55logo mikael le bot avocat

Phishing : la banque CIC condamnée à rembourser 2 900 € faute de preuve d’authentification (TJ Paris, 10 juin 2026, n° 26/00547)

  • Droit bancaire, Moyens de paiement
Victime d’un phishing au faux lien « Le Bon Coin », une cliente du CIC s’est vu débiter 2 900 euros de son livret de développement durable. La banque invoquait son authentification forte « CERTICODE PLUS » et la négligence grave de sa cliente. Le tribunal judiciaire de Paris balaie cet argument : faute d’avoir prouvé que l’opération avait été authentifiée et qu’aucune déficience technique n’était survenue, la banque échoue dès la première étape de la preuve. Résultat : remboursement intégral des 2 900 euros, sans même examiner le comportement de la victime. Une décision qui rappelle avec netteté l’ordre des preuves imposé par le code monétaire et financier.

Tribunal judiciaire de Paris, pôle civil de proximité (PCP JTJ proxi fond), 10 juin 2026, n° RG 26/00547

🔑 Points clés à retenir

  • Le CIC est condamné à rembourser 2 900 euros débités à la suite d’une fraude par phishing, avec intérêts au taux légal à compter du 27 janvier 2026 (date de l’assignation).
  • La charge de la preuve obéit à une hiérarchie en deux étapes (article L. 133-23 du code monétaire et financier) : la banque doit d’abord prouver l’authentification et l’absence de déficience technique ; ce n’est qu’ensuite qu’elle peut invoquer la négligence grave du client.
  • Le tribunal relève trois défaillances cumulatives : un virement interne « non soumis » via internet inexpliqué, un virement instantané exécuté vers un bénéficiaire « non éligible au virement instantané », et l’absence totale de logs de connexion.
  • Faute de franchir la première étape, la banque ne peut même pas faire examiner la prétendue négligence grave de sa cliente.
  • La demande de dommages-intérêts pour manquement au devoir de vigilance est en revanche rejetée : le régime des articles L. 133-18 à L. 133-24 est exclusif de tout recours fondé sur le droit commun (Cass. com., 2 mai 2024, n° 22-18.074).
  • L’exécution provisoire est de droit : la banque doit payer immédiatement, même en cas d’appel.
Sommaire

Que s’est-il passé dans cette affaire de phishing à 2 900 euros ?

Les faits décrits par le jugement sont devenus tristement banals. Une cliente du Crédit industriel et commercial (CIC), titulaire d’un livret de développement durable (LDD) et d’un compte courant, est victime d’une escroquerie par phishing. Tout part d’un faux lien renvoyant vers une fausse page du site « Le Bon Coin » — une supercherie que le site Le Bon Coin a, selon la cliente, lui-même confirmée par écrit. Piégée, elle communique à l’escroc son numéro de carte bancaire et son état civil, mais jamais — elle y insiste — son code de sécurité (le cryptogramme à trois chiffres, dit CVV).

Ce qui se déroule ensuite, le 1er février 2024, tient en quelques minutes. À 14h26, un bénéficiaire dénommé « Leboncoin » est créé sur les comptes de la cliente. À 14h28, un virement interne de 2 980 euros est exécuté depuis le LDD vers le compte courant. À 14h30, un virement externe de 2 900 euros part vers le faux bénéficiaire « Leboncoin ». À 14h31, une confirmation mobile est enregistrée. La cliente affirme n’avoir jamais autorisé ces opérations, ni créé ce bénéficiaire, qui aurait été ajouté à son insu par une infiltration de son application bancaire.

Réactive, elle signale la fraude le jour même : appel téléphonique à son conseiller, courrier, puis dépôt de plainte auprès des autorités. Faute de remboursement, elle assigne le CIC, par acte de commissaire de justice du 27 janvier 2026, devant le tribunal judiciaire de Paris. Elle demande le remboursement des 2 900 euros, des intérêts, et 1 000 euros de dommages-intérêts pour manquement de la banque à son devoir de vigilance.

La banque, elle, oppose deux arguments. D’abord, les opérations auraient été « correctement authentifiées » via son système d’authentification forte « CERTICODE PLUS », l’iPhone de la cliente étant enregistré depuis juillet 2023 et les confirmations mobiles ayant été enregistrées sur cet appareil. Ensuite, et en toute hypothèse, la cliente aurait commis une négligence grave en communiquant son numéro de carte à un escroc, sans s’alerter du caractère aberrant du montant débité. La question posée au tribunal était donc simple à formuler, mais lourde de conséquences : la banque a-t-elle suffisamment prouvé que ces opérations étaient bien autorisées et exemptes de toute défaillance technique ?

Qu’est-ce qu’une opération de paiement non autorisée ?

Tout le litige tourne autour de cette notion. Le code monétaire et financier, qui transpose les directives européennes sur les services de paiement, pose une définition très protectrice du payeur.

📖 Définition — Opération de paiement non autorisée
Selon l’article L. 133-6 du code monétaire et financier, une opération de paiement n’est « autorisée » que si le payeur a donné son consentement à son exécution. À défaut de ce consentement, l’opération est réputée non autorisée. Le simple fait qu’un paiement ait techniquement été exécuté ne signifie donc pas qu’il a été autorisé.

La conséquence est posée par l’article L. 133-18 : lorsqu’une opération non autorisée est signalée par l’utilisateur dans les conditions de l’article L. 133-24, le prestataire de services de paiement — la banque — doit rembourser le payeur « immédiatement et au plus tard à la fin du premier jour ouvrable suivant ». C’est un mécanisme de remboursement quasi automatique, pensé pour que la victime ne reste pas privée de ses fonds pendant des mois.

Ce remboursement n’est écarté que dans des cas limités, énumérés par l’article L. 133-19 : le payeur supporte les pertes s’il a agi frauduleusement ou par négligence grave. Et, point capital, ce même article précise que, sauf fraude de sa part, le payeur ne supporte aucune conséquence financière lorsque l’opération a été réalisée sans que la banque exige une authentification forte. Autrement dit, l’authentification forte n’est pas seulement un argument de défense pour la banque : c’est une obligation dont l’absence se retourne contre elle.

Sur qui pèse la charge de la preuve en cas de virement contesté ?

Voici le cœur du jugement, et la raison pour laquelle il mérite d’être lu attentivement par toute personne en litige avec sa banque. La réponse tient en un article : l’article L. 133-23 du code monétaire et financier.

📖 Définition — Charge de la preuve (article L. 133-23)
Lorsqu’un utilisateur nie avoir autorisé une opération, c’est à la banque — et non au client — de prouver que l’opération a été authentifiée, dûment enregistrée et comptabilisée, et qu’elle n’a pas été affectée par une déficience technique ou autre. L’alinéa 2 ajoute que l’utilisation de l’instrument de paiement, telle qu’enregistrée par la banque, « ne suffit pas nécessairement » à prouver que le client a donné son accord.

Cette règle inverse l’intuition courante. Beaucoup de victimes croient devoir « prouver » qu’elles n’ont rien autorisé — preuve impossible d’un fait négatif. Le droit dit l’inverse : il suffit au client de contester l’opération pour que la banque soit débitrice d’une obligation probatoire complète. En l’espèce, le tribunal le relève expressément : la cliente a porté plainte et écrit à la banque le jour même ; cette contestation suffit à faire naître, à la charge du CIC, l’obligation probatoire de l’article L. 133-23.

Quelles sont les deux étapes imposées à la banque ?

Le jugement formule avec une clarté remarquable la mécanique probatoire issue de la combinaison de ces textes et de la jurisprudence constante de la Cour de cassation. Cette charge se déploie selon une « progression impérative en deux étapes », « hiérarchie probatoire » qui, dit le tribunal, « ne peut être contournée ».

⚖️ La hiérarchie probatoire de l’article L. 133-23

ÉTAPE 1 — La banque doit d’abord prouver :

→ que l’opération a été authentifiée
→ qu’elle a été dûment enregistrée et comptabilisée
→ qu’elle n’a été affectée d’aucune déficience technique ou autre

uniquement si l’étape 1 est franchie

ÉTAPE 2 — La banque peut alors tenter de prouver :

→ que le client a agi frauduleusement ou par négligence grave

L’ordre est tout sauf théorique. Si la banque échoue à l’étape 1, le débat sur le comportement du client — sur sa prétendue imprudence — ne s’ouvre tout simplement jamais. C’est exactement ce qui s’est produit ici.

Pourquoi la banque CIC a-t-elle échoué à prouver l’authentification ?

Pour satisfaire à son obligation, le CIC versait aux débats le relevé des opérations du 1er février 2024 et des captures d’écran des confirmations enregistrées par son système. Le tribunal écarte ces éléments un à un, et identifie trois défaillances cumulatives et indépendantes.

📖 Définition — Authentification forte
L’authentification forte (ou authentification à deux facteurs) impose de combiner au moins deux éléments indépendants pour valider une opération : quelque chose que le client connaît (mot de passe, code), possède (téléphone, carte) ou est (empreinte, visage). C’est l’exigence-clé de la directive DSP2. Le dispositif « CERTICODE PLUS » du CIC en est une déclinaison. Encore faut-il que la banque prouve qu’il a réellement fonctionné lors de l’opération contestée.

Première défaillance : un virement interne « non soumis » via internet, totalement inexpliqué. Le relevé révèle qu’un virement interne de 2 980 euros a été exécuté depuis le LDD vers le compte courant à 14h28, avec la mention « non soumis » et le support « INTERNET ». Or la cliente n’avait communiqué à l’escroc que son numéro de carte et son état civil. Comment, dès lors, un virement a-t-il pu être exécuté depuis une interface internet ? La banque ne fournit aucune explication sur la nature et le niveau d’authentification de ce virement interne, ni sur l’identité de l’auteur de la connexion. Cette carence, relève le tribunal, prive le CIC de toute possibilité de rapporter la preuve exigée.

Deuxième défaillance : un virement instantané vers un bénéficiaire qui n’y était pas éligible. C’est la contradiction la plus parlante. Une pièce produite par la cliente mentionne expressément que le bénéficiaire « Leboncoin » était « non éligible au virement instantané ». Pourtant, le relevé fait apparaître, à 14h30, un mouvement libellé « VIR INST LEBONCOIN » de 2 900 euros — soit précisément un virement instantané. Cette contradiction, que la banque n’explique pas, révèle selon le tribunal une déficience du système ayant permis l’exécution d’un virement instantané vers un compte qui n’y était pas éligible, en violation de l’obligation de démontrer l’absence de toute déficience technique.

📖 Définition — Virement instantané
Le virement instantané permet de transférer des fonds en quelques secondes, à toute heure. Sa rapidité — irréversible une fois exécuté — en fait l’instrument favori des fraudeurs. Tous les comptes bénéficiaires n’y sont pas éligibles : exécuter un virement instantané vers un compte non éligible traduit donc une anomalie technique dans la chaîne de paiement.

Troisième défaillance : aucun log de connexion. Le CIC ne produit aucun journal de connexion permettant d’identifier l’auteur de la session bancaire ouverte aux heures critiques, ni d’établir l’adresse IP d’origine, ni d’écarter l’hypothèse d’une infiltration ou d’un détournement de session par un tiers. Or, démontrer l’absence de déficience « technique ou autre » suppose précisément d’être capable de tracer et d’identifier l’origine des opérations. Sans ces éléments de journalisation, la preuve ne peut tout simplement pas être rapportée.

Le tribunal conclut sans détour : ces défaillances « cumulatives et indépendantes » font obstacle à ce que la banque démontre que les opérations ont été authentifiées et exemptes de déficience. Le CIC échoue donc à la première étape de son obligation probatoire. Les opérations du 1er février 2024 sont qualifiées d’opérations de paiement non autorisées.

Pourquoi la négligence grave de la cliente n’a-t-elle pas été examinée ?

C’est la conséquence directe — et pédagogiquement précieuse — de la hiérarchie probatoire. La banque misait beaucoup sur la négligence grave : la cliente avait, après tout, communiqué son numéro de carte à un escroc.

📖 Définition — Négligence grave
La négligence grave est le comportement de l’utilisateur qui n’a manifestement pas pris les précautions élémentaires pour protéger ses données de sécurité personnalisées. C’est la seule faute (avec la fraude) qui permet à la banque de refuser le remboursement d’une opération non autorisée. Mais elle ne se présume pas : c’est à la banque de la prouver — et seulement après avoir franchi l’étape de l’authentification.

Le tribunal applique strictement la logique des textes : « conformément à la hiérarchie probatoire établie par l’article L. 133-23, il n’y a pas lieu de procéder à l’examen d’une éventuelle négligence grave ». Puisque la banque n’a pas franchi la première marche, la seconde reste fermée. Peu importe, à ce stade, que la cliente ait été imprudente : la défaillance probatoire de la banque suffit à emporter le remboursement. C’est un enseignement majeur pour les victimes, à qui les banques opposent presque systématiquement la négligence grave : cet argument n’a de portée que si la banque a d’abord prouvé l’authentification de l’opération.

Pourquoi les dommages-intérêts ont-ils été refusés ?

Le jugement n’est cependant pas une victoire sur toute la ligne, et c’est ici qu’il faut être lucide. La cliente demandait, en plus du remboursement, 1 000 euros de dommages-intérêts pour manquement de la banque à son devoir de vigilance. Cette demande est rejetée.

Le tribunal applique une jurisprudence désormais bien ancrée : dès lors que la responsabilité d’un prestataire de services de paiement est recherchée à raison d’une opération non autorisée ou mal exécutée, seul s’applique le régime spécial des articles L. 133-18 à L. 133-24 du code monétaire et financier, à l’exclusion de tout autre régime de responsabilité de droit commun — et notamment de l’article 1231-1 du code civil (Cass. com., 2 mai 2024, n° 22-18.074). La voie du « devoir de vigilance » de droit commun est donc fermée lorsque le litige porte sur une opération non autorisée. Le tribunal ajoute que la cliente ne démontrait pas de préjudice distinct de celui résultant de l’opération non autorisée, déjà intégralement réparé par le remboursement.

⚠️ Le point de vigilance stratégique
Cumuler « remboursement au titre du paiement non autorisé » et « dommages-intérêts pour défaut de vigilance » est une impasse procédurale lorsque le débat porte sur la même opération non autorisée : le régime spécial absorbe le droit commun. Cela ne signifie pas que tout recours indemnitaire complémentaire soit perdu — mais qu’il doit reposer sur un préjudice véritablement distinct et sur un fondement adapté.

Quels intérêts la victime peut-elle réellement obtenir ?

Sur ce point aussi, le tribunal recadre la demande. La cliente sollicitait les intérêts contractuels de son livret de développement durable à compter du 1er février 2024 — ce qui aurait reconstitué la rémunération perdue du livret. Le tribunal refuse : le régime de remboursement de l’article L. 133-18 n’ouvre droit qu’aux intérêts au taux légal, qui courent à compter de la mise en demeure que constitue l’assignation, soit le 27 janvier 2026.

💶 Ce que la cliente obtient

✓ 2 900 € remboursés (opération non autorisée)
✓ Intérêts au taux légal à compter du 27 janvier 2026
✓ 1 000 € au titre de l’article 700 (frais de procédure)
✓ Dépens à la charge de la banque
✓ Exécution provisoire de droit (paiement immédiat malgré un éventuel appel)
✗ Pas de dommages-intérêts (devoir de vigilance)
✗ Pas d’intérêts contractuels du LDD (seulement le taux légal)

L’addition n’est pas négligeable : au-delà des 2 900 euros, l’allocation de 1 000 euros au titre de l’article 700 et la condamnation aux dépens signifient que la banque supporte une partie des frais de l’instance. Et l’exécution provisoire de droit (article 514 du code de procédure civile) impose à la banque de payer immédiatement, sans attendre l’issue d’un appel éventuel.

Que faire si vous êtes victime d’un virement frauduleux ?

Cette décision, sans révolutionner le droit, illustre concrètement la marche à suivre et les réflexes qui font la différence. Plusieurs enseignements pratiques s’en dégagent.

Contester immédiatement et par écrit. La cliente a appelé son conseiller, écrit à la banque et porté plainte le jour même. Le tribunal souligne que cette contestation rapide a suffi à faire peser sur la banque l’obligation probatoire de l’article L. 133-23. La rapidité et la trace écrite sont essentielles.

Réclamer les preuves techniques à la banque. C’est à la banque de produire les logs de connexion, les adresses IP, la preuve de l’authentification forte et l’absence de déficience technique. Si elle ne les produit pas — ce qui est fréquent — sa carence joue contre elle. Une victime gagne à exiger explicitement ces éléments.

Traquer les incohérences dans le relevé. Ici, deux anomalies ont emporté la décision : un virement « non soumis » via internet alors que la cliente n’avait pas donné ses identifiants, et un virement instantané vers un bénéficiaire « non éligible » à ce type de virement. Ces détails techniques, souvent négligés, sont des révélateurs de défaillance.

Choisir le bon fondement. La demande de remboursement au titre de l’opération non autorisée est la voie reine. La greffer sur une demande de dommages-intérêts de droit commun expose à un rejet partiel. Mieux vaut concentrer le tir sur le régime spécial du code monétaire et financier, et réserver une éventuelle demande indemnitaire à un préjudice réellement distinct.

Conclusion

Le jugement du tribunal judiciaire de Paris du 10 juin 2026 n’invente rien, et c’est précisément sa force : il applique avec une rigueur exemplaire la hiérarchie probatoire de l’article L. 133-23 du code monétaire et financier. La leçon est limpide pour les victimes de fraude bancaire — phishing, faux conseiller, usurpation d’identité : la banque doit d’abord prouver l’authentification de l’opération et l’absence de toute déficience technique. Tant que cette première marche n’est pas franchie, le débat sur la négligence grave du client n’a même pas lieu d’être. Ici, un virement inexpliqué, une contradiction sur l’éligibilité au virement instantané et l’absence de logs ont suffi à condamner le CIC.

La décision rappelle aussi ses propres limites : le régime spécial du code monétaire et financier est exclusif, ce qui ferme la porte aux dommages-intérêts de droit commun pour défaut de vigilance, et n’ouvre droit qu’aux intérêts au taux légal. Bien menée, une action contre la banque doit donc viser juste. Si vous êtes confronté à un débit frauduleux et que votre banque refuse de rembourser en vous opposant votre « négligence », cette décision montre qu’il existe un terrain solide pour la contraindre — à condition d’exiger d’elle ce que la loi lui impose : la preuve. Le cabinet LE BOT Avocat, dédié au droit bancaire, accompagne les victimes dans cette démarche.

FAQ — Questions fréquentes

Ma banque refuse de me rembourser un virement frauduleux : que dit la loi ?
L’article L. 133-18 du code monétaire et financier impose à la banque de rembourser immédiatement une opération de paiement non autorisée, au plus tard à la fin du premier jour ouvrable suivant le signalement. Le refus n’est justifié que si la banque prouve d’abord l’authentification de l’opération, puis votre fraude ou votre négligence grave. Si elle ne prouve pas l’authentification, elle doit rembourser.
Qui doit prouver que j’ai autorisé l’opération, moi ou la banque ?
C’est la banque. L’article L. 133-23 du code monétaire et financier met la charge de la preuve sur le prestataire de services de paiement : c’est à lui de démontrer que l’opération a été authentifiée, enregistrée, comptabilisée et exempte de déficience technique. Vous n’avez pas à prouver que vous n’avez rien autorisé — il vous suffit de contester l’opération.
La banque m’oppose ma « négligence grave » : est-ce un argument décisif ?
Pas nécessairement. La négligence grave ne peut être examinée qu’après que la banque a prouvé l’authentification de l’opération. Si elle échoue à cette première étape — par exemple faute de logs de connexion ou en raison d’une anomalie technique —, le juge n’examine même pas votre comportement et ordonne le remboursement. C’est précisément ce qu’a jugé le tribunal de Paris le 10 juin 2026.
L’authentification forte de la banque suffit-elle à prouver que j’ai autorisé l’opération ?
Non. L’article L. 133-23, alinéa 2, précise que l’utilisation de l’instrument de paiement telle qu’enregistrée par la banque ne suffit pas nécessairement à prouver votre consentement. La banque doit aussi démontrer l’absence de déficience technique. Un système d’authentification présenté comme « fort » qui laisse passer un virement instantané vers un bénéficiaire non éligible révèle, au contraire, une défaillance.
Puis-je obtenir des dommages-intérêts en plus du remboursement ?
C’est difficile sur le même fondement. Le régime des articles L. 133-18 à L. 133-24 est exclusif de tout recours de droit commun (Cass. com., 2 mai 2024, n° 22-18.074) : on ne peut pas y greffer une demande de dommages-intérêts pour « défaut de vigilance ». Une indemnisation complémentaire suppose un préjudice réellement distinct de la perte des fonds et un fondement adapté. Un avocat en droit bancaire peut évaluer cette possibilité.
Quels intérêts puis-je réclamer sur la somme remboursée ?
Le remboursement au titre de l’opération non autorisée n’ouvre droit qu’aux intérêts au taux légal, qui courent à compter de la mise en demeure (souvent l’assignation). Vous ne pouvez pas réclamer les intérêts contractuels de votre livret, même si la somme provenait d’un LDD ou d’un livret d’épargne rémunéré, comme l’a rappelé le tribunal de Paris.
Que faire concrètement dès que je découvre la fraude ?
Signalez immédiatement l’opération à votre banque, par téléphone puis par écrit (e-mail ou lettre recommandée), faites opposition, et déposez plainte. Conservez toutes les preuves (captures d’écran, courriels, échanges). Demandez expressément à la banque les preuves techniques de l’opération (logs, authentification). Si le remboursement est refusé, un avocat en droit bancaire peut engager une action sur le fondement des articles L. 133-18 et L. 133-23.

1521 2281 max

Besoin de conseils juridiques personnalisés ?

Ne restez pas seul face à vos questions. Un avocat peut vous rappeler gratuitement pour faire le point sur votre situation.

Être recontacté par un avocat

Besoin de conseils juridiques personnalisés ?

RGPD :

Articles similaires

radiation du ficp suite à une usurpation d'identité

Radiation du FICP suite à une usurpation d’identité : l’obligation d’effacement intégral des établissements de crédit (CA Versailles, 27 mai 2025, n° 24/00308)

Le Fichier national des incidents de remboursement des crédits aux particuliers (FICP), géré par la Banque de France, est une composante centrale de l’activité bancaire ...

assets task 01jx048bsffmqsf4sfc3pd7s0d 1749130002 img 1

Virements frauduleux : sans preuve d’authentification forte, la banque doit rembourser (CA Paris, 24 sept. 2025, n° 23/12487)

Neuf virements, 13 210 €, quatre bénéficiaires inconnus en une semaine : une cliente de la BRED se retrouve dépouillée après avoir cliqué sur un ...

surendettement 2

L’omission d’une sûreté dans la déclaration de créances en matière de surendettement (rétablissement personnel) : analyse juridique et implications pratiques

La procédure de rétablissement personnel dans le cadre d’une procédure de surendettement Si vous êtes en procédure de rétablissement personnel dans le cadre d’une procédure ...