Cour d’appel d’Amiens, chambre économique, 23 octobre 2025, n° 23/05055
🔑 Points clés à retenir
- Le SIM swapping consiste à se faire délivrer une nouvelle carte SIM associée au numéro de la victime pour intercepter ses codes de validation bancaire.
- Les virements qui en résultent sont des opérations de paiement non autorisées : la victime n’y a jamais consenti.
- « Lorsque le prestataire de services de paiement choisit de prendre le risque de ne pas recourir à une authentification forte, il doit en assumer le risque sans pouvoir invoquer la négligence grave de son client. »
- Être victime d’un SIM swapping n’est pas une négligence grave : cela démontre au contraire le mode opératoire des fraudeurs.
- La cour d’appel d’Amiens a condamné le Crédit agricole à rembourser 22 465 €, avec intérêts au taux légal et capitalisation.
- L’appel en garantie de la banque contre l’opérateur téléphonique (Free Mobile) a été rejeté, faute de faute prouvée de l’opérateur.
Sommaire ▼
- Qu’est-ce que le SIM swapping, cette fraude qui détourne votre numéro ?
- Comment les fraudeurs prennent-ils le contrôle de votre ligne ?
- Pourquoi les virements issus d’un SIM swapping sont-ils « non autorisés » ?
- Le SIM swapping est-il, en soi, une négligence grave ?
- Que juge la cour d’appel d’Amiens le 23 octobre 2025 ?
- La banque qui renonce à l’authentification forte peut-elle s’exonérer ?
- L’opérateur téléphonique est-il responsable de la fraude ?
- Que faire si vous êtes victime de SIM swapping ?
- FAQ — Questions fréquentes
Qu’est-ce que le SIM swapping, cette fraude qui détourne votre numéro ?
Le SIM swapping — littéralement « échange de carte SIM » — est l’une des fraudes les plus redoutables, parce qu’elle s’attaque au maillon sur lequel reposent encore beaucoup de sécurités bancaires : votre numéro de téléphone. Une fois qu’il contrôle votre ligne, le fraudeur reçoit à votre place les SMS contenant les codes de validation envoyés par la banque. Il peut alors ajouter un bénéficiaire, valider un virement, voire enrôler votre carte sur un portefeuille mobile, le tout en interceptant les codes censés vous protéger.
Le SIM swapping est une fraude par prise de contrôle de compte. Le fraudeur obtient de l’opérateur téléphonique une nouvelle carte SIM (ou une eSIM) associée au numéro de la victime, ce qui transfère la ligne sur son propre appareil. Il intercepte ainsi les codes d’authentification par SMS et cible une faiblesse de la vérification à deux facteurs.
Comment les fraudeurs prennent-ils le contrôle de votre ligne ?
Le scénario type combine plusieurs étapes. Les escrocs récupèrent d’abord des informations personnelles (souvent via un hameçonnage préalable ou une fuite de données), puis se présentent à l’opérateur — en boutique, sur une borne interactive ou par le service client — en se faisant passer pour le titulaire de la ligne afin d’obtenir une nouvelle carte SIM. Dès l’activation de cette SIM, l’ancienne est désactivée : le téléphone de la victime perd le réseau. À partir de là, tous les SMS, y compris les codes bancaires, arrivent chez le fraudeur.
🎣 Collecte de données personnelles (phishing, fuite, ingénierie sociale)
↓
📵 Demande d’une nouvelle SIM auprès de l’opérateur — la ligne bascule, le téléphone de la victime perd le réseau
↓
📩 Interception des SMS et des codes de validation bancaire
↓
🏦 Ajout de bénéficiaires et virements depuis l’espace en ligne
↓
⚖️ Opérations de paiement non autorisées → droit au remboursement
La victime, elle, ne se rend souvent compte de rien avant de constater la perte de réseau prolongée ou les débits sur son compte. C’est précisément ce décalage qui rend la fraude efficace — et qui explique pourquoi la riposte juridique doit être bien comprise.
Pourquoi les virements issus d’un SIM swapping sont-ils « non autorisés » ?
Comme pour toutes les fraudes par usurpation, la clé du raisonnement est le consentement. La victime de SIM swapping n’a ni ajouté les bénéficiaires, ni validé les virements : ce sont les fraudeurs qui ont agi, en interceptant des codes destinés à la victime. Les opérations sont donc, par définition, des opérations de paiement non autorisées.
C’est une opération à laquelle le titulaire du compte n’a pas donné son consentement (art. L.133-6 du code monétaire et financier). En matière de SIM swapping, la cour d’appel d’Amiens souligne que « l’utilisation des identifiants (code, mot de passe reçu par SMS…) n’est pas suffisante pour établir le consentement de l’utilisateur ».
Le régime applicable est celui des articles L.133-18 à L.133-24 du code monétaire et financier, à l’exclusion de tout autre. La cour d’appel le rappelle d’emblée : dès lors que la responsabilité d’un prestataire de services de paiement est recherchée à raison d’une opération non autorisée, seul ce régime spécial s’applique. Et ce régime pose un principe simple : la banque rembourse, sauf à prouver la fraude ou la négligence grave du client.
Le SIM swapping est-il, en soi, une négligence grave ?
C’est l’argument réflexe des banques : « vous avez été victime d’un SIM swapping, donc vous avez forcément communiqué vos données, donc vous avez été gravement négligent ». La cour d’appel d’Amiens refuse catégoriquement ce glissement de raisonnement.
La négligence grave est un manquement d’une particulière gravité du client à la protection de ses données de sécurité. Elle ne peut pas se déduire du seul fait que l’instrument de paiement ou les données qui lui sont liées ont été utilisés : la banque doit la prouver concrètement, et cette négligence doit être la cause principale et prépondérante de l’opération.
La victime, relève la cour, n’a pas validé les opérations et n’a pas davantage ajouté les bénéficiaires : la validation a été effectuée par un tiers. Être destinataire d’un courriel frauduleux ne constitue pas non plus une négligence grave. Surtout, la cour pose une exigence de causalité qui change tout : la négligence grave doit être « la cause principale et prépondérante de l’opération litigieuse ». Or, dans un SIM swapping, la cause déterminante de la fraude, c’est le détournement de la ligne téléphonique et la défaillance des sécurités — pas un éventuel manque de vigilance du client.
Que juge la cour d’appel d’Amiens le 23 octobre 2025 ?
Les faits sont emblématiques. Une société titulaire d’un compte au Crédit agricole découvre quatre virements frauduleux émis le même jour vers un même bénéficiaire, pour un total de 29 865 €. La banque parvient à récupérer 7 400 €, mais refuse de rembourser le solde de 22 465 €, au motif que les opérations n’auraient été possibles qu’après communication, par le client, de ses identifiants à la suite d’un hameçonnage. La ligne téléphonique du dirigeant avait fait l’objet d’un SIM swapping : un fraudeur s’était fait délivrer une nouvelle carte SIM auprès d’une borne interactive.
En première instance, le tribunal de commerce avait débouté la société. La cour d’appel infirme et condamne la banque. Son raisonnement mérite d’être suivi pas à pas, car il offre une feuille de route aux victimes :
→ L’utilisation des identifiants ne suffit pas à prouver le consentement du client : les opérations sont non autorisées.
→ Il appartient au juge de rechercher d’abord si l’opération a été exécutée par authentification forte.
→ La banque reconnaît ne pas avoir utilisé d’authentification forte pour les virements (seul l’ajout d’IBAN en bénéficiait).
→ « Lorsque le prestataire choisit de prendre le risque de ne pas recourir à une authentification forte, il doit en assumer le risque sans pouvoir invoquer la négligence grave de son client. »
→ Hormis le SIM swapping, les circonstances de l’action des fraudeurs restent inconnues : la banque ne démontre aucune négligence grave.
→ Condamnation : 22 465 €, intérêts au taux légal à compter de la mise en demeure, capitalisation des intérêts, et 5 000 € de frais de procédure.
Le message est sans ambiguïté. Une banque ne peut pas, d’un côté, faire l’économie de l’authentification forte sur des virements et, de l’autre, reprocher à son client la fraude que cette absence de sécurité a précisément permise. Le risque qu’elle a choisi de courir, elle doit l’assumer.
La banque qui renonce à l’authentification forte peut-elle s’exonérer ?
Non, et c’est le cœur de l’arrêt. Le code monétaire et financier impose au prestataire de services de paiement d’appliquer une authentification forte lorsque le payeur accède à son compte en ligne, initie un paiement électronique ou réalise une opération à distance comportant un risque de fraude (art. L.133-44).
Issue de la directive DSP2, l’authentification forte repose sur au moins deux éléments indépendants parmi : ce que l’utilisateur connaît (mot de passe), ce qu’il possède (téléphone) et ce qu’il est (biométrie), conçus pour que la compromission de l’un ne remette pas en cause la fiabilité des autres. Un simple code reçu par SMS, interceptable par SIM swapping, ne suffit pas toujours à satisfaire cette exigence.
L’article L.133-19, V tire la conséquence de cette obligation : sauf agissement frauduleux du payeur lui-même, celui-ci « ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement n’exige une authentification forte ». Et la cour ajoute une précision redoutable : même lorsque la banque a recouru à une authentification forte, elle doit, pour s’exonérer, non seulement prouver la fraude ou la négligence grave du client, mais aussi établir l’infaillibilité de son propre système.
Ce raisonnement ouvre un terrain souvent négligé : celui des obligations techniques de la banque au titre des normes RTS (les standards techniques de réglementation complétant la DSP2), qui encadrent l’authentification forte, le suivi des transactions et la détection des schémas anormaux. Une rafale de virements vers un bénéficiaire inconnu, en quelques heures, présente des anomalies de schéma qu’un dispositif de surveillance conforme aurait dû détecter. C’est un levier de responsabilité complémentaire du régime du remboursement, encore sous-exploité par les victimes.
En revanche, on évitera de fonder une demande d’indemnisation sur un prétendu manquement aux obligations de vigilance anti-blanchiment (LCB-FT) : la Cour de cassation juge que ces obligations ont pour seule finalité la lutte contre le blanchiment et le financement du terrorisme, et ne protègent pas les intérêts privés du client. L’argumentation gagne à se concentrer sur le régime des opérations non autorisées et sur les obligations techniques de sécurisation.
L’opérateur téléphonique est-il responsable de la fraude ?
La question est légitime, puisque c’est l’opérateur qui délivre la nouvelle carte SIM au fraudeur. Dans l’affaire jugée à Amiens, la banque avait justement appelé l’opérateur (Free Mobile) en garantie, espérant lui faire supporter la charge finale. La cour a rejeté cet appel en garantie.
Son motif : pour engager la responsabilité de l’opérateur, encore faut-il prouver une faute concrète de sa part dans la délivrance de la SIM. Or la banque n’établissait pas les circonstances exactes de cette délivrance, alors que l’opérateur démontrait avoir mis en place des dispositifs de sécurité (identifiant personnel et code secret pour l’espace abonné comme pour la commande d’une nouvelle SIM). Avoir été trompé par des fraudeurs qui détournaient les données personnelles de l’abonné ne suffisait pas, à soi seul, à caractériser une faute de l’opérateur.
La portée pratique est double. Pour la victime, l’essentiel est ailleurs : son interlocuteur naturel pour le remboursement est la banque, sur le fondement du régime des opérations non autorisées, et non l’opérateur. La répartition finale de la charge entre banque et opérateur est un débat entre professionnels qui ne doit pas retarder l’indemnisation du client. Cela n’exclut pas, dans d’autres dossiers mieux documentés sur les conditions de délivrance de la SIM, qu’une faute de l’opérateur puisse être retenue : tout dépend des preuves réunies.
Que faire si vous êtes victime de SIM swapping ?
La rapidité est encore plus cruciale ici, car la perte de réseau est souvent le premier signal d’alerte. Voici les réflexes à adopter.
1️⃣ Si votre ligne ne capte plus sans raison, contactez immédiatement votre opérateur pour vérifier un éventuel changement de SIM.
↓
2️⃣ Faites opposition sur la carte et demandez le blocage des accès en ligne.
↓
3️⃣ Contestez par écrit les opérations auprès de la banque (recommandé), en visant les articles L.133-18, L.133-19 et L.133-44.
↓
4️⃣ Déposez plainte et conservez le récépissé.
↓
5️⃣ Rassemblez les preuves : historique de perte de réseau, échanges avec l’opérateur, relevés, codes reçus.
↓
6️⃣ En cas de refus, mettez en demeure puis envisagez l’action judiciaire.
Le point stratégique à retenir : demandez à la banque de préciser si une authentification forte a été appliquée aux virements contestés, et exigez qu’elle en produise la preuve. Si elle reconnaît, comme dans l’affaire d’Amiens, ne pas y avoir recouru pour les virements, sa position devient très fragile. Et ne signez jamais un document reconnaissant une négligence : ce n’est pas à vous de prouver votre prudence, c’est à la banque de prouver votre faute.
Conclusion
L’arrêt de la cour d’appel d’Amiens du 23 octobre 2025 est une décision forte pour les victimes de SIM swapping. Il consacre une idée de bon sens, longtemps malmenée par les refus de remboursement : on ne peut pas reprocher à un client la fraude que l’absence de sécurité de sa banque a rendue possible. Le SIM swapping n’est pas une négligence du client ; c’est l’exploitation d’une faille que la banque devait verrouiller. Si vous avez vu votre numéro détourné et votre compte vidé, le régime des opérations non autorisées et l’exigence d’authentification forte sont vos meilleurs alliés — et la jurisprudence, désormais, vous donne raison.


