Phishing et 3D Secure : l'authentification forte prime la négligence grave du payeur - Cass. com., 30 août 2023, n° 22-11.707

Vous avez communiqué un code 3D Secure à un faux conseiller bancaire au téléphone et la banque vous refuse le remboursement de l’opération en invoquant votre « négligence grave » ? Un arrêt majeur de la chambre commerciale de la Cour de cassation rebat les cartes du contentieux des fraudes par phishing. Désormais, le juge ne peut plus retenir la négligence grave du client sans avoir d’abord recherché si la banque avait exigé une authentification forte au moment du paiement. Décryptage d’une décision qui remet la responsabilité technique de la banque à la première place.

Cour de cassation, chambre commerciale, financière et économique, 30 août 2023, pourvoi n° 22-11.707, publié au Bulletin (F-B)

🔑 Points clés à retenir

Sauf agissement frauduleux du payeur, l’absence d’authentification forte exigée par la banque interdit à celle-ci de réclamer la moindre conséquence financière au client (art. L. 133-19, V, du code monétaire et financier).
Le juge doit examiner en priorité la question de l’authentification forte AVANT toute discussion sur une éventuelle négligence grave du payeur.
L’obligation d’authentification forte issue de l’article L. 133-44 du code monétaire et financier est entrée en vigueur le 14 septembre 2019.
Le règlement délégué (UE) 2018/389 du 27 novembre 2017 (RTS) précise les standards techniques de l’authentification forte du client.
L’arrêt censure un jugement qui avait retenu la négligence grave d’un client ayant communiqué son code 3D Secure à un fraudeur sans avoir vérifié l’application effective de l’authentification forte.
La cassation est prononcée pour défaut de base légale : le contentieux du phishing doit désormais s’ouvrir par l’analyse technique de l’opération, pas par le procès en imprudence du client.

Sommaire ▼

Quel est le contexte de l’arrêt du 30 août 2023 ?
Quels étaient les faits soumis à la Cour de cassation ?
Quelle question juridique était posée ?
Que juge précisément la chambre commerciale ?
Comment s’articulent l’authentification forte et la négligence grave ?
Pourquoi la date du 14 septembre 2019 est-elle décisive ?
Qu’est-ce que l’authentification forte exigée par la loi ?
Quel rôle joue le règlement délégué 2018/389 (RTS) ?
Un code 3D Secure suffit-il à constituer une authentification forte ?
Quelle est la portée pratique de la décision pour les victimes de phishing ?
Sur qui pèse la charge de la preuve ?
Comment construire la demande de remboursement après cet arrêt ?
Quelles limites et zones d’ombre subsistent ?
Conclusion
FAQ

Quel est le contexte de l’arrêt du 30 août 2023 ?

Le contentieux des fraudes par hameçonnage – ou « phishing » – occupe depuis plusieurs années une place de plus en plus grande devant les juridictions civiles. Le schéma est presque toujours le même : un escroc se fait passer pour un employé de la banque, alerte la victime sur une prétendue tentative de fraude sur son compte, et la persuade de valider une opération « technique » par la communication d’un code reçu par SMS. L’opération validée n’est jamais celle annoncée : elle correspond en réalité à un paiement frauduleux, parfois d’un montant considérable, immédiatement exfiltré vers un compte tiers.

Pendant longtemps, les juges du fond ont massivement refusé d’indemniser les victimes, en retenant qu’elles avaient elles-mêmes communiqué le code de sécurité au fraudeur et qu’elles avaient ainsi commis une « négligence grave » au sens de l’article L. 133-19 du code monétaire et financier. Cette jurisprudence reposait sur une lecture mécanique du texte : si le payeur a négligemment trahi son code personnel, il supporte la perte, point final.

L’arrêt rendu par la chambre commerciale de la Cour de cassation le 30 août 2023, publié au Bulletin (F-B), met fin à cette lecture. Il introduit une étape préalable obligatoire : avant même de pouvoir discuter de la négligence grave du payeur, le juge doit examiner si la banque a, au moment de l’opération, exigé une authentification forte au sens du code monétaire et financier. Si tel n’est pas le cas, l’examen s’arrête là et la banque est tenue de rembourser.

📖 Définition — Phishing (ou hameçonnage)
Technique d’escroquerie consistant à inciter une personne à révéler des données personnelles (codes d’accès, mots de passe, codes de validation bancaire) en se faisant passer pour un tiers de confiance, le plus souvent un conseiller bancaire, un agent public ou un service technique.

Quels étaient les faits soumis à la Cour de cassation ?

Le titulaire d’un compte ouvert auprès d’une caisse régionale de crédit agricole avait été contacté par téléphone et par message par un tiers se présentant comme un employé de sa banque. En réponse à cette sollicitation, le client avait communiqué le code à six chiffres dit « 3D Secure », destiné à valider les paiements par internet effectués depuis son compte.

À la suite de cette communication, un paiement par internet, qu’il n’avait pas réalisé, avait été exécuté le 27 janvier 2020 à partir de son compte. Le client a aussitôt demandé à la banque le remboursement de la somme prélevée et la réparation de son préjudice, sur le fondement des articles L. 133-18 et suivants du code monétaire et financier.

La banque a refusé. Elle a fait valoir que le client avait, selon elle, commis une négligence grave en communiquant volontairement à un tiers extérieur un code de sécurité destiné à valider une opération financière. Le tribunal judiciaire de Clermont-Ferrand, statuant en dernier ressort par jugement du 13 janvier 2022, a suivi la banque et débouté intégralement le client.

Saisie sur pourvoi formé par le client, la chambre commerciale de la Cour de cassation casse le jugement entrepris pour défaut de base légale.

Quelle question juridique était posée ?

La question soumise à la chambre commerciale peut se résumer ainsi : le juge peut-il rejeter la demande de remboursement d’un payeur victime d’une opération non autorisée en retenant sa seule négligence grave, sans avoir préalablement vérifié si la banque avait exigé une authentification forte au moment de l’opération litigieuse ?

Cette question, en apparence technique, est centrale : c’est elle qui détermine si la première analyse à conduire porte sur la conduite du client (a-t-il été imprudent ?) ou sur l’outil bancaire (la banque a-t-elle fourni un niveau de sécurité conforme à la loi ?). La chambre commerciale tranche clairement en faveur de la seconde lecture.

Que juge précisément la chambre commerciale ?

Au visa des articles L. 133-19, V, et L. 133-44 du code monétaire et financier, dans leur rédaction issue de l’ordonnance n° 2017-1252 du 9 août 2017, l’arrêt énonce que, sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement n’exige une authentification forte du payeur.

La chambre commerciale en déduit que le tribunal, qui s’est borné à constater la négligence grave du client sans rechercher si l’opération de paiement litigieuse avait été exécutée sans que la banque exige une authentification forte du payeur, n’a pas donné de base légale à sa décision. Le jugement est cassé en toutes ses dispositions et l’affaire renvoyée devant le même tribunal autrement composé.

⚖️ La règle posée
L’article L. 133-19, V, du code monétaire et financier instaure une protection autonome du payeur : dès lors qu’une opération non autorisée a été exécutée sans authentification forte exigée par la banque, le payeur ne supporte aucune perte – sauf à démontrer qu’il a lui-même participé frauduleusement à l’opération. La négligence grave, qui figure au IV du même article, devient inopérante.

Comment s’articulent l’authentification forte et la négligence grave ?

Pour comprendre la portée de la décision, il faut visualiser la nouvelle articulation imposée par la Cour. Avant l’arrêt, le raisonnement du juge en cas de phishing partait quasi systématiquement de la conduite du client : a-t-il été négligent ? Si oui, et si cette négligence est qualifiée de « grave », la banque est exonérée. L’arrêt du 30 août 2023 inverse l’ordre des questions.

🔍 Étapes du raisonnement imposé au juge

Étape 1 → L’opération de paiement contestée a-t-elle été exécutée alors que la banque devait exiger une authentification forte ?

Étape 2 → Si oui, la banque a-t-elle effectivement exigé cette authentification forte au moment de l’opération ?

Si NON → Le payeur ne supporte aucune conséquence financière, sauf s’il a agi frauduleusement. La discussion sur la négligence grave est exclue. La banque doit rembourser.

Si OUI → Le juge peut alors examiner si le payeur a satisfait à ses obligations de prudence et, le cas échéant, retenir une négligence grave au sens de l’article L. 133-19, IV.

L’effet pratique est considérable. Une grande partie des dossiers de phishing portent sur des paiements en ligne validés par un code à six chiffres reçu par SMS. Or, comme nous le verrons, ce mécanisme n’est pas toujours conforme aux exigences techniques d’une authentification forte. La banque qui s’en est contentée perd, dans cette hypothèse, la possibilité d’invoquer la négligence grave du client.

Pourquoi la date du 14 septembre 2019 est-elle décisive ?

L’article L. 133-19, V, du code monétaire et financier renvoie à l’article L. 133-44 du même code, qui impose l’authentification forte. L’arrêt prend soin de préciser la date d’entrée en vigueur de ce texte : par application de l’article 34, VIII, 3°, de l’ordonnance n° 2017-1252 du 9 août 2017, l’article L. 133-44 est entré en vigueur le 14 septembre 2019, soit dix-huit mois après l’entrée en vigueur du règlement délégué (UE) 2018/389 de la Commission du 27 novembre 2017.

Cette précision n’est pas anodine. Elle borne le champ temporel d’application du mécanisme protecteur :

📅 Repères chronologiques

27 novembre 2017 → adoption du règlement délégué (UE) 2018/389 (les RTS).

9 août 2017 → ordonnance n° 2017-1252 réécrivant le titre III du livre I du code monétaire et financier.

14 septembre 2019 → entrée en vigueur de l’article L. 133-44 et, par renvoi, du mécanisme protecteur du V de l’article L. 133-19.

27 janvier 2020 → date de l’opération frauduleuse en cause dans l’arrêt. Postérieure de plus de quatre mois à l’entrée en vigueur du texte.

Pour toutes les opérations postérieures au 14 septembre 2019, la grille de lecture imposée par la chambre commerciale s’applique pleinement. Les opérations antérieures relèvent du régime ancien, dans lequel le débat se concentrait, sans cette étape préalable, sur la qualification de la négligence du payeur.

Qu’est-ce que l’authentification forte exigée par la loi ?

L’authentification forte est le pivot du raisonnement. Encore faut-il préciser ce que recouvre cette notion juridique, car elle est trop souvent confondue, dans le langage courant, avec l’envoi d’un simple code par SMS.

📖 Définition — Authentification forte du client
Procédure d’authentification reposant sur la combinaison d’au moins deux éléments indépendants relevant des catégories suivantes : la connaissance (quelque chose que seul le client connaît), la possession (quelque chose que seul le client détient) et l’inhérence (quelque chose que le client est, par exemple une donnée biométrique). La compromission d’un élément ne doit pas remettre en cause la fiabilité des autres.

Cette définition est consacrée par l’article L. 133-4, f, du code monétaire et financier, qui transpose la directive (UE) 2015/2366 du 25 novembre 2015 (DSP2). Elle est précisée par le règlement délégué (UE) 2018/389 du 27 novembre 2017, lequel adopte les normes techniques de réglementation – les RTS – élaborées par l’Autorité bancaire européenne.

Quel rôle joue le règlement délégué 2018/389 (RTS) ?

Le règlement délégué (UE) 2018/389 occupe une place centrale dans le raisonnement de l’arrêt, puisque sa date d’entrée en vigueur conditionne celle de l’article L. 133-44 du code monétaire et financier. Plus encore, c’est lui qui détaille les standards techniques que la banque doit respecter pour qu’une opération soit considérée comme protégée par une authentification forte conforme à la loi.

Sans entrer dans le détail technique – ce n’est pas l’objet du présent commentaire – il convient de retenir que ce règlement impose à la banque des exigences précises de monitoring des transactions, d’indépendance entre les éléments d’authentification, de protection des données d’authentification et de détection des transactions présentant des anomalies de schéma. Ces obligations, encore largement sous-mobilisées dans les contentieux, constituent un levier sérieux pour les victimes : une banque qui n’aurait pas mis en place un dispositif RTS-conforme s’expose à voir engagée sa responsabilité civile, indépendamment du débat sur la négligence du client.

Un code 3D Secure suffit-il à constituer une authentification forte ?

L’arrêt n’a pas eu à trancher cette question, puisqu’il casse pour défaut de base légale et renvoie l’affaire au juge du fond. Mais la question est centrale et il faut s’y arrêter.

Le mécanisme « 3D Secure » désigne un protocole de validation des paiements en ligne par carte bancaire. Dans ses versions historiques, il consistait à demander au client un code reçu par SMS pour confirmer l’opération. Ce dispositif a évolué – la norme dite « 3DS v2 » – pour intégrer des mécanismes de scoring de la transaction, des facteurs supplémentaires d’authentification et, dans certains cas, des exemptions à l’authentification forte.

Tous les mécanismes étiquetés « 3D Secure » ne valent donc pas authentification forte au sens de la loi. Pour le juge, la question concrète sera la suivante : la banque a-t-elle exigé, pour la transaction litigieuse, deux éléments indépendants relevant chacun d’une catégorie distincte (connaissance, possession, inhérence) ? Un code reçu par SMS, à lui seul, ne satisfait pas à cette exigence dès lors que l’élément de possession (le téléphone) et l’élément de connaissance (le code) peuvent être compromis de manière coordonnée par une même attaque – ce qui est précisément le cas du phishing.

⚠️ À retenir
La présentation par la banque d’un protocole « 3D Secure » ne suffit pas, en soi, à démontrer qu’une authentification forte a été exigée. Le client peut, et doit, contester précisément la conformité du dispositif technique mis en œuvre pour l’opération litigieuse, au regard des exigences du règlement délégué (UE) 2018/389.

Quelle est la portée pratique de la décision pour les victimes de phishing ?

L’arrêt du 30 août 2023 ne dit pas, à proprement parler, que les victimes de phishing doivent être systématiquement remboursées. Il dit autre chose, qui est tout aussi déterminant : le juge ne peut plus, désormais, faire l’économie de l’analyse technique. La conduite du client ne devient un sujet qu’après que la conduite technique de la banque a été passée au crible des exigences légales.

Ce déplacement de l’angle d’attaque a trois conséquences concrètes immédiates.

Sur qui pèse la charge de la preuve ?

La répartition de la charge de la preuve, en matière d’opérations de paiement non autorisées, est traditionnellement réglée par l’article L. 133-23 du code monétaire et financier. Lorsque le payeur conteste avoir autorisé une opération exécutée, il incombe au prestataire de services de paiement de prouver que l’opération a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

Combinée avec l’arrêt du 30 août 2023, cette règle prend toute sa force : c’est à la banque qu’il revient de démontrer, dossier technique à l’appui, qu’elle a effectivement exigé une authentification forte conforme à la loi pour l’opération litigieuse. À défaut, la sanction tombe : pas d’authentification forte, pas de négligence grave opposable. Le remboursement est dû.

✅ Conséquence pratique
Le client qui conteste une opération de paiement n’a pas à prouver, lui-même, l’absence d’authentification forte. Il lui suffit d’invoquer l’article L. 133-19, V, du code monétaire et financier ; c’est ensuite à la banque de démontrer qu’elle a satisfait à ses obligations techniques.

Comment construire la demande de remboursement après cet arrêt ?

L’arrêt du 30 août 2023 invite à reformuler l’architecture des conclusions adressées au juge. Une demande efficace s’organise désormais autour de trois axes hiérarchisés.

🛠️ Trois axes pour la demande de remboursement

Axe 1 — L’authentification forte (art. L. 133-19, V) : demander à la banque la communication du dispositif d’authentification effectivement exigé pour l’opération litigieuse. Faire valoir, en cas d’insuffisance ou d’absence, l’application de plein droit de l’article L. 133-19, V.

Axe 2 — La preuve de l’opération (art. L. 133-23) : exiger la production des éléments techniques d’authentification, des logs de la transaction, de l’analyse de scoring et des éléments de monitoring conformes au règlement délégué (UE) 2018/389. Discuter chaque pièce.

Axe 3 — La négligence grave (art. L. 133-19, IV) : à titre subsidiaire seulement, contester la qualification de négligence grave en s’appuyant sur la sophistication de la fraude, la ressemblance trompeuse du contact, l’absence de signaux d’alerte clairs et, le cas échéant, sur la vulnérabilité du payeur.

Cette structuration produit deux effets utiles. D’une part, elle place la discussion sur le terrain technique où la banque dispose des éléments mais doit les produire, ce qui rééquilibre l’asymétrie informationnelle. D’autre part, elle évite que la victime ne soit, dès l’ouverture du débat, dans la position défensive de devoir s’expliquer sur sa propre conduite – position dans laquelle, on le sait, l’issue lui est souvent défavorable.

Quelles limites et zones d’ombre subsistent ?

La portée de l’arrêt doit être nuancée sur trois points qui font l’objet d’un contentieux nourri et où la vigilance reste de mise.

Première limite – l’agissement frauduleux du payeur. L’article L. 133-19, V, n’écarte la protection que dans un seul cas : celui du payeur qui a participé frauduleusement à l’opération. Cette exception est étroite. Elle ne se confond pas avec la négligence grave. Elle suppose une démonstration spécifique, à la charge de la banque, d’un comportement actif et concerté du payeur en vue de tirer un bénéfice de l’opération litigieuse. Cette distinction est essentielle et permet de rejeter par avance les tentatives, parfois rencontrées, de qualifier en « agissement frauduleux » ce qui n’est qu’une imprudence sévère.

Deuxième limite – les opérations dispensées d’authentification forte. Le règlement délégué (UE) 2018/389 prévoit des cas d’exemption : faibles montants, opérations récurrentes vers un bénéficiaire de confiance préalablement déclaré, transactions de faible risque déterminées par analyse comportementale. Dans ces hypothèses, l’absence d’authentification forte au moment de l’opération n’est pas en elle-même fautive. Mais l’analyse reste discutable : la banque doit alors démontrer qu’elle remplissait précisément les conditions de l’exemption, et que le scoring de la transaction litigieuse était effectivement faible, ce qui est souvent contestable dans un contexte de fraude par phishing présentant des anomalies de schéma.

Troisième limite – l’éventuelle réintroduction de la négligence grave en aval. Si la banque démontre qu’elle a exigé une authentification forte conforme, le juge revient au schéma classique et peut, le cas échéant, retenir la négligence grave du client. À ce stade, le contentieux des conditions de qualification de la négligence grave – sophistication du procédé, vraisemblance du contact, expérience du client, signaux d’alerte – conserve toute son acuité. L’arrêt du 30 août 2023 ne supprime pas cette discussion ; il la repositionne en seconde ligne.

🧭 Boussole stratégique
L’arrêt n’enterre pas le débat sur la négligence grave : il le déplace en aval. Le levier décisif, désormais, est l’analyse technique du dispositif d’authentification. Toute victime de phishing doit, dès le premier échange avec sa banque, demander la communication des éléments d’authentification effectivement exigés pour l’opération litigieuse.

Au-delà du mécanisme spécifique de l’article L. 133-19, V, du code monétaire et financier, d’autres terrains d’action restent ouverts pour les victimes. La méconnaissance des standards techniques imposés par le règlement délégué (UE) 2018/389 – obligations de monitoring, de détection des transactions atypiques, de protection des éléments d’authentification – peut, en elle-même, fonder une action en responsabilité civile contre la banque. Cet angle, encore sous-utilisé en pratique, mérite d’être systématiquement exploré dans les dossiers où la banque démontre formellement avoir exigé une authentification forte mais où le dispositif technique présentait, au moment de l’opération, des défaillances objectives. La plainte pénale et la déclaration au procureur restent utiles sur le plan probatoire et pour le recouvrement, mais ne se confondent pas avec un fondement civil de demande de dommages-intérêts.

Conclusion : un rééquilibrage durable au profit des victimes

L’arrêt du 30 août 2023 marque un point d’inflexion dans le contentieux des fraudes par phishing. En imposant au juge l’examen préalable de l’authentification forte exigée par la banque, il déplace la première question vers le terrain technique où la banque est tenue à des obligations précises, contrôlables et documentables. Cette nouvelle architecture rééquilibre un contentieux qui, depuis plusieurs années, plaçait les victimes dans une position défensive systématique.

Pour autant, l’arrêt n’est pas un blanc-seing donné à toutes les imprudences. Il ne dit pas que la négligence grave a disparu ; il dit que la négligence grave est, désormais, une question subsidiaire, qui n’a vocation à se poser que si la banque a d’abord démontré qu’elle avait satisfait à ses obligations techniques. Pour les avocats des victimes, cette inversion de l’ordre des questions ouvre des marges de manœuvre considérables, à condition de structurer la demande autour de l’analyse technique de l’opération, et non plus autour du procès en imprudence du client.

Au cabinet LE BOT Avocat, ce rééquilibrage trouve un écho direct dans la défense quotidienne des clients confrontés à des fraudes par phishing. La nouvelle grille de lecture imposée par la chambre commerciale est utilisée systématiquement pour reconstruire, dossier après dossier, l’architecture des conclusions adressées au juge. L’arrêt du 30 août 2023 n’a pas seulement clarifié un point de droit : il a remis l’analyse technique de la banque à la place qu’elle aurait toujours dû occuper.

FAQ — Questions fréquentes

J’ai communiqué moi-même mon code 3D Secure à un faux conseiller. Puis-je quand même obtenir le remboursement ?

Oui, c’est précisément ce que tranche l’arrêt du 30 août 2023. Avant de pouvoir vous opposer une éventuelle négligence grave, votre banque doit démontrer qu’elle a exigé une authentification forte conforme à la loi pour l’opération litigieuse. Si elle n’y parvient pas, vous ne supportez aucune conséquence financière, même si vous avez communiqué votre code – sauf à ce qu’elle prouve que vous avez participé frauduleusement à l’opération, ce qui est une démonstration distincte et très exigeante.

L’arrêt s’applique-t-il à toutes les opérations frauduleuses, ou seulement aux paiements en ligne ?

Le mécanisme protecteur de l’article L. 133-19, V, du code monétaire et financier s’applique à toute opération de paiement non autorisée pour laquelle la banque devait exiger une authentification forte. Cela inclut typiquement les paiements en ligne, les virements à partir de l’espace client, l’ajout d’un bénéficiaire et toute action sensible sur le compte. Les exceptions sont prévues limitativement par le règlement délégué (UE) 2018/389.

À quelle date l’arrêt s’applique-t-il ? Mes opérations de 2018 ou 2019 sont-elles concernées ?

L’arrêt précise que l’article L. 133-44 du code monétaire et financier, et donc le mécanisme de l’article L. 133-19, V, est entré en vigueur le 14 septembre 2019. Pour les opérations postérieures à cette date, l’arrêt s’applique pleinement. Pour les opérations antérieures, le débat se concentre exclusivement sur la qualification de la négligence grave, sans l’étape préalable consacrée par la chambre commerciale.

Comment savoir si l’authentification forte exigée par ma banque était conforme ?

La conformité s’apprécie par référence aux exigences du règlement délégué (UE) 2018/389. Concrètement, il faut demander à la banque la communication des éléments techniques d’authentification utilisés pour l’opération litigieuse, vérifier qu’au moins deux éléments indépendants relevant des catégories connaissance, possession et inhérence ont été combinés, et discuter, le cas échéant, l’indépendance effective de ces éléments dans le contexte du phishing. Une analyse au cas par cas est indispensable.

Ma banque refuse de me communiquer les éléments techniques de l’opération. Que faire ?

L’article L. 133-23 du code monétaire et financier met la charge de la preuve de l’authentification à la charge de la banque. Si elle refuse de produire les éléments, vous pouvez en demander la communication au juge dans le cadre d’une mesure d’instruction in futurum, sur le fondement de l’article 145 du code de procédure civile, ou directement dans le cadre du contentieux principal. Le refus de produire ces éléments se retournera, le moment venu, contre la banque.

Quels délais pour agir contre la banque après une opération frauduleuse ?

Vous devez d’abord contester l’opération auprès de votre banque sans tarder après en avoir eu connaissance (article L. 133-24 du code monétaire et financier, qui retient un délai maximal de treize mois). Sur le plan judiciaire, l’action civile en remboursement obéit à la prescription de droit commun de cinq ans à compter du jour où le titulaire du compte a connu ou aurait dû connaître les faits lui permettant d’agir. La rapidité de la contestation est néanmoins essentielle pour préserver les chances de recouvrement.

Faut-il déposer une plainte pénale avant d’agir au civil ?

La plainte pénale n’est pas un préalable obligatoire à l’action civile en remboursement contre la banque. Elle reste néanmoins utile sur le plan probatoire (qualification des faits, soit-transmis aux établissements bancaires concernés, éventuelles chances de recouvrement). L’action civile sur le fondement de l’article L. 133-19 du code monétaire et financier peut être engagée parallèlement, sans attendre l’issue de l’enquête pénale.