Chacun fait régulièrement l’expérience désagréable de recevoir un appel inconnu ; un message suspect ou un courriel frauduleux. La plupart du temps, la méfiance nous empêche d’y donner suite. Imaginons maintenant que le numéro qui s’affiche soit celui de notre conseiller bancaire ou que le faux courriel provienne d’une adresse sinon connue du moins attendue. La prudence s’efface, en même temps que notre ligne de compte. Ainsi, les appels, messages, courriels ne sont pas seulement agaçants, mais peuvent donner lieu à des fraudes de grande ampleur. Il est loin le temps des escroqueries prosaïques et des oublis distraits : de nos jours, les fraudeurs redoublent d’ingéniosité en même temps que les prestataires augmentent les exigences de sécurité. Pour l’utilisateur, les menaces de fraudes sont toujours plus grandes et complexes. Cette multiplication des cas de fraudes est encore aggravée par la complexité de la protection légale qui, aussi efficace soit-elle, est parfois difficile à saisir dans sa globalité.
En effet, le droit de ce qu’il convient d’appeler les opérations de paiement non autorisées est un droit technique et opaque qui trouve ses sources dans des textes européens, eux-mêmes transposés dans le code monétaire et financier qui doit parfois s’articuler avec le droit commun des obligations. L’accroissement du contentieux a donné lieu, d’un autre côté, à une jurisprudence abondante de la Cour de cassation et de la CJUE qui vient régulièrement apporter quelques précisions ou fixer certains points de régime qui nécessitent d’être interprétés. Si bien qu’il est compliqué, pour l’utilisateur, de bien connaître ses droits et ses devoirs en la matière.
Tentons d’y voir plus clair, tout d’abord, sur le plan des textes.
Le droit des instruments de paiement résulte de la transposition de deux directives (les directives DSP 1 et DSP 2). La première, celle du 13 novembre 2007, a été transposée par l’ordonnance du 15 juillet 2009. Elle a créé un régime juridique unique, qui s’applique à tous les services et opérations de paiement (à l’exception du chèque, qui relève encore du monopole des établissements de crédit). Elle a, plus récemment, été abrogée et remplacée par l’ordonnance du 9 aout 2017, transposant la directive 2015/2366 du 25 novembre 2015 (DSP 2). La nouvelle réglementation a mis l’accent sur la protection des consommateurs et la lutte contre la fraude, les abus et les incidents de paiements, tout en essayant de favoriser l’émergence de modes de paiement innovants. On retrouve l’essentiel des textes aux articles L.133-1 et suivants du code monétaire financier (CMF).
Retraçons, ensuite, le régime.
Le législateur a mis en place un régime protecteur de l’utilisateur en ce sens qu’il oblige le prestataire de service de paiement à rembourser les pertes dès lors que l’utilisateur a fait preuve de diligence (L.133-18, CMF). Ainsi, en cas d’opération de paiement non autorisé consécutive à la perte ou au vol de l’instrument de paiement, l’utilisateur doit la signaler sans tarder à son prestataire. Ce signalement ne peut excéder un délai de treize mois (L.133-24, CMF). C’est ce que l’on appelle, dans le langage courant, faire opposition. Par exception, et dans tous les cas, l’utilisateur suppose toutes les pertes occasionnées si ces pertes résultent d’un agissement frauduleux ou s’il a commis un acte de négligence grave (L.133-19, CMF). La question de savoir ce qu’est un acte de négligence grave échoue régulièrement devant la Cour de cassation qui a, par exemple, décidé récemment qu’une fraude au conseiller particulièrement bien ficelée pouvait échapper à la qualification de négligence grave[1] mais que cliquer sur un vulgaire lien d’hameçonnage pouvait y aboutir[2].
Dans ce contexte, législateur et juges ont dû s’appesantir sur plusieurs éléments de régime en cette fin d’année 2025 et en ce début d’année 2026. Tout d’abord, la question qui intéresse le plus la pratique concerne le sort des fraudes psychologiques qui sévit dans la branche des virements, par lesquelles un utilisateur est trompé quant au RIB sur lequel il doit transférer des fonds. Nous verrons que la protection est venue davantage venue du législateur que des magistrats (I). L’autre question fondamentale est celle de l’articulation des délais de signalement de l’opération non autorisée qui, depuis 2023, était entre deux eaux et attendait une interprétation claire de la part des magistrats européens. Un arrêt du 14 janvier 2026 a définitivement tranché la question (II).
I. Le prestataire de services de paiement doit vérifier le bénéficiaire d’un virement bancaire
La fraude la plus répandue et la plus dangereuse de ces derniers temps consiste à surprendre l’utilisateur d’un service de paiement en lui envoyant un faux RIB grâce à des techniques particulièrement difficiles à contrer. Tous les secteurs sont concernés, et souffrent de pratiques de plus en plus ficelées qui défient la vigilance des plus méfiants. Juridiquement toutefois, l’opération ainsi effectuée n’est pas, au sens propre, non autorisée puisque l’utilisateur a donné l’ordre et autorisé l’opération.
C’est la raison pour laquelle la Cour de cassation refuse de faire jouer la protection des textes lorsqu’une telle fraude est pratiquée. Dans quatre espèces[3] où, entre autres, des courriels avaient usurpé l’identité des présidents (fraude au président), des salariés avaient fait des virements importants sur des comptes frauduleux, la Cour de cassation a décidé que le régime de responsabilité du prestataire de services de paiement ne s’appliquait qu’aux opérations de paiement non autorisées ou mal exécutées. Autrement dit, le régime spécial applicable aux paiements non autorisés ne pouvait être appliqué dans la mesure où le paiement a été autorisé au sens juridique et bancaire du terme.
Si l’on ne pouvait pas se fonder sur le droit spécial des instruments de paiement, restait à tenter de son fonder sur le droit commun des obligations où l’article 1231-1 du Code civil, fondement de la responsabilité contractuelle, pouvait permettre d’engager la responsabilité du prestataire pour un manquement à son devoir de vigilance. Mais, sur ce point aussi, la Cour de cassation se montre intraitable : la responsabilité de la banque, quant à son devoir de vigilance, demeure subordonnée à la démonstration d’une anomalie apparente, seule à même de caractériser un manquement au devoir de vigilance, et qui n’est pas fréquente dans ce type de fraude. La solution est peu favorable aux débiteurs qui se trouvaient alors démunis face des fraudes toujours plus graves et une jurisprudence qui refusait de confondre la banque avec un assureur. En d’autres mots, pour conclure à une violation du devoir de vigilance, il fallait que le législateur intervienne.
Entretemps, le législateur européen, conscient de cette lacune, a adopté le règlement (UE) n°2024/886 du 13 mars 2024 qui s’applique depuis le 9 octobre 2025. Ce règlement impose, pour l’ensemble des prestataires de services de paiement, de vérifier la concordance entre l’identifiant du bénéficiaire (IBAN) et le nom renseigné par le payeur. Ce dispositif, dénommé Verification of Payee (VoP), permet de faire rejaillir une nouvelle forme d’exigence de vigilance sur la tête des prestataires et d’intégrer, dans leur vérification, au-delà des seules anomalies apparentes, la concordance des identités. Le plus souvent, le faux RIB contient toujours l’identité du bénéficiaire – seul l’IBAN est changé. Désormais, le prestataire devra donc vérifier si l’identité du bénéficiaire correspond à celle de l’IBAN. Ce n’est que lorsque l’utilisateur, malgré l’alerte de la banque, aura persisté dans son erreur qu’il sera déchu de son droit au remboursement. Dans tous les cas, la victime d’une « fraude au président » n’est plus démunie !
II. L’articulation des délais de signalement d’une opération de paiement non autorisée
Un autre enjeu considérable de ces dernières années portait sur la question, essentielle pour les prestataires et les utilisateurs, de l’articulation des délais prévus à l’article L.133-24 du code monétaire et financier. Pour rappel, celui-ci dispose que l’utilisateur de services de paiement doit signaler « sans tarder » à son prestataire de services de paiement une opération de paiement non autorisée et au plus tard dans les treize mois suivant la date de débit sous peine de forclusion. Dans le langage courant, c’est ce que l’on appelle « faire opposition ». De cet article, deux interprétations étaient possibles. La première consistait à dire que l’utilisateur dispose d’un délai de treize mois pour contester une opération, peu important le moment de sa réaction. La seconde consistait à distinguer le délai de signalement du délai de forclusion, en interprétant le texte en ce sens que le délai de dénonciation repose sur un point de départ glissant qui ne saurait excéder un délai de forclusion butoir de treize mois. Face à ces interrogations, la Cour de cassation[4] a décidé de renvoyer plusieurs questions préjudicielles devant la CJUE qui a apporté ses réponses dans un arrêt du 1er aout 2025[5] et qu’un arrêt du 14 janvier 2026[6], rendu par la chambre commerciale de la Cour de cassation, a définitivement fixées.
L’arrêt du 14 janvier 2026, qui reprend les réponses de la CJUE, juge ainsi que le premier délai est un délai de dénonciation qui commence à courir à partir du moment où l’utilisateur a eu connaissance de l’opération non autorisée. Ce délai de dénonciation, au point de départ glissant, ne saurait excéder un délai de forclusion de treize mois. Il est donc, au-delà, impossible de signaler l’opération de paiement non autorisée. Précisions enfin que la Cour de cassation a également jugé que le délai de l’article L.133-24 n’est pas un délai d’action, mais de dénonciation[7]. Si bien qu’une fois dénoncé, l’utilisateur a toute liberté pour agir contre le prestataire de services de paiement dans le délai de prescription de droit commun.
Sur le plan probatoire, la Cour de cassation est enfin venue affirmer que l’absence de preuve de la date de signalement à la banque d’une opération de paiement non autorisée conduit, à elle seule, à un cas de négligence grave[8]. Autrement dit, le signalement (l’acte de faire opposition) est fondamental puisqu’il détermine à lui seul le reste du raisonnement judiciaire. L’utilisateur dans l’incapacité la preuve de son signalement ne peut donc obtenir le remboursement des sommes litigieuses.
Ainsi, pour résumer, en ce début d’année 2026, le régime de contestation des opérations de paiement non autorisées peut se résumer comme suit :
En principe l’utilisateur a droit au remboursement des pertes dès lors que :
Il a signalé sans tarder l’opération de paiement non autorisée à son prestataire dès lors qu’il en a eu connaissance, signalement qui ne peut excéder un délai de forclusion de treize mois. (L.133-24, CMF).
- La preuve de ce signalement est primordiale.
- Il ne s’est pas rendu coupable d’un agissement frauduleux ou d’un acte de négligence grave (L.133-19, CMF).
Ce régime ne s’applique pas aux « fraudes au président », fraudes psychologiques conduisant l’utilisateur à autoriser un virement à un tiers frauduleux.
- L’appréciation de la responsabilité du prestataire de service de paiement ne peut se faire qu’à l’aune de la responsabilité contractuelle de ce dernier et à la lumière de son devoir de vigilance qui suppose une anomalie apparente.
- Le règlement européen n°2024/886 du 13 mars 2024 qui s’applique depuis le 9 octobre 2025 impose désormais au prestataire de vérifier l’identifiant du bénéficiaire et l’identité renseignée du bénéficiaire. Il peut, depuis lors, engager sa responsabilité dans ce type de fraude.
[1] Com., 23 octobre 2024, n°23-16.267
[2] Com., 28 mars 2018, n°16-200.18.
[3] Com., 19 novembre 2025, n°24-19.776, n°24-17.780, n°24-17.056, n°24-18.534 ; Com., 15 janvier 2025, n°23-13.579 ; Com., 23 mai 2024, n°22-18.098.
[4] Com., 8 novembre 2023, n°22-14.822
[5] CJUE, 1er aout 2025, aff. C-665/23
[6] Com., 14 janvier 2026, n°22-14.822
[7] Com., 2 juillet 2025, n°24-16.590.
[8] Com., 6 février 2026, n°22-22.609
