Fraude bancaire par usurpation téléphonique : l'authentification forte ne suffit pas à établir la négligence grave du client. Par Katia Debay, Avocat.

Fraude bancaire par usurpation téléphonique : l’authentification forte ne suffit pas à établir la négligence grave du client.

Par Katia Debay, Avocat.

1970 lectures 1re Parution: 5  /5

Explorer : # fraude bancaire # usurpation d'identité # authentification forte # responsabilité bancaire

La recrudescence des fraudes bancaires, et plus particulièrement par usurpation téléphonique (« spoofing »), confronte les juridictions à la question suivante : jusqu’où peut-on exiger de l’utilisateur de services de paiement une vigilance accrue face à des escroqueries de plus en plus sophistiquées ?
Dans un arrêt du 18 décembre 2025 (CA Paris, Pôle 4 - ch. 9-A), la Cour d’appel de Paris apporte une réponse nuancée et protectrice du consommateur en rappelant que la validation d’une opération par authentification forte, exigée par la réglementation européenne, ne suffit pas, à elle seule, à établir une négligence grave du client.
En l’absence d’un comportement fautif caractérisé, apprécié concrètement au regard des circonstances de l’espèce, la banque demeure tenue de rembourser les opérations de paiement non autorisées. Cette décision s’inscrit dans un mouvement jurisprudentiel constant visant à empêcher que l’authentification forte ne devienne un instrument de transfert automatique du risque de fraude vers le client.

-

Les faits : une escroquerie téléphonique particulièrement crédible.

En l’espèce, une cliente a été contactée par téléphone par une personne se présentant comme appartenant au service d’opposition des cartes bancaires de l’établissement.

Plusieurs éléments conféraient à cet appel une apparence de parfaite authenticité :

  • le numéro appelant correspondait au numéro officiel de la banque, grâce à une technique d’usurpation d’identité téléphonique (spoofing) ;
  • l’interlocuteur disposait de données précises et crédibles relatives à la carte bancaire de la cliente (type de carte, opérations récentes, localisation suspecte de paiements) ;
  • le discours tenu était cohérent avec les pratiques habituelles de lutte contre la fraude, l’interlocuteur affirmant vouloir bloquer des opérations frauduleuses en cours.

Convaincue d’être confrontée à une tentative de fraude imminente et pensant agir dans son propre intérêt, la cliente a suivi les instructions qui lui étaient données. Elle a notamment modifié son code de sécurité et validé plusieurs opérations au moyen des dispositifs d’authentification forte mis en place par la banque (validation via application mobile).

Ces opérations se sont révélées frauduleuses. La cliente a immédiatement contesté les paiements et sollicité leur remboursement. La banque ayant refusé, estimant que l’authentification forte caractérisait nécessairement un consentement ou, à tout le moins, une négligence grave, le litige a été porté devant les juridictions.

La procédure et les prétentions des parties.

En première instance, le tribunal a donné raison à la banque, considérant qu’elle avait commis une négligence grave.

La banque, en appel, a soutenu principalement que :

  • les opérations avaient été valablement authentifiées, sans défaillance technique ;
  • la cliente avait elle-même validé les paiements litigieux ;
  • le fait de suivre les instructions d’un tiers par téléphone et de modifier ses paramètres de sécurité caractérisait une imprudence fautive, constitutive de négligence grave au sens du Code monétaire et financier.

La cliente, quant à elle, faisait valoir qu’elle avait été victime d’une escroquerie sophistiquée, qu’elle n’avait jamais communiqué volontairement ses identifiants bancaires, et qu’elle avait réagi avec diligence dès la découverte de la fraude.

Le cadre juridique applicable.

La cour d’appel rappelle les principes gouvernant la responsabilité en matière d’opérations de paiement non autorisées, tels qu’issus du Code monétaire et financier, transposant la directive (UE) 2015/2366 dite DSP2.

Les obligations du prestataire de services de paiement.

Aux termes de l’article L133-23 du Code monétaire et financier, lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération, il appartient au prestataire de services de paiement de prouver que l’opération a été authentifiée, dûment enregistrée et comptabilisée, et qu’elle n’a pas été affectée par une déficience technique ou autre.

Toutefois, le même texte précise que l’utilisation des données de sécurité personnalisées ne suffit pas, en tant que telle, à prouver que l’opération a été autorisée par l’utilisateur ou que celui-ci a agi frauduleusement ou avec négligence grave.

Les obligations de l’utilisateur et la notion de négligence grave.

Les articles L133-16 et L133-17 imposent à l’utilisateur de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de paiement et d’informer sans tarder son prestataire en cas de perte, de vol ou d’utilisation non autorisée.

En cas d’opération non autorisée, l’article L133-18 consacre le principe du remboursement immédiat par la banque, sauf si celle-ci démontre une fraude ou une négligence grave de l’utilisateur.

La notion de négligence grave, non définie par les textes, est une construction jurisprudentielle. Elle suppose un comportement d’une particulière gravité, excédant la simple imprudence ou l’erreur d’appréciation.

L’authentification forte : une exigence réglementaire aux effets limités.

L’un des apports essentiels de l’arrêt réside dans le rappel du rôle exact de l’authentification forte.

La cour souligne que l’authentification forte, exigée par la DSP2 afin de renforcer la sécurité des paiements électroniques, a pour objet principal de réduire le risque de fraude, mais non de créer une présomption irréfragable de consentement du client.

Autrement dit, le fait qu’une opération ait été validée par un dispositif combinant plusieurs facteurs d’authentification (connaissance, possession, inhérence) ne permet pas, à lui seul, de conclure que le client a autorisé l’opération en toute connaissance de cause ou qu’il a manqué gravement à ses obligations.

Cette analyse rejoint une jurisprudence désormais bien établie, tant des juridictions du fond que de la Cour de cassation, selon laquelle l’authentification forte est une condition technique, non un critère juridique autonome de responsabilité.

L’absence de présomption de consentement ou de faute.

La cour d’appel insiste sur un point fondamental :

  • l’authentification forte ne dispense pas la banque d’établir, de manière positive,
  • l’existence d’une faute qualifiable de négligence grave.

Elle rappelle que la charge de la preuve incombe au prestataire de services de paiement, lequel doit démontrer que le comportement du client traduisait une indifférence caractérisée aux règles élémentaires de prudence.

En l’espèce, la banque se bornait à invoquer la validation des opérations et le respect formel du processus d’authentification, sans analyser concrètement le contexte dans lequel la cliente avait agi.

L’appréciation concrète des circonstances de la fraude.

Fidèle à une approche casuistique, la cour d’appel procède à une analyse détaillée des circonstances de la fraude.

Elle relève notamment :

  • l’utilisation du numéro officiel de la banque, rendant l’appel particulièrement trompeur ;
  • la cohérence et la précision des informations détenues par l’escroc, de nature à lever les soupçons d’un client normalement vigilant ;
  • l’absence de toute communication volontaire des identifiants bancaires ou des codes confidentiels à un tiers ;
  • la conviction légitime de la cliente d’agir pour prévenir une fraude, et non pour en faciliter la commission ;
  • la réaction immédiate de la cliente après la réalisation des opérations litigieuses.

Ces éléments conduisent la cour à considérer que la fraude était d’un degré de sophistication tel qu’elle pouvait tromper un utilisateur normalement prudent et averti.

L’exclusion de la négligence grave.

Au regard de l’ensemble de ces circonstances, la cour d’appel écarte toute qualification de négligence grave.

Elle rappelle que la simple circonstance d’avoir été dupé par un stratagème élaboré ne saurait être assimilée à un manquement grave aux obligations de sécurité.

Il convient de faire une distinction entre :

  • la faute légère, voire l’absence de faute, résultant d’une manipulation psychologique crédible ;
  • et la négligence grave, qui suppose un comportement manifestement imprudent, tel que la communication délibérée de codes confidentiels en dépit d’avertissements clairs et répétés.

Cette distinction est essentielle pour préserver l’équilibre du régime protecteur instauré par le législateur européen et national.

La condamnation de la banque et l’indemnisation du préjudice.

En conséquence, la cour d’appel confirme la condamnation de la banque à rembourser l’intégralité des sommes prélevées frauduleusement.

Elle alloue également à la cliente une indemnisation au titre du préjudice moral, tenant compte du stress, de l’inquiétude et des démarches imposées par la gestion du litige.

Cette reconnaissance d’un préjudice moral distinct témoigne d’une prise en compte accrue de l’impact personnel des fraudes bancaires sur les victimes.

Portée.

L’arrêt du 18 décembre 2025 présente un intérêt pratique majeur pour les professionnels du droit bancaire et pour les établissements de crédit.

Il confirme que :

  • l’authentification forte n’est pas un bouclier juridique automatique pour la banque ;
  • la notion de négligence grave demeure d’interprétation stricte ;
  • l’analyse doit être menée in concreto, à la lumière des techniques de fraude contemporaines.

Cette décision s’inscrit dans une tendance jurisprudentielle visant à responsabiliser les prestataires de services de paiement dans la conception de leurs dispositifs de sécurité et dans l’information effective de leurs clients, notamment (CA Lyon, 1re ch. civ. b, 14 novembre 2023, RG : 22/02777 et CA Grenoble, ch. com., 13 juin 2024, RG : 23/00309).

En effet, la jurisprudence considère que les traces informatiques produites par les banques ne permettent pas de rapporter la preuve que les opérations ont été régulièrement authentifiées, dûment enregistrées et comptabilisées et que le système n’a pas été affecté d’une déficience technique.

Conclusion.

Par cet arrêt, la Cour d’appel de Paris renforce la protection des victimes de fraudes bancaires par usurpation téléphonique, en refusant de faire de l’authentification forte un critère exclusif de responsabilité.

Elle rappelle opportunément que le droit des services de paiement repose sur un équilibre : protéger la sécurité des transactions sans faire peser sur le client un risque disproportionné face à des escroqueries de plus en plus élaborées.

La lutte contre la fraude ne saurait se traduire par un renversement implicite de la charge du risque au détriment des utilisateurs.

Katia Debay, Avocat,
Barreau de Versailles,
Selarl Debay.

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article :
L’avez-vous apprécié ?

5 votes

L'auteur déclare ne pas avoir utilisé l'IA générative pour la rédaction de cet article.

Cet article est protégé par les droits d'auteur pour toute réutilisation ou diffusion (plus d'infos dans nos mentions légales).

A lire aussi :

Explorer : # fraude bancaire # usurpation d'identité # authentification forte # responsabilité bancaire

  1. Dans la même rubrique
  2. Les Actualités juridiques
  3. Droit bancaire et boursier

Virement frauduleux : obligations de vigilance de la banque et recours du client. Par Guillaume Pierre, Avocat.

6 février 2026

Escroqueries aux cryptomonnaies et fausses plateformes d’investissement : comprendre, prévenir et agir. Par Virginie Audinot, Avocat.

6 février 2026

Spoofing (fraude bancaire) : la place des opérateurs téléphoniques. Par Virginie Audinot, Avocat.

30 janvier 2026

Fraude au faux conseiller bancaire : la banque ne peut pas tout imputer au client. Par Virginie Audinot, Avocat.

23 janvier 2026

Fraude au faux conseiller bancaire : de l’importance pour la banque de documenter précisément le processus d’authentification et de sécurisation des paiements. Par Virginie Audinot, Avocat.

14 janvier 2026

Annulation de prêt en francs suisses : la jurisprudence 2025 plus favorable pour les frontaliers. Par Anne-Sophie Ramond, Avocate.

14 janvier 2026

Village de la justice et du Droit

Bienvenue sur le Village de la Justice.

Le 1er site de la communauté du droit: Avocats, juristes, fiscalistes, notaires, commissaires de Justice, magistrats, RH, paralegals, RH, étudiants... y trouvent services, informations, contacts et peuvent échanger et recruter. *

Aujourd'hui: 157 500 membres, 29684 articles, 127 366 messages sur les forums, 2 120 annonces d'emploi et stage... et 1 400 000 visites du site par mois en moyenne. *


FOCUS SUR...

• Sondage Express du Village de la Justice : VOUS et l’IA...

• Les sites d'annonces d'emploi incontournables pour les juristes.





Tous les Articles publiés

Populaires en ce moment

Annonces d'Emploi

Forum

Formations à venir

LES HABITANTS

Membres

Professionnels du droit et autres inscrits

PROFESSIONNELS DU DROIT

Previous Next

 

Association pour la prévention positive des cyberviolences

 

Facilite l'accès aux professions du Droit

 

 

Procédure d’appel, procédure civile, conseil, contentieux, modes amiables

 

Réseau de cabinets d’avocats indépendants

 

Cabinet d'Avocats

 

Réseau de professionnels du Droit

 

Cabinet d'avocat

 

Bien plus que du droit.

Solutions

Previous Next

 

Logiciels de conformité, risques et éthique

 

Aides et Conseils à l'installation des avocats.

 

Gestion contractuelle augmentée

 

Lettre recommandée électronique

 

Gestion de la propriété intellectuelle

 

Editeur juridique et de solutions de gestion pour les métiers du droit

 

AI-powered Contract Management

 

Créateur de confiance juridique

 

Solutions d'informations pour professionnels du droit.

 

Offres pour les métiers du droit

 

Logiciels pour professionnels du droit.

 

Aménagement des espaces de travail

 

Editeur juridique

 

Association de gestion et de comptabilité pour Avocats

 

Traducteurs assermentés

Formateurs

Previous Next

 

L’école des nouveaux juristes !

 

La Compétence juridique se recrute !

 

Développeur de compétences, incubateur de formations

 

Formations courtes ou longues à destination des professionnels du droit

 

Se former est une chance !

 

Se former aux métiers du Droit

 

Formation, recherche et innovation

 

Des formations spécialisées

Nouveautés de l'édition juridique:

Nouveauté Livre


Chers Confrères – Tome 2

Dessins satiriques sur le monde de la justice.

LexisNexis Presse


La Semaine Juridique - Edition Générale

Le magazine scientifique du droit

Nouveauté Livre


L'acte juridique parfait

A côté du droit !

Sélection Liberalis du week-end : Salzbourg, une cité baroque tournée vers les sommets.

[Nouvelle parution] "La chambre volée" ou l’affaire de la collection Matsukata.

Sélection Liberalis du week-end : au Portugal, en croisière sur le Douro.

Régulièrement nous partageons ici avec vous quelques images du net...

A voir et à Écouter... sur le Village de la justice:

- [Vidéo] L’enquête-miroir du pôle des accidents collectifs du Parquet de Paris expliquée en une minute.
- [Replay Transfodroit] Comment sensibiliser les équipes de l’entreprise à la bonne utilisation de l’IA ?
- [Replay] Les professions du droit et du chiffre face à la souveraineté des données.
- Diffusion du Droit : notre sélection de podcasts juridiques.

Le Village de la justice est le 1er site de la communauté des métiers du Droit, en accès libre, créé en 1997 (en savoir plus). Avocats, juristes d'entreprises et salariés, magistrats, étudiants, notaires, huissiers, fiscalistes, RH, experts et conseils etc, y trouvent de nombreuses informations et participent à la communauté, s'informent, établissent leur réseau, recrutent... Le premier Réseau du droit ! > Découvrez notre philosophie et fonctionnement ici.

Edité par Legi Team
Editeur - Publicité
Fil RSS général du Village
Gestion des cookies - RGPD
Mentions légales - CGV - CGU
RSE
Plan du Village de la Justice
Nous écrire

Copyright © Village de la justice et auteurs publiés ici.