Articles L.133-18 à L.133-23 du Code monétaire et financier — illustration : TJ Toulouse, pôle civil, 14 novembre 2025, n° 23/00493.
🔑 Points clés à retenir
- Un paiement réalisé avec des données de carte volées par web skimming est une opération de paiement non autorisée : le remboursement est de principe (art. L.133-18).
- Sans authentification forte, seule une fraude du client exonère la banque (art. L.133-19 V) : une négligence grave, même prouvée, ne suffit pas.
- Avec authentification forte, la banque peut invoquer la négligence grave (art. L.133-19 IV) — mais elle doit la prouver.
- La charge de la preuve pèse intégralement sur la banque (art. L.133-23).
- Remboursement immédiat, sous peine d’intérêts au taux légal majoré de 5, puis 10, puis 15 points.
- La campagne Magecart visant six grands réseaux de cartes est toujours active en 2026.
Sommaire ▼
- Qu’est-ce que le web skimming (ou Magecart) ?
- Pourquoi s’agit-il d’une opération que vous n’avez jamais autorisée ?
- La banque doit-elle me rembourser, et dans quel délai ?
- Quelles protections renforcées en cas de skimming ?
- La banque peut-elle s’exonérer de sa responsabilité ?
- Que dit la jurisprudence ? L’exemple du jugement de Toulouse
- Comment se défendre concrètement quand on est victime ?
- FAQ — Web skimming et remboursement bancaire
Qu’est-ce que le web skimming (ou Magecart) ?
Le web skimming (aussi appelé Magecart, du nom des groupes criminels qui l’ont popularisé) consiste à injecter un code JavaScript malveillant dans la page de paiement d’un site de commerce en ligne. Le site reste authentique et fonctionnel : le client ne voit rien. Mais au moment où il saisit ses coordonnées bancaires, le script « écrème » (to skim) en temps réel le numéro de carte, la date d’expiration, le cryptogramme (CVC) et les données de facturation, puis les exfiltre vers les serveurs des fraudeurs.
Technique de fraude consistant à insérer un script espion dans le tunnel de paiement d’un site marchand légitime, afin de capter les données de carte bancaire saisies par les clients, à leur insu, au moment de l’achat.
Plusieurs caractéristiques rendent cette fraude particulièrement difficile à repérer : le code est fortement obfusqué et peut s’auto-détruire après exécution pour effacer ses traces ; l’attaque s’opère côté navigateur, ce qui lui permet de contourner une partie des contrôles anti-fraude installés côté serveur ; et les criminels s’appuient sur de l’hébergement « pare-balles » (bulletproof hosting) qui ignore délibérément les demandes de retrait.
Le phénomène n’a rien d’anecdotique ni de révolu. En janvier 2026, la société de cybersécurité Silent Push a révélé une campagne Magecart toujours active, opérant sans interruption depuis le début de l’année 2022, qui visait spécifiquement les scripts d’au moins six grands réseaux de paiement — American Express, Diners Club, Discover, JCB, Mastercard et UnionPay — au moyen d’un vaste réseau de domaines frauduleux. De nombreux sites marchands restent infectés, et les chercheurs annoncent continuer à suivre cette campagne et ses variantes tout au long de 2026 : il s’agit donc d’un risque actuel, et non d’une menace passée (voir aussi l’analyse de Malwarebytes et de The Hacker News).
Une fois volées, les données de carte sont revendues par lots sur des forums spécialisés (sites de carding) : « il y avait les 16 chiffres, le cryptogramme, la date d’expiration, le nom du client ». Cette description n’est pas théorique : ce sont les mots employés par un escroc lui-même devant le tribunal correctionnel de Paris, repris dans une décision que nous évoquons plus bas.
Revente, sur des forums clandestins, de données de cartes bancaires volées (numéro, date d’expiration, cryptogramme, nom du titulaire), souvent par lots, à des fraudeurs qui les utilisent ensuite pour des achats à distance.
L’essentiel à comprendre, juridiquement, est ceci : dans le web skimming, vos données sont captées sans aucune imprudence de votre part. Vous gardez votre carte, vous ne divulguez aucun code, vous payez sur un site de confiance. C’est précisément ce constat qui fonde votre droit au remboursement.
Site marchand légitime → script malveillant injecté dans la page de paiement
↓
Saisie de la carte par le client → capture des données (numéro + CVC + date)
↓
Exfiltration vers les serveurs des fraudeurs → revente « par lot » (carding)
↓
Achats frauduleux à distance → opération de paiement non autorisée
Pourquoi s’agit-il d’une opération que vous n’avez jamais autorisée ?
Le droit du paiement repose sur une notion simple : le consentement. Une opération n’est « autorisée » que si le payeur y a consenti, dans la forme convenue avec sa banque (article L.133-3 du Code monétaire et financier et suivants). À défaut de consentement, l’opération est réputée non autorisée.
Un paiement réalisé avec des données de carte volées par web skimming entre exactement dans cette catégorie : vous n’avez jamais voulu cet achat, vous n’y avez jamais consenti. Vous êtes donc titulaire d’une opération de paiement non autorisée, ce qui déclenche tout le régime protecteur des articles L.133-18 et suivants du Code monétaire et financier.
La banque doit-elle me rembourser, et dans quel délai ?
L’article L.133-18 du Code monétaire et financier est sans ambiguïté. En cas d’opération non autorisée signalée par le client, la banque rembourse immédiatement le montant débité, et au plus tard à la fin du premier jour ouvrable suivant le signalement. Elle doit rétablir le compte dans l’état où il se serait trouvé sans la fraude.
La seule réserve : la banque peut différer le remboursement si elle a de bonnes raisons de soupçonner une fraude du client lui-même, et à la condition de communiquer ces raisons par écrit à la Banque de France. Une simple suspicion invoquée dans un courrier de refus ne suffit donc pas.
Surtout, le retard se paie. L’article L.133-18 prévoit des intérêts au taux légal majoré : + 5 points dès le manquement à l’obligation de remboursement ; + 10 points au-delà de sept jours de retard ; + 15 points au-delà de trente jours de retard. Autrement dit, plus la banque tarde, plus la facture grimpe pour elle.
Quelles protections renforcées en cas de skimming ?
Au-delà du principe général, un texte joue particulièrement en faveur de la victime de web skimming : l’article L.133-19 II. La responsabilité du payeur n’est pas engagée lorsque l’opération a été réalisée en détournant, à son insu, l’instrument de paiement ou les données qui lui sont liées. C’est la définition même du skimming : vos données de carte sont copiées et rejouées sans que vous le sachiez, alors que vous êtes toujours en possession de votre carte.
Reste une seconde protection, plus puissante encore, qui dépend de la présence ou non d’une authentification forte — c’est tout l’objet de la section suivante.
Authentification reposant sur au moins deux facteurs indépendants parmi « connaissance » (ce que vous seul savez), « possession » (ce que vous seul détenez) et « inhérence » (ce que vous êtes), conçue pour protéger la confidentialité des données (article L.133-4 du Code monétaire et financier).
La banque peut-elle s’exonérer de sa responsabilité ?
On présente souvent la négligence grave du client comme « la » porte de sortie de la banque. C’est inexact. En réalité, la marge de manœuvre de l’établissement dépend d’une distinction décisive : l’opération litigieuse a-t-elle été, ou non, soumise à une authentification forte ?
Sans authentification forte : seule votre fraude exonère la banque
L’article L.133-19 V est ici très protecteur, et il faut en lire les termes avec précision : « Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement n’exige une authentification forte ». Le texte ne réserve que l’agissement frauduleux du payeur — c’est-à-dire sa complicité dans la fraude. Il ne mentionne pas la négligence grave.
La conséquence est capitale : lorsque la banque n’a pas exigé d’authentification forte, même une négligence grave parfaitement établie ne l’exonère pas. Seule la preuve d’une fraude du client lui permettrait d’échapper au remboursement. Et comme une grande partie des paiements en ligne réalisés avec des données skimmées passe par des canaux dépourvus d’authentification forte, cette règle suffit, à elle seule, à condamner la banque dans bien des dossiers.
Avec authentification forte : la banque doit prouver une négligence grave
C’est seulement dans cette hypothèse que la banque peut invoquer la négligence grave du client (article L.133-19 IV) pour refuser le remboursement. Mais encore lui faut-il la prouver — et la barre est haute.
Car la charge de la preuve pèse intégralement sur la banque. L’article L.133-23 est rédigé en ce sens : lorsque le client conteste une opération, il incombe à la banque de prouver que l’opération a été authentifiée, dûment enregistrée et comptabilisée, et qu’elle n’a pas été affectée par une déficience technique ou autre. Le texte ajoute deux précisions décisives : la seule trace de l’utilisation de l’instrument de paiement « ne suffit pas nécessairement » à prouver que l’opération a été autorisée ou que le client a commis une négligence grave ; et c’est à la banque de fournir les éléments prouvant la fraude ou la négligence grave du client.
Concrètement, la banque ne peut pas se contenter d’affirmer que vous « avez forcément » divulgué vos coordonnées. Elle doit l’établir. Et dans le cas du web skimming, c’est précisément ce qu’elle est souvent incapable de faire, puisque les données ont pu fuiter sans la moindre action de votre part.
Que dit la jurisprudence ? L’exemple du jugement de Toulouse
Une décision récente illustre parfaitement la force de cet argument. Dans un jugement du Tribunal judiciaire de Toulouse du 14 novembre 2025 (n° 23/00493, inédit), une banque refusait de rembourser un débit frauduleux de 10 600 € en soutenant que sa cliente avait « nécessairement » divulgué ses coordonnées bancaires — donc commis une négligence grave.
Le tribunal a écarté cet argument. Il a relevé que la banque « se borne à affirmer » la divulgation, sans répondre au rapport d’expertise qui faisait état de piratages de grande ampleur de type Magecart, « permettant à des personnes malveillantes de récupérer auprès de sites de commerce en ligne des informations associées à une carte bancaire à l’insu des internautes ». Le juge a même relevé les aveux de l’escroc au pénal, qui reconnaissait acheter les données « par lot » sur des sites de carding.
Conclusion du tribunal : les coordonnées bancaires « ont pu être récupérées par le fraudeur indépendamment de toute action imprudente » de la cliente. Faute pour la banque d’avoir prouvé la négligence grave, elle a été condamnée à rembourser les 10 600 €, assortis des intérêts au taux légal majoré (5, puis 10, puis 15 points), et à verser 4 000 € au titre des frais de procédure.
Dans cette affaire, le mode opératoire principal était en réalité un « spoofing » téléphonique, et le web skimming n’a servi que d’argument probatoire pour expliquer comment les données avaient pu fuiter sans faute du client. C’est tout l’intérêt de la décision : elle montre comment opposer le web skimming et le carding à une banque qui invoque la négligence grave.
Comment se défendre concrètement quand on est victime ?
Si vous découvrez des débits que vous n’avez pas autorisés, voici la marche à suivre.
1. Signalez sans tarder, et dans le délai. Prévenez immédiatement votre banque pour faire opposition et contester les opérations. Vous disposez en principe de treize mois à compter du débit pour les signaler (article L.133-24), mais agissez le plus vite possible : le retard peut être interprété en votre défaveur sur le terrain de la diligence.
2. Faites une déclaration écrite et conservez tout. Adressez une contestation écrite (courrier recommandé ou message via votre espace sécurisé) reprenant la liste des opérations contestées. Conservez relevés, captures d’écran et échanges : ce sont vos pièces. Attention : la formulation de cette contestation est déterminante, car certaines phrases maladroites peuvent être retournées contre vous pour caractériser une prétendue négligence. Avant d’écrire à votre banque, lisez impérativement notre guide : Fraude bancaire : que dire et ne pas dire à sa banque et dans sa plainte.
3. Déposez plainte. Une plainte pour escroquerie ou utilisation frauduleuse de données bancaires consolide votre dossier et démontre votre bonne foi. La copie d’une éventuelle condamnation pénale de l’auteur est un atout, comme l’illustre l’affaire toulousaine. Là encore, les termes employés comptent : pour savoir quoi mentionner et, surtout, ce qu’il vaut mieux éviter de déclarer, reportez-vous à notre guide dédié : Fraude bancaire : que dire et ne pas dire à sa banque et dans sa plainte.
4. Mettez la banque en demeure. En cas de refus, rappelez par écrit le régime des articles L.133-18, L.133-19 et L.133-23 : selon les cas, la banque ne peut s’exonérer qu’en prouvant votre fraude (à défaut d’authentification forte) ou votre négligence grave (après avoir démontré l’absence de déficience technique). Exigez le remboursement et les intérêts majorés.
5. Engagez l’action judiciaire si le refus persiste. L’action devant le tribunal judiciaire aboutit fréquemment à la condamnation de la banque lorsqu’elle échoue à rapporter la preuve qui lui incombe. L’assistance d’un avocat en droit bancaire permet de bâtir l’argumentation autour de la charge de la preuve — l’angle qui fait, le plus souvent, la différence.
En résumé : qui doit prouver quoi ?
Face au web skimming, la victime n’a pas à se justifier : la charge de la preuve pèse sur la banque. Si l’opération s’est faite sans authentification forte, seule une fraude du client peut l’exonérer — une négligence grave, même prouvée, ne suffit pas. Et si l’authentification forte a été exigée, la banque doit alors établir la négligence grave du client, après avoir démontré l’absence de toute déficience technique. Tant que cette preuve n’est pas rapportée — et elle l’est rarement quand des données ont fuité d’un site marchand —, le remboursement intégral, intérêts majorés compris, s’impose.
FAQ — Web skimming et remboursement bancaire
Le web skimming, est-ce que ma banque doit me rembourser ?
La banque peut-elle me reprocher d’avoir « forcément » donné mon numéro de carte ?
Et si la banque n’a pas exigé d’authentification forte ?
Combien de temps ai-je pour contester l’opération ?
Quels intérêts puis-je obtenir en cas de retard de la banque ?
La campagne de web skimming est-elle encore active en 2026 ?
Cet article a une vocation d’information générale et ne constitue pas une consultation juridique. Chaque situation est particulière : pour l’analyse de votre dossier, prenez attache avec un avocat.
