55logo mikael le bot avocat

Phishing bancaire : la charge de la preuve de la négligence grave pèse sur la banque – CA Besançon, 1re chambre civile et commerciale, 10 février 2026, n° 24/01852

  • Droit bancaire
Face à un virement frauduleux sur votre compte bancaire, votre banque peut-elle refuser de vous rembourser en invoquant votre « négligence grave » ? La cour d’appel de Besançon vient de rappeler que cette notion, protectrice des banques, doit être interprétée strictement. Dans cette décision du 10 février 2026, elle confirme qu’un simple clic sur un lien frauduleux ne constitue pas, à lui seul, une faute suffisamment grave pour exonérer l’établissement de sa responsabilité. Une décision importante pour tous les clients victimes de fraudes bancaires.

Cour d’appel de Besançon, 1re chambre civile et commerciale, 10 février 2026, n° 24/01852

Sommaire

Le contexte : une fraude par SMS et un virement non autorisé

Le 25 avril 2023, Madame Z reçoit un SMS prétendument envoyé par sa banque, la Banque Populaire de Bourgogne Franche-Comté (BPBFC), l’informant d’un prétendu blocage de sa carte bancaire. Ce type de message frauduleux est connu sous le nom de « phishing » ou hameçonnage. Madame Z clique alors sur le lien contenu dans ce SMS. Quelques jours plus tard, le 28 avril 2023, elle constate qu’un virement de 4 998 euros a été débité de son compte sans son autorisation. Elle contacte immédiatement sa banque le 29 avril pour signaler cette opération frauduleuse et réclamer le remboursement de la somme dérobée. Elle dépose également une plainte à la gendarmerie.

Le refus de la banque : l’invocation de la négligence grave

Par courrier du 15 mai 2023, la BPBFC refuse de rembourser les époux Z. La banque reconnaît que l’opération n’a pas été autorisée par les clients, mais elle estime que Madame Z a commis une « négligence grave » en cliquant sur le lien frauduleux. Selon la banque, l’opération frauduleuse a été réalisée via une authentification forte depuis l’application mobile, ce qui signifierait que les identifiants et mots de passe ont été utilisés. La BPBFC en déduit que Madame Z a nécessairement communiqué ces éléments confidentiels aux fraudeurs, ce qui constituerait, selon elle, une faute suffisamment grave pour l’exonérer de toute responsabilité.

Face à ce refus, les époux Z saisissent le tribunal judiciaire de Besançon. Le 3 décembre 2024, le tribunal leur donne raison et condamne la banque à leur rembourser les 4 998 euros ainsi que 3 euros de frais liés au virement. La BPBFC interjette alors appel de cette décision.

Le cadre juridique applicable

Pour bien comprendre cette affaire, il faut connaître le cadre légal qui protège les victimes de fraude bancaire. Ce cadre repose principalement sur le Code monétaire et financier, qui a transposé la directive européenne DSP 2 (Directive sur les services de paiement 2) du 25 novembre 2015.

L’authentification forte : une exigence pour la banque

Les articles L. 133-4 et L. 133-44 du Code monétaire et financier imposent aux banques de mettre en place un système d’authentification forte pour sécuriser les opérations de paiement à distance. L’authentification forte repose généralement sur deux éléments parmi les trois suivants : quelque chose que le client connaît (un mot de passe), quelque chose qu’il possède (son téléphone), et quelque chose qu’il est (empreinte digitale, reconnaissance faciale).

🔐 Le système d’authentification forte
🧠
Connaissance
Code, mot de passe
+
📱
Possession
Téléphone, carte
+
👤
Inhérence
Empreinte, visage
Principe : Au moins 2 de ces 3 éléments doivent être vérifiés pour valider une opération sensible

Ce système est censé garantir que seul le véritable titulaire du compte peut effectuer des paiements. Dans cette affaire, la BPBFC utilisait un système baptisé « Secur’Pass » qui reposait sur ce principe d’authentification renforcée.

La négligence grave : une notion stricte

Si l’authentification forte est bien en place, la banque peut tout de même s’exonérer de sa responsabilité en cas de paiement frauduleux si elle prouve que le client a commis une « négligence grave ». Mais qu’est-ce exactement qu’une négligence grave ? Le paragraphe 72 de la directive DSP 2 nous éclaire : « la négligence grave devrait impliquer plus qu’une simple négligence et comporter un défaut de vigilance caractérisé. »

Autrement dit, il ne suffit pas d’une simple erreur ou d’un manque de prudence ordinaire. Il faut un manquement important, manifeste, aux règles de sécurité que tout utilisateur raisonnable devrait respecter. Par exemple, noter son code secret sur un papier collé sur sa carte bancaire, communiquer volontairement ses identifiants à un tiers de confiance qui s’avère être un escroc, ou encore ignorer délibérément des alertes de sécurité claires et répétées de sa banque.

La charge de la preuve : à la banque de prouver

Un point crucial : c’est à la banque de prouver la négligence grave du client. Les articles L. 133-19 III et V, ainsi que L. 133-23 du Code monétaire et financier, sont formels sur ce point. La banque doit démontrer que l’opération a été correctement authentifiée, enregistrée et comptabilisée, et qu’aucune déficience technique de son système n’a contribué à la fraude.

⚖️ Inversion de la charge de la preuve

L’article L. 133-23 du Code monétaire et financier précise que « l’utilisation de l’instrument de paiement telle qu’enregistrée par le PSP ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur, ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant. »

En clair, la banque ne peut pas simplement dire : « Notre système a enregistré l’opération avec les bons codes, donc c’est forcément le client qui a fauté. » Elle doit apporter des éléments concrets prouvant la négligence grave. Un raisonnement par présomption ne suffit pas, comme l’a rappelé la Cour de cassation dans un arrêt du 18 janvier 2017 (n° 15-18.102).

La décision de la cour : confirmation du remboursement

La cour d’appel de Besançon a confirmé intégralement le jugement de première instance. Elle a donc donné raison aux époux Z et condamné la BPBFC à leur rembourser les 4 998 euros ainsi que les frais de procédure.

L’absence de preuve par la banque

Selon la cour, la banque n’a pas rempli son obligation de preuve. Elle se contente d’invoquer la fiabilité de son système « Secur’Pass » et d’en déduire que Madame Z aurait nécessairement communiqué ses identifiants aux fraudeurs. Mais ce raisonnement reste purement présomptif : il s’appuie uniquement sur le fait que l’opération a été enregistrée par le système bancaire, ce qui ne suffit pas légalement.

La cour rappelle fermement que « le simple fait que le protocole de sécurisation prévoit l’utilisation de deux mots de passe pour procéder au paiement à partir d’un téléphone portable ne peut laisser inférer, de manière univoque, une négligence grave de la part du payeur. »

Un simple clic n’est pas une négligence grave

L’élément central de l’affaire tient au comportement de Madame Z : elle a cliqué sur un lien contenu dans un SMS frauduleux. Pour la banque, cette action constitue une négligence grave car elle a permis aux escrocs d’obtenir ses identifiants.

La cour d’appel rejette cette analyse. Elle considère que Madame Z a été victime d’une « mauvaise manipulation » consistant à « appuyer digitalement sur un lien apparu sur le message », sans intention de valider un paiement. Ce geste, certes imprudent, ne constitue pas selon les juges un « défaut de vigilance caractérisé » au sens de la directive européenne.

📊 Échelle de gravité des comportements
✓ Négligence grave reconnue
• Noter son code secret sur sa carte bancaire
• Communiquer volontairement ses codes à un tiers
• Ignorer des alertes répétées de la banque
⚠️ Zone grise (à apprécier au cas par cas)
• Répondre à un e-mail frauduleux avec ses données
• Suivre des instructions téléphoniques d’un faux conseiller
✗ Pas une négligence grave
• Cliquer sur un lien frauduleux par mégarde
• Ne pas vérifier l’identité de l’expéditeur d’un SMS
• Être victime d’une technique de phishing sophistiquée

La cour souligne également qu’aucun manquement aux recommandations de sécurité prévues par l’article L. 133-16 du Code monétaire et financier n’est caractérisé. Certes, Madame Z n’a pas vérifié l’identité de l’expéditeur du message, mais cette omission relève d’une imprudence ordinaire, pas d’une négligence grave.

Les enseignements pratiques de cette décision

Cette décision de la cour d’appel de Besançon apporte plusieurs enseignements importants pour les victimes de fraudes bancaires.

Premièrement, les banques ne peuvent pas se contenter d’invoquer la fiabilité théorique de leurs systèmes de sécurité pour refuser un remboursement. Elles doivent apporter des preuves concrètes et spécifiques d’une négligence grave du client. Le simple fait que le système ait enregistré l’opération avec les bons identifiants ne suffit pas.

Deuxièmement, la notion de négligence grave est interprétée strictement par les tribunaux, dans un sens favorable aux consommateurs. Cliquer sur un lien frauduleux, même si c’est imprudent, n’est pas automatiquement considéré comme une faute suffisamment grave pour priver la victime de toute protection. Les juges prennent en compte la sophistication croissante des techniques de fraude et le fait que même des personnes vigilantes peuvent être trompées.

Troisièmement, cette décision rappelle aux banques leurs obligations en matière d’authentification forte et de sécurisation des opérations. Si un virement frauduleux est possible malgré l’authentification forte, cela peut révéler une faille dans le système de la banque elle-même, ce qui l’empêche de s’exonérer de sa responsabilité.

Conclusion

Face à un virement frauduleux, vous n’êtes pas démuni. La législation française et européenne vous protège, et les banques ne peuvent vous refuser un remboursement qu’en prouvant une négligence grave de votre part, ce qui est loin d’être simple pour elles. Cette décision de la cour d’appel de Besançon le confirme : un simple clic sur un lien frauduleux, aussi regrettable soit-il, ne constitue pas à lui seul une faute suffisamment grave pour vous priver de vos droits.

Si votre banque refuse de vous rembourser après une fraude, n’hésitez pas à contester cette décision, éventuellement avec l’aide d’un avocat spécialisé en droit bancaire. Les tribunaux appliquent généralement une interprétation protectrice des consommateurs, et la charge de la preuve pèse lourdement sur les établissements financiers.

FAQ

Dans quel délai dois-je signaler un virement frauduleux à ma banque ?
Vous devez signaler toute opération non autorisée à votre banque dès que vous en avez connaissance, et au plus tard dans les 13 mois suivant la date de débit. Cependant, pour bénéficier d’un remboursement rapide et sans contestation, il est vivement recommandé de réagir immédiatement, idéalement dans les 48 heures. Plus vous attendez, plus la banque pourra suspecter que vous avez validé l’opération ou que vous n’avez pas surveillé votre compte correctement.
Ma banque refuse de me rembourser en invoquant ma négligence. Quels sont mes recours ?
Si votre banque refuse de vous rembourser, vous pouvez d’abord tenter une médiation bancaire gratuite auprès du médiateur de votre établissement (coordonnées obligatoirement communiquées par la banque). Si cela échoue ou ne vous satisfait pas, vous pouvez saisir le tribunal judiciaire de votre domicile. Vous n’êtes pas obligé de prendre un avocat pour les litiges inférieurs à 10 000 euros, mais cela reste fortement conseillé pour maximiser vos chances de succès. N’oubliez pas : c’est à la banque de prouver votre négligence grave, pas à vous de prouver votre innocence.
Quels types de comportements constituent réellement une « négligence grave » ?
La négligence grave suppose un manquement caractérisé à vos obligations de sécurité, bien au-delà d’une simple imprudence. Sont généralement reconnus comme négligence grave : noter votre code secret directement sur votre carte bancaire, communiquer volontairement vos identifiants à un tiers (même de confiance), prêter votre carte avec le code PIN, ou ignorer délibérément des alertes de sécurité répétées de votre banque. En revanche, cliquer sur un lien frauduleux, répondre à un SMS ou e-mail d’hameçonnage sans communiquer consciemment tous vos codes, ou être victime d’une fraude sophistiquée ne sont généralement pas considérés comme une négligence grave par les tribunaux.
Puis-je être remboursé même si j’ai cliqué sur un lien de phishing ?
Oui, comme le confirme cet arrêt de la cour d’appel de Besançon. Cliquer sur un lien frauduleux, même si c’est imprudent, ne constitue pas automatiquement une négligence grave. Les techniques de phishing sont de plus en plus sophistiquées, et les juges en tiennent compte. Ce qui compte, c’est de savoir si vous avez volontairement communiqué l’ensemble de vos codes et identifiants en connaissance de cause, ou si vous avez simplement été piégé par une manipulation frauduleuse. Dans le second cas, la banque reste responsable et doit vous rembourser.
Quelles sont mes chances de gagner un procès contre ma banque pour un virement frauduleux ?
Vos chances dépendent des circonstances précises de la fraude et des preuves que la banque peut apporter contre vous. Globalement, la jurisprudence est plutôt favorable aux victimes de fraude bancaire, car la charge de la preuve pèse sur la banque. Si vous avez signalé rapidement l’opération frauduleuse, déposé plainte, et que votre comportement ne révèle pas une négligence manifeste (codes inscrits en clair, communication volontaire de toutes vos données), vous avez de bonnes chances d’obtenir gain de cause. Un avocat spécialisé en droit bancaire pourra évaluer précisément votre situation et vous accompagner dans votre démarche.
Puis-je obtenir des dommages et intérêts en plus du remboursement du virement ?
En principe, vous avez droit au remboursement intégral de la somme frauduleusement débitée, ainsi que des éventuels frais bancaires liés à cette opération. Des dommages et intérêts supplémentaires peuvent être obtenus si vous prouvez un préjudice distinct : par exemple, des agios ou frais bancaires consécutifs au découvert provoqué par la fraude, un préjudice moral particulier (angoisse, démarches nombreuses), ou encore si le refus de remboursement de la banque a été abusif et vous a causé un préjudice aggravé. Dans tous les cas, vous pouvez obtenir le remboursement de vos frais d’avocat au titre de l’article 700 du Code de procédure civile, comme dans cette affaire où les époux Z ont obtenu 1 500 euros à ce titre en première instance et en appel.
1521 2281 max

Besoin de conseils juridiques personnalisés ?

Ne restez pas seul face à vos questions. Un avocat peut vous rappeler gratuitement pour faire le point sur votre situation.

Être recontacté par un avocat

Besoin de conseils juridiques personnalisés ?

RGPD :

Articles similaires

chèque de banque

Fraude et chèque de banque : guide complet de vos droits et responsabilité bancaire

Le chèque de banque est un instrument de paiement émis par la banque elle-même sur ses propres fonds, conférant une sécurité a priori élevée à ...

assets task 01jwxe2rsyeb4tcparqz8wknnv 1749039626 img 0

Assurance-vie et Prêt In Fine : Interdépendance, Renonciation, Caducité et Restitutions

La combinaison d’un contrat d’assurance-vie et d’un prêt in fine, souvent destiné à en financer l’abondement, est un montage financier courant qui, malgré des perspectives ...

luxalpha

L’affaire Luxalpha : quand le démarchage illicite mène à une condamnation salée – Cass. Com. 19 novembre 2025, n° 24-16.094

Le 19 novembre 2025, la Chambre commerciale financière et économique de la Cour de cassation a rendu un arrêt important (n° 587 F-B) dans une ...