Arnaques à la carte bancaire : ce qu’il faut absolument savoir pour se protéger (et faire valoir ses droits)

Le phishing (ou hameçonnage) consiste pour un fraudeur à se faire passer pour une banque, un fournisseur ou un service en ligne afin de pousser la victime à communiquer des informations sensibles (codes, identifiants, données bancaires).

Le scénario peut se présenter sous plusieurs formes :

• Un email qui imite parfaitement un message officiel,
• Un SMS prétendant signaler une fraude,
• Un appel téléphonique soi-disant du conseiller bancaire,
• Un lien vers une fausse page de connexion,
• L’installation d’un logiciel malveillant (cheval de Troie bancaire) permettant au fraudeur de prendre le contrôle de l’ordinateur de la victime.

Une fois les informations récupérées, le fraudeur effectue des virements non autorisés ou réalise des achats frauduleux.

Selon l’article L133-18 du Code monétaire et financier, la banque est tenue de rembourser toute opération non autorisée dès le premier jour ouvrable suivant le signalement, sauf si elle prouve :

• Que le client a agi frauduleusement, 

ou

• Qu’il a commis une négligence grave.  

La charge de la preuve repose toujours sur la banque, y compris concernant le bon fonctionnement de ses dispositifs de sécurité.  

La Cour de cassation rappelle régulièrement que la responsabilité du client ne peut être engagée que si la banque prouve précisément une négligence grave.

Dans un arrêt du 20 novembre 2024, la Cour a censuré une décision qui condamnait un client ayant transmis ses données à un escroc, considérant que la banque n’avait pas apporté la preuve suffisante de la faute.  

Dans un autre arrêt du 30 avril 2025, la Cour rappelle que :

1. La négligence grave doit être caractérisée par un faisceau d’indices sérieux,
2. La banque doit démontrer que le client n’a pas respecté ses obligations de sécurité,
3. Elle doit aussi prouver qu’elle-même a réagi rapidement et agi avec vigilance.

Le spoofing consiste pour un escroc à faire afficher le vrai numéro de la banque sur le téléphone de la victime.

Dans un arrêt majeur du 23 octobre 2024, la Cour de cassation a jugé qu’aucune négligence grave ne peut être imputée au client manipulé par un faux conseiller utilisant le numéro officiel de la banque.  

La jurisprudence 2024-2026 confirme que plus la fraude est sophistiquée, moins la négligence du client peut être retenue.

Certaines décisions soulignent que le client peut être tenu responsable, notamment lorsqu’il :

• Clique sur un email frauduleux manifestement suspect,
• Communique volontairement ses identifiants malgré des alertes préalables,
• Ignore des incohérences visibles dans le message ou l’adresse électronique.

Cependant, même dans ces cas, les juges exigent une analyse très rigoureuse des faits. 

Bonnes pratiques à diffuser à vos équipes :

• Ne jamais cliquer sur un lien dans un email ou SMS douteux.
• Vérifier toujours l’adresse URL avant de se connecter.
• Ne jamais communiquer ses codes ou identifiants, même au prétendu “conseiller”.
• Activer l’authentification forte sur tous les accès bancaires.
• Mettre à jour régulièrement l’antivirus et le système informatique.
• Former les salariés → les services comptables sont les plus ciblés.