Fraude bancaire : vos droits au remboursement et la jurisprudence 2024-2026

Votre banque refuse de rembourser une opération frauduleuse en invoquant votre négligence grave. La frontière entre l'imprudence ordinaire et la négligence grave au sens du Code monétaire et financier est au cœur du contentieux. Depuis la directive DSP2, la jurisprudence de la chambre commerciale a profondément rebattu les cartes sur le phishing, le spoofing au faux conseiller et l'authentification forte. Ce guide restitue le régime complet — charge de la preuve, délais, recours — pour que vous sachiez ce que la loi vous doit, et à quelles conditions.

Publié le 16 avril 2026 · Mis à jour le 16 avril 2026

Votre carte a été débitée d’un montant que vous ne reconnaissez pas. Un escroc au téléphone s’est fait passer pour votre conseiller bancaire et vous a amené à valider un virement. Votre espace client en ligne a été piraté et un bénéficiaire inconnu a été ajouté. Dans chacun de ces cas, le réflexe est le même : appeler la banque, espérer que l’opération soit annulée, et se heurter à une réponse souvent prévisible — « nous devons examiner votre dossier », puis, quelques semaines plus tard, une lettre qui invoque votre « négligence grave » pour refuser le remboursement.

La fraude bancaire est l’un des contentieux les plus courants du droit bancaire contemporain. Sa mécanique juridique a été profondément renouvelée par la directive européenne DSP2, transposée en droit français par l’ordonnance du 9 août 2017, et la chambre commerciale de la Cour de cassation a rendu entre 2023 et 2026 une série d’arrêts qui éclairent à la fois le régime de la négligence grave, la portée de l’authentification forte et le délai dans lequel le payeur doit signaler. Ce guide restitue ce régime sans complaisance, avec ses pièges et ses arguments — ceux que votre banque ne vous indiquera pas spontanément.

Fraude bancaire : de quoi parle-t-on juridiquement ?

L’expression « fraude bancaire » recouvre, dans le langage courant, toute opération frauduleuse qui affecte un compte ou un moyen de paiement. En droit, il faut distinguer deux situations aux conséquences radicalement différentes, qui commandent le choix du texte applicable et, derrière lui, l’équilibre des responsabilités entre la banque et son client.

La première situation est celle de l’opération de paiement non autorisée au sens de l’article L. 133-18 du Code monétaire et financier. Tombent dans cette catégorie toutes les opérations exécutées sans que le payeur y ait consenti : paiement réalisé avec une carte volée ou clonée, virement ordonné depuis un espace client piraté, prélèvement effectué au moyen d’un IBAN obtenu frauduleusement, ajout de bénéficiaire par un tiers qui s’est procuré les identifiants. Dans toutes ces hypothèses, le régime protecteur des articles L. 133-18 à L. 133-24 s’applique, avec son principe cardinal : la banque doit rembourser, et c’est à elle qu’il revient de prouver l’exception.

La seconde situation est celle de l’ordre autorisé exécuté sous l’effet d’une manœuvre frauduleuse. La victime est bien trompée, mais c’est elle qui clique, qui valide, qui appose sa signature électronique, qui compose son code. L’exemple le plus courant est aujourd’hui l’escroquerie à l’investissement, qui pousse la victime à effectuer elle-même plusieurs virements vers un compte étranger, puis à découvrir trop tard qu’aucun placement n’existait. Le régime L. 133-18 ne s’applique pas : l’opération est techniquement autorisée. Pour obtenir réparation, la victime doit se placer sur le terrain du droit commun de la responsabilité contractuelle (article 1231-1 du Code civil) et démontrer un manquement de sa banque à son devoir de vigilance face à des anomalies manifestes.

Cette ligne de partage est la clé du guide. L’erreur la plus fréquente consiste à réclamer un remboursement automatique sur le fondement de L. 133-18 quand on est en réalité dans un cas de manœuvre dolosive sur un ordre valable. Elle conduit à une impasse juridique. À l’inverse, laisser la banque qualifier votre dossier comme un simple ordre autorisé quand il s’agit d’une véritable usurpation de dispositif de sécurité, c’est renoncer à l’avantage majeur que la loi vous donne.

La typologie des fraudes et leur régime

Chaque technique d’escroquerie obéit, une fois qualifiée, à un régime juridique distinct. Les frontières ne sont pas toujours nettes, et une même opération peut combiner plusieurs procédés. Voici les cas les plus fréquents, avec le texte civil applicable et la qualification pénale correspondante.

La fraude à la carte sans vol physique est de très loin la première. L’escroc obtient les coordonnées de la carte — numéro, date, cryptogramme — par un moyen quelconque (piratage d’un site marchand, compromission d’une base de données, hameçonnage) et les utilise pour un paiement à distance. La victime n’a jamais perdu sa carte. Le régime applicable est celui de l’article L. 133-18 : remboursement immédiat, sauf à la banque à démontrer une négligence grave (article L. 133-19 IV) ou, plus souvent depuis 2019, à invoquer l’exécution d’une authentification forte.

Le phishing ou hameçonnage est la technique par laquelle la victime saisit elle-même ses données sur un formulaire frauduleux, imité d’un site légitime. Les canaux varient : email, SMS (on parle alors de smishing), messagerie privée, faux QR code. L’analyse juridique est toujours la même : l’opération subséquente est une opération non autorisée au sens de L. 133-18, et le débat se déplace sur la négligence grave — la victime a-t-elle fait preuve d’une imprudence qui dépasse le seuil tolérable ?

Le spoofing vocal — encore appelé arnaque au faux conseiller — est la fraude qui a le plus évolué sur le plan jurisprudentiel. L’escroc appelle la victime en usurpant le numéro de téléphone de l’agence bancaire, se présente comme un chargé de clientèle qui détecte une opération suspecte, et lui demande de « sécuriser » son compte en validant des opérations sur son application mobile. Cette technique, parce qu’elle combine la compromission d’une authentification forte et la confiance induite par l’affichage du numéro de la banque, a donné lieu à plusieurs arrêts qui en font l’une des zones juridiques les plus surveillées.

Le skimming consiste à cloner la piste magnétique d’une carte bancaire au moyen d’un dispositif posé sur un distributeur automatique, puis à fabriquer une copie utilisée ensuite pour retirer des espèces. La carte est restée en possession du payeur : on est dans l’exception de l’article L. 133-19 II, qui prévoit le remboursement intégral, sauf négligence grave dans la conservation du code confidentiel.

La fraude au faux coursier — ou arnaque au faux policier — consiste à convaincre la victime de remettre physiquement sa carte et son code à un prétendu agent venu à domicile. Le préjudice est souvent considérable. L’analyse jurisprudentielle retient le plus souvent une négligence grave, compte tenu de la remise simultanée du moyen de paiement et de son code d’authentification.

La fraude au faux RIB ou fraude au virement frappe surtout les entreprises. L’escroc se fait passer pour un fournisseur habituel et obtient la modification des coordonnées bancaires d’un paiement à venir. L’ordre de virement est exécuté régulièrement par la victime : on sort du régime L. 133-18. Le recours se place contre la banque sur le terrain de son devoir de vigilance, et contre le fraudeur sur le terrain pénal (escroquerie). Depuis le 9 octobre 2025, le règlement européen 2024/886 impose aux prestataires de services de paiement de vérifier la correspondance entre le nom du bénéficiaire et l’IBAN indiqué pour tout virement en euros au sein de l’Union, ce qui ouvre une nouvelle piste d’engagement de responsabilité en cas de manquement à ce contrôle.

Les arnaques à l’investissement — placements miracles, cryptoactifs, trading en ligne — relèvent aussi du régime de l’ordre autorisé. La victime effectue elle-même les virements vers un compte étranger, souvent à plusieurs reprises, sur plusieurs semaines. Le recours sur le fondement de L. 133-18 n’est pas ouvert, mais la responsabilité de la banque peut être engagée si des anomalies manifestes — cumul inhabituel d’opérations, bénéficiaire localisé dans un pays à risque, incohérence avec le profil de l’épargnant — n’ont pas été détectées. La chambre commerciale a récemment précisé, dans un arrêt du 4 mars 2026, que l’obligation de lutte contre le blanchiment (articles L. 561-4-1 et suivants du CMF) n’ouvre pas de droit à réparation individuelle : elle poursuit une finalité d’ordre public et ne fonde pas une action en dommages-intérêts de la victime. Le fondement doit être recherché ailleurs, dans le devoir général de vigilance bancaire.

L’usurpation d’identité, enfin, permet l’ouverture d’un compte ou la souscription d’un crédit au nom d’une victime qui n’en a jamais eu connaissance. La victime n’a rien signé, rien autorisé. Le recours porte sur la responsabilité de l’établissement qui a accepté l’ouverture sans vérification suffisante, doublé d’une plainte pénale pour usurpation d’identité (article 226-4-1 du Code pénal). La loi du 6 novembre 2025 a créé un fichier national des comptes signalés pour risque de fraude, qui sera opérationnel en mai 2026 et devrait renforcer les outils de prévention.

Le droit au remboursement immédiat par la banque

Quand une opération non autorisée a été exécutée sur votre compte, la règle n’est pas le débat, c’est le remboursement. L’article L. 133-18 du Code monétaire et financier pose un principe d’une grande netteté : dès que vous avez signalé l’opération, la banque doit vous rembourser « immédiatement » et, au plus tard, à la fin du premier jour ouvrable suivant la réception de la contestation. Elle doit en outre rétablir votre compte dans l’état où il se serait trouvé si l’opération n’avait pas eu lieu, ce qui signifie recréditer le montant mais aussi rembourser les intérêts débiteurs, les agios et les frais d’incidents qui auraient pu en découler.

Article L. 133-18 du Code monétaire et financier

« En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu. »

Ce principe souffre trois exceptions, et trois seulement. La première est le soupçon de fraude du payeur lui-même que la banque communique par écrit à la Banque de France : elle vise le cas marginal du client qui mettrait lui-même en scène une fausse fraude pour obtenir un remboursement indu. La deuxième est la négligence grave de l’article L. 133-19 IV, qui fait l’objet du développement suivant. La troisième est la forclusion du délai de signalement, dont les contours ont été redessinés par la chambre commerciale en 2026.

Hors ces exceptions, le remboursement est un droit, pas une faveur. La loi du 16 août 2022 a d’ailleurs prévu des pénalités automatiques en cas de retard de la banque, qui s’ajoutent au recréditement du principal et qui rendent d’autant plus contestables les pratiques de temporisation. Exigez-le par écrit — une lettre recommandée avec accusé de réception vaut mieux qu’un simple message dans l’espace client — et conservez la preuve de la date de votre contestation, elle deviendra essentielle dans l’hypothèse d’un litige.

La négligence grave : où la banque peut-elle opposer un refus ?

La négligence grave est, de loin, le motif de refus le plus fréquemment invoqué par les banques. Elle figure au IV de l’article L. 133-19 du CMF, dans une formulation d’apparence simple mais dont la chambre commerciale a construit une grille d’analyse minutieuse au fil des années.

Article L. 133-19, IV du Code monétaire et financier

« Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17. »

Deux obligations sont en jeu. L’article L. 133-16 impose au payeur de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés — ses codes, ses identifiants, son téléphone qui reçoit les notifications d’authentification. L’article L. 133-17 impose, lorsqu’une opération frauduleuse est constatée, d’en informer la banque « sans tarder ». La négligence grave, au sens du IV, peut donc résulter soit d’une imprudence dans la conservation des dispositifs (avoir communiqué ses codes, laissé son téléphone sans protection), soit d’un retard fautif dans le signalement.

Le contentieux se cristallise sur deux techniques de fraude, parce que ce sont aussi les plus fréquentes : le phishing et le spoofing.

En matière de phishing, l’arrêt de principe est Cass. com., 28 mars 2018, n° 16-20.018. La Cour y juge que commet une négligence grave l’utilisateur qui communique ses données de sécurité « en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu’il soit, ou non, avisé des risques d’hameçonnage ». L’apport est double. D’une part, le critère est objectif : on ne mesure pas la culture numérique réelle de la victime mais l’attention qu’un utilisateur normalement diligent aurait déployée. D’autre part, l’ignorance du risque de phishing ne sauve pas : la Cour l’a expressément écartée comme circonstance atténuante. Cette ligne a été confirmée par Cass. com., 1er juillet 2020, n° 18-21.487, qui ajoute que la bonne foi est exclusive de toute appréciation : un client qui a agi de bonne foi mais qui ignorait les indices de suspicion reste réputé avoir commis une négligence grave.

En matière de spoofing vocal, la jurisprudence a basculé avec Cass. com., 23 octobre 2024, n° 23-16.267. Dans cet arrêt, la Cour juge qu’aucune négligence grave ne peut être imputée au titulaire d’un compte qui, contacté téléphoniquement par une personne se faisant passer pour un préposé de sa banque — dont le numéro s’affichait à l’écran — utilise à sa demande son dispositif de sécurité personnalisé pour supprimer puis réinscrire des bénéficiaires de virements, dans le but prétendu d’éviter des opérations malveillantes. La combinaison de l’affichage d’un numéro légitime et de la mise en scène d’une intervention de sécurité a été jugée suffisamment trompeuse pour exclure la faute caractérisée.

L’arrêt a été nuancé, mais non renversé, par Cass. com., 4 mars 2026, n° 24-19.588. La chambre commerciale y précise que la seule coïncidence du numéro affiché avec celui de l’agence ne suffit pas, à elle seule, à écarter la négligence grave : le juge du fond doit motiver sa décision au regard de la mise en garde contractuelle habituellement signée par le client, qui l’alerte sur les techniques d’ingénierie sociale. L’appréciation redevient in concreto, et l’analyse doit être conduite au cas par cas. En pratique, la conjugaison des deux arrêts dessine un terrain favorable au payeur lorsque le scénario combine affichage du numéro de l’agence, horaire d’ouverture, ton professionnel et scénario de sécurisation — mais la prudence s’impose dans les dossiers où l’escroc aura franchi trop de seuils manifestement suspects.

Enfin, il faut retenir une règle transversale rappelée par Cass. com., 20 novembre 2024, n° 23-15.099 : avant même de discuter négligence grave, la banque doit d’abord prouver l’authentification, l’enregistrement et l’absence de déficience technique. Dans cet arrêt, la cassation est intervenue alors même que la négligence du client paraissait manifeste — il avait remis sa carte et ses codes à un inconnu rencontré en ligne — parce que la cour d’appel avait omis de vérifier la chaîne probatoire préalable. C’est un enseignement précieux : la discussion doit toujours commencer par le formalisme de la preuve incombant à la banque, jamais par la faute du client.

L’authentification forte, arme décisive du payeur

Depuis l’entrée en vigueur de l’article L. 133-44 du Code monétaire et financier le 14 septembre 2019, le prestataire de services de paiement est tenu d’exiger une authentification forte lorsque le payeur accède à son compte en ligne, initie un paiement électronique ou effectue par un moyen distant une action susceptible de comporter un risque de fraude. L’authentification forte est définie comme la combinaison de deux éléments au moins parmi trois catégories : la connaissance (un code), la possession (un téléphone ou un objet personnel), l’inhérence (une empreinte digitale, une reconnaissance faciale ou vocale). Pour les paiements électroniques à distance, le texte va plus loin en imposant un « lien dynamique » entre l’opération et le montant ainsi que le bénéficiaire : le code reçu doit être spécifique à la transaction en cours, et non un code générique réutilisable.

La sanction du défaut d’authentification forte est prévue au V de l’article L. 133-19 et elle est radicale : en dehors de l’agissement frauduleux du payeur lui-même, celui-ci ne supporte « aucune conséquence financière » si l’opération non autorisée a été exécutée sans que son prestataire de services de paiement n’ait exigé l’authentification forte. Le débat sur la négligence grave disparaît : la banque ne peut plus se prévaloir de l’article L. 133-19 IV pour refuser le remboursement, puisque le préalable technique exigé par la loi n’était pas rempli. La portée de cette règle a été consacrée par Cass. com., 30 août 2023, n° 22-11.707, qui est aujourd’hui l’arrêt de référence en la matière.

Le réflexe à avoir, face à un refus de remboursement, est donc toujours le même : exiger par écrit que la banque justifie, preuves à l’appui, qu’une authentification forte conforme à L. 133-44 a été mise en œuvre au moment de l’opération contestée. L’absence de cette preuve — ou son caractère insuffisant, par exemple un code SMS générique sans lien dynamique — ouvre un droit au remboursement quasi inconditionnel.

La charge de la preuve en deux temps

L’article L. 133-23 du CMF organise la charge de la preuve selon une mécanique en deux temps qu’il est utile de maîtriser. Cette mécanique a été construite méthodiquement par la chambre commerciale, depuis Cass. com., 18 janvier 2017, n° 15-18.102 jusqu’à Cass. com., 12 novembre 2020, n° 19-12.112.

Article L. 133-23 du Code monétaire et financier

« Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant. »

La première étape incombe systématiquement à la banque : il lui revient de prouver que l’opération a été authentifiée, dûment enregistrée, comptabilisée, et qu’aucune déficience technique ne l’a affectée. Tant que cette première étape n’est pas franchie, la discussion sur la faute du client n’a pas lieu. C’est seulement dans un second temps, si et seulement si la première étape est établie, que la banque peut tenter de démontrer une fraude ou une négligence grave du payeur.

La règle est d’autant plus protectrice que le second alinéa verrouille une pratique ancienne des établissements : l’utilisation effective de l’instrument de paiement ou des données qui y sont liées ne suffit jamais à prouver, ni que l’opération était autorisée, ni que le client a commis une négligence grave. Autrement dit, le fait qu’un code ait été correctement saisi ne démontre pas que c’est le client qui l’a saisi. Ce principe, rappelé avec constance par la Cour de cassation, est un levier argumentatif central dans tous les contentieux.

Les délais qui tuent votre droit

Le droit au remboursement est enfermé dans un jeu de délais dont la méconnaissance peut tout compromettre, quand bien même la fraude serait évidente et la banque en tort. La règle a été profondément infléchie par la Cour de cassation en 2026, à la suite d’un arrêt de la Cour de justice de l’Union européenne.

L’article L. 133-24 du CMF fixe un délai absolu de treize mois à compter de la date de débit, réduit à soixante-dix jours pour les opérations effectuées hors Espace économique européen. Passé ce délai, la contestation est irrecevable. Mais la vraie règle opérationnelle est plus stricte : le payeur doit signaler « sans tarder » l’opération non autorisée, et ce délai court non pas à partir du débit, mais à partir du moment où il en a eu connaissance.

Cette solution, que l’on pouvait tirer de la lettre du texte, a été consacrée par la Cour de justice dans son arrêt CJUE, 1er août 2025, Veracash, C-665/23, puis reprise par la chambre commerciale dans Cass. com., 14 janvier 2026, n° 22-14.822. L’enseignement est double. D’une part, le juge du fond doit rechercher à quelle date le payeur a effectivement eu connaissance de la première opération frauduleuse — en général, la date à laquelle il a consulté son compte en ligne et a pu détecter l’anomalie. D’autre part, un signalement tardif, quand bien même il intervient dans les treize mois légaux, peut priver le payeur de son droit au remboursement s’il résulte d’une négligence grave dans la surveillance de ses comptes. Un arrêt du 4 février 2026 (n° 22-22.609) a tiré la conséquence pratique de cette règle : la demande est rejetée si l’utilisateur ne parvient pas à justifier de la date à laquelle il a signalé l’opération à sa banque.

Un dernier délai mérite d’être signalé, qui concerne non les opérations frauduleuses stricto sensu mais les prélèvements contestés : l’article L. 133-25 du CMF offre au payeur un droit inconditionnel au remboursement de tout prélèvement SEPA autorisé, dans un délai de huit semaines à compter du débit. Ce droit, rappelé par Cass. com., 2 juillet 2025, n° 24-11.680, est indépendant du régime de la fraude et trouve une utilité pratique considérable quand un prélèvement indu a été opéré, même en l’absence de fraude avérée.

Les démarches : opposition, signalement, plainte

Dès la détection de l’opération suspecte, trois démarches doivent être engagées immédiatement et en parallèle — aucune des trois n’en attend une autre.

La première est l’opposition sur le moyen de paiement. Elle se fait auprès de votre banque, dans votre espace client ou par téléphone, et auprès du serveur interbancaire d’opposition (0 892 705 705, accessible 24 heures sur 24). L’opposition fige le débit : au-delà, les opérations qui seraient tentées avec la carte vous sont légalement imputables dans la limite de cinquante euros (article L. 133-19, I). Confirmez-la toujours par un écrit — courriel dans l’espace client et, si possible, lettre recommandée avec accusé de réception —, car la date précise de votre opposition sera un élément de preuve essentiel.

La deuxième est le signalement à la banque, qui déclenche l’obligation de remboursement de l’article L. 133-18. Il est distinct de l’opposition : l’opposition sécurise l’avenir, le signalement ouvre le droit à la correction des opérations passées. Faites-le par écrit, datez-le, décrivez précisément chaque opération contestée (date, montant, bénéficiaire affiché). C’est ce document qui permettra, dans un second temps, de faire courir le délai d’un jour ouvrable de l’article L. 133-18.

La troisième est le dépôt de plainte, qui intervient en parallèle des démarches civiles. Trois voies sont ouvertes. Le dispositif Perceval est accessible en ligne via FranceConnect et permet de signaler une utilisation frauduleuse de carte bancaire lorsque celle-ci est restée en votre possession. Le dispositif Thésée couvre les escroqueries commises par voie électronique et permet également un signalement en ligne. En cas de préjudice important ou de fraude sophistiquée, une plainte déposée au commissariat ou adressée au procureur de la République par lettre recommandée avec accusé de réception reste recommandée. Le récépissé de plainte sera joint au dossier de demande de remboursement auprès de la banque et, le cas échéant, aux démarches auprès d’un assureur en protection juridique.

Ne conditionnez jamais le dépôt de plainte à l’accord préalable de la banque : la plainte est indépendante de la procédure civile et la banque n’a aucun mot à dire sur ce point. L’expérience montre au contraire qu’un dépôt de plainte rapide est un élément d’appui utile pour obtenir le remboursement amiable.

Les recours si la banque refuse de rembourser

Si la banque refuse le remboursement — ou tarde à l’exécuter —, une gradation de recours s’ouvre, de l’amiable au contentieux.

La première étape est la réclamation formelle auprès du service clientèle de la banque, par lettre recommandée avec accusé de réception. Exigez-y, en termes précis, le remboursement immédiat fondé sur l’article L. 133-18 et, lorsque l’authentification forte pose question, la production de la preuve que celle-ci a été effectivement exigée conformément à l’article L. 133-44. Donnez un délai raisonnable de réponse — quinze jours paraît une base de négociation acceptable — et annoncez les étapes ultérieures en cas d’échec.

À défaut de réponse ou en cas de réponse négative, saisissez le médiateur bancaire. Chaque banque dispose d’un médiateur indépendant, dont les coordonnées figurent dans la convention de compte. La saisine est gratuite, elle suspend la prescription et le médiateur doit rendre son avis dans un délai de quatre-vingt-dix jours. Son avis ne s’impose juridiquement à aucune des parties, mais les établissements s’y conforment dans une grande majorité des cas.

Le signalement à l’Autorité de contrôle prudentiel et de résolution est une autre voie, parallèle et complémentaire. L’ACPR n’a pas le pouvoir d’ordonner le remboursement à titre individuel — ce n’est pas sa mission —, mais elle peut sanctionner les manquements professionnels d’un établissement et les signalements répétés sont pris en compte dans l’évaluation des pratiques du secteur. Pour comprendre son rôle précis, consultez notre guide dédié à l’ACPR.

Lorsque la voie amiable est épuisée, le recours judiciaire s’impose. Deux options selon le montant litigieux : le tribunal de proximité pour les demandes inférieures ou égales à dix mille euros, le tribunal judiciaire au-delà. La procédure au fond peut prendre plusieurs mois. Elle peut être accélérée par un référé, la jurisprudence admettant — sous certaines conditions — que l’obligation de remboursement posée par l’article L. 133-18 n’est pas sérieusement contestable lorsque les éléments du dossier sont clairs. Cette voie est particulièrement adaptée aux situations d’urgence, par exemple lorsque le refus de remboursement met en péril la trésorerie d’une entreprise.

Ces contentieux sont à l’intersection du droit bancaire, du droit de la consommation et de la procédure civile. Ils mobilisent un régime probatoire technique — charge de la preuve en deux temps, articulation avec l’authentification forte, analyse des courriels et des logs d’authentification — que les juridictions du fond appliquent avec une exigence croissante. Pour structurer efficacement une demande de remboursement ou une action judiciaire, le cabinet Solent Avocats accompagne particuliers et entreprises dans l’ensemble de ces démarches. Pour replacer cette matière dans son contexte plus large, consultez notre guide complet du droit bancaire et, sur le régime général de la responsabilité bancaire, le guide dédié. Pour engager le dialogue sur une situation concrète, notre page d’interventions en droit bancaire et financier en décrit les modalités.

Sources

Textes de loi

Article L. 133-16 du Code monétaire et financier — Obligation de sécurité du payeur
Article L. 133-17 du Code monétaire et financier — Obligation d’information sans délai
Article L. 133-18 du Code monétaire et financier — Remboursement immédiat de l’opération non autorisée
Article L. 133-19 du Code monétaire et financier — Régime de responsabilité (plafond 50 €, négligence grave, défaut d’authentification forte)
Article L. 133-23 du Code monétaire et financier — Charge de la preuve
Article L. 133-24 du Code monétaire et financier — Délai de forclusion de treize mois
Article L. 133-25 du Code monétaire et financier — Droit au remboursement d’un prélèvement SEPA autorisé (huit semaines)
Article L. 133-44 du Code monétaire et financier — Authentification forte DSP2
Article 313-1 du Code pénal — Escroquerie
Article 226-4-1 du Code pénal — Usurpation d’identité
Article 323-1 du Code pénal — Accès ou maintien frauduleux dans un système de traitement automatisé de données
Ordonnance n° 2017-1252 du 9 août 2017 — Transposition de la directive DSP2
Loi n° 2025-1058 du 6 novembre 2025 — Lutte contre la fraude bancaire et création du FNC-RF

Jurisprudence

Cass. com., 18 janvier 2017, n° 15-18.102 — Charge de la preuve de la négligence grave sur le prestataire de services de paiement
Cass. com., 28 mars 2018, n° 16-20.018 — Phishing : critère objectif de l’utilisateur normalement attentif
Cass. com., 1er juillet 2020, n° 18-21.487 — La négligence grave exclut toute appréciation de la bonne foi
Cass. com., 12 novembre 2020, n° 19-12.112 — Double charge probatoire : authentification puis négligence grave
Cass. com., 30 août 2023, n° 22-11.707 — Défaut d’authentification forte : remboursement intégral (L. 133-19 V)
Cass. com., 23 octobre 2024, n° 23-16.267 — Spoofing au faux conseiller : absence de négligence grave en cas d’affichage du numéro de l’agence
Cass. com., 20 novembre 2024, n° 23-15.099 — Ordre probatoire : authentification avant négligence grave
Cass. com., 2 juillet 2025, n° 24-11.680 — Droit inconditionnel au remboursement d’un prélèvement SEPA
Cass. com., 14 janvier 2026, n° 22-14.822 — Point de départ du délai de signalement à la connaissance (CJUE Veracash)
Cass. com., 4 mars 2026, n° 24-19.588 — Spoofing : nuance à l’arrêt de 2024 sur la mise en garde contractuelle
CJUE, 1^er août 2025, Veracash, C-665/23 — Notion de négligence grave au sens de la directive DSP2

Doctrine et rapports

Banque de France, Rapport annuel de l’Observatoire de la sécurité des moyens de paiement (dernier exercice publié)
T. Bonneau, Droit bancaire, LGDJ, 14^e éd., 2024 — chapitre consacré à la responsabilité en matière de moyens de paiement
J. Lasserre Capdeville, « Fraude à la carte bancaire et négligence grave : état de la jurisprudence », RDBF 2025, n° 2, étude 7
H. Synvet, « Authentification forte et charge de la preuve », RTD com. 2024, p. 685

Questions fréquentes sur la fraude bancaire

Comment se faire rembourser après une fraude bancaire ?

Lorsque l’opération n’a pas été autorisée, l’article L. 133-18 du Code monétaire et financier impose à la banque de rembourser immédiatement le montant, et au plus tard à la fin du premier jour ouvrable suivant la réception de la contestation. Le compte doit être rétabli dans son état antérieur, agios et frais d’incidents compris. La banque ne peut refuser que dans trois cas : soupçon de fraude du payeur lui-même notifié à la Banque de France, négligence grave établie (article L. 133-19 IV), ou forclusion du délai de signalement. Le réflexe est donc d’adresser une demande écrite de remboursement, datée, qui détaille chaque opération contestée, et d’exiger la preuve que l’authentification forte avait bien été mise en œuvre au sens de l’article L. 133-44.

Qu’est-ce que la négligence grave au sens du Code monétaire et financier ?

La négligence grave, au sens de l’article L. 133-19 IV, est un manquement caractérisé du payeur à son obligation de préserver la sécurité de ses dispositifs d’authentification (article L. 133-16) ou de signaler sans tarder l’opération frauduleuse (article L. 133-17). La jurisprudence applique un critère objectif : il ne s’agit pas de mesurer la culture numérique réelle de la victime, mais l’attention qu’un utilisateur normalement diligent aurait déployée. Pour le phishing, Cass. com., 28 mars 2018, n° 16-20.018 exige des indices permettant de douter de la provenance du courriel. Pour le spoofing au faux conseiller, Cass. com., 23 octobre 2024, n° 23-16.267 a au contraire écarté la négligence grave lorsque le numéro de l’agence s’affichait à l’écran. La bonne foi du client, précise la Cour, est inopérante : elle ne sauve pas le payeur qui a ignoré des signaux manifestes.

Dans quel délai faut-il signaler une fraude bancaire ?

L’article L. 133-24 fixe un délai absolu de treize mois à compter du débit (soixante-dix jours hors Espace économique européen). Mais depuis la CJUE, 1^er août 2025, C-665/23 Veracash, reprise par Cass. com., 14 janvier 2026, n° 22-14.822, le signalement doit intervenir « sans tarder » à compter de la connaissance de l’opération, et non du débit. Un signalement tardif, même dans les treize mois, peut être jugé constitutif d’une négligence grave et priver le payeur de son droit au remboursement. En pratique, il faut agir dès la détection, conserver la date exacte du signalement et l’adresser par un canal prouvable (lettre recommandée avec accusé de réception ou message horodaté dans l’espace client).

Que faire si la banque refuse le remboursement en invoquant l’authentification forte ?

Il faut d’abord exiger par écrit la preuve que l’authentification forte au sens de l’article L. 133-44 a effectivement été mise en œuvre : combinaison d’au moins deux facteurs indépendants parmi connaissance, possession et inhérence, et, pour les paiements à distance, existence d’un lien dynamique entre le code reçu et l’opération en cours. En l’absence d’authentification forte conforme, l’article L. 133-19 V impose le remboursement intégral sauf fraude du payeur, quel que soit son comportement. La Cour de cassation a consacré cette règle dans son arrêt du 30 août 2023 (n° 22-11.707), qui est aujourd’hui la référence en la matière. Si la banque maintient son refus, saisissez le médiateur bancaire, puis le tribunal le cas échéant par voie de référé si l’obligation de remboursement n’est pas sérieusement contestable.

Faut-il déposer plainte avant de demander le remboursement ?

Non — les deux démarches sont indépendantes. Le dépôt de plainte relève du volet pénal (escroquerie, atteinte à un système de traitement automatisé de données, usurpation d’identité), le remboursement relève du volet civil (article L. 133-18). Vous pouvez — et vous devez — les mener en parallèle. Trois canaux existent pour la plainte : Perceval pour les utilisations frauduleuses de carte bancaire non perdue ni volée, Thésée pour les escroqueries commises par voie électronique, et le commissariat ou le procureur pour les cas plus graves. Le récépissé de plainte constitue un élément d’appui utile à votre demande de remboursement auprès de la banque.

Que faire si j’ai moi-même validé le virement frauduleux ?

Si vous avez validé vous-même l’opération, fût-ce sous l’effet d’une manœuvre dolosive (arnaque aux sentiments, escroquerie à l’investissement, faux fournisseur), vous sortez du régime protecteur de l’article L. 133-18 qui ne concerne que les opérations non autorisées. Le recours se place alors sur le terrain du droit commun de la responsabilité contractuelle (article 1231-1 du Code civil), contre votre banque si elle a manqué à son devoir de vigilance face à des anomalies manifestes : cumul inhabituel de virements, bénéficiaire inconnu localisé à l’étranger, incohérence avec votre profil d’épargnant. Attention : l’obligation de lutte contre le blanchiment n’ouvre pas de droit à réparation individuelle, comme l’a rappelé Cass. com., 4 mars 2026, n° 24-19.588. Le fondement doit être recherché dans le devoir général de vigilance bancaire, qui s’apprécie au cas par cas.

Guides - Droit bancaire et financier

Droit bancaire et financier ->

Le droit bancaire est à la fois un droit de la régulation — celui qui encadre l'activité des banques sous le contrôle de l'ACPR — et un droit du contentieux : celui des litiges entre la banque et son client. Ce guide explique les deux faces, les sources, les acteurs, les obligations du banquier et les principaux terrains de contestation.

77 articles dans cette thématique ->

Nos ressources

629

Articles

Analyses, retours de pratique et actualité juridique. Mis à jour quotidiennement.

Voir le blog ->

Dossiers

Traités encyclopédiques de 80 à 150 pages issus de nos formations professionnelles.

Voir les dossiers ->

Formations

Certifiées Qualiopi, dispensées auprès des écoles d'avocats et organismes de formation.

Voir les formations ->

Parlons de votre dossier

Nous sommes à votre écoute.

NOUS CONTACTER

07 56 28 34 30