Responsabilité de la banque en cas de défaut d’authentification des opérations

Par un jugement rendu le 20 février 2026 (TJ Paris, Pcp jtj proxi fond, 20 février 2026, n° 25/02965 [1]), le Tribunal judiciaire de Paris a apporté une nouvelle illustration du régime protecteur instauré par le Code monétaire et financier en matière d’opérations de paiement non autorisées.

La juridiction a rappelé ici avec fermeté que la charge de la preuve pèse sur l’établissement bancaire : il lui appartient de démontrer que l’opération contestée a été dûment authentifiée et qu’elle n’est entachée d’aucune défaillance technique. À défaut, la banque doit procéder au remboursement, indépendamment même de la question de la négligence du client.

Cette décision s’inscrit dans le contentieux désormais abondant des fraudes bancaires reposant sur des techniques d’ingénierie sociale, mêlant usurpation d’identité et manipulation psychologique des victimes.

Les faits : une fraude en deux temps mêlant manipulation et récupération de la carte bancaire.

L’affaire trouve son origine dans un événement a priori anodin. Le titulaire d’un compte bancaire, détenteur d’une carte Visa Premier, s’est rendu dans un centre de rééducation cardiaque. Lorsqu’il a récupéré ses effets personnels dans un casier fermé à clé, il a constaté que celui-ci avait été forcé et a remarqué que sa carte bancaire avait été déplacée dans son portefeuille.

Le lendemain, il a reçu un sms l’informant d’un prétendu e-paiement de 549,99 euros et l’invitant à appeler un numéro de téléphone pour faire opposition. Inquiet, le client a contacté le numéro indiqué. Il a alors été mis en relation avec un individu se présentant comme conseiller bancaire.

La fraude s’est peu à peu déployée, selon un scénario devenu malheureusement classique : le faux conseiller a expliqué au client que des opérations frauduleuses sont en cours et lui demande de suivre différentes instructions destinées prétendument à sécuriser son compte. Dans ce contexte de stress et de confiance trompeuse, la victime accepte les consignes données. Un prétendu coursier a été ensuite envoyé récupérer la carte bancaire afin de procéder à son remplacement. Le client a remis alors la carte au coursier, après l’avoir découpée en deux conformément aux instructions reçues.

Entre-temps, deux retraits ont été effectués sur le compte bancaire, pour des montants respectifs de 1.000 euros et 2.000 euros.

La victime a déposé immédiatement plainte et contesté les opérations auprès de sa banque.

Celle-ci a toutefois refusé catégoriquement (comme c’est devenu le cas de façon systématique) de procéder au remboursement, considérant que les opérations avaient été réalisées à l’aide de la carte bancaire du client et que son comportement caractérisait donc une négligence grave.

Après l’échec des démarches amiables et de la médiation bancaire, le client a dès lors assigné la banque devant le juge des contentieux de la protection, afin d’obtenir la restitution des sommes frauduleusement débitées.

Le cadre juridique : la protection du payeur en matière d’opérations non autorisées.

Le litige s’inscrit dans le cadre des dispositions protectrices du Code monétaire et financier relatives aux services de paiement.

L’article L133-18 prévoit que, lorsqu’une opération de paiement non autorisée est signalée, le prestataire de services de paiement doit rembourser immédiatement le montant de l’opération. Ce principe connaît toutefois une limite importante : selon l’article L133-19, le payeur supporte les pertes si celles-ci résultent d’un agissement frauduleux de sa part ou d’un manquement intentionnel ou d’une négligence grave dans la conservation de ses données de sécurité.

Toute la difficulté de ce contentieux réside donc dans la charge de la preuve.

L’article L133-23 du même code prévoit en effet que lorsque le client conteste une opération, il appartient à la banque de démontrer que celle-ci a été authentifiée, correctement enregistrée et qu’elle n’a pas été affectée par une défaillance technique.

Autrement dit, la banque ne peut se contenter d’affirmer que la carte ou les données du client ont été utilisées : elle doit prouver que le processus d’authentification forte a effectivement été mis en œuvre et validé.

L’argumentation de la banque : la mise en avant d’une négligence du client.

Pour refuser le remboursement, l’établissement bancaire soutenait que les opérations avaient été réalisées grâce aux informations communiquées par le client lui-même au faux conseiller.

La banque insistait notamment sur plusieurs éléments :

• le client avait appelé un numéro de téléphone qui n’était pas celui de la banque ;

• il avait communiqué des informations relatives à sa carte bancaire ;

• il avait accepté de remettre sa carte à un individu se présentant à son domicile.

Selon l’établissement bancaire, ces comportements auraient dû alerter le client et traduiraient une imprudence constitutive d’une négligence grave.

La banque soutenait également que le procédé ne relevait pas du spoofing à proprement parler, dans la mesure où le numéro utilisé n’était pas celui de l’établissement bancaire.

La décision du tribunal : l’absence de preuve de l’authentification des opérations.

Le tribunal a adopté à bon escient une approche particulièrement rigoureuse de la charge de la preuve pesant sur la banque.

Les juges ont rappelé tout d’abord un principe constant : la preuve de la fraude ou de la négligence grave du client ne peut se déduire du seul fait que l’instrument de paiement ou les données associées ont été utilisées. Or, en l’espèce, la banque affirmait que les opérations litigieuses avaient été dûment authentifiées. Toutefois, elle n’apportait aucun élément technique permettant de démontrer que le processus d’authentification forte avait effectivement été utilisé. La convention de compte produite indiquait que la validation d’une opération devait nécessiter la saisie d’un code « Certiplus ». Or le client contestait avoir communiqué un tel code. Plus encore, la pièce produite par la banque pour démontrer les modalités techniques des opérations s’est révélée illisible, empêchant le tribunal d’en vérifier la teneur.

Dans ces conditions, les juges ont à bon droit estimé que la banque ne rapportait pas la preuve que les opérations avaient effectivement été dûment authentifiées ni qu’elles ne résultaient pas d’une défaillance technique.

La juridiction en a tiré une conséquence importante : même à supposer que le comportement du client puisse être qualifié de négligent, cette question devenait secondaire dès lors que la banque ne parvenait pas à établir l’authentification des opérations.

Le tribunal a donc jugé que l’établissement bancaire devait procéder au remboursement.

La condamnation de la banque et l’indemnisation du préjudice.

Le tribunal a condamné la banque à rembourser l’intégralité des opérations litigieuses, soit la somme de 3.000 euros, avec intérêts au taux légal à compter de l’assignation.

La juridiction a reconnu également l’existence d’un préjudice moral lié au refus persistant de remboursement malgré la contestation du client. Toutefois, faute de justificatifs précis, l’indemnisation est limitée à 500 euros.

Enfin, la banque a été condamnée à verser 1.500 euros au titre des frais irrépétibles ainsi qu’aux dépens.

Une décision révélatrice des exigences probatoires imposées aux banques.

Cette décision illustre une tendance jurisprudentielle désormais bien établie : les juridictions exigent des établissements bancaires une démonstration technique précise de l’authentification des opérations contestées. Il ne suffit plus d’affirmer que la carte ou les données du client ont été utilisées. Les banques doivent être en mesure de produire des éléments techniques exploitables démontrant que le mécanisme d’authentification forte a effectivement été déclenché et validé par le client. À défaut, la contestation de l’utilisateur suffit à faire peser la responsabilité financière sur la banque. Cette exigence probatoire constitue un levier majeur de protection des victimes de fraude bancaire, notamment dans les situations d’escroqueries reposant sur des manipulations psychologiques sophistiquées. Elle rappelle également que le régime des services de paiement repose sur une logique de responsabilité objective du prestataire, tempérée uniquement par la preuve d’un comportement gravement fautif du client - preuve dont la charge incombe intégralement à l’établissement bancaire.