Etude de cas de fraude bancaire et de leurs conséquences financières

Depuis plusieurs années, la dématérialisation des paiements a simplifié les flux bancaires.

Si les nouvelles technologies et la gestion à distance des comptes bancaires permettent une accélération du processus de paiement, elles ont toutefois contribué à l’accroissement et à la diversification des fraudes bancaires visant des opérations de paiements.

La multiplication de ces escroqueries soulève la question de la responsabilité de la banque à l’égard de son client victime.

L’opération de paiement est définie par l’article L.133-3 I du Code monétaire et financier comme « une action consistant à verser, transférer ou retirer des fonds, indépendamment de toute obligation sous-jacente entre le payeur et le bénéficiaire, initiée par le payeur, ou pour son compte, ou par le bénéficiaire. »

 Le régime applicable aux opérations de paiement diffère selon qu’elles sont qualifiées d’« autorisées », de « non autorisées » ou de « mal exécutées » au sens du Code monétaire et financier.

Le critère de distinction entre les trois notions est le suivant :

• L’opération est autorisée « si le payeur a donné son consentement à son exécution » (L.133-6 I du Code monétaire et financier) ainsi qu’au « montant de l’opération » (Cass., Com., 30 novembre 2022, n°21-17.614), précision faite que le consentement doit être donné « sous la forme convenue entre le payeur et son prestataire de services de paiement » (L.133-7 alinéa 1er du Code monétaire et financier) ;

• Les opérations qui ne remplissent pas cette condition sont réputées non autorisées (article L.133-7 alinéa 3 du Code monétaire et financier).

• Une opération est dite mal exécutée (L.133-21 du Code monétaire et financier) lorsque l’ordre de paiement exécuté par la banque n’est pas conforme à l’identifiant unique fourni par l’utilisateur du service de paiement.

Les opérations de paiement non autorisées ou mal exécutées doivent être signalées par le payeur dans un délai de 13 mois à compter de la date de débit.

Selon les articles L.133-18, L.133-19 et L.133-21 du Code monétaire et financier, la banque est contrainte de rembourser au payeur une opération de paiement non autorisée ou mal exécutée signalée dans les délais, sauf si la responsabilité du payeur est engagée lorsqu’il a commis une négligence grave ou une fraude.

Dès lors, la qualification de l’opération de paiement et le comportement du payeur vont être déterminants pour l’issue à donner à la banque face à une demande de remboursement présentée par le payeur victime d’une fraude.

Focus sur deux fraudes classiques sur lesquelles la banque attire très souvent la vigilance des utilisateurs de paiement : la fraude au faux conseiller bancaire (ou spoofing) et la falsification du RIB contenu dans un ordre de virement.

Spoofing / Fraude au faux conseiller bancaire

Le spoofing est une technique d’escroquerie qui vise à contacter une personne par téléphone en se faisant passer par un conseiller bancaire et en le convaincant de lui communiquer ses données personnelles afin de lui soutirer de l’argent.

Le 23 octobre 2024, la Cour de cassation rendait une décision assez sévère vis-à vis à des banques à ce sujet (Cass. Com., 23 octobre 2024, RG 23-16.267)

Elle considère qu’en cas de spoofing par téléphone, l’opération frauduleuse doit être caractérisée de non autorisée, sans qu’il ne soit possible de reprocher au client d’avoir commis une négligence grave, contraignant la banque à rembourser la somme escroquée.

Pour caractériser le spoofing, la Cour de cassation retient notamment que le numéro d’appel correspondait à celui de la banque. Le client est alors pris par surprise par un faux conseiller qui lui suggère fortement de suivre ses conseils afin d’éviter un piratage imminent.

Depuis cette décision, la responsabilité des banques, dans cette hypothèse précise, est régulièrement engagée.

Par un arrêt du 12 juin 2025, la Cour de cassation a étendu ce principe aux clients professionnels. En l’espèce, une société avait reçu un appel téléphonique d’une personne se présentant comme un technicien de la banque lui demandant d’effectuer des manipulations de paiement à distance. Un total de 98.000 € a été viré vers des comptes domiciliés en Allemagne. (Cass. com., 12 juin 2025 n° 24-13.777)

Très récemment, la Cour de cassation a néanmoins rappelé que la seule preuve d’un appel frauduleux d’un faux conseiller bancaire ne suffit pas à retenir d’office l’absence de négligence grave de la victime.

Dans une décision du 4 mars 2026, la Cour casse le jugement qui était favorable à la victime, considérant que les premiers juges auraient dû vérifier si les messages qui s’affichaient sur le téléphone au moment du paiement litigieux n’auraient pas dû alerter le client.  En l’espèce, les messages précisaient que l’opération était de “paiement” et non “d’annulation” contrairement à ce que prétendait le faux conseiller par téléphone. (Cass. com., 4 mars 2026, n° 24-19.588)

Ordre de virement falsifié

La falsification d’un ordre de virement est un type d’escroquerie qui consiste à conduire une victime à réaliser un virement de fonds vers un compte frauduleux notamment par la modification de l’IBAN ou par une usurpation d’identité (fraude au président).

L’article L.133-21 du Code monétaire et financier dispose que si les informations relatives à l’identifiant unique fournies par le client à la banque pour effectuer une opération de paiement ne sont pas correctes, le prestataire de services n’engage pas sa responsabilité.

Ainsi, à titre d’exemple, dans un arrêt du 15 janvier 2025, un client avait fourni un IBAN à sa banque pour effectuer un virement au profit du vendeur. Le vendeur en question n’a cependant jamais reçu les fonds, car l’IBAN transmis avait été antérieurement falsifié et renvoyait vers un compte détenu par un tiers.

La Cour de cassation avait retenu que l’exécution par la banque d’une opération conforme à l’IBAN qui lui avait été transmis, n’engageait pas sa responsabilité car il appartenait au client, au moment de l’envoi de l’IBAN à sa banque, de vérifier les coordonnées bancaires du destinataire. (Cass. Com., 15 janvier 2025 n°23-15.437)

Néanmoins, très récemment, la Cour de cassation a distingué selon que le prestataire de services de paiement se borne à exécuter l’ordre de paiement selon l’IBAN transmis par son client ou s’il en rédige lui-même l’ordre.

Dans un arrêt du 4 mars 2026, la Cour de cassation a jugé que la responsabilité de la banque pouvait être engagée, dans cette seconde hypothèse. En l’espèce, la banque avait elle-même préparé l’ordre de virement à partir d’un IBAN qui contenait des anomalies manifestes :

« l’identité bancaire figurant sur l’ordre de paiement établi par la banque pour être ensuite soumis à la signature de M. et Mme [K] comportait des incohérences apparentes et manifestes qui ne pouvaient laisser aucun doute, pour un professionnel normalement diligent, sur le fait que l’identifiant était un faux grossier  la cour d’appel en a exactement déduit, par motifs propres et adoptés, que, la banque ne s’étant pas bornée, en sa qualité de prestataire de services de paiement, à exécuter un ordre de virement conformément à l’identifiant unique fourni par M. et Mme [K], mais avait elle-même rédigé cet ordre, cette dernière était tenue d’indemniser, sur le fondement du droit commun, ses clients du préjudice causé par ce manquement à son devoir de vigilance ». (Cass. Com., 4 mars 2026 n°25-11.959)

Ainsi, cette décision contraint les prestataires de services à une vigilance renforcée, dans l’hypothèse particulière où ils établissement eux-mêmes les ordres soumis à la signature de leurs clients.

Afin de réduire les pratiques frauduleuses telles que les modifications d’IBAN et les usurpations d’identité, la loi du 6 novembre 2025 a instauré un service de « Vérification du bénéficiaire », qui consiste à sécuriser les virements bancaires en vérifiant que le nom du bénéficiaire renseigné par le client correspond bien à l’IBAN du compte destinataire.

Dans le même objectif, la loi prévoit la création d’un fichier national des comptes bancaires signalisés pour risque de fraude (FNC-RF) qui recensera les coordonnées bancaires des comptes identifiés comme suspects à compter du 6 mai 2026. (Loi n° 2025-1058 du 6 novembre 2025 visant à renforcer la lutte contre la fraude bancaire)