Tribunal judiciaire de Paris, 9e chambre 1re section, 9 avril 2025, n° 23/08669
🔑 Points clés à retenir
- Le quishing (QR code piégé) est une variante d’hameçonnage : juridiquement, les débits qui en résultent sont des opérations de paiement non autorisées.
- L’article L.133-18 du code monétaire et financier impose à la banque de rembourser immédiatement toute opération non autorisée signalée par le client.
- La charge de la preuve pèse sur la banque : c’est à elle de démontrer la négligence grave du client (art. L.133-23), pas au client de prouver son absence de faute.
- Le tribunal judiciaire de Paris a jugé que le « probable hameçonnage » invoqué par la banque ne suffit pas : BNP Paribas a été condamnée à rembourser 14 069,91 €.
- Au-delà de 30 jours, les sommes dues produisent intérêt au taux légal majoré de 15 points.
- Avoir scanné un QR code ou s’être fait voler des données ne caractérise pas, à soi seul, une négligence grave.
Sommaire ▼
- Qu’est-ce que le quishing, l’arnaque au QR code qui explose en 2026 ?
- Comment fonctionne l’arnaque au faux PV de stationnement ?
- Pourquoi un débit issu d’un quishing est-il une « opération non autorisée » ?
- Que dit l’article L.133-18 du code monétaire et financier ?
- Sur qui pèse la charge de la preuve : la victime ou la banque ?
- Le « probable hameçonnage » suffit-il à refuser le remboursement ?
- Que retenir du jugement du tribunal judiciaire de Paris du 9 avril 2025 ?
- L’authentification forte change-t-elle quelque chose pour la victime ?
- Que faire concrètement si vous êtes victime de quishing ?
- FAQ — Questions fréquentes
Qu’est-ce que le quishing, l’arnaque au QR code qui explose en 2026 ?
Le mot est un mot-valise : il associe QR code et phishing (hameçonnage). Le quishing désigne toutes les escroqueries qui utilisent un QR code comme appât. Le code lui-même ne contient aucune arnaque : il se contente de rediriger la victime vers un site, une page de paiement ou un fichier contrôlés par les fraudeurs. Une fois sur ce site, la victime est invitée à saisir ses coordonnées bancaires, ses identifiants de banque en ligne ou un code de validation — qui partent directement chez l’escroc.
Le quishing est une forme d’hameçonnage dans laquelle le piège prend la forme d’un QR code. Scanné avec un smartphone, ce code ouvre une page frauduleuse imitant un site officiel ou marchand, conçue pour capturer des données personnelles, des identifiants bancaires ou des codes d’authentification.
Pourquoi cette technique fonctionne-t-elle si bien ? D’abord parce que le QR code est devenu un geste banal depuis la crise sanitaire : on scanne sans réfléchir, au restaurant, sur une borne, sur une affiche. Ensuite parce que l’œil humain ne peut pas « lire » un QR code : impossible de vérifier d’un coup d’œil vers quelle adresse il pointe, contrairement à un lien hypertexte que l’on peut survoler. Enfin parce que le smartphone, plus petit qu’un écran d’ordinateur, masque souvent l’adresse réelle du site et les indices d’une contrefaçon. Le ministère de l’Intérieur a d’ailleurs actualisé en 2026 sa fiche pratique consacrée aux cyberattaques pour viser expressément le « QR phishing ».
Comment fonctionne l’arnaque au faux PV de stationnement ?
La déclinaison la plus virale en 2026 cible les automobilistes. Un papier ressemblant à un véritable avis de contravention, parfois orné d’un logo officiel, est déposé sous l’essuie-glace. Il annonce une amende d’un montant volontairement modeste — souvent 35 € — à régler sous 48 heures pour éviter une majoration à 135 €. L’urgence et la crainte de la pénalité font le reste : la victime scanne le QR code imprimé sur le faux avis, atterrit sur un site qui imite le portail officiel des amendes, renseigne sa plaque d’immatriculation puis ses coordonnées bancaires. L’argent ne va évidemment pas dans les caisses de l’État.
📄 Faux avis / QR code piégé (pare-brise, e-mail, affiche, courrier)
↓
📱 La victime scanne — sentiment d’urgence, montant crédible
↓
🌐 Site contrefait imitant un portail officiel ou marchand
↓
🔑 Saisie des coordonnées bancaires et/ou d’un code de validation
↓
💸 Débits frauduleux, parfois enrôlement de la carte sur un portefeuille mobile
↓
⚖️ Opération de paiement non autorisée → droit au remboursement
D’autres variantes circulent : faux QR codes collés sur les horodateurs et les bornes de recharge, codes piégés dans un e-mail de « colis en attente » ou de « remboursement d’impôt », autocollants apposés par-dessus un vrai QR code sur une affiche. Le point commun reste identique : amener la victime à livrer elle-même des données qui permettront ensuite de débiter son compte.
Pourquoi un débit issu d’un quishing est-il une « opération non autorisée » ?
C’est tout l’enjeu, et c’est aussi la première bonne nouvelle pour la victime. En droit, on ne raisonne pas en termes de « vous vous êtes fait avoir, tant pis pour vous ». On raisonne en termes de consentement. Or la victime de quishing n’a jamais consenti aux débits litigieux : elle pensait régler une amende de 35 €, pas autoriser un prélèvement de plusieurs milliers d’euros au profit d’un tiers inconnu. Les opérations qui suivent ne sont donc pas des paiements qu’elle a voulus : ce sont des opérations de paiement non autorisées.
C’est une opération que le titulaire du compte n’a pas autorisée, c’est-à-dire à laquelle il n’a pas donné son consentement au sens de l’article L.133-6 du code monétaire et financier. La fraude par hameçonnage, y compris le quishing, entre dans cette catégorie : la victime n’a jamais voulu le transfert d’argent réalisé par le fraudeur.
Que dit l’article L.133-18 du code monétaire et financier ?
Le texte est d’une grande clarté. En cas d’opération de paiement non autorisée signalée par l’utilisateur, la banque « rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant ». Le principe est donc le remboursement immédiat. La banque doit rétablir le compte dans l’état où il se serait trouvé si l’opération n’avait pas eu lieu.
La seule réserve : la banque peut différer le remboursement « si elle a de bonnes raisons de soupçonner une fraude de l’utilisateur » — c’est-à-dire une fraude commise par le client lui-même, pas une fraude dont il est victime — à condition de communiquer ces raisons par écrit à la Banque de France. Autrement dit, le refus de rembourser est l’exception, strictement encadrée, et non le principe. Le texte ajoute un aiguillon financier décisif : au-delà de trente jours de retard, les sommes dues produisent intérêt au taux légal majoré de quinze points. Sur plusieurs milliers d’euros et plusieurs mois de procédure, l’addition pour la banque devient vite significative.
Sur qui pèse la charge de la preuve : la victime ou la banque ?
Beaucoup de victimes baissent les bras parce que leur banque leur oppose qu’elles « ont communiqué leurs données » et qu’elles ont donc « été négligentes ». C’est précisément l’erreur à ne pas commettre. Le code monétaire et financier organise un renversement de la charge de la preuve très favorable au client.
L’article L.133-19, IV prévoit certes que le payeur supporte les pertes s’il a agi frauduleusement ou s’il a, « intentionnellement ou par négligence grave », manqué à son obligation de préserver la sécurité de ses données. Mais l’article L.133-23 précise immédiatement qui doit prouver quoi : lorsque l’utilisateur nie avoir autorisé une opération, « il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre ». Et le même texte ajoute une phrase capitale : « L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait […] par négligence grave aux obligations lui incombant ».
C’est un comportement d’une particulière imprudence, qui va bien au-delà d’une simple erreur ou inattention. La jurisprudence exige un manquement caractérisé du client à la protection de ses données. Surtout, la négligence grave ne peut pas se déduire du seul fait que les données personnelles ont été utilisées : la banque doit l’établir concrètement.
La conséquence est limpide : c’est la banque qui supporte la charge de la preuve de la négligence grave qu’elle reproche à son client. Tant qu’elle n’apporte pas cette preuve, elle doit rembourser. La victime, elle, n’a pas à démontrer qu’elle a été irréprochable.
Le « probable hameçonnage » suffit-il à refuser le remboursement ?
Non, et c’est l’un des apports les plus utiles de la jurisprudence récente. Les banques ont pris l’habitude d’invoquer un raisonnement en apparence imparable : « les opérations ont été validées avec vos données confidentielles, donc vous les avez nécessairement communiquées, donc vous avez été gravement négligent ». Le tribunal judiciaire de Paris a balayé ce syllogisme. Il appartient à la banque, écrit-il, « de prouver la faute volontaire ou non du payeur, autrement qu’en démontrant l’utilisation de données hautement confidentielles ». Et surtout : la banque « ne peut se contenter d’invoquer le probable hameçonnage » dont le client aurait été victime.
Cette formule est précieuse pour toutes les victimes de quishing. Le fait que le fraudeur ait disposé des données ne prouve pas que la victime les lui a sciemment livrées avec une imprudence caractérisée. Entre « mes données ont été utilisées » et « j’ai commis une négligence grave », il y a tout un raisonnement que la banque doit construire et étayer — et qu’elle ne peut pas remplacer par une simple présomption.
Que retenir du jugement du tribunal judiciaire de Paris du 9 avril 2025 ?
Les faits illustrent parfaitement les mécanismes de la fraude moderne par capture de données et enrôlement frauduleux sur un portefeuille mobile. Un client de BNP Paribas reçoit une nouvelle carte bancaire, émise par la banque après détection d’une tentative de piratage sur la précédente. Il l’active le jour même. Très vite, des opérations sont réalisées via l’application de paiement Lyf Pay — qui permet de payer au moyen d’un QR code présenté aux commerçants — pour un total de 14 069,91 €, dont deux paiements de 7 000 € auprès d’une boucherie située loin de son domicile et avec laquelle il n’a aucun lien. Dès réception d’un SMS d’alerte fraude, le client répond « non », fait opposition sur sa carte le jour même et dépose plainte en ligne.
La banque refuse pourtant le remboursement, en soutenant que le client avait dû communiquer ses identifiants à un tiers et qu’il avait commis une négligence grave. Le tribunal n’a pas suivi ce raisonnement, pour plusieurs motifs que toute victime de quishing a intérêt à connaître :
→ Elle ne démontrait pas que le client avait communiqué ses données à un tiers ; aucune communication avec un tiers n’était établie.
→ Elle ne produisait pas les SMS et e-mails qu’elle prétendait avoir envoyés, mais seulement des « exemples » de messages.
→ L’enregistrement de la carte sur le service de paiement avait été validé depuis l’appareil et l’adresse e-mail du fraudeur : le client n’avait donc pas validé lui-même l’opération.
→ Le client avait réagi immédiatement (opposition, plainte, contestation détaillée).
→ Conclusion : la banque « échoue à rapporter la preuve qui lui incombe de la négligence grave ».
Résultat : BNP Paribas est condamnée à rembourser 14 069,91 €, avec intérêts au taux légal majoré de quinze points à compter du 1er juillet 2022 — soit trente jours après la contestation — et à payer 3 000 € au titre des frais de procédure. Le tribunal écarte en revanche la demande de dommages-intérêts pour résistance abusive et préjudice moral, estimant que la banque avait pu, dans un premier temps, nourrir un soupçon : on retiendra que ces demandes annexes restent plus difficiles à obtenir que le remboursement lui-même, qui, lui, est de droit.
La leçon dépasse le cas d’espèce. Que la fraude passe par un QR code Lyf Pay détourné, par un faux site d’amendes ou par un courriel d’hameçonnage classique, le régime juridique est le même : la banque doit prouver la négligence grave, faute de quoi elle rembourse.
L’authentification forte change-t-elle quelque chose pour la victime ?
Les banques opposent souvent un dernier argument : « l’opération a été validée par authentification forte, donc elle est réputée autorisée ». Là encore, l’argument doit être relativisé.
Issue de la directive européenne sur les services de paiement (DSP2), l’authentification forte repose sur la combinaison d’au moins deux éléments indépendants parmi : ce que l’utilisateur connaît (mot de passe), ce qu’il possède (téléphone) et ce qu’il est (biométrie). Elle vise à sécuriser l’accès au compte et la validation des paiements.
D’une part, l’authentification n’est que l’aboutissement technique d’un processus qui a pu être entièrement provoqué par la tromperie : si la victime a été manipulée pour valider une étape, ou si le fraudeur a contourné le dispositif, la validation enregistrée ne prouve pas le consentement libre et éclairé du titulaire. D’autre part, lorsque la banque choisit de ne pas recourir à une authentification forte là où elle s’imposait, l’article L.133-19, V fait peser sur elle, et non sur le client, les conséquences financières de l’opération.
Il existe enfin un terrain encore sous-exploité par les victimes : celui des obligations techniques de la banque au titre des normes RTS qui complètent la DSP2 (authentification forte, surveillance des transactions, détection des schémas anormaux). Lorsqu’une banque laisse passer, sans réaction, des débits manifestement atypiques — deux paiements de 7 000 € en quelques minutes chez un commerçant inhabituel, par exemple — la question de la défaillance de son dispositif de monitoring peut légitimement être posée. C’est un levier de responsabilité distinct, qui se cumule avec le régime du remboursement.
Une précision utile, en revanche : la défaillance des obligations de vigilance anti-blanchiment (LCB-FT) ne constitue pas, elle, un fondement d’indemnisation pour la victime. La Cour de cassation a jugé que ces obligations ont pour seule finalité la lutte contre le blanchiment et le financement du terrorisme, et non la protection des intérêts privés des clients. Mieux vaut donc concentrer l’argumentation sur le régime des opérations non autorisées et, le cas échéant, sur les obligations techniques de sécurisation.
Que faire concrètement si vous êtes victime de quishing ?
La rapidité et la traçabilité de vos démarches sont déterminantes. Voici la marche à suivre, dans l’ordre.
1️⃣ Faire opposition immédiatement sur la carte et, si besoin, faire bloquer le compte.
↓
2️⃣ Contester par écrit les opérations auprès de la banque (lettre recommandée), en visant les articles L.133-18 et L.133-23 du code monétaire et financier.
↓
3️⃣ Déposer plainte (commissariat, gendarmerie ou plateforme en ligne) et conserver le récépissé.
↓
4️⃣ Conserver les preuves : photo du faux avis, capture du QR code et du site, SMS, e-mails, relevés.
↓
5️⃣ En cas de refus de remboursement, mettre en demeure puis envisager une action judiciaire.
Deux écueils à éviter absolument. Premièrement, ne signez aucune reconnaissance de négligence et ne vous laissez pas convaincre que « c’est de votre faute » : ce n’est pas à vous de démontrer votre absence de faute. Deuxièmement, ne tardez pas : l’article L.133-24 impose de signaler l’opération « sans tarder », et la loi prévoit un délai maximal de treize mois pour contester. Plus la contestation est rapide et documentée, plus la position de la banque devient intenable.
Si la banque persiste dans son refus, l’action devant le tribunal a de réelles chances d’aboutir, comme l’illustre la décision commentée. L’accompagnement par un avocat permet de bâtir la stratégie probatoire la plus solide : sommer la banque de produire les éléments d’authentification réels (et non des « exemples »), démontrer l’absence de négligence grave caractérisée, et réclamer, au-delà du capital, les intérêts au taux légal majoré de quinze points.
Conclusion
Le quishing illustre une vérité dérangeante : les techniques de fraude évoluent plus vite que la vigilance du grand public. Mais le droit, lui, n’a pas attendu le QR code pour protéger les victimes d’opérations non autorisées. Le message des juges est constant et favorable : la banque ne peut pas se contenter de soupçonner un hameçonnage pour refuser de rembourser. Elle doit prouver une négligence grave, concrète et caractérisée — et cette preuve, dans bien des dossiers, elle est incapable de la rapporter. Si vous avez scanné un QR code piégé et vu votre compte débité, ne considérez jamais la partie comme perdue : vous disposez d’un régime juridique puissant, et d’une jurisprudence qui se construit en votre faveur.



