Authentification forte, faux conseiller bancaire, négligence grave : les banques ne peuvent pas réduire la protection des professionnels

Face à la recrudescence des fraudes bancaires par ingénierie sociale, et notamment de la fraude dite au « faux conseiller bancaire », les établissements de crédit opposent de plus en plus fréquemment aux victimes une fin de non-recevoir fondée sur une prétendue négligence grave du client.

Cette position est encore plus systématique lorsque la victime est une entreprise ou un professionnel, certaines banques laissant entendre que les comptes professionnels bénéficieraient d’une protection juridique moindre que celle des comptes de particuliers.

Cette affirmation est juridiquement infondée.

La jurisprudence récente rappelle au contraire, avec constance, que les comptes professionnels bénéficient du même régime protecteur que les comptes de particuliers en matière d’opérations de paiement non autorisées.

1. Un cadre légal identique pour les particuliers et les professionnels

Le régime des services de paiement, issu de la directive européenne DSP2 et transposé aux articles L.133-1 et suivants du Code monétaire et financier, s’applique indistinctement :

aux consommateurs,
aux professionnels,
aux entreprises titulaires de comptes bancaires.

Aucun texte n’opère de distinction selon la qualité du titulaire du compte.

En cas d’opération de paiement non autorisée, le principe est clair : la banque est tenue de rembourser immédiatement les sommes litigieuses (art. L.133-18 CMF), sauf à démontrer une fraude ou une négligence grave imputable au client.

La charge de la preuve repose intégralement sur l’établissement bancaire, y compris lorsque le compte concerné est un compte professionnel.

2. Authentification forte : une obligation bancaire, pas une présomption de faute

Les banques invoquent fréquemment l’argument selon lequel dès lors que les opérations ont été validées par authentification forte, elles ont nécessairement été autorisées.

Ce raisonnement est juridiquement erroné.

L’article L.133-23 du Code monétaire et financier est explicite : l’utilisation de données de sécurité personnalisées ne suffit pas, à elle seule, à prouver que l’opération a été autorisée, ni que l’utilisateur a commis une négligence grave.

L’authentification forte constitue une exigence réglementaire imposée au prestataire de services de paiement.

Elle ne crée ni une présomption irréfragable de consentement, ni un mécanisme de transfert automatique du risque de fraude vers le client, qu’il soit particulier ou professionnel.

3. Jurisprudence récente : les comptes professionnels pleinement protégés

Un jugement particulièrement éclairant a été rendu par le Tribunal des activités économiques de Paris le 23 décembre 2025.

Dans cette affaire, une société titulaire d’un compte bancaire professionnel avait été victime d’une fraude au faux conseiller bancaire, ayant entraîné quatorze opérations frauduleuses sur une période très courte.

La banque refusait le remboursement en invoquant l’authentification forte et la validation prétendue des paiements par le dirigeant.

Le tribunal a condamné la banque et rappelé plusieurs principes fondamentaux :

la banque doit prouver de manière précise les modalités de l’authentification (horodatage, canal utilisé, corrélation avec chaque opération) ;
de simples tableaux internes ou affirmations générales sont insuffisants ;
le dépassement rapide des plafonds de paiement sans mécanisme de blocage caractérise une défaillance technique imputable à la banque ;
aucune négligence grave du client professionnel n’était démontrée.

Le remboursement intégral des sommes a donc été ordonné sur le fondement des articles L.133-18 et L.133-23 du Code monétaire et financier.

4. La négligence grave : une notion strictement encadrée

La négligence grave ne se présume pas.

Elle suppose un comportement d’une particulière gravité, traduisant un manquement délibéré aux obligations élémentaires de sécurité.

La jurisprudence est constante : la communication d’identifiants, le fait d’avoir suivi les instructions d’un tiers se présentant comme la banque, ou la validation d’une opération sous manipulation psychologique ne suffisent pasnécessairement, en eux-mêmes, à caractériser une négligence grave, y compris pour un professionnel.

La Cour de cassation rappelle de longue date que la simple utilisation des moyens de paiement ne permet pas d’exonérer la banque de son obligation de remboursement.

5. Une protection identique : un message clair pour les professionnels

Les décisions récentes confirment une ligne jurisprudentielle désormais bien établie :

les comptes professionnels ne sont pas des comptes à « risque transféré » ;
les banques demeurent tenues à une obligation de sécurité élevée ;
l’authentification forte ne constitue pas un bouclier juridique automatique ;
la preuve de la négligence grave incombe toujours à l’établissement bancaire.

Les professionnels, dirigeants et entrepreneurs bénéficient donc de la même protection que les particuliers face aux fraudes bancaires.

Notre position

Les établissements bancaires ne peuvent ni exploiter la technicité des dispositifs de paiement, ni invoquer la qualité professionnelle du client pour se soustraire à leurs obligations légales.

La lutte contre la fraude ne saurait justifier un renversement silencieux du risque au détriment des entreprises.

Previous Article