55logo mikael le bot avocat

Virement non autorisé : c’est à la banque de prouver, pas au client (TAE Paris, 1er avril 2025, n° 2023067456)

  • Droit bancaire, Moyens de paiement

Un virement de 14 901 € part vers un compte en Italie, l’entreprise n’y est pour rien, et la banque refuse de rembourser en invoquant une « authentification forte ». Par un jugement du 1er avril 2025, le Tribunal des activités économiques de Paris (n° 2023067456) condamne la BRED Banque Populaire à restituer l’intégralité de la somme, assortie d’intérêts au taux légal majoré pouvant atteindre 18,13 %. La décision rappelle une règle que beaucoup de victimes ignorent : ce n’est pas au client de prouver qu’il n’a pas autorisé l’opération, c’est à la banque de prouver qu’il l’a autorisée. Et un simple tableau interne ne suffit pas.

Points clés à retenir

  • La charge de la preuve du caractère autorisé d’un virement contesté pèse sur la banque, pas sur le client (art. L. 133-23 du Code monétaire et financier).
  • Une clause des conditions générales qui présume l’autorisation dès que les identifiants du client ont été utilisés est privée d’effet : on ne peut pas renverser par contrat une charge de preuve fixée par la loi.
  • Pour s’exonérer, la banque doit prouver techniquement l’authentification forte et la négligence grave du client. Un tableau interne non signé, non certifié par un expert, ne vaut rien : « on ne peut se constituer de preuve à soi-même ».
  • L’authentification forte, même prouvée, n’exonère pas automatiquement la banque : elle doit en plus établir la négligence grave du payeur.
  • Le retard de remboursement déclenche des intérêts au taux légal majoré de 5, 10 puis 15 points (art. L. 133-18 CMF), soit ici jusqu’à 18,13 %.
Sommaire

Que s’est-il passé dans cette affaire ?

Une société de formation, titulaire d’un compte professionnel à la BRED Banque Populaire, découvre qu’un virement en ligne de 14 901 € a été exécuté à son débit le 6 janvier 2022, au profit d’un compte situé en Italie. L’entreprise affirme n’avoir jamais ordonné ce virement. Dès le 11 janvier 2022, elle dépose une plainte pénale pour détournement de fonds.

La banque, après « analyse du dossier », répond le 15 février 2022 que les opérations ont été émises depuis l’espace personnel BREDConnect, protégé par des codes « strictement personnels », et qu’elle ne peut donc pas rembourser. La plainte est classée sans suite le 14 avril 2022, faute d’avoir pu identifier l’auteur. Le 28 juin 2022, la BRED confirme son refus. Après une mise en demeure restée vaine, la société assigne la banque par acte du 8 novembre 2023.

Devant le tribunal, l’entreprise demande le remboursement des 14 901 € avec intérêts au taux légal majoré, 1 000 € de dommages-intérêts pour préjudice moral et 3 000 € au titre des frais de procédure. La banque, elle, soutient que l’opération a été « régulièrement authentifiée donc autorisée » et qu’elle n’a pu être réalisée qu’à cause des « négligences graves » du client.

Définition — Opération de paiement non autorisée

Une opération de paiement (virement, prélèvement, paiement par carte) est dite non autorisée lorsque le payeur n’a pas donné son consentement à son exécution (art. L. 133-6 du Code monétaire et financier). En l’absence de consentement donné « sous la forme convenue », l’opération est réputée non autorisée (art. L. 133-7). La conséquence est lourde pour la banque : elle doit en principe rembourser immédiatement.

À noter — un tribunal d’un genre nouveau. Le jugement émane du Tribunal des activités économiques de Paris, et non d’un « tribunal de commerce » classique. Depuis le 1er janvier 2025, douze juridictions expérimentent ce nouveau nom et une compétence élargie. Sur le fond, le raisonnement appliqué au litige bancaire reste identique à celui qu’aurait tenu le tribunal de commerce.

Qui doit prouver qu’un virement a été autorisé ?

C’est le cœur du dossier, et la réponse est sans ambiguïté : c’est la banque. L’article L. 133-23 du Code monétaire et financier dispose que « lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée […], il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre ».

Ce texte va plus loin encore, et c’est décisif : « l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait […] par négligence grave aux obligations lui incombant ». Autrement dit, le seul fait que les codes du client aient « fonctionné » ne prouve rien : il faut une démonstration technique complète.

Le tribunal en tire une conséquence logique : la banque est « la seule à détenir les preuves techniques » de l’opération. Faire peser la charge sur le client reviendrait à lui demander une preuve impossible. Le client n’a donc rien d’autre à faire que de contester l’opération ; c’est ensuite à la banque de se justifier.

Une clause des conditions générales peut-elle inverser la charge de la preuve ?

La BRED soutenait que ses conditions générales contenaient une clause « prévoyant une présomption d’autorisation de l’opération par le payeur dès lors que ses données personnelles ont été utilisées ». Selon la banque, cette clause faisait basculer la charge de la preuve sur le client.

Le tribunal écarte fermement cet argument pour deux raisons cumulatives, chacune suffisante.

D’abord, une raison de principe : il n’est « pas possible d’introduire contractuellement une présomption de régularité de l’opération de paiement qui aurait pour effet d’exonérer le prestataire de services […] d’avoir à prouver que l’opération a été dûment enregistrée et comptabilisée ». La règle de l’article L. 133-23 est d’ordre public : on ne peut pas la neutraliser par une clause. Une stipulation qui aboutirait à dispenser la banque de sa charge de preuve est privée d’effet.

Ensuite, une raison de fait : la banque « n’apporte pas la preuve de la signature » des conditions générales par la société. Or des conditions générales que le client n’a jamais acceptées, et dont la banque ne démontre pas qu’elles ont été portées à sa connaissance avant la conclusion du contrat, lui sont tout simplement inopposables.

Définition — Clause inopposable

Une clause est inopposable à une partie lorsqu’elle ne peut pas lui être appliquée, faute pour cette partie d’y avoir consenti ou d’en avoir eu connaissance en temps utile. Une banque qui se prévaut de conditions générales doit pouvoir démontrer qu’elles ont été communiquées et acceptées. À défaut, elle ne peut s’en servir contre son client.

L’« authentification forte » suffit-elle à exonérer la banque ?

C’est l’argument central de la défense bancaire dans tous ces dossiers : « le virement a fait l’objet d’une authentification forte, donc il est autorisé ». Le tribunal démonte méthodiquement ce raisonnement.

L’authentification forte (ou authentification à deux facteurs) découle de la directive européenne DSP 2 (n° 2015/2366) et de son règlement délégué 2018/389, transposés aux articles L. 133-4 et L. 133-44 du Code monétaire et financier. Elle suppose la combinaison d’au moins deux éléments parmi trois catégories : la connaissance (un code, un mot de passe), la possession (un téléphone, une carte) et l’inhérence (une donnée biométrique). Pour les paiements à distance, un facteur supplémentaire est exigé : un lien dynamique entre le code généré et l’opération précise — montant et bénéficiaire —, de sorte que toute modification invalide le code.

Encore faut-il le prouver. Et c’est là que la banque échoue. À l’audience, le juge a interrogé le représentant de la BRED sur la portée de sa pièce n° 2 — un « recueil de tableau » censé établir l’authentification. Le tribunal constate que ce document :

  • est « une seule pièce sans titre, sans signature et sans en-tête », une simple compilation de tableaux que la banque a « très bien pu établir pour la cause » ;
  • n’est pas certifié par un expert informatique, alors qu’il prétend être « la transcription exacte des traces techniques » ;
  • ne démontre pas l’enrôlement des appareils utilisés ni leur identification certaine par des données techniques (numéro IMEI, adresse IP) ;
  • ne donne « aucune indication sur l’identité du RIB bénéficiaire » ni sur les conditions de sa création et de son autorisation ;
  • ne prouve pas l’absence de déficience technique du système de la banque, faute d’attestation d’expert sur sa fiabilité à la période concernée.

Le tribunal applique ici une maxime probatoire fondamentale : « on ne peut se constituer de preuve à soi-même ». Un tableau produit unilatéralement par la banque, sans contrôle externe, n’a aucune force probante face à l’exigence légale. La conclusion tombe : la BRED « n’apporte pas la preuve que le virement et la création du bénéficiaire ont fait l’objet d’une authentification forte ».

Schéma — Le raisonnement du tribunal en cascade

Client conteste le virement
    ↓
La banque doit prouver l’authentification forte ❶
    ↓  (tableau interne non certifié → échec)
Preuve non rapportée → opération non autorisée
    ↓
La banque doit prouver la négligence grave ❸
    ↓  (simples allégations → échec)
Remboursement intégral + intérêts majorés

Point juridique essentiel souligné par la décision : même si l’authentification forte avait été prouvée, cela n’aurait pas suffi à exonérer la banque. Comme le rappelait la société, « le fait qu’une opération contestée ait fait l’objet d’une authentification forte n’exonère aucunement la banque d’avoir à prouver que le payeur a été gravement négligent ». Les deux démonstrations sont distinctes et doivent être menées séparément.

La banque peut-elle invoquer la négligence grave du client sans la prouver ?

La BRED affirmait que le virement « n’a été possible que du fait de la négligence grave » de la société, le fraudeur ayant nécessairement obtenu l’identifiant et le mot de passe « strictement personnels » du titulaire. Argument séduisant en apparence — mais inopérant.

L’article L. 133-19, IV du Code monétaire et financier ne fait supporter les pertes au payeur que s’il « n’a pas satisfait intentionnellement ou par négligence grave » à ses obligations de sécurité. Or, conformément à l’article L. 133-23, c’est encore à la banque de rapporter la preuve de cette négligence grave. Et le tribunal constate qu’elle « n’apporte aucun élément de preuve » en ce sens, la plainte pénale n’en apportant pas davantage : « il s’agit donc de simples allégations dont la réalité n’est pas prouvée ».

La leçon est claire : la banque ne peut pas déduire la négligence grave du seul fait que la fraude a eu lieu. Ce raisonnement circulaire — « il y a eu fraude, donc le client a forcément été négligent » — est précisément ce que la loi interdit. La négligence grave est un fait positif qui se prouve, par exemple par la démonstration que le client a communiqué ses codes en réponse à un message manifestement frauduleux. En l’absence d’une telle preuve, le client est intégralement protégé.

Définition — Négligence grave du payeur

La négligence grave désigne un comportement particulièrement imprudent du titulaire dans la préservation de ses données de sécurité (codes, identifiants). C’est le seul cas, avec la fraude du client lui-même, qui permet à la banque de refuser le remboursement d’une opération non autorisée. La Cour de cassation exige que la banque en rapporte une preuve concrète : la simple utilisation des identifiants par un tiers ne suffit jamais à la caractériser.

Que doit rembourser la banque, et avec quels intérêts ?

L’opération étant non autorisée et aucune cause d’exonération n’étant prouvée, l’article L. 133-18 du Code monétaire et financier impose à la banque de rembourser « immédiatement […] et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant ». La société ayant signalé l’opération dans le délai de treize mois de l’article L. 133-24, ses droits sont entiers.

Le tribunal condamne donc la BRED à payer les 14 901 €. Mais l’aspect le plus dissuasif tient aux intérêts de retard. L’article L. 133-18 prévoit une majoration progressive du taux légal qui sanctionne l’inertie de la banque :

  • + 5 points dès le premier jour de retard (soit 8,13 % du 15 au 21 février 2022) ;
  • + 10 points au-delà de 7 jours de retard (soit 13,13 % du 22 février au 15 mars 2022) ;
  • + 15 points au-delà de 30 jours de retard (soit 18,13 % à compter du 16 mars 2022 jusqu’au parfait paiement).

Sur plus de trois ans de procédure, cette mécanique transforme un refus de remboursement en une dette qui enfle considérablement. La banque est en outre condamnée aux dépens et à 3 000 € au titre de l’article 700 du Code de procédure civile.

Seule la demande de dommages-intérêts pour préjudice moral (1 000 €) est rejetée, faute pour la société de justifier d’un préjudice distinct de celui déjà réparé par la condamnation principale et l’indemnité de procédure. C’est la seule concession faite à la banque — sur l’accessoire, jamais sur le principal.

Le classement sans suite de la plainte change-t-il quelque chose ?

La BRED tentait un dernier argument : la société « ne communique pas sur les suites de sa plainte pénale » et pourrait être indemnisée « dans le cadre d’une éventuelle procédure pénale ». L’idée sous-jacente : renvoyer la victime vers le procès pénal pour s’exonérer du remboursement civil.

Le tribunal balaie l’argument : la plainte a été classée sans suite, et la banque « n’apporte pas d’élément » justifiant son refus de ce chef. Surtout, le raisonnement est juridiquement vain. Le droit au remboursement de l’article L. 133-18 est autonome : il ne dépend ni de l’identification du fraudeur ni de l’issue de la procédure pénale. La victime n’a pas à attendre qu’un coupable soit retrouvé pour être remboursée par sa banque. C’est un point capital, car l’immense majorité des plaintes pour fraude bancaire sont classées sans suite faute d’auteur identifié.

Quelle portée pratique pour les victimes de virements frauduleux ?

Ce jugement, bien qu’émanant d’une juridiction du premier degré et non publié, illustre avec une grande clarté l’état du droit favorable aux clients — particuliers comme entreprises — victimes d’opérations de paiement non autorisées. Il s’inscrit dans le sillage d’une jurisprudence constante de la Cour de cassation qui exige des banques une preuve technique sérieuse et leur interdit de se retrancher derrière des présomptions.

Trois enseignements pratiques méritent d’être retenus.

Premièrement, ne jamais se laisser impressionner par l’argument de l’« authentification forte ». Affirmer qu’une opération a été authentifiée ne vaut pas preuve. La banque doit produire des éléments techniques vérifiables — journaux d’enrôlement des appareils, adresses IP, IMEI, lien dynamique avec l’opération, identité du bénéficiaire créé — idéalement appuyés par une expertise. Un tableau interne, fût-il intitulé « transcription exacte des traces techniques », ne franchit pas le seuil probatoire.

Deuxièmement, exiger que la banque prouve la négligence grave plutôt que de la présumer. Le client n’a pas à démontrer qu’il a été prudent ; c’est à la banque de démontrer qu’il a été gravement imprudent. Tant que cette preuve n’est pas rapportée, le remboursement est dû.

Troisièmement, ne pas attendre l’issue du pénal. Le classement sans suite n’éteint pas le droit au remboursement civil. Au contraire, l’écoulement du temps fait courir les intérêts majorés au bénéfice de la victime.

Sur ce dernier point, un angle encore sous-exploité mérite l’attention. Au-delà du seul terrain de la charge de la preuve, les banques sont tenues par les normes techniques de réglementation (RTS) complétant la directive DSP 2 — précisément le règlement délégué 2018/389 sur lequel s’appuie le tribunal — à des obligations renforcées d’authentification et de surveillance des opérations. Interroger la conformité effective du dispositif de sécurité de la banque à ces exigences constitue un levier d’argumentation complémentaire, distinct des dénonciations relevant de la lutte anti-blanchiment, qui n’ont pas vocation à fonder une indemnisation.

En définitive, cette décision conforte une position simple : face à un virement contesté, le client conteste, et la banque prouve. Lorsqu’elle ne le peut pas, elle paie — capital, intérêts majorés et frais compris.

En conclusion

Le jugement du Tribunal des activités économiques de Paris du 1er avril 2025 est une illustration nette du rapport de forces probatoire voulu par le législateur européen : la charge pèse sur la banque, et elle ne peut s’en décharger ni par une clause de ses conditions générales, ni par un document qu’elle a elle-même rédigé, ni par de simples affirmations de négligence. Pour toute entreprise ou tout particulier confronté à un débit frauduleux, le message est clair : un refus de remboursement n’est pas une fatalité, et l’accompagnement d’un avocat permet souvent de renverser la position de la banque.

Questions fréquentes

Ma banque refuse de me rembourser un virement que je n’ai pas fait. Est-ce normal ?

Non, sauf si la banque prouve que vous avez autorisé l’opération, ou que vous avez commis une fraude ou une négligence grave. En vertu de l’article L. 133-23 du Code monétaire et financier, c’est à elle de rapporter cette preuve. Tant qu’elle ne le fait pas, le remboursement de l’article L. 133-18 est dû. Un refus motivé par le seul fait que vos codes ont été utilisés est insuffisant.

La banque dit qu’il y a eu une « authentification forte ». Suis-je perdu ?

Pas du tout. Affirmer qu’il y a eu authentification forte ne suffit pas : la banque doit la prouver par des éléments techniques vérifiables (enrôlement des appareils, IP, IMEI, lien dynamique avec le montant et le bénéficiaire). Dans l’affaire jugée le 1er avril 2025, un tableau interne non certifié a été jugé sans valeur probante. De plus, même prouvée, l’authentification forte n’exonère pas automatiquement la banque : elle doit en outre démontrer votre négligence grave.

Qu’est-ce qu’une « négligence grave » et qui doit la prouver ?

C’est un comportement particulièrement imprudent dans la protection de vos données de sécurité, par exemple communiquer vos codes en réponse à un message manifestement frauduleux. C’est à la banque de la prouver, par des éléments concrets. Le simple fait qu’un tiers ait utilisé vos identifiants ne caractérise pas, à lui seul, une négligence grave.

Dois-je attendre la fin de l’enquête pénale pour être remboursé ?

Non. Le droit au remboursement civil est autonome de la procédure pénale. Le tribunal l’a rappelé : alors même que la plainte avait été classée sans suite faute d’auteur identifié, la banque restait tenue de rembourser. Le classement sans suite ne vous prive d’aucun droit.

Quel est le délai pour contester un virement non autorisé ?

Vous devez signaler l’opération à votre banque « sans tarder » et au plus tard dans les treize mois suivant la date de débit (art. L. 133-24 du Code monétaire et financier), sous peine de forclusion. Dans l’affaire commentée, ce délai avait été respecté. Il est donc essentiel de réagir vite dès la découverte du débit.

Quels intérêts la banque doit-elle payer en cas de retard ?

L’article L. 133-18 prévoit une majoration progressive du taux légal : + 5 points dès le premier jour, + 10 points au-delà de 7 jours, + 15 points au-delà de 30 jours de retard. Dans cette affaire, cela représentait des taux de 8,13 %, 13,13 % puis 18,13 % sur le montant remboursé, jusqu’au parfait paiement.

Cette décision s’applique-t-elle aussi aux particuliers ?

Oui. Bien que l’affaire concerne une société, les articles L. 133-18 à L. 133-24 du Code monétaire et financier s’appliquent aux opérations de paiement de manière générale, et la protection est même renforcée pour les particuliers agissant à des fins non professionnelles. Le raisonnement sur la charge de la preuve et la négligence grave est identique.

Le cabinet LE BOT Avocat, dédié au droit bancaire, accompagne les particuliers et les entreprises victimes de virements frauduleux ou d’opérations de paiement non autorisées dans leurs démarches de remboursement, amiables comme contentieuses. Cet article est fourni à titre d’information générale et ne constitue pas un conseil juridique individualisé.

1521 2281 max

Besoin de conseils juridiques personnalisés ?

Ne restez pas seul face à vos questions. Un avocat peut vous rappeler gratuitement pour faire le point sur votre situation.

Être recontacté par un avocat

Besoin de conseils juridiques personnalisés ?

RGPD :

Articles similaires

le sms peut il vraiment être un « facteur de possession »

Le SMS peut-il vraiment être un « facteur de possession » pour l’Authentification Forte du Client (SCA) au regard de la DSP2 et du RTS ? – Directive 2015/2366/UE) – Règlement Délégué (UE) 2018/389

La question de la validité du SMS comme méthode d’authentification est centrale pour l’industrie des paiements. La Directive sur les Services de Paiement 2 (DSP2) (Directive 2015/2366/UE) et ...

cabinet lebot avocat 4

Manquements bancaires en gestion de patrimoine : quand la Caisse d’Épargne Île-de-France rembourse ses clients – AMF, Accord de composition administrative, 12 novembre 2025

Le 12 novembre 2025, la Caisse d’Épargne et de Prévoyance Île-de-France (CEIDF) a conclu un accord de composition administrative avec l’Autorité des marchés financiers (AMF) ...

assets task 01jx05vcemetna0vzmvyjsc7ad 1749131663 img 0

Déchéance du terme sans délai raisonnable : la clause bancaire jugée abusive et non écrite – CA Saint-Denis de la Réunion, ch. civ. tgi, 27 févr. 2026, n° 23/00989

Lorsqu’un emprunteur rencontre des difficultés pour honorer les mensualités de son prêt immobilier, la banque ne peut pas prononcer la déchéance du terme – c’est-à-dire ...