La fraude au virement bancaire ne cesse de progresser en France. Les chiffres publiés par l’Observatoire de la sécurité des moyens de paiement confirment, année après année, une hausse régulière de la fraude sur les virements. Spoofing, faux ordres de virement international, phishing : les techniques évoluent, mais le schéma est souvent le même. La victime donne un ordre de virement, l’argent part sur un compte tiers, et quand elle réalise la supercherie, les fonds ont déjà été siphonnés.

Face à cette situation, la première réponse des établissements bancaires consiste à engager une procédure de recall, c’est-à-dire une demande de retour de fonds adressée à la banque du bénéficiaire. Mais cette procédure, régie par les règles SEPA, n’est pas un droit pour le client. Elle dépend de la bonne volonté de la banque réceptrice et de son titulaire. Et dans la grande majorité des cas de fraude, elle échoue.

La question se pose alors : quand le recall échoue, que peut-on reprocher à la banque ? Quelles sont ses obligations en matière de détection de la fraude, de réactivité et de remboursement ? Le cadre légal, récemment renforcé, mérite un examen attentif.

Le recall : un mécanisme interbancaire, pas une garantie

Le recall, ou SCT Recall dans la terminologie du European Payments Council (EPC), est un message interbancaire par lequel la banque de l’émetteur demande à la banque du bénéficiaire de restituer les fonds. Il faut le dire clairement : ce n’est pas une annulation du virement. Un virement SEPA exécuté est irrévocable au sens de l’article L. 133-8 du Code monétaire et financier (CMF). Le recall ne déroge pas à ce principe. Il sollicite une restitution volontaire.

Les délais sont fixés par le rulebook SCT de l’EPC. En cas de fraude, la banque dispose de 13 mois pour émettre un recall. La banque réceptrice a ensuite 10 jours ouvrés pour répondre. Mais ces délais sont trompeurs. En pratique, passé 48 heures, les fonds ont généralement été retirés ou transférés vers d’autres comptes. Les réseaux de fraude travaillent vite. Le recall n’est efficace que s’il est envoyé dans les toutes premières heures.

Cette réalité crée un décalage entre l’attente légitime du client, qui pense que sa banque va récupérer l’argent, et la réalité du mécanisme, qui repose sur la coopération d’un tiers. Pour une analyse détaillée des délais et des cas d’échec du recall, on pourra consulter cette présentation complète de cette procédure de recall virement.

L’obligation de remboursement en cas d’opération non autorisée

Indépendamment du recall, le Code monétaire et financier impose à la banque une obligation de remboursement lorsque le virement n’a pas été autorisé par le client. L’article L. 133-18 du CMF dispose que le prestataire de services de paiement rembourse immédiatement le payeur du montant de l’opération non autorisée. Le remboursement intervient au plus tard à la fin du premier jour ouvrable suivant la notification de la contestation, sauf si la banque a de bonnes raisons de soupçonner une fraude du client lui-même.

Ce mécanisme est distinct du recall. Il ne dépend pas de la coopération de la banque du bénéficiaire. C’est la banque du client qui doit rembourser, sur ses propres fonds si nécessaire, quitte à se retourner ensuite contre le bénéficiaire du virement.

En pratique, de nombreuses banques refusent ce remboursement en invoquant la négligence grave du client au sens de l’article L. 133-19 IV du CMF. L’enjeu contentieux porte donc sur la qualification de cette négligence. La charge de la preuve incombe à la banque (article L. 133-23 CMF) : c’est à elle de démontrer que le client a agi avec une négligence grave, et non au client de prouver qu’il a été prudent.

Négligence grave du client : une jurisprudence exigeante pour les banques

La Cour de cassation a progressivement précisé la notion de négligence grave. La chambre commerciale a jugé que le fait de répondre à un courriel de phishing ne constitue pas nécessairement une négligence grave lorsque le courriel est suffisamment crédible (Cass. com., 28 mars 2018, n° 16-20.018). En matière de spoofing, où l’escroc usurpe le numéro de téléphone de la banque, plusieurs juridictions du fond ont exclu la négligence grave du client au motif que la victime était en droit de croire qu’elle échangeait avec son conseiller bancaire.

Plusieurs cours d’appel ont suivi ce raisonnement. La cour d’appel de Versailles a retenu que la technique du spoofing, qui permet d’afficher le numéro de téléphone de la banque sur le téléphone de la victime, crée une situation où même un client normalement vigilant peut être trompé. Des juridictions du fond ont repris cette analyse en insistant sur le caractère sophistiqué de la fraude et l’impossibilité pour le client de déceler la supercherie.

A contrario, la négligence grave a été retenue quand le client avait communiqué l’intégralité de ses identifiants bancaires en réponse à un courriel grossièrement frauduleux, truffé de fautes d’orthographe et provenant d’une adresse manifestement suspecte. Le critère déterminant reste celui de la crédibilité du procédé frauduleux appréciée in concreto.

Le règlement européen 2024/886 : de nouvelles obligations pour les banques

Le règlement (UE) 2024/886 du 13 mars 2024, entré en application progressive depuis octobre 2025, a introduit deux avancées majeures en matière de virements SEPA.

La première est l’obligation de vérification du bénéficiaire (Verification of Payee). Avant d’exécuter un virement, la banque doit désormais vérifier la concordance entre l’IBAN et le nom du bénéficiaire indiqué par le donneur d’ordre. En cas de discordance, la banque doit en informer le client avant l’exécution. Cette obligation s’applique aux virements classiques comme aux virements instantanés. Si la banque a exécuté un virement sans procéder à cette vérification, sa responsabilité peut être engagée sur le fondement du manquement à son obligation de sécurité.

La seconde avancée concerne le filtrage des listes de sanctions. Les prestataires de services de paiement doivent vérifier, au moins une fois par jour, que leurs clients ne figurent pas sur les listes de sanctions de l’Union européenne. Cette obligation vise à empêcher l’utilisation du système de paiement à des fins de blanchiment ou de financement du terrorisme, mais elle peut aussi servir la détection de comptes utilisés comme mules.

La réactivité de la banque : un terrain contentieux en expansion

Au-delà du remboursement de l’opération non autorisée, la responsabilité de la banque peut être recherchée sur le fondement du droit commun pour défaut de vigilance. Le banquier est tenu d’une obligation de surveillance des opérations inhabituelles. Un virement de 15 000 euros vers un compte jamais utilisé, réalisé depuis un terminal inconnu, devrait déclencher une alerte dans les systèmes de la banque.

Plusieurs décisions récentes ont sanctionné des banques pour avoir tardé à engager le recall après une alerte du client. Des juridictions ont jugé qu’un délai de plusieurs jours entre la notification de la fraude et l’envoi du recall était fautif, la banque ayant laissé le temps aux escrocs de vider le compte récepteur. D’autres décisions ont retenu la responsabilité de la banque pour ne pas avoir suspendu l’exécution de virements successifs alors que le premier présentait des anomalies évidentes.

Le préjudice indémnisable ne se limite pas au montant du virement. La perte de chance de récupérer les fonds par le recall, si la banque avait agi dans les délais, constitue un chef de préjudice distinct que les tribunaux acceptent de réparer.

Que retenir ?

Le recall est un outil, pas une solution. Sa portée est limitée par nature : il repose sur la coopération d’un tiers et, en cas de fraude, les fonds ont généralement disparu quand la demande arrive. Le véritable levier juridique pour les victimes se situe ailleurs : dans l’obligation de remboursement de l’article L. 133-18 du CMF, dans la charge de la preuve de la négligence grave qui pèse sur la banque, et dans les nouvelles obligations de vérification issues du règlement 2024/886.

Pour le praticien comme pour la victime, il faut avoir en tête que le refus de remboursement opposé par la banque n’est pas le dernier mot. C’est le point de départ d’un contentieux où la banque devra prouver la négligence grave de son client. Et cette preuve, la jurisprudence le montre, est de plus en plus difficile à rapporter quand la fraude est sophistiquée.