55logo mikael le bot avocat

Virement frauduleux et faux conseiller : la banque doit rembourser malgré l’authentification forte (CA Montpellier, 21 mai 2026, n° 25/02512)

  • Droit bancaire, Moyens de paiement
Un couple reçoit un appel du « service des fraudes » de sa banque. L’interlocuteur connaît leurs opérations, leur solde, rappelle depuis le numéro de l’agence. Mis en confiance, ils valident deux virements : 9 530 € puis 6 720 €. C’était une escroquerie. La banque refuse de rembourser, invoquant leur « négligence grave » et son authentification forte. La cour d’appel de Montpellier lui donne tort et confirme le remboursement intégral. Cet arrêt du 21 mai 2026 rappelle une règle essentielle : face à un virement frauduleux non autorisé, c’est à la banque de prouver la négligence grave du client — et un stratagème sophistiqué de « spoofing » n’est pas une négligence.

Cour d’appel de Montpellier, 4e chambre civile, 21 mai 2026, n° RG 25/02512

🔑 Points clés à retenir

  • Les victimes d’un « faux conseiller » (spoofing) qui n’ont jamais voulu virer d’argent sont dans le régime de l’opération non autorisée (art. L. 133-19 du code monétaire et financier).
  • C’est à la banque de prouver la négligence grave du client ; à défaut, l’autorisation est réputée ne pas avoir été donnée (art. L. 133-7).
  • La cour confirme le remboursement de 9 530 € (compte joint) et 6 720 € (compte personnel), plus 2 500 € au titre des frais d’appel.
  • L’argument de l’authentification forte (art. L. 133-44, L. 133-19 V) ne suffit pas à exonérer la banque en l’absence de négligence grave caractérisée.
  • Vérifier le numéro de l’appelant, consulter ses opérations en ligne, faire opposition et porter plainte le lendemain : autant de signes de diligence normale, pas de négligence.
  • La distinction Cour de cassation : spoofing = opération non autorisée (Com., 12 juin 2025, n° 24-13.777) ; fraude au président = opération autorisée (Com., 30 avril 2025, n° 24-11.255).
Sommaire

Que s’est-il passé dans cette affaire ?

Le 10 octobre 2022, un couple titulaire de comptes à la Caisse d’épargne est contacté par téléphone par une personne se présentant comme le service des fraudes de la banque. L’interlocuteur est convaincant : il décrit précisément les opérations passées sur leurs comptes, connaît leur solde, et instaure un climat d’urgence et de confiance. Sous cette pression, les époux réalisent deux virements : 9 530 euros depuis leur compte joint, puis 6 720 euros depuis le compte personnel du mari.

Dès le lendemain, 11 octobre 2022, ils comprennent qu’ils ont été escroqués. Ils font opposition, alertent la banque — qui tente sans succès une opération de « recall » pour rappeler les fonds — et déposent plainte pour escroquerie auprès de la gendarmerie. En mars 2023, ils mettent la banque en demeure de les rembourser. Refus. Ils saisissent alors le tribunal judiciaire de Montpellier, qui leur donne raison le 10 avril 2025 et condamne la Caisse d’épargne à recréditer les deux comptes. La banque fait appel. Le 21 mai 2026, la cour d’appel de Montpellier confirme intégralement le jugement.

⚠️ Le mécanisme de la fraude
L’escroc se fait passer pour la banque, affiche le vrai numéro de l’agence sur le téléphone de la victime (technique du « spoofing »), et exploite des informations confidentielles pour paraître légitime. La victime, persuadée de parler à sa banque, exécute elle-même les opérations. C’est précisément ce qui distingue ce type de fraude des autres.

Opération autorisée ou non autorisée : pourquoi est-ce décisif ?

Tout le litige se joue sur une qualification juridique. Le code monétaire et financier, tel qu’interprété par la Cour de cassation, distingue deux situations radicalement différentes.

📖 Définition — Opération de paiement non autorisée
Au sens de l’article L. 133-19 du code monétaire et financier, c’est une opération à laquelle l’utilisateur n’a pas consenti, soit parce qu’il n’en a jamais eu l’intention, soit parce qu’il a été victime d’un stratagème. Dans ce cas, la banque doit en principe rembourser, sauf à prouver une négligence grave du client.

La cour rappelle la grille de lecture posée par la Cour de cassation. D’un côté, l’opération non autorisée : l’utilisateur n’a jamais voulu payer, comme dans le « spoofing » ou la fraude au faux conseiller (Com., 12 juin 2025, pourvoi n° 24-13.777, publié). De l’autre, l’opération autorisée : l’utilisateur a bien ordonné le paiement vers un compte qu’il croyait légitime, parfois après manipulation, comme dans la « fraude au président » (Com., 30 avril 2025, pourvoi n° 24-11.255).

Cette distinction n’est pas un détail de vocabulaire : elle commande tout le régime de responsabilité. Dans l’opération non autorisée, la protection du client est forte, car le code monétaire et financier fait peser sur la banque une obligation de remboursement de principe. Dans l’opération autorisée, le terrain est plus difficile pour la victime, car elle a elle-même donné un ordre valide. Ici, la cour confirme l’analyse du premier juge : les époux n’ont jamais eu l’intention d’opérer le moindre virement, ils ont été les jouets d’un stratagème. Le régime applicable est donc celui des opérations non autorisées.

Qu’est-ce que le « spoofing » ou fraude au faux conseiller ?

Le « spoofing » désigne l’usurpation d’une identité numérique : l’escroc fait apparaître, sur le téléphone de sa cible, le numéro réel de la banque, et se présente comme un conseiller ou un agent du service anti-fraude. Souvent, il dispose déjà de données personnelles (nom, opérations récentes, solde) obtenues par hameçonnage ou fuite de données, ce qui rend son discours d’autant plus crédible. Le but est d’amener la victime à communiquer ses codes ou à valider elle-même des virements « pour sécuriser son compte ». C’est l’une des fraudes les plus redoutables, parce qu’elle s’appuie sur la confiance que le client place naturellement dans sa banque.

Qui doit prouver la négligence grave ?

Une fois la qualification d’opération non autorisée retenue, la charge de la preuve devient l’enjeu central — et elle ne pèse pas sur le client. La cour énonce la règle avec netteté : il appartient à la banque, en application de l’article L. 133-19 du code monétaire et financier, de rapporter la preuve que les clients ont manqué, intentionnellement ou par négligence grave, aux obligations posées par les articles L. 133-16 et L. 133-17. À défaut pour la banque de rapporter cette preuve, l’autorisation est réputée ne pas avoir été donnée, en application de l’article L. 133-7.

📖 Définition — Négligence grave
C’est un manquement caractérisé du client à son obligation de préserver la sécurité de ses données personnalisées (codes, mots de passe) ou de signaler sans tarder une fraude. La négligence grave suppose un comportement d’une gravité particulière : une simple imprudence, ou le fait d’avoir été trompé par un stratagème élaboré, ne suffit pas.
La logique probatoire en un coup d’œil

Opération non autorisée (spoofing)
    ↓
La banque doit rembourser par principe (art. L. 133-18)
    ↓
Sauf si elle prouve une négligence grave du client (art. L. 133-19)
    ↓
Preuve non rapportée → autorisation réputée non donnée (art. L. 133-7)
    ↓
Remboursement intégral confirmé

Pourquoi le couple n’a-t-il pas commis de négligence grave ?

La banque ne s’avoue pas vaincue : elle reproche aux clients une triple négligence grave. D’abord, avoir consenti aux virements sous l’égide d’un discours invraisemblable, sans même appeler la banque pour vérifier. Ensuite, avoir ignoré les courriels d’alerte de l’établissement avertissant que des escrocs pouvaient usurper son numéro de téléphone. Enfin, avoir saisi à deux reprises des coordonnées bancaires (RIB) montrant que les fonds partaient vers un autre établissement, sans que cela n’éveille la moindre méfiance.

La cour examine chacun de ces griefs et les écarte, en s’appuyant sur le déroulé concret des faits. Loin d’avoir été passifs ou imprudents, les époux ont au contraire multiplié les vérifications :

Les éléments retenus par la cour en faveur des clients

✅  Le faux employé avait accès à leur compte : il décrivait précisément leurs opérations et leur solde.
✅  Ils ont pu vérifier en ligne que des opérations étaient effectivement en cours.
✅  Ils ont vérifié le numéro de téléphone de l’interlocuteur, qui correspondait bien à celui du service fraude de la Caisse d’épargne, en appelant ce service.
✅  L’escroc les a rappelés depuis la ligne de l’agence, achevant de les mettre en confiance.
✅  Ils ont fait opposition immédiate et déposé plainte dès le lendemain.

De ce faisceau d’éléments, la cour tire une conclusion sans ambiguïté : l’enchaînement des événements démontre que les clients ont été normalement diligents pour signaler rapidement la fraude. Aucune négligence grave, et a fortiori aucune faute intentionnelle, ne sont établies au regard des articles L. 133-16 et L. 133-17 du code monétaire et financier. C’est donc à bon droit que le tribunal a condamné la banque à rembourser. Le jugement est confirmé.

Ce raisonnement est important pour les victimes. Il consacre une idée de bon sens trop souvent oubliée dans les courriers de refus des banques : être trompé par un escroc habile n’est pas une faute. Au contraire, le fait d’avoir cherché à vérifier (en consultant son compte, en rappelant le service fraude) plaide en faveur de la diligence du client, même si ces vérifications ont été déjouées par le caractère sophistiqué du stratagème.

L’authentification forte protège-t-elle la banque ?

C’était l’argument central de la banque. Elle invoquait l’article L. 133-19 V du code monétaire et financier, dont il résulte, a contrario, que lorsque l’opération a été réalisée avec une authentification forte (article L. 133-44), le payeur supporte les conséquences financières de l’opération non autorisée. La Caisse d’épargne soutenait avoir mis en place cette authentification forte en exigeant l’identifiant et le mot de passe de connexion, qu’elle ne communique qu’à ses clients.

📖 Définition — Authentification forte
Issue de la directive européenne sur les services de paiement (DSP2), l’authentification forte impose de combiner au moins deux éléments indépendants parmi : ce que le client connaît (mot de passe), ce qu’il possède (téléphone, dispositif) et ce qu’il est (biométrie). Elle vise à sécuriser les paiements en ligne et à réduire la fraude.

L’arrêt n’entérine pas pour autant l’argument de la banque. La cour tranche le litige sur le terrain de la négligence grave, qu’elle juge non caractérisée, et confirme à ce titre le remboursement. Autrement dit, l’invocation de l’authentification forte ne suffit pas, à elle seule, à transférer la charge financière sur le client lorsque la banque échoue à démontrer un manquement grave de sa part. C’est un signal utile : les établissements ne peuvent pas se retrancher derrière la formule magique de l’« authentification forte » pour refuser systématiquement tout remboursement.

Sur ce point, un terrain mérite d’être systématiquement creusé par les victimes et leurs conseils. Au-delà de la seule négligence grave, la réglementation européenne des paiements impose aux banques des standards techniques précis — les normes techniques de réglementation (RTS) complétant la DSP2 : authentification réellement forte, surveillance continue des opérations, détection des schémas de transaction anormaux. Lorsqu’un virement inhabituel par son montant, son bénéficiaire ou sa rapidité échappe à ces dispositifs de détection, la responsabilité de la banque peut être discutée sur ce fondement, encore trop peu mobilisé. Chaque dossier mérite une analyse précise des mesures de sécurité effectivement déployées par l’établissement.

Que retenir si vous êtes victime d’un virement frauduleux ?

Cet arrêt est une décision encourageante pour les victimes de fraude au faux conseiller. Il confirme une ligne jurisprudentielle protectrice : lorsque la fraude relève du spoofing et que le client n’a jamais eu l’intention de payer, on se trouve dans le régime de l’opération non autorisée, où la banque doit rembourser sauf à prouver une négligence grave. Et cette preuve, la cour le montre, n’est pas facile à rapporter : avoir été trompé par un stratagème élaboré, avoir cherché à vérifier, avoir réagi vite, ce sont des marques de diligence, non de négligence.

Pour autant, il faut rester précis. Chaque affaire dépend de ses faits, et la qualification est déterminante. Une fraude où la victime communique volontairement son code de validation après un message d’alerte explicite de sa banque pourra être appréciée plus sévèrement ; une fraude au président, qualifiée d’opération autorisée, relève d’un régime différent et plus exigeant. C’est dire l’importance de faire analyser sa situation : la frontière entre opération autorisée et non autorisée, l’appréciation de la négligence grave et l’examen des dispositifs de sécurité de la banque sont autant de leviers qui se jouent dans le détail.

En pratique, quelques réflexes augmentent nettement les chances d’obtenir un remboursement : faire opposition immédiatement, déposer plainte sans attendre, conserver toutes les traces (relevés, courriels, journaux d’appel), et mettre la banque en demeure par écrit. Si elle refuse, un recours est souvent possible. Le cabinet LE BOT Avocat accompagne les victimes de fraudes bancaires pour contester les refus de remboursement et engager la responsabilité de l’établissement lorsque les conditions sont réunies.

FAQ — Questions fréquentes

Ma banque doit-elle me rembourser un virement frauduleux ?
Si l’opération est qualifiée de « non autorisée » — par exemple lorsque vous avez été victime d’un faux conseiller (spoofing) sans jamais avoir voulu virer d’argent —, la banque doit en principe vous rembourser (articles L. 133-18 et L. 133-19 du code monétaire et financier). Elle ne peut s’y soustraire qu’en prouvant votre négligence grave ou une fraude de votre part.
Qu’est-ce qu’une « négligence grave » et qui doit la prouver ?
La négligence grave est un manquement caractérisé du client à la sécurité de ses données ou à son obligation de signaler la fraude. C’est à la banque de la prouver, pas au client de prouver son absence de faute. Être trompé par un stratagème sophistiqué, chercher à vérifier l’appel et réagir rapidement ne constituent pas une négligence grave, comme le confirme cet arrêt.
La banque peut-elle refuser le remboursement parce qu’elle a une « authentification forte » ?
Pas automatiquement. La banque invoque souvent l’article L. 133-19 V du code monétaire et financier pour faire supporter la perte au client lorsqu’une authentification forte a été mise en œuvre. Mais cet argument ne dispense pas la banque de démontrer une négligence grave du client. En son absence, comme dans cet arrêt, le remboursement reste dû.
Quelle différence entre fraude au faux conseiller et fraude au président ?
Dans la fraude au faux conseiller (spoofing), la victime n’a jamais voulu payer : l’opération est « non autorisée » (Com., 12 juin 2025, n° 24-13.777). Dans la fraude au président, la victime ordonne elle-même un paiement vers un compte qu’elle croit légitime : l’opération est « autorisée » (Com., 30 avril 2025, n° 24-11.255). Le régime de responsabilité, et donc les chances de remboursement, diffèrent selon la qualification.
Que faire immédiatement après avoir été victime d’un virement frauduleux ?
Faites opposition sans délai, alertez votre banque pour qu’elle tente un « recall » des fonds, déposez plainte rapidement et conservez toutes les preuves (relevés, courriels, historique d’appels). Mettez ensuite la banque en demeure par écrit de vous rembourser. Ces réactions rapides démontrent votre diligence et renforcent votre dossier.
Ma banque a refusé de me rembourser : ai-je un recours ?
Oui. Un refus de remboursement n’est pas définitif. De nombreuses décisions, comme cet arrêt de la cour d’appel de Montpellier, condamnent les banques à rembourser des virements frauduleux non autorisés. Un avocat en droit bancaire peut analyser la qualification de l’opération, la réalité de la négligence grave invoquée et les dispositifs de sécurité de la banque, puis engager un recours adapté.

1521 2281 max

Besoin de conseils juridiques personnalisés ?

Ne restez pas seul face à vos questions. Un avocat peut vous rappeler gratuitement pour faire le point sur votre situation.

Être recontacté par un avocat

Besoin de conseils juridiques personnalisés ?

RGPD :

Articles similaires

assets task 01jxabfhtderwt79q5d8fcjh58 1749473088 img 1

Crédit affecté et dol du vendeur : la nullité du prêt, même sans annulation du contrat principal et sans fraude directe de la banque !

Les crédits affectés, ces financements spécifiquement dédiés à l’acquisition d’un bien ou d’un service, sont par nature liés au contrat principal qu’ils financent. Mais que ...

saisie conservatoire creances

Saisie conservatoire de créances sur compte bancaire : Tout ce qu’il faut savoir

Votre débiteur tarde à honorer ses obligations ? Vous avez déjà tenté plusieurs démarches sans succès et vous vous demandez s’il existe des moyens efficaces ...

fraude carte bancaire 1

Arnaque à la Fausse Carte Bancaire : Attention à ce Nouveau Piège qui Vide Vos Comptes

🚨 Alerte sécurité de la Police Nationale Une nouvelle arnaque particulièrement sophistiquée circule actuellement en France. Des escrocs envoient par courrier postal de fausses cartes ...