Virements frauduleux : sans preuve d'authentification forte, la banque doit rembourser (CA Paris, 24 sept. 2025, n° 23/12487)

Neuf virements, 13 210 €, quatre bénéficiaires inconnus en une semaine : une cliente de la BRED se retrouve dépouillée après avoir cliqué sur un faux courriel « BREDSecure ». Le tribunal l’avait déboutée, jugeant qu’elle avait commis une « négligence fautive » en se connectant via le lien. La Cour d’appel de Paris infirme totalement et condamne la banque à rembourser. Sa motivation est précieuse : les virements ont été ordonnés depuis des sessions de connexion qui n’étaient pas celles de la cliente, et surtout la banque n’a jamais démontré avoir mis en œuvre l’authentification forte exigée par la réglementation européenne. Un arrêt qui place la preuve de l’authentification forte au cœur du débat.

Cour d’appel de Paris, Pôle 5 chambre 6, 24 septembre 2025, n° RG 23/12487

🔑 Points clés à retenir

La cour infirme le jugement et condamne la BRED à rembourser 10 752 € (virements non remboursés + frais), avec intérêts au taux légal, plus 4 000 € au titre de l’article 700.
Les virements ont été ordonnés depuis des sessions de connexion (Session-ID) différentes de celles de la cliente : la preuve qu’elle ne les a pas autorisés.
La banque n’allègue ni ne démontre avoir mis en œuvre une authentification forte au sens de l’article L. 133-4 f) du code monétaire et financier.
Sans authentification forte exigée par la banque, le payeur ne supporte aucune conséquence financière (article L. 133-19, V).
Se connecter via un lien sans livrer ses codes à un tiers n’équivaut pas à une divulgation volontaire et n’est pas une négligence grave.
Un délai de réaction d’une semaine, dans ce contexte, ne caractérise pas non plus une négligence grave.

Sommaire ▼

Que s’est-il passé dans cette affaire ?
Comment prouver que les virements n’étaient pas autorisés ?
Pourquoi les sessions de connexion sont-elles décisives ?
Pourquoi l’absence d’authentification forte fait-elle gagner la victime ?
Que dit la réglementation européenne (RTS / DSP2) ?
Cliquer sur un faux lien est-il une négligence grave ?
Un délai de réaction d’une semaine est-il fautif ?
Un remboursement partiel vaut-il reconnaissance de responsabilité ?
Que retenir si vous êtes victime de virements frauduleux ?
FAQ — Questions fréquentes

Que s’est-il passé dans cette affaire ?

Une cliente de la BRED Banque Populaire conteste neuf virements débités de son compte entre le 30 novembre et le 7 décembre 2020, pour un montant total de 13 210 euros, au bénéfice de quatre nouveaux destinataires qui lui étaient inconnus.

L’origine de la fraude est un courriel frauduleux reçu le 30 novembre 2020, prétendant émaner de la banque et invitant à « l’activation BREDSecure ». La cliente clique sur le lien, pensant qu’il s’agit bien de sa banque, et saisit ses identifiants pour accéder à son espace. On l’informe alors qu’un « courrier important » l’attend dans son espace personnel — ce qui se révèle faux — et elle se déconnecte. Les jours suivants, lorsqu’elle tente de se reconnecter avec ses identifiants, l’accès ne fonctionne plus. Elle ne s’en inquiète pas immédiatement, pensant à un nouveau système mis en place par la banque.

Elle porte plainte le 8 décembre 2020 et alerte sa conseillère. La BRED lui rembourse 2 500 euros (correspondant au dernier virement) le 21 décembre 2020, mais refuse le surplus. Après des démarches infructueuses, la cliente assigne la banque. Le tribunal judiciaire de Paris la déboute le 6 juin 2023, estimant qu’elle a commis une « négligence fautive » en cliquant sur le lien, en saisissant ses identifiants, puis en ne réagissant pas lorsque ses tentatives de connexion sont devenues impossibles. La cliente fait appel. La Cour d’appel de Paris infirme intégralement ce jugement.

Comment prouver que les virements n’étaient pas autorisés ?

📖 Définition — Opération autorisée
Selon les articles L. 133-6 et L. 133-7 du code monétaire et financier, une opération n’est autorisée que si le payeur y a consenti, sous la forme convenue avec sa banque. À défaut, elle est réputée non autorisée. L’article L. 133-2 précise qu’il ne peut être dérogé à ces définitions par convention : aucune clause des conditions générales ne peut renverser cette règle.

La banque soutenait que les virements revêtaient un caractère autorisé, en s’appuyant notamment sur l’article 9 de ses conditions générales. La cour écarte cet argument : on ne peut déroger par convention aux définitions légales de l’opération autorisée. La question n’est donc pas ce que prévoient les conditions générales, mais ce que prouvent les faits.

Et les faits, ici, parlent en faveur de la cliente. La cour s’appuie sur deux sources convergentes : la plainte pénale circonstanciée de la cliente, qui décrit clairement le déroulement de l’escroquerie, et — c’est remarquable — les relevés informatiques produits par la banque elle-même.

Pourquoi les sessions de connexion sont-elles décisives ?

Les relevés de connexion versés par la BRED révèlent que les virements litigieux, vers des destinataires inconnus de la cliente, ont été ordonnés à partir de sessions de connexion (Session-ID) qui ne correspondent pas à celle de la cliente. Autrement dit, la banque a elle-même fourni la preuve que les ordres ne provenaient pas de l’espace de sa cliente.

Le raisonnement de la cour

Virements vers des bénéficiaires inconnus → ordonnés depuis des Session-ID étrangères à la cliente → cliente dans l’impossibilité d’accéder à son compte sur la période → opérations non autorisées établies à suffisance

La cour ajoute un détail qui se retourne contre la banque : la BRED ne conteste pas que la cliente était dans l’impossibilité d’accéder à son compte en ligne pendant la période, puisqu’elle lui reproche précisément de ne pas s’en être inquiétée. En invoquant ce reproche, la banque admet implicitement que la cliente n’avait plus la main sur son compte. Le caractère non autorisé des virements est donc « établi à suffisance ».

Pourquoi l’absence d’authentification forte fait-elle gagner la victime ?

Une fois le caractère non autorisé établi, la banque est en principe tenue de rembourser (article L. 133-18). Pour s’en exonérer, elle doit prouver une fraude ou une négligence grave de la cliente. Mais l’arrêt déploie ici un argument supplémentaire, particulièrement puissant.

📖 Définition — Authentification forte
L’article L. 133-4 f) du code monétaire et financier définit l’authentification forte comme reposant sur au moins deux éléments indépendants parmi trois catégories : la connaissance (un code connu du seul utilisateur), la possession (un appareil détenu par lui) et l’inhérence (une donnée biométrique). « Indépendants » signifie que la compromission de l’un ne compromet pas les autres.

La cliente se plaignait précisément de ne pas avoir été alertée de l’ajout des bénéficiaires ni des virements. Or, relève la cour, « la BRED n’allègue ni ne démontre avoir mis en œuvre un moyen d’authentification forte au sens de l’article L. 133-4 f) du code monétaire et financier ». C’est un constat sévère : la banque ne prétend même pas avoir appliqué l’authentification forte.

Les conséquences sont radicales. L’article L. 133-19, V, du code monétaire et financier prévoit que, sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération non autorisée a été effectuée sans que la banque n’exige une authentification forte. Lorsque la banque n’a pas mis en place l’authentification forte, la question même de la négligence grave de la cliente devient sans objet : la banque doit rembourser, point.

Que dit la réglementation européenne (RTS / DSP2) ?

L’arrêt prend soin d’ancrer cette exigence dans le droit européen. Depuis le 14 septembre 2019 — dix-huit mois après l’entrée en vigueur du règlement délégué (UE) 2018/389 du 27 novembre 2017, qui complète la directive DSP2 (UE) 2015/2366 par des normes techniques de réglementation relatives à l’authentification forte —, l’obligation pèse pleinement sur les banques.

📖 Définition — RTS (normes techniques de réglementation)
Le règlement délégué (UE) 2018/389 — les Regulatory Technical Standards ou RTS — fixe les standards techniques précis que les banques doivent respecter au titre de la DSP2 : authentification forte du client, surveillance des transactions, détection des opérations anormales. Lorsqu’une banque ne démontre pas avoir respecté ces standards, sa responsabilité s’en trouve fragilisée.

Ce point est stratégiquement essentiel. La cour ne se contente pas de constater l’absence de preuve d’autorisation : elle relève l’absence de mise en œuvre d’une obligation technique pesant sur la banque. Pour les victimes, c’est un levier encore sous-exploité. Exiger de la banque qu’elle démontre avoir réellement déployé l’authentification forte et les dispositifs de surveillance prévus par le RTS, plutôt que de s’en tenir à des affirmations générales, déplace le débat sur un terrain où la banque est souvent en difficulté.

Cliquer sur un faux lien est-il une négligence grave ?

📖 Définition — Négligence grave
Seule une négligence grave du client — un manquement caractérisé à son obligation de préserver ses données de sécurité (articles L. 133-16 et L. 133-17) — autorise la banque à refuser le remboursement. Une simple imprudence ne suffit pas. Selon une jurisprudence constante, cette négligence ne peut se déduire du seul fait que les données ont été utilisées.

Le tribunal avait estimé que cliquer sur le lien du faux courriel, puis saisir ses identifiants, constituait une négligence fautive. La cour d’appel renverse cette analyse de façon très nette. Recevoir un courriel incitant seulement à se connecter en utilisant ses identifiants — sans les livrer à quiconque — ne constitue pas une négligence grave.

La distinction est capitale : « une telle connexion à partir d’un lien vers son interface bancaire n’équivalant pas à leur révélation volontaire à un tiers ». La cliente n’a jamais communiqué ses codes à un fraudeur : elle s’est elle-même connectée sur une interface qu’elle croyait légitime. Se connecter n’est pas divulguer. C’est une nuance que les banques s’efforcent souvent de gommer, et que la cour rétablit avec clarté.

Un délai de réaction d’une semaine est-il fautif ?

La banque reprochait aussi à la cliente de ne pas s’être inquiétée de l’impossibilité de se connecter dans les jours suivants. La cour écarte ce grief : la constatation momentanée d’une impossibilité de connexion, suivie d’une dénonciation des virements frauduleux dès le 8 décembre 2020 — soit au terme d’une semaine — ne caractérise pas une négligence grave. Le délai de réaction, apprécié dans son contexte, reste raisonnable, d’autant que la cliente pouvait légitimement penser à un changement de système bancaire.

Un remboursement partiel vaut-il reconnaissance de responsabilité ?

La question se posait, car la BRED avait remboursé 2 500 euros avant de refuser le surplus. La banque soutenait qu’un tel versement amiable n’emportait pas reconnaissance de sa responsabilité. La cour ne tranche pas par une présomption tirée de ce remboursement, mais fonde sa décision sur les éléments objectifs du dossier (sessions de connexion, absence d’authentification forte). En pratique, le remboursement partiel n’a pas nui à la banque sur le plan probatoire — mais il n’a pas davantage suffi à éteindre le litige. La leçon pour les victimes : un remboursement partiel proposé par la banque ne doit jamais être interprété comme la limite de vos droits. Le solde reste pleinement réclamable.

Que retenir si vous êtes victime de virements frauduleux ?

Cet arrêt s’inscrit dans une jurisprudence de plus en plus protectrice et offre plusieurs enseignements concrets.

D’abord, exigez de votre banque la preuve qu’elle a mis en œuvre l’authentification forte. C’est souvent son point faible. Si elle ne démontre pas avoir réellement déployé ce dispositif pour les opérations litigieuses — en particulier pour l’ajout de nouveaux bénéficiaires —, l’article L. 133-19, V, joue en votre faveur : vous ne supportez aucune perte. Ne vous laissez pas opposer ses conditions générales : on ne peut y déroger aux définitions légales.

Ensuite, réclamez les relevés techniques de connexion. Dans cette affaire, ce sont les propres données de la banque (les Session-ID) qui ont prouvé que les virements ne provenaient pas de la cliente. Ces éléments objectifs valent bien mieux que de longs développements.

Insistez sur la distinction entre se connecter et divulguer. Cliquer sur un lien et saisir ses identifiants sur une interface que l’on croit légitime n’est pas livrer ses codes à un tiers. Cette nuance suffit, à elle seule, à écarter la négligence grave dans de nombreux dossiers de phishing.

Enfin, gardez à l’esprit que les obligations techniques issues du règlement RTS (authentification forte effective, surveillance des transactions, détection des schémas anormaux comme l’ajout soudain de quatre bénéficiaires inconnus) constituent un angle d’attaque puissant et encore sous-utilisé. Déposer plainte reste utile pour documenter la fraude, mais souvenez-vous que la plainte pénale n’est pas, en elle-même, un fondement civil de remboursement : c’est sur le terrain du droit des paiements que se gagne le remboursement.

En infirmant un jugement défavorable et en condamnant la banque à rembourser la quasi-totalité des sommes, cet arrêt confirme que la charge de la preuve pèse lourdement sur les établissements — et que l’absence de démonstration d’une authentification forte peut, à elle seule, sceller leur condamnation.

FAQ — Questions fréquentes

J’ai cliqué sur un faux lien et saisi mes identifiants. Ai-je commis une négligence grave ?

Pas nécessairement. Selon cet arrêt, se connecter à son interface bancaire via un lien, sans livrer ses codes à un tiers, n’équivaut pas à une divulgation volontaire et ne constitue pas une négligence grave. Se connecter n’est pas divulguer. La banque doit prouver bien davantage qu’un simple clic pour vous priver de remboursement.

Ma banque n’a pas mis en place d’authentification forte. Quelles conséquences ?

Si la banque n’a pas exigé d’authentification forte pour l’opération non autorisée, l’article L. 133-19, V, du code monétaire et financier prévoit que vous ne supportez aucune conséquence financière, sauf fraude de votre part. Dans cette affaire, la BRED n’a même pas démontré avoir mis en œuvre l’authentification forte : la banque a donc été condamnée à rembourser.

Comment prouver que je n’ai pas autorisé les virements ?

Les relevés techniques de connexion sont décisifs. Ici, les sessions de connexion (Session-ID) à partir desquelles les virements ont été ordonnés ne correspondaient pas à celle de la cliente — une preuve fournie par la banque elle-même. Demandez systématiquement ces relevés, ainsi que la preuve d’éventuelles alertes pour l’ajout de bénéficiaires.

J’ai mis une semaine à signaler la fraude. Est-ce trop tard ?

Pas forcément. La cour a jugé qu’un délai d’une semaine, dans le contexte de cette affaire, ne caractérisait pas une négligence grave, d’autant que la cliente pouvait légitimement penser à un changement de système bancaire. L’essentiel est de signaler dès que vous prenez conscience de la fraude.

Ma banque m’a remboursé une partie. Puis-je réclamer le reste ?

Oui. Un remboursement partiel ne fixe pas la limite de vos droits. Dans cette affaire, la BRED avait remboursé 2 500 euros puis refusé le surplus : la cour l’a finalement condamnée à payer 10 752 euros supplémentaires, avec intérêts. Le solde reste pleinement réclamable.

Les conditions générales de ma banque peuvent-elles m’être opposées ?

Non, pas pour redéfinir l’opération autorisée. L’article L. 133-2 du code monétaire et financier interdit de déroger par convention aux définitions légales. La cour a expressément écarté l’argument de la banque fondé sur l’article 9 de ses conditions générales.

Un avocat peut-il m’aider à obtenir le remboursement ?

Oui. Le contentieux des virements non autorisés est technique mais favorable aux victimes lorsqu’il est bien mené. Un avocat en droit bancaire peut exiger les relevés de connexion, vérifier la mise en œuvre de l’authentification forte et bâtir une argumentation sur le terrain du droit des paiements. Le cabinet LE BOT Avocat accompagne les victimes de fraude bancaire dans ces démarches, y compris en appel.