Virements frauduleux : l’utilisation des codes et du token ne prouve pas le consentement (Cass. com., 1er juillet 2026, n° 25-13.134)

Votre banque vous oppose que le virement contesté a été validé avec vos codes, votre identifiant ou votre boîtier de sécurité, et qu’il est donc réputé autorisé ? La Cour de cassation vient de rappeler, dans un arrêt publié au bulletin, que ce raisonnement est illégal. L’utilisation de l’instrument de paiement — ici un « token » généré par un boîtier remis par la banque à une utilisatrice désignée — ne suffit pas à prouver que le payeur a consenti à l’opération. En présumant le consentement d’une entreprise victime de trois virements frauduleux au seul motif que la « forme convenue » avait été respectée, la cour d’appel de Paris a inversé la charge de la preuve. Cassation totale, aux torts du Crédit lyonnais. Cet arrêt est une arme précieuse pour toutes les victimes de virements frauduleux, particuliers comme entreprises.

Cour de cassation, chambre commerciale, 1er juillet 2026, pourvoi n° 25-13.134, publié au bulletin

🔑 Points clés à retenir

  • L’utilisation de l’instrument de paiement telle qu’enregistrée par la banque « ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur » (art. L. 133-23 du code monétaire et financier).
  • La Cour de cassation casse l’arrêt de la cour d’appel de Paris du 22 janvier 2025 qui avait « présumé » le consentement de la société victime parce que ses identifiants, son code d’accès et un « token » généré par un boîtier avaient été utilisés.
  • Déduire le consentement du seul recours à la « forme convenue » contractuellement, alors que le client conteste avoir autorisé les opérations, constitue une inversion de la charge de la preuve (art. L. 133-6, L. 133-7 et L. 133-23 CMF).
  • L’affaire concernait trois virements frauduleux exécutés le 23 novembre 2020 au préjudice d’une société : la protection probatoire du code monétaire et financier bénéficie aussi aux entreprises.
  • L’affaire est renvoyée devant la cour d’appel de Versailles ; la banque est condamnée aux dépens et à 3 000 euros au titre de l’article 700 du code de procédure civile.
Sommaire

Que s’est-il passé dans cette affaire ?

Les faits sont d’une banalité désolante pour qui connaît le contentieux de la fraude aux virements. La société Lincotek Tarbes, une société par actions simplifiée, est titulaire d’un compte dans les livres du Crédit lyonnais. Le 23 novembre 2020, trois virements sont exécutés depuis ce compte. La société soutient qu’ils sont frauduleux : elle n’a jamais consenti à ces opérations et affirme que ses données de sécurité personnalisées ont été utilisées à son insu.

Comme des milliers d’entreprises victimes chaque année de détournements de virements, elle demande à sa banque la restitution des fonds. Face au refus de l’établissement, elle l’assigne en justice.

Le parcours judiciaire illustre la difficulté de ce contentieux. Le tribunal de commerce de Créteil, puis la cour d’appel de Paris (pôle 5, chambre 6), dans un arrêt du 22 janvier 2025, rejettent ses demandes. Le raisonnement de la cour d’appel mérite d’être exposé avec précision, car c’est lui qui est censuré.

Pour juger que les opérations de paiement avaient été autorisées, la cour d’appel a retenu que les relevés informatiques produits par la banque établissaient l’utilisation de l’identifiant et du code d’accès à l’espace en ligne, ainsi que l’utilisation d’un « token » généré par un boîtier attribué à une utilisatrice au sein de l’entreprise. Elle en a déduit, d’une part, que l’opération avait été authentifiée, dûment enregistrée et comptabilisée, d’autre part, qu’elle n’avait pas été affectée par une déficience technique. Et elle a ajouté que le consentement de la société était « présumé en conséquence avoir été donné conformément à la forme convenue entre les parties ».

Autrement dit : puisque les codes et le boîtier ont fonctionné, c’est que vous avez consenti. C’est précisément ce raccourci que la Cour de cassation condamne.

Que dit la loi sur le consentement à une opération de paiement ?

Le droit des services de paiement, issu de la directive européenne DSP2 transposée dans le code monétaire et financier, repose sur une architecture simple et protectrice du payeur. Trois textes sont au cœur de l’arrêt.

📖 Définition — Opération de paiement autorisée
Selon les articles L. 133-6 et L. 133-7 du code monétaire et financier, une opération de paiement n’est autorisée que si le payeur a donné son consentement à son exécution, sous la forme convenue entre lui et son prestataire de services de paiement. En l’absence d’un tel consentement, l’opération est réputée non autorisée — et la banque doit en principe rembourser immédiatement.

L’article L. 133-6 pose le principe : une opération de paiement est autorisée si le payeur a donné son consentement à son exécution. L’article L. 133-7 précise que ce consentement est donné sous la forme convenue entre le payeur et son prestataire de services de paiement. À défaut de consentement, l’opération est réputée non autorisée, avec toutes les conséquences que le code attache à cette qualification, au premier rang desquelles l’obligation de remboursement pesant sur la banque.

Qui doit prouver quoi lorsqu’un virement est contesté ?

C’est ici qu’intervient le texte décisif : l’article L. 133-23 du code monétaire et financier. Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération qui a été exécutée, il incombe à son prestataire de services de paiement — la banque — de prouver que l’opération a été authentifiée, dûment enregistrée et comptabilisée, et qu’elle n’a pas été affectée par une déficience technique ou autre.

📖 Définition — Charge de la preuve
La charge de la preuve désigne l’obligation, pour une partie au procès, d’établir la réalité des faits qu’elle invoque. En matière d’opérations de paiement contestées, la loi fait peser cette charge sur la banque : c’est à elle de démontrer que le client a autorisé l’opération, et non au client de démontrer qu’il ne l’a pas autorisée.

Mais l’article L. 133-23 comporte un second alinéa, trop souvent négligé par les juges du fond, et que la chambre commerciale reproduit mot pour mot dans son arrêt : « L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur. »

La règle est limpide. Que les journaux informatiques de la banque montrent que les codes ont été saisis, que l’authentification a techniquement réussi, que l’opération a été enregistrée sans anomalie : tout cela prouve l’utilisation de l’instrument de paiement. Cela ne prouve pas le consentement du payeur. Car un instrument de paiement peut parfaitement être utilisé par un fraudeur qui a capté les données de sécurité — par hameçonnage, par ingénierie sociale, par compromission du poste informatique — sans que le titulaire ait jamais consenti à quoi que ce soit.

⚖️ Le mécanisme probatoire de l’article L. 133-23 CMF

1️⃣ Le client nie avoir autorisé l’opération exécutée

2️⃣ La banque doit prouver : opération authentifiée + enregistrée + comptabilisée + absence de déficience technique

3️⃣ ⚠️ Même si cette preuve est rapportée : l’utilisation de l’instrument ne suffit pas nécessairement à prouver le consentement

4️⃣ À défaut de preuve du consentement → opération réputée non autoriséerestitution des fonds

Pourquoi la cour d’appel de Paris a-t-elle été censurée ?

La cassation intervient au visa des articles L. 133-6, L. 133-7 et L. 133-23 du code monétaire et financier, et elle est totale : l’arrêt du 22 janvier 2025 est cassé et annulé « en toutes ses dispositions ».

Le raisonnement de la chambre commerciale tient en une phrase, au paragraphe 6 de l’arrêt : « En statuant ainsi, alors que la société Lincotek contestait avoir consenti à ces opérations et soutenait que ses données de sécurité personnalisées avaient été utilisées à son insu, la cour d’appel, en déduisant le consentement des opérations litigieuses du recours à la forme convenue contractuellement, a inversé la charge de la preuve et violé les textes susvisés. »

En quoi consiste l’inversion de la charge de la preuve ?

L’inversion sanctionnée est subtile, et c’est ce qui fait tout l’intérêt pédagogique de l’arrêt. La cour d’appel n’avait pas ouvertement exigé de la société qu’elle prouve son absence de consentement — ce qui aurait été une violation grossière du texte. Elle a procédé de manière plus insidieuse, par le jeu d’une présomption : puisque la « forme convenue » entre les parties (identifiant, code d’accès, token) a été respectée, le consentement est « présumé » avoir été donné.

Or cette présomption n’existe nulle part dans la loi. L’article L. 133-7 dit que le consentement est donné sous la forme convenue ; il ne dit pas que le respect de la forme convenue vaut consentement. La nuance est capitale. La forme convenue est le canal par lequel le consentement s’exprime ; elle n’est pas la preuve que celui qui a emprunté ce canal était bien le titulaire, ni qu’il a véritablement consenti. En transformant le constat technique (les codes ont été utilisés) en présomption juridique (le client a consenti), la cour d’appel a fait produire à l’utilisation de l’instrument de paiement l’effet probatoire que l’article L. 133-23, alinéa 2, lui refuse expressément.

Le procédé revenait, en pratique, à remettre sur les épaules de la victime le fardeau que le législateur avait placé sur celles de la banque : une fois le consentement « présumé », c’était à la société de renverser cette présomption, c’est-à-dire de prouver un fait négatif — qu’elle n’avait pas autorisé les virements. Preuve diabolique, exactement ce que le régime probatoire de la DSP2 a voulu éviter.

Pourquoi le « token » ne prouve-t-il pas le consentement ?

📖 Définition — Token (jeton d’authentification)
Le « token » est un code à usage unique généré par un dispositif physique (boîtier, calculette d’authentification) ou logiciel, remis par la banque à son client pour valider les opérations sensibles sur l’espace de banque en ligne. Il constitue l’un des facteurs de l’authentification dite « forte » (élément de possession), aux côtés du mot de passe (élément de connaissance).

Dans cette affaire, un boîtier générant des tokens avait été attribué à une utilisatrice au sein de la société. Les relevés informatiques montraient que les virements litigieux avaient été validés au moyen de l’identifiant, du code d’accès et d’un token issu de ce boîtier. Pour la cour d’appel, ce triptyque suffisait.

C’était oublier que la validation technique d’une opération et le consentement juridique à cette opération sont deux choses distinctes. Les scénarios de fraude qui aboutissent à une utilisation « techniquement régulière » des dispositifs de sécurité sont légion : détournement des codes par hameçonnage ciblé, manipulation d’un salarié par un fraudeur se faisant passer pour un technicien ou un dirigeant, prise de contrôle à distance du poste de travail, interception des données de sécurité. Dans tous ces cas, les journaux de la banque afficheront une authentification réussie — et pourtant le payeur, c’est-à-dire la société titulaire du compte, n’aura jamais consenti aux opérations.

C’est exactement l’argument que soutenait la société : ses données de sécurité personnalisées avaient été « utilisées à son insu ». Dès lors qu’elle contestait avoir consenti, la banque devait prouver le consentement — et non se retrancher derrière la régularité formelle de l’authentification.

Quelle est la portée de cet arrêt publié au bulletin ?

La publication au bulletin n’est jamais anodine : elle signale que la chambre commerciale entend fixer la ligne et la faire connaître des juridictions du fond. Trois enseignements se dégagent.

Premier enseignement : la preuve qui incombe à la banque au titre de l’article L. 133-23 est une preuve à double détente. Établir que l’opération a été authentifiée, enregistrée et comptabilisée sans déficience technique est une condition nécessaire, mais pas suffisante. Encore faut-il, lorsque le client conteste avoir consenti, que la banque prouve le consentement lui-même. Les juges du fond ne peuvent pas combler ce fossé probatoire par une présomption prétorienne tirée de la « forme convenue ».

Deuxième enseignement : l’arrêt neutralise un argument que les banques opposent systématiquement aux victimes, particuliers comme entreprises : « l’opération a été validée avec vos dispositifs de sécurité, donc c’est vous — ou quelqu’un que vous avez laissé faire ». Ce raisonnement, séduisant en apparence, est désormais explicitement qualifié d’inversion de la charge de la preuve lorsqu’il est utilisé pour établir le consentement.

Troisième enseignement : la cassation est prononcée « sans qu’il y ait lieu de statuer sur l’autre grief », ce qui montre que l’inversion de la charge de la preuve suffisait à elle seule à emporter la censure. Le message adressé aux cours d’appel est sans ambiguïté.

Les entreprises sont-elles protégées comme les particuliers ?

L’un des apports pratiques majeurs de l’arrêt tient à la qualité de la victime : une société par actions simplifiée, cliente professionnelle, opérant sur un espace de banque en ligne d’entreprise avec un boîtier d’authentification. Le régime probatoire de l’article L. 133-23 s’applique à l’« utilisateur de services de paiement », sans distinction entre consommateur et professionnel.

La précision a son importance, car le contentieux des virements frauduleux au préjudice des entreprises — fraude au faux fournisseur, fraude au président, compromission des accès de banque en ligne — est massif, et les enjeux financiers y sont souvent bien supérieurs à ceux des fraudes visant les particuliers. Les entreprises victimes se voient fréquemment opposer leur qualité de professionnel pour minimiser la protection dont elles bénéficient. Cet arrêt rappelle que le socle probatoire du code monétaire et financier joue pleinement à leur profit : c’est à la banque de prouver le consentement, y compris lorsque le payeur est une société.

Il faut toutefois rester lucide sur un point : certaines dispositions protectrices du code monétaire et financier peuvent être aménagées contractuellement avec les clients professionnels, dans les conditions prévues par l’article L. 133-2 du même code. La vérification des conventions de compte et des conditions générales de banque en ligne reste donc un préalable indispensable dans chaque dossier d’entreprise. Mais sur le terrain de la charge de la preuve du consentement, la position de la chambre commerciale dans cet arrêt ne comporte aucune réserve tenant à la qualité professionnelle du payeur.

Cet arrêt s’inscrit-il dans une jurisprudence constante ?

La solution n’est pas une révolution : elle est la réaffirmation solennelle d’une ligne que la chambre commerciale avait déjà tracée en matière de paiements en ligne contestés (Cass. com., 18 janvier 2017, n° 15-18.102), en jugeant que la preuve de la fraude ou de la négligence grave de l’utilisateur qui nie avoir autorisé une opération « ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ». L’arrêt du 1er juillet 2026 prolonge cette logique sur le terrain voisin du consentement lui-même, à propos de virements en ligne validés par token dans un contexte d’entreprise.

La constance du principe rend d’autant plus frappante la persistance, chez certains juges du fond, du réflexe consistant à assimiler authentification réussie et consentement donné. La cour d’appel de Paris avait succombé à ce réflexe ; la cassation, publiée au bulletin, sonne comme un rappel à l’ordre. L’affaire est renvoyée devant la cour d’appel de Versailles, qui devra réexaminer le litige en faisant peser sur la banque l’intégralité de la charge probatoire.

Que faire si votre entreprise est victime de virements frauduleux ?

Cet arrêt renforce considérablement la position des victimes, mais encore faut-il conduire la contestation avec méthode. Les premiers échanges avec la banque sont déterminants : une formulation maladroite — reconnaître avoir « validé » une opération, avoir communiqué un code au téléphone, avoir cliqué sur un lien — peut être exploitée par l’établissement pour reconstruire le débat sur le terrain de la négligence grave. Avant toute déclaration écrite ou orale à votre banque, et avant tout dépôt de plainte, nous vous recommandons vivement la lecture de notre guide pratique : Fraude bancaire : que dire et ne pas dire à sa banque et dans sa plainte.

Sur le fond, la stratégie contentieuse s’articule autour du régime probatoire rappelé par l’arrêt : contester formellement avoir consenti aux opérations, exiger de la banque la preuve complète qui lui incombe — authentification, enregistrement, comptabilisation, absence de déficience technique, et consentement du payeur —, et refuser toute présomption tirée du simple fonctionnement des dispositifs de sécurité.

Au-delà de la charge de la preuve, d’autres leviers peuvent être mobilisés selon les circonstances : le respect par la banque de ses obligations d’authentification forte et de surveillance des opérations au titre des normes techniques de réglementation (RTS) complétant la DSP2 constitue un angle encore sous-utilisé, notamment lorsque les virements litigieux présentaient des anomalies de montant, de destination ou de fréquence par rapport au fonctionnement habituel du compte.

Enfin, le dépôt d’une plainte pénale reste utile pour documenter la fraude et favoriser d’éventuelles mesures de gel ou de recouvrement des fonds, même s’il ne constitue pas en lui-même un fondement d’indemnisation contre la banque. Là encore, le contenu de la plainte doit être pesé avec soin.

Conclusion

L’arrêt du 1er juillet 2026 est de ceux qui remettent les pendules à l’heure. Non, la validation technique d’un virement par identifiant, code d’accès et token ne vaut pas consentement du payeur. Non, les juges ne peuvent pas « présumer » ce consentement du respect de la forme convenue entre les parties. Oui, c’est à la banque — et à elle seule — de prouver que son client a autorisé l’opération qu’il conteste, et cette règle protège les entreprises comme les particuliers.

Pour les victimes de virements frauduleux, ce rappel publié au bulletin est un levier contentieux de premier ordre : il ferme la porte à l’argumentation bancaire la plus répandue et replace le débat judiciaire là où le législateur l’avait situé. Si votre entreprise ou vous-même êtes confronté à un refus de remboursement fondé sur le fait que « vos codes ont été utilisés », sachez que ce seul constat ne suffit pas, en droit, à vous faire supporter la perte. Le cabinet LE BOT Avocat, dédié au droit bancaire, accompagne les victimes de fraude aux virements à chaque étape de la contestation, de la réclamation initiale jusqu’au procès.

FAQ — Questions fréquentes

Ma banque refuse de me rembourser car le virement a été validé avec mes codes : est-ce légal ?
Non, ce seul argument est insuffisant. L’article L. 133-23 du code monétaire et financier précise que l’utilisation de l’instrument de paiement telle qu’enregistrée par la banque ne suffit pas nécessairement à prouver que vous avez autorisé l’opération. L’arrêt de la Cour de cassation du 1er juillet 2026 (n° 25-13.134) censure précisément les juges qui avaient déduit le consentement du bon fonctionnement des identifiants, code d’accès et token. Si vous contestez avoir consenti, c’est à la banque de prouver votre consentement.
Qui doit prouver qu’un virement contesté a été autorisé : la banque ou le client ?
La banque, exclusivement. Lorsque vous niez avoir autorisé une opération, l’article L. 133-23 du code monétaire et financier impose au prestataire de services de paiement de prouver que l’opération a été authentifiée, dûment enregistrée et comptabilisée, qu’elle n’a été affectée d’aucune déficience technique — et, au-delà, que vous y avez consenti. Le juge ne peut pas renverser ce fardeau en « présumant » votre consentement, comme le rappelle l’arrêt du 1er juillet 2026.
Mon entreprise est victime d’une fraude aux virements : bénéficie-t-elle des mêmes protections qu’un particulier ?
Sur le terrain de la charge de la preuve du consentement, oui. L’arrêt du 1er juillet 2026 a été rendu au profit d’une société par actions simplifiée : le régime de l’article L. 133-23 bénéficie à tout « utilisateur de services de paiement », y compris professionnel. Attention toutefois : certaines dispositions du code monétaire et financier peuvent être aménagées par contrat avec les clients professionnels, d’où l’importance de faire analyser votre convention de compte par un avocat en droit bancaire.
Que dois-je dire — et ne pas dire — à ma banque après avoir découvert des virements frauduleux ?
Signalez les opérations sans délai et contestez-les formellement, mais pesez chaque mot : reconnaître avoir « validé » une opération ou communiqué un code peut être exploité contre vous sur le terrain de la négligence grave. Nous avons consacré un guide complet à cette question : Fraude bancaire : que dire et ne pas dire à sa banque et dans sa plainte.
La banque prouve que l’authentification a techniquement fonctionné : ai-je perdu ?
Non. La preuve de l’authentification, de l’enregistrement et de la comptabilisation de l’opération est une condition nécessaire mais non suffisante. Même rapportée, elle n’établit pas votre consentement : un fraudeur peut avoir utilisé vos données de sécurité à votre insu (hameçonnage, manipulation, prise de contrôle du poste). C’est tout le sens du second alinéa de l’article L. 133-23 et de l’arrêt commenté.
Quels délais pour contester un virement non autorisé ?
L’article L. 133-24 du code monétaire et financier impose de signaler l’opération non autorisée sans tarder et au plus tard dans les treize mois suivant sa date de débit, sous peine de forclusion (ce délai peut être différent pour certains clients professionnels, selon la convention de compte). En pratique, plus le signalement est rapide, plus les chances de blocage ou de retour des fonds sont élevées. Agissez immédiatement, par écrit, et faites-vous accompagner dès ce stade.
Que va-t-il se passer pour la société victime après cette cassation ?
L’arrêt de la cour d’appel de Paris du 22 janvier 2025 est annulé en toutes ses dispositions et l’affaire est renvoyée devant la cour d’appel de Versailles, qui rejugera l’ensemble du litige. Les parties sont remises dans l’état antérieur à l’arrêt cassé. La cour de renvoi devra appliquer le régime probatoire rappelé par la Cour de cassation : il appartiendra à la banque de prouver le consentement de la société, sans pouvoir le présumer de l’utilisation des dispositifs de sécurité. La banque a d’ores et déjà été condamnée aux dépens et à verser 3 000 euros au titre de l’article 700 du code de procédure civile.

1521 2281 max

Besoin de conseils juridiques personnalisés ?

Ne restez pas seul face à vos questions. Un avocat peut vous rappeler gratuitement pour faire le point sur votre situation.

Besoin de conseils juridiques personnalisés ?

RGPD :

Articles similaires

20250628 1504 transactions bancaires européennes simple compose 01jyts0sy7emw8bz2jje737sm6

Arnaque au Président / FOVI : articulation entre Opération Non Autorisée et Devoir de Vigilance – Cour d’appel de Paris, Pôle 5 chambre 6, 1er octobre 2025, n° 23/12393

La récente décision de la Cour d’appel de Paris du 1er octobre 2025 (Cour d’appel de Paris, Pôle 5 chambre 6, 1er octobre 2025, n° ...

le bot fraude bancaire que dire et ne pas dire à sa banque et dans sa plainte

Fraude bancaire : que dire (et ne pas dire) à sa banque et dans sa plainte

Vous venez de découvrir un virement ou un paiement que vous n’avez jamais autorisé. Votre premier réflexe est de tout raconter : à votre conseiller, ...

assets task 01jx01kc9je198568y9z2b3rtj 1749127150 img 0

Cautionnement disproportionné : la caution réduite à néant, la banque déboutée (CA Amiens, 9 juin 2026, n° 24/03565)

Un dirigeant se porte caution d’un prêt professionnel de 400 000 euros à hauteur de 210 393,60 euros. Quand la banque l’assigne en paiement, il ...