Les arnaques aux moyens de paiement ont beau reculer légèrement depuis quelques mois, les clients des banques ne peuvent pas souffler pour autant. Une évolution juridique passée presque inaperçue vient de bouleverser leurs chances d’obtenir un remboursement en cas d’opération frauduleuse. En cause : l’interdiction, désormais formelle, de se tourner vers un autre régime de responsabilité que celui, très encadré, du code monétaire et financier.
(Voir Refus de remboursement par la banque suite à une fraude bancaire: que faire ? )
Un cadre juridique unique et imposé par l’Europe
Depuis mars 2024, les clients victimes d’un virement frauduleux ne peuvent plus invoquer la responsabilité contractuelle classique du code civil. Ils sont désormais contraints de s’en remettre exclusivement au régime prévu par les articles L. 133-18 à L. 133-24 du code monétaire et financier, issu d’une directive européenne de 2007. Cette exclusivité est rappelée à l’article 86 de ladite directive, mais elle n’était jusqu’ici ni appliquée par les tribunaux français ni exigée par les banques.
Tout change avec l’arrêt de la Cour de cassation du 27 mars 2024 (22-21.200), qui donne raison à la Banque populaire Alsace-Lorraine-Champagne. La Cour a repris l’interprétation de la Cour de justice de l’Union européenne (CJUE), qui a tranché dans plusieurs affaires (notamment CRCAM C-337/20 et Beobank C-351/21) : le régime du code monétaire est d’application exclusive. Cette décision interdit donc aux victimes de fraude d’invoquer la responsabilité de droit commun en parallèle, même en cas de faute de la banque.
Le code monétaire paraît protecteur… en apparence seulement
À première vue, ce régime semblait favorable aux clients. Il impose aux banques de rembourser immédiatement les opérations litigieuses, sauf si elles prouvent que le client a commis une négligence grave ou une fraude intentionnelle (article L. 133-19). Il exige aussi qu’elles prouvent l’absence de dysfonctionnement technique (article L. 133-23). Mieux encore, l’usage de la carte ou d’un autre moyen de paiement ne suffit pas, à lui seul, à prouver que le client a autorisé l’opération.
Mais cette protection a ses limites, surtout depuis que le code civil ne peut plus servir de recours complémentaire. Pendant des années, même en cas de négligence du client (notamment lors de phishing ou de spoofing), les tribunaux pouvaient condamner la banque à indemniser partiellement la victime en s’appuyant sur son manquement au devoir de vigilance. C’est terminé.
Le partage de responsabilité devient impossible
Prenons un exemple concret. Le 18 janvier 2023, la cour d’appel de Paris avait condamné la BRED à rembourser 50 % des pertes subies par un client piégé par un email frauduleux. Les juges avaient estimé que la banque n’avait pas respecté ses obligations contractuelles de surveillance, alors même que le client avait été partiellement imprudent.
Mais cet arrêt a été cassé par la Cour de cassation le 15 janvier 2025 (23-13.579). Désormais, le seul critère d’évaluation est celui du code monétaire : si le client a été négligent, même involontairement, il perd tout droit au remboursement, et aucun partage de responsabilité n’est possible. Le droit commun est évacué.
Spoofing : la prochaine faille exploitée par les banques
Le spoofing – cette technique qui permet à un escroc de faire apparaître le numéro officiel de la banque lors d’un appel – est un terrain de plus en plus litigieux. Le 23 octobre 2024, la Cour de cassation avait jugé, dans une affaire BNP, qu’un client trompé au téléphone par un faux conseiller ne pouvait être accusé de négligence grave. Une décision alors favorable aux victimes.
Mais le vent tourne. Les banques avertissent désormais systématiquement leurs clients qu’aucun conseiller ne demandera jamais un code secret par téléphone. Dès lors, toute victime qui se fait avoir malgré cet avertissement pourrait être considérée comme imprudente. Et donc non remboursée.
Le délai de réclamation se raccourcit drastiquement
Autre recul : les victimes n’ont plus que 13 mois pour signaler une fraude à leur banque (article L. 133-24), contre 5 ans auparavant si elles invoquaient le code civil (article 2224). Le 2 mai 2024, la Cour de cassation a confirmé que toute action engagée au-delà du délai de 13 mois est désormais irrecevable pour cause de forclusion. Un client qui ne surveille pas ses comptes ou découvre trop tard une opération suspecte n’aura donc plus aucun recours.
Virements frauduleux : la responsabilité de la banque est réduite à néant
La situation n’est guère plus favorable lorsqu’il s’agit d’un virement frauduleux. L’article L. 133-21 prévoit que si le client fournit un IBAN erroné, la banque n’est pas responsable de la mauvaise exécution de l’opération. Même si le virement résulte d’un piratage, les banques peuvent s’en tirer en invoquant la simple exactitude des données fournies au moment de l’ordre.
Le 15 janvier 2025 (23-15.437), la Cour de cassation a validé cette lecture, censurant une décision de la cour d’appel de Nîmes (9 mars 2023) qui avait pourtant jugé qu’une anomalie apparente dans l’IBAN aurait dû alerter la Caisse d’épargne.
Ce qui changera (un peu) à partir du 8 octobre 2025
Bonne nouvelle : à partir du 8 octobre 2025, les banques devront vérifier que l’IBAN correspond bien au nom du bénéficiaire. Cette obligation vise à limiter les fraudes par substitution d’IBAN. Si la fraude résulte d’une modification du numéro de compte après validation par le client, mais dans le système informatique de la banque, celle-ci pourra être tenue pour responsable.
Ce principe a déjà été reconnu dans un arrêt du 1er juin 2023, où la Cour de cassation a considéré qu’un IBAN modifié après l’émission d’un ordre de virement régulier ne constitue pas une opération autorisée. Elle a ainsi renversé sa propre jurisprudence antérieure, qui ne sanctionnait que les ordres falsifiés à l’origine, et non ceux modifiés en cours de transmission.
Le chèque : seul moyen de paiement encore protégé ?
Ironie du sort, le chèque reste aujourd’hui mieux protégé que la carte ou le virement. Si une signature est imitée, la banque doit rembourser son client, sauf si elle prouve une faute de ce dernier ayant causé le préjudice. Mais dans les faits, le chèque est un moyen de paiement moribond, en voie de disparition.