Paiement bancaire frauduleux : la preuve du consentement du payeur en cas d’opération initiée par le bénéficiaire

 

Pourquoi l’authentification et la validation ne suffisent pas toujours à engager la responsabilité du client ?

Lorsqu’un paiement est initié par le bénéficiaire, l’opération ne peut être regardée comme autorisée si le payeur en conteste le consentement, La seule circonstance que le payeur ait communiqué au bénéficiaire les données de sa carte bancaire est insuffisante pour caractériser une autorisation valable. (Cass. com., 10 décembre 2025, n° 24-20.778)

 

Introduction

 

En matière de fraude bancaire, les établissements de crédit opposent fréquemment aux victimes un argument désormais bien rodé :

=> « Vous avez validé l’opération, donc vous avez consenti à cette opération. »

 

Pourtant, la jurisprudence récente, dans le sillage de la directive DSP2 et de son interprétation par la Cour de cassation, rappelle un principe fondamental : le consentement du payeur ne se confond pas avec la simple validation technique d’une opération, en particulier lorsque le paiement a été initié par le bénéficiaire, souvent frauduleux.

 

Cette distinction est décisive pour les victimes de fraudes par spoofing, phishing ou manipulation téléphonique.

 

1. Le cadre juridique : le consentement, condition centrale de l’opération de paiement

 

Le régime des opérations de paiement est régi par les articles L.133-1 et suivants du Code monétaire et financier, issus de la directive (UE) 2015/2366 dite DSP2.

 

  • Principe légal : Une opération de paiement n’est réputée autorisée que si le payeur a donné son consentement à son exécution (article L.133-6 CMF).

 

Ce consentement doit porter :

  • sur le principe même du paiement,

  • sur son montant,

  • et sur son bénéficiaire.

 

À défaut, l’opération est juridiquement non autorisée, quand bien même elle aurait été techniquement validée.

 

2. Paiement initié par le bénéficiaire : une situation à haut risque de fraude

 

De nombreuses fraudes modernes reposent sur un schéma identique :

  • le fraudeur initie lui-même l’opération (paiement par carte, virement, prélèvement),

  • la victime est placée sous pression,

  • elle se contente de valider mécaniquement une opération qu’elle ne comprend pas ou dont elle ignore la finalité réelle.

 

Dans ces hypothèses, le bénéficiaire du paiement n’est pas celui auquel le client pense consentir.

 

=> C’est précisément ce point que la jurisprudence est venue clarifier.

 

3. La position de la Cour de cassation : le consentement ne se présume pas

 

  • Consentement au montant

La Cour de cassation juge qu’une opération de paiement n’est autorisée que si le payeur a consenti au montant de l’opération, et pas seulement à son exécution technique (Cass. com., 30 novembre 2022, n° 21-17.614).

 

  • Consentement au bénéficiaire

Elle précise également qu’une opération initiée par le payeur n’est réputée autorisée que si celui-ci a consenti au bénéficiaire effectif (Cass. com., 1er juin 2023, n° 21-19.289 et n° 21-21.831).

 

Or, dans les fraudes bancaires :

  • le bénéficiaire réel est un escroc,

  • le client croit souvent valider une opération de sécurité, de test ou de blocage,

  • aucun consentement réel n’existe.

 

4. Le rôle (limité) de l’authentification forte

 

Les banques invoquent fréquemment l’authentification forte (code SMS, application bancaire, biométrie) pour établir le consentement du client.

 

Pourtant, l’article L.133-23 CMF est explicite : "l’utilisation des données de sécurité personnalisées ne suffit pas, en tant que telle, à prouver que l’opération a été autorisée par l’utilisateur".

 

L’authentification forte est :

  • une exigence technique de sécurité,

  • non un critère juridique autonome de responsabilité.

 

Elle ne crée aucune présomption irréfragable de consentement.

 

5. La charge de la preuve : une obligation lourde pour la banque

 

Lorsque le client conteste une opération, la banque doit prouver :

 

  1. que l’opération a été correctement authentifiée, autorisée, enregistrée et comptabilisée ;

  2. l’absence de défaillance technique ;

  3. et, en cas de refus de remboursement, une fraude ou une négligence grave du client (article L.133-19, IV CMF).

 

En pratique, cela implique :

  • une analyse concrète des circonstances,

  • une démonstration précise du comportement fautif du client,

  • et non une simple référence aux traces informatiques.

 

À défaut de la démonstration par la banque de la preuve de l'autorisation de paiement, l’opération ne peut être regardée comme autorisée et relève exclusivement du régime spécial de responsabilité applicable aux opérations de paiement non autorisées, prévu par les articles L.133-18 et suivants du Code monétaire et financier, conformément à la jurisprudence de la Cour de cassation (Cass. com., 27 mars 2024, n° 22-21.200).

 

6. Enjeux pratiques pour les victimes de fraude bancaire

 

Cette jurisprudence est déterminante pour :

  • les victimes de spoofing bancaire,

  • les fraudes par faux conseiller,

  • les paiements validés sous manipulation psychologique.

 

Elle permet de rappeler que :

  • valider n’est pas consentir,

  • authentifier n’est pas autoriser,

  • et que le droit des services de paiement repose sur un équilibre protecteur du consommateur.

 

Chaque situation doit être appréciée au cas par cas, à la lumière :

  • du degré de sophistication de la fraude,

  • du comportement réel du client,

  • et de la preuve apportée par la banque.

 

Conclusion

 

Cette décision récente de la Cour de cassation consacre une approche exigeante du consentement du payeur, particulièrement en cas de paiement initié par un bénéficiaire frauduleux (Cass. com., 10 décembre 2025, n° 24-20.778).

 

Elle empêche que l’authentification forte devienne un outil de transfert automatique du risque de fraude vers le client, en contradiction avec l’esprit de la DSP2.

 

=> En cas de paiement frauduleux, l’analyse juridique du consentement est centrale et conditionne le droit au remboursement.

 

Vous êtes victime d’une fraude bancaire, d'un spoofing ou de paiements non autorisés ? Maître Gauriat vous propose une première analyse gratuite de 10 minutes pour évaluer vos chances de remboursement. Ne restez pas sans réponse face à votre banque : faites valoir vos droits dès maintenant. Contactez le cabinet au 01.40.06.19.19 ou prenez rendes-vous directement sur thomas-gauriat-avocat.fr.