mail_outline Lettre d'informations search Rechercher
Ulys logo
Ulys logo
menu MENU

Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

Accueil keyboard_arrow_right Actualités keyboard_arrow_right Detail

Fraude bancaire : voici comment réagir pour augmenter vos chances de remboursement

Publié le par 69 vues

Face à une fraude bancaire, tout se joue sur quelques notions clés : la différence entre authentification et autorisation d’un paiement, le délai pour alerter la banque, la preuve du caractère « non-autorisé » du paiement, et la manière dont les tribunaux apprécieront l’éventuelle « négligence grave » de la victime. Entre obligations de remboursement et stratégies…

Face à une fraude bancaire, tout se joue sur quelques notions clés : la différence entre authentification et autorisation d’un paiement, le délai pour alerter la banque, la preuve du caractère « non-autorisé » du paiement, et la manière dont les tribunaux apprécieront l’éventuelle « négligence grave » de la victime. Entre obligations de remboursement et stratégies des banques pour s’y soustraire, découvrez les bons réflexes à adopter et les derniers enseignements de la jurisprudence pour maximiser vos chances d’obtenir gain de cause.

Vous constatez une opération suspecte ? Bloquez l’instrument de paiement concerné et alertez au plus vite votre banque

Bloquer l’instrument de paiement concerné relève de l’évidence : il faut empêcher toute possibilité ultérieure d’utilisation frauduleuse.

Vous devez alerter au plus vite votre banque concernant l’incident et donner la liste de toutes les opérations que vous considérez comme frauduleuses. Parfois, c’est juste un paiement isolé, parfois c’est une série de plusieurs virements.

Alerter la banque est une obligation : dès qu’une opération suspecte est détectée, il faut contacter la banque sans délai.

Si vous attendez plus de 13 mois, vous perdez définitivement la possibilité de vous retourner contre la banque.

Ce délai maximum de 13 mois signifie-t-il que vous avez le droit d’attendre quelques semaines ou mois ? Absolument pas. La règle est claire : il vous faut signaler l’incident sans délai.

La CJUE a jugé que « l’utilisateur de services de paiement est, en principe, privé du droit d’obtenir un remboursement s’il n’a pas signalé sans tarder à son prestataire de services de paiement qu’il a constaté une opération de paiement non autorisée, alors même qu’il la lui a signalée dans les treize mois suivant la date de débit. » (voir ici)

Pour la Cour, l’obligation de notification « dès que possible » revêt un caractère autonome et se distingue de l’obligation de signalement dans le délai de treize mois suivant la date de débit d’une opération de paiement non autorisée. Le délai objectif de treize mois, par sa nature même, n’enlève rien à la pertinence du délai subjectif de signalement « sans tarder ». La Cour considère à cet égard que le simple respect du délai de treize mois, en tant que seul critère, serait de nature à compromettre l’objectif préventif de l’obligation de notifier « sans tarder » une opération non autorisée lorsqu’elle a été constatée. En outre, le fait de considérer que l’utilisateur de services de paiement est en droit d’obtenir la correction d’une opération non autorisée dont il avait connaissance, mais qu’il a tardé à signaler à son prestataire de services de paiement, porterait atteinte à la sécurité juridique ainsi qu’à la mise en balance des intérêts respectifs de l’utilisateur de services de paiement et de son prestataire de services effectuée par le législateur de l’Union lorsqu’il a adopté la directive concernant les services de paiement dans le marché intérieur.

Alerter la banque et bloquer l’instrument de paiement est aussi votre intérêt : dès la notification de la perte ou du vol d’un instrument de paiement, vous ne supportez plus les conséquences de son utilisation frauduleuse ultérieure. Pour le dire autrement, si vous « bloquez » votre instrument de paiement, par exemple via l’application bancaire ou en appelant le numéro de téléphone disponible 24/24, le blocage est horodaté dans le système et vous n’êtes plus responsable de ce qui se passe après.

N’oubliez pas de passer en revue les mesures techniques ou organisationnelles à prendre en fonction du modus operandi de la fraude

Les fraudeurs ont une imagination débordante ; même l’intelligence artificielle s’y met ! Il n’est donc pas possible de déterminer de façon précise les mesures de précaution qu’il faut prendre après l’incident, puisque celles-ci dépendent de la façon dont la fraude est survenue.

Pour autant, il est conseillé de passer en revue (parfois avec la banque) les mesures à prendre. Parfois, il peut être nécessaire de changer de numéro de compte, voire même changer de banque. Parfois, il peut être nécessaire de révoquer des autorisations et mandats que vous auriez sur d’autres comptes (ou que d’autres personnes auraient sur vos comptes). Parfois, il faut émettre de nouveaux instruments de paiement, même s’ils n’ont pas été utilisés dans le cadre de la fraude (par exemple, si c’est une fraude bancaire et que la banque est également émettrice des cartes de crédit que vous utilisez par ailleurs, il peut s’avérer prudent de changer les cartes). Parfois, il faut changer le code secret de certains sites de e-commerce si ce code est également celui qui a été utilisé dans le cadre de la fraude. Parfois il faut mettre à jour un antivirus.

Plainte à la police : étape vivement conseillée

Il faut se rendre à la police et y déposer plainte. Dans la plupart des cas, la victime ne sait pas ce moment-là qui est l’auteur de la fraude, et la plainte sera dès lors déposée « contre X ».

On entend souvent des victimes rechigner au motif que « la plainte ne sert quand même à rien ».

C’est vrai bien trop souvent, et c’est dommage, mais cela ne change rien au fait que la plainte est vivement conseillée. Certaines banques exigent la production d’une plainte. Par ailleurs, il y a parfois des assurances qui peuvent intervenir, qui exigent également un dépôt de plainte. Enfin, même si cela prend du temps et ne se voit pas, plusieurs parquets organisent des remontées d’informations qui permettent de recouper des plaintes qui suivent un modus operandi similaire, facilitant la traque des fraudeurs.

Contactez votre assureur « défense en justice »

Autre étape importante : contactez au plus vite votre assureur « défense en justice » si vous en avez un.

Il y a une chose dont vous pouvez être sûr : la banque fera tout ce qu’elle peut pour ne pas rembourser, et cela implique malheureusement très souvent une procédure en justice. Au-delà du temps qu’une telle procédure peut prendre, il y a la question financière : un procès coûte cher, et c’est une des raisons qui poussent les banques à judiciariser autant que possible le dossier. Il s’agit de décourager la victime qui n’a bien souvent par les ressources financières nécessaires pour diligenter un procès. Les banques arrivent ainsi à créer une jurisprudence favorable pour elles, qu’elles peuvent ensuite montrer aux victimes suivantes pour les dissuader d’agir en justice.

Bénéficier de la couverture d’une assurance défense en justice permet, bien souvent, de se défendre de façon effective, à la condition bien entendu que le contrat couvre ce type de sinistre (ce qu’il faut vérifier soigneusement au moment d’y souscrire).

Si vous n’avez pas les moyens de vous offrir une action en justice et que vous ne disposez pas d’assurance, il reste une dernière possibilité à ne pas négliger : faire appel aux organismes de médiation qui ont été mis en place (voir ici).

Si l’opération n’est pas autorisée, la banque doit vous rembourser

La règle est, en principe, simple : si vous n’avez pas autorisé l’opération, la banque doit vous rembourser. Elle doit vous rétablir dans la situation qui aurait été la vôtre si l’opération – par hypothèse non-autorisée – n’avait pas eu lieu.

En pratique, il n’est pas toujours simple de savoir quand une opération est autorisée.

La première ligne de défense de la banque consiste bien souvent à se retrancher derrière l’utilisation d’un mécanisme de sécurisation : application, code secret, lecteur de cartes, etc. En substance, son raisonnement est le suivant : puisque le paiement a été authentifié avec le « bon » mécanisme de sécurité, c’est forcément que l’utilisateur a donné son accord.

L’argument n’est séduisant qu’en apparence.

Il faut en effet distinguer deux notions : autorisation et authentification.

  • Une opération de paiement est autorisée si le titulaire du compte a donné son accord pour qu’elle soit exécutée. Sans ce consentement, le paiement est considéré comme non autorisé.
  • Une opération est authentifiée lorsqu’elle a été effectuée avec la carte bancaire ou l’outil de paiement, et que les mécanismes de sécurité (comme le code PIN ou un mot de passe) ont été utilisés correctement.

Ce n’est donc pas parce qu’une transaction a été authentifiée sur le plan technique grâce aux bons outils de sécurité, que l’opération sous-jacente a forcément été autorisée au sens de la loi.

Prenons un exemple : si quelqu’un vole votre carte après avoir capté votre code PIN à votre insu pendant que vous étiez en train de payer et l’utilise pour retirer du cash, le retrait frauduleux sera dit authentifié (c’est le bon code PIN), mais vous ne l’aurez pas pour autant approuvé. De la même manière, en cas de fraude de type « spoofing » (usurper l’identité d’un interlocuteur de confiance – banque, administration, proche – en falsifiant son numéro de téléphone ou son adresse e-mail afin de tromper la victime et lui soutirer des informations ou de l’argent), l’opération est authentifiée en ce sens que, par définition, les agissements du fraudeur amènent la victime à effectuer une opération en croyant qu’elle parlait à une personne de confiance et en utilisant les bons mécanismes de sécurité. Si l’authentification suffisait à établir l’autorisation (quod non, voy. infra), il n’y aurait jamais de remboursement possible dans ce cas-là.

Il ne faut donc pas se laisser abuser par l’argument selon lequel l’authentification suffit à considérer que le paiement est autorisé.

En cas de contestation sur le caractère autorisé ou non de l’opération, la loi est équilibrée :

  • La banque doit prouver que le paiement a eu lieu et a été authentifié : si vous niez avoir autorisé une opération, c’est à la banque qu’il appartient de conserver les traces des opérations, y compris sur le plan technique et de l’authentification.
  • La victime doit rendre crédible l’idée qu’elle n’a pas autorisé l’opération : il ne suffit pas de dire « ce n’est pas moi », il faut rendre cela crédible (autrement il y aurait trop de personnes malintentionnées essayant de profiter du système).

Très souvent, la victime essaye de rendre son opposition crédible en expliquant qu’elle ne connaît pas du tout le bénéficiaire et n’a aucun rapport avec lui qui justifie l’opération.

Pas facile pourtant de prouver qu’on ne connaît pas quelqu’un, d’autant que très souvent l’identification du bénéficiaire se limite à un numéro de compte, ou le numéro d’un commerçant.

Comment prouver que vous ne connaissez pas le compte numéro untel qui a été crédité en vidant vos économies ?

Sur cette question importante, la CJUE a jugé qu’en cas de suspicion de fraude, la banque doit identifier le bénéficiaire du paiement frauduleux. Elle doit obtenir et fournir toutes les informations disponibles ou accessibles, y compris via les intermédiaires bancaires, et ne peut pas se contenter d’invoquer un manque d’accès à ces données. C’est une obligation de résultat. Les informations doivent mettre le payeur en mesure d’identifier de manière certaine l’opération de paiement concernée. Une simple référence numérique ou une localisation ne suffit pas : le nom du bénéficiaire doit être communiqué. (voir détails ici)

En substance, le raisonnement de la Cour consiste à dire que l’identification du bénéficiaire du paiement contesté peut être importante pour la question de savoir si le paiement est autorisé ou non :

  • Si la victime connait le bénéficiaire, cela peut confirmer qu’elle a autorisé les paiements ;
  • Tandis qu’à l’inverse, si l’identité du bénéficiaire révèle une bizarrerie (par exemple si le terminal mobile du commerçant apparent est en réalité affecté à un autre commerce, ou si le virement crédite un parfait inconnu), cela peut renforcer l’affirmation de la victime qu’elle n’a pas autorisé la transaction.

S’il y a un débat sur le caractère autorisé ou non de l’opération, le bon réflexe consiste donc à mettre la banque en demeure de produire l’identification du bénéficiaire du paiement. Cela pourra se révéler très utile pour démontrer que le paiement n’est pas été autorisé.

La banque est libérée de son obligation de remboursement en cas de négligence grave de son client

C’est la dernière ligne de défense de la banque, et en pratique la plus complexe : l’obligation de remboursement de la banque est levée si elle prouve que le client a fait preuve de « négligence grave ».

En pratique, la banque invoque quasi systématiquement la négligence grave. Toute anomalie, peu importe sa nature ou ses caractéristiques, entraîne l’envoi d’une lettre standard affirmant que le paiement, même non autorisé, est le résultat d’une négligence grave de la victime, et que la banque est libérée de toute obligation de remboursement.

La jurisprudence tente depuis plusieurs années de cerner la notion, avec, il faut en être conscient, beaucoup de mansuétude pour la banque. En interprétant d’une manière extrêmement large la négligence grave, la jurisprudence a considérablement réduit les hypothèses de remboursement obligatoire.

Que ce soit au travers des revues de droit bancaire ou des communications en ligne, on ne voit que les décisions favorables aux banques, ce qui donne l’impression d’un combat perdu d’avance.

Pourtant, depuis quatre ou cinq ans, on observe un début de rééquilibrage.

Nous sommes déjà revenus sur cette évolution dans d’autres analyses. (voir ici)

Deux décisions récentes confirment ce lent rééquilibrage.

Dans un récent arrêt du 12 juin 2025, la Cour de cassation française a jugé que : ne commet pas de négligence grave dans la conservation et l’utilisation de ses données personnelles de sécurité, une société dont la salariée effectue des opérations sur le service de paiement en ligne pour reconstituer des écritures, à la demande d’une personne qui, par téléphone, se faisant passer pour un technicien de la banque dont il a usurpé le numéro, lui donne des informations de nature à conforter la thèse d’une panne informatique.

Le raisonnement de la Cour est le suivant : « Après avoir exactement énoncé que, dans l’hypothèse d’ordres de paiement non autorisés, il appartient à la banque de fournir les éléments afin de prouver la faute ou la négligence grave commise par sa cliente, l’arrêt, se fondant sur les auditions par les services d’enquête du dirigeant et de l’employée de la société, retient que la secrétaire de cette société avait reçu un appel téléphonique d’un soi-disant employé de la banque l’avertissant d’une panne informatique qui avait fait disparaitre les écritures du matin, et qu’à la demande de l’escroc, cette employée, après s’être connectée au service de paiement en ligne à l’aide du dispositif de sécurité personnalisé mais sans le mot de passe, avait effectué diverses manipulations afin de reconstituer les écritures sans se méfier de son interlocuteur qui ne lui demandait pas de mot de passe. Il relève que la circonstance que l’escroc ait pu usurper un numéro de téléphone de la banque et annoncer le code qui s’affichait sur l’écran de l’utilisatrice était de nature à persuader celle-ci qu’elle était en relation avec un technicien. Il ajoute que la connaissance par son interlocuteur des opérations réalisées avant l’appel et de leur disparition pouvait la conforter dans la croyance qu’un incident informatique était survenu. Il retient encore que l’historique des opérations versé aux débats par la société révèle que le numéro d’abonné du titulaire de la carte de transfert sécurisé n’était pas attaché à la validation des tiers. »

Dans le même sens, mais dans une autre affaire, le tribunal judiciaire de Poitiers a jugé, le 29 août 2025 que :

  • Le fraudeur avait usurpé un numéro : Mme [P] [L] épouse [X] a reçu un appel qui s’affichait comme provenant du service « Assistance perte et vol » de la BANQUE POPULAIRE. Cela prouve que le fraudeur avait manipulé l’affichage du numéro.
  • Cette manipulation a trompé la cliente : son interlocuteur l’a même invitée à vérifier sur Internet que le numéro affiché correspondait bien à celui de la banque, ce qui a achevé de lever ses doutes.
  • La mise en scène était particulièrement persuasive : contactée en urgence pour bloquer de prétendus virements à l’étranger, la cliente était sous stress et donc plus vulnérable qu’en recevant un simple mail frauduleux.
  • La banque n’a pas démontré de faute de vigilance de la cliente : elle n’a pas prouvé que Mme [P] [L] épouse [X] disposait d’un conseiller personnel identifiable qui aurait pu éveiller ses soupçons, ni qu’elle avait, à cette époque, correctement informé ses clients du risque spécifique de fraude par usurpation de numéro (« spoofing »).

Conclusion du tribunal : la banque n’a pas rapporté la preuve de la négligence grave de la victime ; elle doit donc prendre en charge le paiement frauduleux et recréditer la victime.

Droit & Technologies

Publié dans

Thèmes
Tags #####

Auteurs

Etienne Wery

 Suivez-moi sur LinkedIn

Lui écrire Ses 1351 contributions

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK