Virement frauduleux : l’authentification forte ne prouve pas toujours le consentement

Un virement bancaire a été validé avec un identifiant, un code d’accès et un token. Pour la banque, cela ressemble à une preuve simple : le dispositif de sécurité a fonctionné, donc le client a forcément consenti. La Cour de cassation rappelle, dans un arrêt rapporté du 1er juillet 2026, que ce raisonnement va trop vite.

Temps de lecture estimé 8 minutes

Partager cet article

Réponse courte : l’authentification forte prouve d’abord qu’une opération a suivi un parcours technique. Elle ne suffit pas, à elle seule, à prouver que le titulaire du compte a réellement donné son consentement au virement. En cas de contestation, la banque doit établir davantage qu’un simple usage des identifiants ou du token.

Ce que change l’arrêt du 1er juillet 2026

Selon l’analyse publiée par Village de la Justice, la chambre commerciale de la Cour de cassation a cassé un arrêt de la cour d’appel de Paris du 22 janvier 2025 dans une affaire opposant une société industrielle, Lincotek, au Crédit Lyonnais. Trois virements avaient été passés le 23 novembre 2020. La société contestait être à l’origine de ces opérations et demandait la restitution des fonds.

La cour d’appel avait retenu que les opérations avaient été effectuées avec l’identifiant, le code d’accès et un token généré par un boîtier physique. Elle en avait déduit que le consentement de la société devait être présumé conforme à la forme convenue entre les parties. Autrement dit : token utilisé, consentement établi.

La cassation rapportée est importante parce qu’elle sépare deux plans que les banques ont souvent intérêt à confondre : l’authentification technique d’une opération et la preuve juridique du consentement du payeur.

Authentifier n’est pas consentir

L’authentification forte est un mécanisme de sécurité. Elle vise à vérifier qu’une opération passe par des éléments réputés personnels : code, appareil, application, biométrie, token ou combinaison de facteurs. Elle peut prouver qu’un processus a été déclenché et enregistré.

Mais elle ne répond pas automatiquement à la question centrale du litige : qui a voulu le virement ? Un fraudeur peut obtenir des codes, manipuler une victime, détourner un appareil, installer un climat d’urgence ou utiliser une session déjà ouverte. Dans ces hypothèses, l’opération peut paraître techniquement régulière sans être juridiquement autorisée.

QuestionCe que la banque peut souvent montrerCe qu’il faut encore démontrer
L’opération a-t-elle été enregistrée ?Logs, horodatage, identifiant, token, terminal ou adresse IP.L’absence de déficience technique et la cohérence de la chaîne d’authentification.
Le payeur a-t-il consenti ?Le parcours de validation prévu au contrat a été utilisé.Que l’utilisation de l’instrument révèle bien une autorisation, et non un détournement ou une manipulation.
Le client a-t-il commis une négligence grave ?Alerte ignorée, codes transmis, comportement inhabituel ou signalement tardif.Une faute suffisamment caractérisée, sans se contenter de dire que les identifiants ont été utilisés.

Entités et notions à retenir

Entité ou notionRôle dans l’analyse
Cour de cassation, chambre commercialeJuridiction rapportée comme ayant cassé l’arrêt d’appel sur la preuve du consentement.
Cour d’appel de ParisJuridiction dont le raisonnement aurait assimilé l’usage du token au consentement du payeur.
LincotekSociété payeur ayant contesté les virements, selon l’article source.
Crédit Lyonnais / LCLPrestataire de services de paiement concerné par la contestation rapportée.
Articles L. 133-6, L. 133-7 et L. 133-23 du CMFTextes structurants sur le consentement du payeur et la charge de la preuve.

Le texte clé : l’article L. 133-23

Le Code monétaire et financier organise la charge de la preuve. L’article L. 133-6 prévoit qu’une opération de paiement est autorisée si le payeur a donné son consentement. L’article L. 133-7 ajoute que ce consentement est donné sous la forme convenue entre le payeur et son prestataire de services de paiement, et qu’en l’absence d’un tel consentement l’opération est réputée non autorisée.

L’article L. 133-23 est le garde-fou probatoire. Lorsque l’utilisateur nie avoir autorisé une opération, il appartient au prestataire de services de paiement de prouver que l’opération a été authentifiée, dûment enregistrée et comptabilisée, et qu’elle n’a pas été affectée par une déficience technique ou autre.

Surtout, le même article précise que l’utilisation de l’instrument de paiement, telle qu’enregistrée par la banque, ne suffit pas nécessairement à prouver que l’opération a été autorisée par le payeur. C’est cette phrase qui empêche de transformer les logs informatiques en présomption automatique de consentement.

Pourquoi c’est décisif pour les victimes de fraude

Dans les dossiers de phishing, de spoofing, de faux conseiller bancaire ou de virement frauduleux, la défense bancaire suit souvent la même ligne : les codes ont été utilisés, l’opération a été validée, le client doit donc supporter la perte. Cette logique rassure parce qu’elle est simple. Elle est aussi dangereuse, car elle déplace trop vite la discussion de la preuve vers la faute supposée du client.

La décision rapportée rappelle que le débat ne s’arrête pas au fonctionnement du token. Le juge doit encore vérifier si la banque rapporte la preuve exigée par les textes, et si les éléments produits permettent vraiment de conclure à une opération autorisée.

Ce que doit contenir un dossier de contestation

Pour un particulier ou une entreprise, la contestation doit être organisée méthodiquement. Le point n’est pas seulement de dire « je n’ai pas fait le virement », mais de documenter les circonstances et de demander à la banque ce qu’elle affirme techniquement.

  • Signaler immédiatement l’opération contestée à la banque, par écrit, en conservant la preuve de l’envoi.
  • Identifier chaque opération : date, montant, bénéficiaire, compte débité, référence bancaire.
  • Demander les éléments de traçabilité invoqués : méthode d’authentification, terminal, horodatage, adresse IP, appareil enrôlé, notifications envoyées.
  • Décrire le contexte : appel frauduleux, SMS, courriel, usurpation de conseiller, pression psychologique, prise de contrôle à distance, perte ou détournement de données.
  • Conserver les preuves numériques : captures, messages, journaux d’appel, courriels avec en-têtes, dépôt de plainte, échanges avec la banque.
  • Ne pas confondre authentification et aveu : le fait qu’un code ait été utilisé ne signifie pas automatiquement que le payeur a voulu le virement.

Ce que la décision ne dit pas

Il faut rester prudent. Cet arrêt, tel qu’il est rapporté, ne signifie pas que les banques perdent tous les dossiers de virements frauduleux. Il ne signifie pas non plus qu’un client peut ignorer ses obligations de sécurité ou tarder à signaler une anomalie. La négligence grave reste un terrain de débat lorsque les conditions légales sont réunies.

La portée utile est plus précise : la banque ne peut pas se contenter d’un raccourci probatoire. Elle doit démontrer ce que ses traces prouvent réellement, et le juge ne peut pas assimiler mécaniquement l’usage d’un token au consentement du titulaire du compte.

Conclusion

Un token, une application bancaire ou une authentification forte sont de bons outils de sécurité. Ce ne sont pas des machines à fabriquer du consentement. En matière de virement contesté, la preuve doit rester ce qu’elle est : une démonstration, pas une impression technique.

Questions fréquentes

Une authentification forte suffit-elle à prouver un virement autorisé ?

Non, pas nécessairement. Elle peut prouver un parcours technique, mais l’article L. 133-23 du Code monétaire et financier empêche d’en faire automatiquement la preuve du consentement du payeur.

La banque doit-elle rembourser tous les virements contestés ?

Non. La banque peut discuter l’authentification, l’absence de déficience technique, le consentement ou une éventuelle négligence grave. Mais elle doit respecter la charge de la preuve prévue par les textes.

Que faut-il demander à la banque après un virement frauduleux ?

Il faut demander les éléments de traçabilité : méthode d’authentification, terminal utilisé, horodatage, adresse IP, appareil enrôlé, notifications envoyées et toute alerte de sécurité liée à l’opération.

Sources

Continuer la lecture

Trois autres articles pour approfondir la preuve, le numérique et la stratégie probatoire.