1. L’émergence des fraudes assistées par IA : une altération du consentement bancaire.
Les arnaques fondées sur l’IA introduisent un degré de sophistication inédit. Les publications spécialisées (Revue Banque, 2025) décrivent plusieurs procédés désormais courants :
- deepfake vocal, imitant la voix d’un proche ou d’un conseiller bancaire ;
- spoofing, faisant apparaître le numéro officiel de la banque ;
- messages générés par IA, adaptés au profil psychologique de la cible ;
- création automatisée de faux portails bancaires ou plateformes d’investissement.
Ces outils ont pour point commun de détourner le consentement : la victime agit en croyant s’adresser à un interlocuteur légitime. Juridiquement, le consentement donné sous l’emprise d’un procédé frauduleux est vicié.
L’opération ne peut donc être qualifiée « d’autorisation » au sens du Code monétaire et financier.
2. Le cadre légal des opérations non autorisées : une protection renforcée par le droit positif.
Le droit français, aligné sur la directive DSP2, est structuré autour d’un principe simple : la banque doit rembourser toute opération non autorisée, sauf à prouver une faute grave du client.
2.1. Article L133-18 CMF : le remboursement immédiat.
La banque doit rembourser immédiatement toute opération contestée comme non autorisée.
2.2. Article L133-19 CMF : l’exception limitée de la négligence grave.
La banque ne peut refuser le remboursement qu’en démontrant :
- la fraude du client, ou
- une négligence grave.
La charge de la preuve incombe exclusivement au prestataire.
2.3. Article L133-24 CMF : délai de contestation.
Le client dispose de treize mois pour contester une opération frauduleuse.
Ces règles constituent un socle protecteur qui n’est aucunement affaibli par les arnaques utilisant l’IA.
3. DSP2, authentification forte et consentement : pourquoi la validation technique ne suffit plus.
La DSP2 a introduit l’obligation d’authentification forte.
Pour autant, cette validation technique ne suffit pas à établir la réalité du consentement lorsque celui-ci a été obtenu par tromperie.
La Cour de cassation l’a rappelé (Cass. com., 12 juill. 2022, n° 20-20.798) :
Le code de sécurité saisi par le client ne purge pas la fraude si la demande initiale a été provoquée par un procédé frauduleux.
En matière de spoofing, deepfake ou manipulation par IA, l’authentification est seulement l’aboutissement d’un processus de tromperie : elle n’a aucune valeur justificative pour la banque.
4. La jurisprudence récente : l’indétectabilité de la fraude écarte la négligence du client.
La décision du Tribunal judiciaire de Paris du 3 octobre 2025 illustre parfaitement l’évolution jurisprudentielle.
Dans cette affaire, la banque invoquait la négligence grave du client ayant validé un virement via authentification forte.
Le tribunal a rejeté cet argument, retenant que :
- le numéro affiché était celui de la banque → fraude indécelable ;
- le discours était extrêmement structuré → manœuvre élaborée ;
- la cliente a agi de bonne foi → absence de faute caractérisée.
La jurisprudence est constante : lorsque la fraude repose sur un procédé indétectable pour un utilisateur normalement attentif, la négligence grave ne peut être retenue.
5. Les obligations de vigilance et de sécurité des banques face aux risques technologiques.
Les établissements financiers recourent eux-mêmes à des outils automatisés (IA, scoring, analyse comportementale).
Dès lors, ils doivent démontrer que leurs systèmes sont à la hauteur des risques actuels.
Plusieurs obligations convergent :
5.1. Obligation de sécurité (art. L133-44 CMF).
La banque doit déployer des dispositifs de sécurité robustes, adaptés aux risques émergents.
5.2. Vigilance contractuelle et analyse comportementale.
Une opération incohérente (montant, horaire, pays, type d’appareil) doit déclencher une alerte.
5.3. Conformité RGPD et réglementation IA.
L’usage d’algorithmes suppose :
- transparence,
- minimisation,
- documentation,
- durée de conservation adaptée.
La banque engage sa responsabilité dès lors que l’opération litigieuse aurait pu être détectée par un dispositif normalement configuré.
6. Deepfake vocal et usurpation d’identité : une fraude incompatible avec un consentement valide.
La MACSF a rapporté des cas d’escroqueries utilisant des imitations vocales extrêmement convaincantes.
La victime est persuadée d’échanger avec un proche ou un professionnel identifiable.
Dans de telles circonstances, l’acte validé par la victime ne peut juridiquement être assimilé à une opération autorisée : le consentement est entièrement vicié, car obtenu par tromperie sur l’identité de l’interlocuteur.
Cette analyse renforce l’obligation de remboursement de la banque.
7. Les recours juridiques du client : démarches essentielles pour obtenir le remboursement.
Les victimes disposent de plusieurs voies de droit :
1. Notification immédiate de la fraude. Conformément à l’article L133-18 CMF.
2. Exercice du droit au remboursement. L’opération est présumée non autorisée tant que la banque n’établit pas une faute grave.
3. Contestation de la position bancaire. Analyse du défaut de vigilance, des anomalies comportementales ou de la défaillance du système d’alerte.
4. Médiation bancaire. Procédure gratuite et utile pour les différends simples.
5. Action judiciaire. Saisine du tribunal pour obtenir le remboursement intégral et, le cas échéant, des dommages-intérêts.
6. Voie pénale. Dépôt de plainte, constitution de partie civile, identification du réseau frauduleux.
Conclusion : l’IA complexifie la fraude mais renforce les obligations légales des banques.
L’intelligence artificielle modifie les techniques d’escroquerie, mais elle ne réduit en rien la protection juridique accordée aux victimes.
Le régime des opérations non autorisées demeure parfaitement applicable et impose aux banques une obligation de remboursement, sauf preuve stricte d’une négligence grave.
La jurisprudence récente confirme un principe clair : plus la fraude est sophistiquée, moins la responsabilité du client peut être engagée.
Le droit positif, loin d’être dépassé, constitue aujourd’hui un outil essentiel pour garantir la protection des victimes face aux arnaques à l’IA.
