir, cet enrôlement ne dispense jamais la banque d’authentifier ensuite chaque paiement.
Faut-il confondre le « Ghost Tap » NFC et le « Ghost Tapping » tactile ?
Une précision s’impose, car deux fraudes au nom voisin circulent et sèment la confusion.
Le Ghost Tapping (tactile) désigne une attaque par logiciel malveillant qui simule des gestes sur l’écran d’un smartphone (taps, balayages, saisies) pour dérober des identifiants ou déclencher des opérations à l’insu de l’utilisateur. Elle vise surtout Android et repose sur l’abus des fonctions d’accessibilité du téléphone.
Le Ghost Tap (NFC), notre sujet, est tout autre : il ne contrôle pas votre écran, il relaie le signal de paiement sans contact entre deux appareils distants. Il concerne aussi bien Apple Pay que Google Pay.
⚖️ Deux fraudes à ne pas confondre
Ghost Tapping (tactile) — un malware simule des gestes sur l’écran → vol d’identifiants, prise de contrôle.
≠
Ghost Tap (NFC) — relais du signal sans contact entre deux téléphones → paiement à distance avec une carte enrôlée dans un wallet.
Dans les deux cas, le mode opératoire technique est différent, mais le sort juridique des paiements frauduleux obéit au même régime protecteur : celui des opérations de paiement non autorisées.
Ces paiements sont-ils des opérations « non autorisées » au sens de la loi ?
Oui, et c’est le socle de toute la défense des victimes. Lorsque le titulaire n’a consenti ni à l’enrôlement de sa carte dans le wallet, ni aux paiements qui en découlent, on est dans le champ des opérations de paiement non autorisées, régies par les articles L. 133-6, L. 133-7, L. 133-18 et L. 133-19 du code monétaire et financier.
C’est une opération à laquelle le payeur n’a pas donné son consentement, dans les formes et selon les modalités convenues avec sa banque. Un paiement réalisé par un fraudeur à partir d’une carte enrôlée à l’insu du titulaire entre dans cette catégorie : juridiquement, il n’a jamais été « autorisé ».
Le principe est posé par l’article L. 133-18 : en cas d’opération non autorisée signalée par l’utilisateur, la banque doit rembourser immédiatement le montant et rétablir le compte dans l’état où il se serait trouvé. Le remboursement est la règle ; le refus, l’exception strictement encadrée. Ce régime, issu de la deuxième directive européenne sur les services de paiement (DSP2), est délibérément protecteur de l’utilisateur, partie réputée faible face à l’établissement.
Autrement dit : la sophistication de la fraude n’y change rien. Que le fraudeur ait utilisé un relais NFC dernier cri ou une méthode plus rudimentaire, la qualification reste la même, et la mécanique du remboursement s’enclenche dès le signalement.
Qui doit prouver la fraude : vous ou votre banque ?
C’est le malentendu le plus fréquent — et le plus coûteux pour les victimes. Beaucoup pensent qu’il leur revient de démontrer qu’elles n’ont pas réalisé les opérations. C’est l’inverse.
Il s’agit de l’établissement qui tient le compte et exécute les opérations : banque traditionnelle, banque en ligne ou établissement de paiement. C’est sur lui que pèse la charge de prouver qu’une opération contestée a bien été autorisée et correctement authentifiée.
L’article L. 133-23 du code monétaire et financier est sans ambiguïté : lorsque l’utilisateur conteste avoir autorisé une opération, il appartient à la banque de prouver que l’opération a été « authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre ». Mieux encore, le texte précise que la seule utilisation de l’instrument de paiement ou des données de sécurité ne suffit pas, à elle seule, à établir l’autorisation par le payeur ou une faute de sa part.
Appliqué au Ghost Tap, cela signifie qu’il ne suffit pas à la banque d’affirmer que « la carte a été enrôlée et le paiement validé par le système ». Le simple fait que la bonne carte, le bon token ou le bon téléphone aient été techniquement utilisés ne démontre rien, ni de votre accord, ni de votre faute. La cour d’appel de Rennes a fait une application rigoureuse de ce principe dans son arrêt du 26 mai 2026.
L’enrôlement de ma carte dans Apple Pay vaut-il autorisation de tous les paiements ?
C’est la question décisive, et la réponse est non. La cour d’appel de Rennes l’a tranchée frontalement dans une affaire emblématique : une cliente d’une banque en ligne avait vu sa carte enrôlée, à son insu, dans Apple Pay sur un téléphone tiers, après une simple confirmation par SMS. Onze opérations frauduleuses avaient suivi, pour un total de 6 667,56 euros. La banque refusait de rembourser, soutenant que l’authentification forte avait été « assurée à l’enrôlement » et que la cliente avait été gravement négligente.
La cour a écarté cet argument avec netteté : « l’authentification forte s’entend d’une authentification de chacune des opérations en cause et non de la validation d’un moyen de paiement ». La validation initiale de l’enrôlement ne couvre donc pas les paiements ultérieurs. La banque a été condamnée à rembourser l’intégralité des sommes, augmentées des frais de procédure.
⚖️ Deux actes à ne pas confondre
Enrôlement du moyen de paiement (une seule validation) → associer la carte à un appareil.
≠
Authentification de chaque paiement (exigée à chaque opération) → autoriser un transfert précis vers un bénéficiaire précis.
La validation de l’enrôlement ne couvre jamais les paiements suivants.
La logique est imparable. Admettre qu’une validation unique de l’enrôlement couvre l’ensemble des paiements futurs reviendrait à offrir un blanc-seing au fraudeur : il lui suffirait de réussir une fois à enrôler la carte sur son téléphone pour piller ensuite le compte sans limite. Le Ghost Tap est précisément la mise en œuvre, à l’échelle industrielle, de ce scénario. La jurisprudence Rennes lui oppose une digue : la banque reste tenue de veiller à l’authenticité de chaque opération, quel que soit le wallet utilisé.
La banque peut-elle m’opposer une « négligence grave » ?
C’est l’autre grande défense des établissements. L’article L. 133-19, IV du code monétaire et financier prévoit que l’utilisateur supporte les pertes s’il a commis une négligence grave dans la conservation de ses données de sécurité — par exemple en communiquant un code à un faux conseiller.
La négligence grave est un manquement caractérisé de l’utilisateur à son obligation de préserver la sécurité de ses dispositifs de paiement. C’est la principale exception qui permet à la banque de refuser le remboursement. Mais c’est à la banque de la prouver, et la jurisprudence l’apprécie strictement, au regard d’indices objectifs d’anomalie dont disposait un utilisateur normalement attentif.
Deux limites majeures, toutefois, réduisent fortement la portée de cet argument — et elles jouent toutes deux en faveur des victimes de Ghost Tap.
Première limite : l’ordre des preuves. Avant même de pouvoir discuter d’une éventuelle négligence, la banque doit d’abord franchir l’obstacle probatoire de l’authentification opération par opération (art. L. 133-23). Tant que cette preuve n’est pas rapportée, le débat sur la négligence n’a pas lieu d’être. C’est exactement le raisonnement de la cour de Rennes : faute pour la banque de démontrer l’authentification de chaque débit et l’absence de déficience technique, la question de la négligence n’était même pas examinée, et le remboursement s’imposait.
Seconde limite : l’absence d’authentification forte. Comme on le verra au point suivant, lorsque l’opération non autorisée a été exécutée sans authentification forte, le client ne supporte aucune perte, sauf fraude de sa part — même s’il a été négligent.
Reste que la négligence grave s’apprécie in abstracto, à la lumière des indices d’anomalie qu’un utilisateur attentif aurait pu déceler. Or les fraudes par hameçonnage et usurpation sont devenues si sophistiquées (numéro de la banque usurpé, discours crédible, messages calibrés) que la jurisprudence récente écarte fréquemment la négligence grave : un client de bonne foi, confronté à une manœuvre indétectable, n’a pas à en supporter les conséquences.
Cette dynamique pourrait encore se renforcer : dans ses conclusions du 5 mars 2026 (aff. C-70/25), l’avocat général de la Cour de justice de l’Union européenne estime qu’une banque ne peut refuser le remboursement immédiat d’une opération non autorisée en invoquant la négligence, même grave, du client — la charge d’une éventuelle action en restitution ultérieure pesant alors sur elle (voir notre analyse : la négligence grave ne permet pas le refus du remboursement). La décision définitive de la Cour est attendue dans les prochains mois.
Que se passe-t-il s’il n’y a pas eu d’authentification forte ?
C’est sans doute l’angle le plus puissant pour les victimes de Ghost Tap. L’article L. 133-19, V du code monétaire et financier pose une règle radicale : sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération non autorisée a été effectuée sans que la banque exige l’authentification forte.
Issue de la directive DSP2, l’authentification forte (ou « à deux facteurs ») exige la combinaison d’au moins deux éléments indépendants parmi : ce que le client connaît (un code), ce qu’il possède (un téléphone, une carte) et ce qu’il est (une empreinte, une reconnaissance faciale). Elle doit en principe être déclenchée à chaque opération sensible pour bloquer les paiements frauduleux.
La conséquence est considérable : si l’enrôlement dans le wallet ou les paiements n’ont pas donné lieu à une authentification forte réellement conforme, la banque ne peut pas se réfugier derrière la négligence du client. Un client même négligent n’a pas à supporter un paiement frauduleux que la banque a laissé passer sans authentification forte.
Pour le Ghost Tap, cela déplace tout le débat vers un point technique précis : l’enrôlement de la carte dans le wallet du fraudeur a-t-il été protégé par une authentification forte conforme ? Si l’ajout de la carte s’est fait sur la seule base d’un code SMS hameçonné — un facteur unique, contournable — l’exigence légale n’est pas satisfaite. Et il revient à la banque, non au client, de prouver qu’elle a effectivement mis en œuvre une authentification forte au sens de l’article L. 133-44 du code monétaire et financier.
🔐 La cascade de preuves à la charge de la banque
1. Bon déroulement technique (art. L. 133-23) → opération authentifiée, enregistrée, comptabilisée, sans déficience.
↓ si cette preuve manque → remboursement, débat clos
2. Authentification forte conforme (art. L. 133-44) → deux facteurs indépendants, pour chaque opération.
↓ si elle manque → remboursement intégral, même client négligent (art. L. 133-19, V)
3. Négligence grave caractérisée → seulement alors, et appréciée strictement.
Cette hiérarchie est une grille de lecture directement transposable au Ghost Tap : à chaque étage, c’est la banque qui supporte la charge, et le moindre maillon manquant fait basculer le litige du côté de la victime.
Quels autres leviers mobiliser face à la banque ?
Au-delà du régime des articles L. 133-18 et suivants, qui demeure le terrain principal, la victime peut renforcer son dossier en interrogeant le respect, par la banque, de ses propres obligations techniques de sécurité.
Les RTS (Regulatory Technical Standards) adoptés par l’Autorité bancaire européenne en complément de la DSP2 imposent aux prestataires des exigences précises : authentification forte conforme, surveillance des transactions et détection des schémas d’opérations anormaux.
Or le Ghost Tap laisse des traces typiques : un enrôlement de carte sur un nouvel appareil immédiatement suivi d’une rafale de paiements inhabituels, souvent dans des commerces et des zones géographiques éloignés des habitudes du client. Lorsqu’une banque échoue à détecter un tel schéma manifestement atypique, le respect de ses obligations de monitoring peut utilement être questionné. C’est un levier encore sous-exploité par les victimes, qui mérite d’être systématiquement examiné en complément du régime des opérations non autorisées.
En revanche, le signalement à la gendarmerie ou le dépôt de plainte, ainsi que les éventuelles démarches déclaratives de la banque, restent factuellement utiles à l’enquête mais ne constituent pas, en eux-mêmes, le fondement civil de l’indemnisation : celle-ci repose avant tout sur le régime des opérations de paiement non autorisées.
Que faire concrètement si vous êtes victime d’un Ghost Tap ?
La réactivité est votre meilleure alliée, tant pour stopper la fraude que pour démontrer votre diligence.
✅ Les réflexes à adopter
① Faire opposition immédiatement dès la détection — l’horodatage de votre réaction compte.
② Contester par écrit et demander le remboursement sur le fondement des articles L. 133-18 et L. 133-23 du code monétaire et financier.
③ Exiger de la banque qu’elle prouve l’authentification forte de chaque opération : ce n’est pas à vous de prouver que vous n’avez rien autorisé.
④ Ne pas se laisser opposer une « négligence grave » tant que cette preuve d’authentification n’est pas rapportée.
⑤ Conserver toutes les traces : SMS reçus, captures, dates des débits, échanges avec la banque.
À titre préventif, quelques habitudes réduisent fortement le risque : ne jamais cliquer sur un lien reçu par SMS ou e-mail, même apparemment officiel ; n’installer d’applications que depuis les stores officiels ; vérifier régulièrement les autorisations accordées aux applications ; et activer les notifications de paiement pour être alerté en temps réel du moindre débit.
Conclusion
Le Ghost Tap illustre une vérité rassurante : la fraude évolue plus vite que la technologie de sécurité, mais le droit, lui, a déjà une longueur d’avance. La technique du relais NFC est inédite ; le régime qui la gouverne ne l’est pas. Face à des paiements que vous n’avez jamais autorisés, vous n’avez pas à vous justifier — c’est à la banque de prouver. Et cette preuve ne se satisfait pas d’une validation initiale du wallet : elle doit porter sur l’authentification forte de chacune des opérations contestées. À défaut, le débat sur votre éventuelle négligence n’a même pas lieu d’être, et le remboursement s’impose.
Pour les clients confrontés au détournement de leur carte via Apple Pay, Google Pay ou un autre portefeuille mobile, la jurisprudence récente — au premier rang de laquelle l’arrêt de la cour d’appel de Rennes du 26 mai 2026 — constitue un appui solide. Si votre banque refuse de vous rembourser en invoquant une authentification « assurée à l’enrôlement » ou une prétendue négligence de votre part, le cabinet LE BOT Avocat, dédié au droit bancaire, peut analyser votre dossier et engager le bras de fer probatoire sur le terrain des articles L. 133-18 et suivants du code monétaire et financier.
