Fraude bancaire : les juges sont-ils de plus en plus durs avec les victimes ?

Tous les voyants sont au rouge. Selon le rapport annuel 2025 récemment publié par le Groupement d'Intérêt Public Action contre la cybermalveillance (GIP ACYMA), cybermalveillance.gouv.fr, sa plateforme d'assistance en ligne, a enregistré une hausse de 47% des demandes d'assistance des particuliers entre 2024 et 2025. A elles seules, les arnaques au faux conseiller bancaire (5% des demandes), avec ses nombreuses variantes, ont explosé de 159%. Certains modes opératoires sont devenus massifs. C'est le cas, par exemple, des faux SMS d'opposition bancaire, alertant sur un prétendu débit frauduleux sur un compte.

Si les fraudeurs se donnent de plus en plus souvent la peine d'interagir directement avec leurs victimes, c'est pour une bonne raison : contourner les dispositifs mis en place par les banques pour sécuriser les opérations effectuées à distance.

Sous la pression des institutions européennes, les prestataires de services de paiement ont mis en place des dispositifs d'authentification forte pour sécuriser les paiements par carte bancaire effectués sur internet, mais également certaines opérations sensibles comme l'ajout à distance d'un nouveau bénéficiaire de virement. En clair : récupérer les identifiants d'une carte bancaire ne suffit plus aux fraudeurs, ils doivent trouver le moyen d'amener, par la ruse, leurs victimes à authentifier les opérations frauduleuses.

« Les voleurs sont des opportunistes » : les raisons de l'explosion des fraudes au faux conseiller

Une zone grise sur les opérations autorisées après manipulation

Cela n'est pas sans conséquences pour les victimes. En l'absence d'authentification, une opération frauduleuse peut être considérée comme non autorisée et doit donc, selon la règle, faire l'objet d'un remboursement immédiat.

Qu'en est-il lorsque la victime manipulée par une personne qu'elle pense être un conseiller de sa banque a authentifié l'opération frauduleuse en toute bonne foi ? On entre alors dans une zone grise que l'Observatoire de la sécurité des moyens de paiement (OSMP) de la Banque de France a tenté d'éclaircir en 2023, en publiant des recommandations sur le sujet.

Sa doctrine est la suivante : l'authentification forte ne suffit pas à prouver qu'une opération contestée a été autorisée. « (...) Il revient à l'établissement teneur du compte de déterminer si cette transaction peut être considérée comme autorisée par l'utilisateur », explique l'OSMP dans un communiqué daté du 16 mai 2023. Ou de prouver que ce dernier a été négligent. La réglementation, en effet, prévoit une exception au principe du remboursement immédiat de la victime en cas de « négligence grave » de cette dernière.

Pour cela, l'établissement doit procéder à une analyse des « paramètres associés à la transaction (origine de la transaction, paramètres de l'authentification forte, interactions avec le payeur, etc.) ». Si cette analyse ne permet pas de faire émerger des « éléments suffisants pour justifier le caractère autorisé de la transaction ou démontrer une négligence grave de l'utilisateur, l'établissement est tenu de rembourser sans délai l'opération en cause. »

Non-remboursement de fraude bancaire : ce que votre banque n'a plus le droit de faire

Des décisions de justice pas toujours alignées

La Fédération bancaire française (FBF) a récemment réaffirmé que les banques appliquaient ces recommandations. Ce n'est pas le ressenti, pourtant, de Me Virgine Audinot. « Les banques sont complètement fermées à toute indemnisation et écrèment les dossiers », estime cette avocate spécialisée dans la défense de victimes de fraude. Y compris de la part de banques « qui n'arrivent même pas à démontrer qu'il y a eu réellement une authentification des opérations. »

Dans ces cas de figure, les victimes n'ont qu'un recours : saisir la justice. Sans aucune assurance, toutefois, d'obtenir gain de cause. Face à des scénarios de fraude nombreux, complexes et en perpétuelle adaptation, les conclusions des différentes juridictions appelées à se prononcer ne sont pas toujours alignées. « Chaque affaire est examinée très précisément par les juges ; il suffit parfois d'un détail dans les faits pour que la décision diffère », confirme Me Audinot. « Les textes sont, à mon sens, trop flous », poursuit l'avocate. « La négligence grave, par exemple, n'est pas réellement définie. Cela explique que les banques s'en emparent pour tenter de s'exonérer de leur responsabilité. Le travail, finalement, revient au juge. »

Une jurisprudence moins protectrice des victimes

Dans ce contexte, plusieurs décisions récentes semblent indiquer que la jurisprudence, traditionnellement plutôt favorable aux victimes de fraudes sophistiquées, a tendance à l'être de moins en moins.

Plusieurs décisions récentes vont dans ce sens. Exemple : depuis un arrêt de la Cour de cassation datant de 2024 (1), la jurisprudence veut qu'une victime de spoofing téléphonique, cette manœuvre permettant au fraudeur d'usurper le numéro de téléphone d'un conseiller bancaire, ne peut pas être considérée comme gravement négligente si elle en vient à authentifier des opérations frauduleuses en pensant sécuriser son compte.

Dans un arrêt du 4 mars dernier, la Cour de cassation, saisi pour une autre affaire, a tempéré cette approche protectrice. En l'occurrence, la victime de spoofing avait authentifié des paiements frauduleux en pensant les annuler, sous l'influence d'un faux conseiller. La Cour, pourtant, a statué en faveur de la banque en raison d'un petit détail : la notification reçue indiquait bien qu'il s'agissait de valider un paiement, et pas un remboursement ou une annulation. Elle a ainsi considéré que ce message aurait dû permettre à une personne normalement vigilante de détecter la fraude.

Des critères d'alerte plus resserrés

Dans ces affaires de manipulation, où la victime a effectivement autorisé l'opération frauduleuse, l'enjeu se porte sur la limite entre l'obligation de vigilance de la banque et le principe de non-immixtion.

D'un côté, la banque doit être en mesure de relever des anomalies apparentes dans l'usage des comptes qu'elle détient. De l'autre, elle n'a pas vocation à « juger » la nature des opérations autorisées par le client : leur montant, leur fréquence, leur destinataire.

De ce point de vue aussi, la jurisprudence récente a été nettement favorables aux banques. « La Cour de cassation est amenée à considérer selon les cas d'espèce que même la combinaison de montants inhabituellement élevés, d'ordres répétés sur une courte période, de bénéficiaires inconnus ou de destinations situées hors du périmètre géographique habituel des activités du client ne constituaient pas, à l'encontre de la banque, des anomalies apparentes que la banque aurait dû relever pour ne pas exécuter l'opération, anomalies apparentes qui pourraient engager la responsabilité de la banque », détaille Me Christophe Jacomin, avocat associé au sein du cabinet Herald, qui défend les intérêts des banques.

Même constat chez Me Mikaël Le Bot : « Depuis la fin de l'année 2025, une série d'arrêts de la Chambre commerciale a énormément resserré les critères qui permettent de déterminer si les opérations litigieuses étaient anormales et si la banque aurait dû alerter l'utilisateur de services de paiement. Ces dernières décisions, c'est vrai, sont très dures à l'égard des utilisateurs. »

L'avocat, qui défend des victimes de fraude, voit tout de même des motifs d'espoirs : « Le combat est très loin d'être perdu. Un règlement européen de 2017 (2) prévoit que les prestataires de services de paiement doivent mettre en place des mécanismes de surveillance des transactions leur permettant de détecter les transactions de paiement non autorisées ou frauduleuses aux fins de la mise en œuvre des mesures de sécurité permettant l'authentification forte. Et les critères ne sont pas aussi resserrés que ceux de la jurisprudence la plus récente de la Cour de cassation. »

(1) Chambre commerciale, financière et économique de la Cour de cassation - pourvoi n°23-16.267. (2) Règlement délégué (UE) 2018/389 de la Commission du 27 novembre 2017