Paiement bancaire frauduleux : la preuve du consentement du payeur en cas d'opération initiée par le bénéficiaire

📁 Droit Bancaire
📅 26 Janvier 2026
⏱️ 9 min de lecture
👤 Me Thomas GAURIAT

Lorsqu'un paiement est initié par le bénéficiaire, l'opération ne peut être considérée comme autorisée si le payeur conteste son consentement. Le simple partage de données bancaires ne suffit pas à caractériser une autorisation valable.

Introduction : validation technique n'est pas consentement

En matière de fraude bancaire, les établissements invoquent régulièrement l'argument suivant : puisque le client a validé l'opération techniquement (code SMS, reconnaissance biométrique), il a nécessairement consenti au paiement.

Cependant, la jurisprudence rappelle avec constance que « le consentement du payeur ne se confond pas avec la simple validation technique d'une opération », notamment pour les paiements initiés par des tiers frauduleux. Cette distinction fondamentale s'avère décisive pour les victimes de spoofing, phishing ou manipulation psychologique.

Le cadre juridique applicable

Le régime des opérations de paiement est régi par les articles L.133-1 et suivants du Code monétaire et financier, issus de la transposition de la directive européenne DSP2 (Directive sur les Services de Paiement).

⚖️ Principe fondamental

Une opération de paiement ne peut être réputée autorisée que si le payeur a consenti à son exécution. Ce consentement doit porter sur trois éléments cumulatifs :

  • Le principe même de l'opération
  • Le montant exact du paiement
  • L'identité réelle du bénéficiaire

Sans ce triple consentement éclairé, l'opération reste juridiquement non autorisée malgré la validation technique.

Distinction cruciale : paiement initié par le payeur vs. paiement initié par le bénéficiaire

Paiement initié par le payeur

Le client saisit lui-même les coordonnées du bénéficiaire, le montant et déclenche l'opération. Dans ce cas, il existe une présomption (réfragable) de consentement.

Paiement initié par le bénéficiaire

Le bénéficiaire déclenche lui-même l'opération (prélèvement, paiement par carte à distance, demande de virement). Le payeur ne fait que valider ou non. Dans cette configuration, la charge de la preuve du consentement pèse plus lourdement sur la banque.

De nombreuses escroqueries modernes reposent sur ce schéma : le fraudeur initie lui-même l'opération, place la victime sous pression psychologique, et celle-ci valide mécaniquement sans comprendre l'objectif réel du paiement.

Position de la Cour de cassation

La jurisprudence de la chambre commerciale de la Cour de cassation établit des standards protecteurs pour les victimes :

"L'opération n'est autorisée que si le payeur a consenti au montant de l'opération et à son bénéficiaire effectif."
Cour de cassation, chambre commerciale

Elle précise également qu'une opération initiée par un tiers ne peut être réputée autorisée que si le payeur a « consenti au bénéficiaire effectif ». Dans les fraudes, le bénéficiaire réel est un escroc dissimulé derrière une fausse identité. Aucun consentement véritable n'existe donc.

Rôle limité de l'authentification forte

Les banques invoquent systématiquement l'authentification forte (codes SMS, empreintes biométriques, reconnaissance faciale) pour prouver le consentement du client. Pourtant, l'article L.133-23 du Code monétaire et financier précise expressément :

"L'utilisation des données de sécurité personnalisées ne suffit pas, en tant que telle, à prouver que l'opération a été autorisée par l'utilisateur."

🔑 Distinction fondamentale

Authentification technique : Prouve que les identifiants et dispositifs de sécurité ont été correctement utilisés. C'est une exigence technique obligatoire.

Autorisation juridique : Prouve que le client a consciemment et librement consenti au paiement vers le bénéficiaire réel pour le montant exact. C'est un critère juridique autonome.

L'authentification représente donc une exigence technique nécessaire mais non suffisante. Elle ne peut, à elle seule, établir le consentement réel du client.

Charge de la preuve en cas de contestation

Lorsqu'un client conteste une opération de paiement, le Code monétaire et financier établit une répartition stricte de la charge de la preuve :

La banque doit démontrer :

  1. Que l'opération a été correctement authentifiée (article L.133-23)
  2. Qu'elle a été correctement enregistrée et comptabilisée
  3. Qu'aucune défaillance technique n'a affecté le système de paiement
  4. En cas de refus de remboursement : que le client a commis une fraude ou une négligence grave

Le client doit démontrer :

Uniquement l'absence de consentement au bénéficiaire réel et/ou au montant exact. Cette preuve peut résulter de :

  • La démonstration que le bénéficiaire affiché différait du bénéficiaire réel
  • La preuve d'une manipulation psychologique (spoofing, phishing)
  • L'établissement d'un contexte rendant impossible un consentement éclairé

⚠️ Important

Cette répartition impose à la banque une analyse concrète des circonstances de l'opération plutôt qu'une simple référence aux traces informatiques d'authentification.

Applications pratiques : cas types de fraudes

1. Spoofing bancaire (usurpation de numéro)

Un fraudeur appelle en affichant le numéro officiel de la banque. Il convainc le client de valider des opérations présentées comme des « annulations de virements frauduleux ». En réalité, ce sont des paiements vers le compte du fraudeur.

Analyse juridique : Le client n'a pas consenti au bénéficiaire réel (l'escroc). L'opération est juridiquement non autorisée même si elle a été techniquement authentifiée.

2. Fraude par faux conseillers

Un escroc se fait passer pour un conseiller en investissement. Il convainc le client d'effectuer des virements vers des comptes présentés comme des « plateformes d'investissement sécurisées ».

Analyse juridique : Le client pensait investir légitimement, pas enrichir un fraudeur. Le consentement portait sur une opération d'investissement, non sur un don à un escroc.

3. Paiements validés sous manipulation psychologique

Dans un contexte de stress intense ou de pression temporelle artificielle, le client valide des opérations sans comprendre leur nature réelle.

Analyse juridique : Le consentement doit être libre et éclairé. Un consentement extorqué ou obtenu par manipulation n'est pas juridiquement valable.

Stratégie contentieuse pour les victimes

Phase précontentieuse

  1. Contestation immédiate : Signaler l'opération frauduleuse dans les meilleurs délais (idéalement sous 48h)
  2. Documentation exhaustive : Conserver tous éléments prouvant la manipulation (enregistrements, messages, contexte)
  3. Réclamation formelle : Contester expressément le consentement au bénéficiaire réel et au montant
  4. Médiation bancaire : Saisir le médiateur en invoquant l'absence de consentement éclairé

Phase contentieuse

  1. Démonstration de l'absence de consentement : Prouver que le bénéficiaire réel n'était pas celui auquel le client pensait consentir
  2. Contestation de la preuve d'authentification : Rappeler que l'authentification ne prouve pas le consentement
  3. Mise en cause de la diligence bancaire : Démontrer que la banque aurait dû détecter le caractère anormal de l'opération
  4. Action judiciaire : Assignation fondée sur les articles L.133-18 et suivants du Code monétaire et financier

Évolution jurisprudentielle favorable aux victimes

La jurisprudence récente renforce constamment la protection des victimes de fraude bancaire :

  • Arrêt du 23 octobre 2024 : Le spoofing écarte la négligence grave du client
  • Arrêt du 10 décembre 2025 : L'authentification forte ne suffit pas à prouver le consentement
  • Arrêt du 4 mars 2026 : La banque qui rédige un ordre de virement engage sa responsabilité en droit commun

Ces décisions convergent vers un principe clair : la sécurité technique ne peut remplacer une analyse juridique du consentement réel.

Recommandations pratiques

Pour les victimes

  • Ne présumez jamais que la validation technique équivaut à un consentement juridique
  • Documentez immédiatement le contexte de manipulation (appels, messages, pressions)
  • Contestez expressément le consentement au bénéficiaire réel dans vos réclamations
  • Consultez un avocat spécialisé pour évaluer vos chances de succès

Pour les professionnels du droit

  • Distinguez systématiquement authentification et autorisation dans vos plaidoiries
  • Invoquez l'article L.133-23 CMF pour contrer l'argument d'authentification forte
  • Démontrez l'absence de consentement au bénéficiaire effectif
  • Exploitez la jurisprudence récente favorable aux victimes

Conclusion

La jurisprudence récente consacre une approche exigeante et protectrice du consentement en matière d'opérations de paiement, particulièrement lorsqu'un bénéficiaire frauduleux initie le paiement. Elle empêche que l'authentification forte devienne un outil de transfert automatique du risque de fraude vers le client.

Les victimes de fraude bancaire disposent désormais d'arguments juridiques solides pour contester des opérations techniquement authentifiées mais juridiquement non autorisées. L'analyse juridique du consentement réel, libre et éclairé conditionne le droit au remboursement.

← Retour aux articles