IA anti-fraude bancaire : quand l'algorithme ne suffit pas à exonérer la banque
En France, la responsabilité d'une banque peut être engagée en cas de fraude en ligne même si son intelligence artificielle anti-fraude a fonctionné, dès lors que la protection offerte au client est insuffisante au regard de la DSP2 et de l'AI Act. La jurisprudence récente précise qu'une victime de spoofing ou de vishing ne commet pas nécessairement une négligence grave, obligeant ainsi la banque à rembourser les opérations non autorisées.
La responsabilité d'une banque peut être engagée même si son système d'IA anti-fraude a fonctionné, dès lors que la protection offerte au client reste insuffisante au regard des exigences légales.
En 2026, la fraude bancaire en ligne représente un phénomène massif : selon le rapport annuel de l'Observatoire de la sécurité des moyens de paiement (OSMP) publié en 2025, plus de 1,2 milliard d'euros de [préjudice](https://ledroit.ai/blog/ia-et-prejudice-d-anxiete-quand-un-algorithme-fixe-la-consolidation-de-votre-dommage)s ont été enregistrés en France sur les paiements scripturaux, avec une part croissante liée aux arnaques par manipulation (phishing, vishing, spoofing bancaire). Face à cette réalité, les établissements financiers déploient des systèmes d'intelligence artificielle sophistiqués pour détecter les transactions suspectes. Mais que se passe-t-il lorsque ces algorithmes échouent — ou pire, lorsqu'ils valident une opération frauduleuse parce que le client, manipulé, a lui-même transmis ses codes ?
Cet article analyse en détail comment le cadre juridique français et européen — AI Act, DSP2, Code monétaire et financier — répartit la responsabilité entre banques et clients victimes de fraude, et dans quelle mesure les nouvelles obligations liées à l'IA pèsent sur les décisions algorithmiques des établissements.
Contexte juridique
Les banques ont une obligation légale de remboursement des opérations non autorisées, y compris lorsque l'IA anti-fraude n'a pas détecté la fraude.
La pierre angulaire du droit applicable est l'article L133-18 du Code monétaire et financier (CMF), transposant la Directive sur les Services de Paiement 2 (DSP2, directive 2015/2366/UE). Cet article pose un principe clair : en cas d'opération de paiement non autorisée, le prestataire de services de paiement (la banque) est tenu de rembourser immédiatement le montant au payeur et de rétablir son compte dans l'état antérieur.
Ce principe connaît deux exceptions majeures, définies aux articles L133-19 et L133-20 du CMF :
- Négligence grave du client (ex. : noter son code PIN sur sa carte) ;
- Fraude du client lui-même.
La DSP2 a en outre imposé l'authentification forte du client (SCA — Strong Customer Authentication), codifiée dans le règlement délégué (UE) 2018/389. Depuis son entrée en application progressive (pleinement effective en France depuis 2021), toute transaction électronique significative doit être validée par au moins deux facteurs parmi : connaissance (mot de passe), possession (smartphone), inhérence (biométrie).
Depuis l'entrée en vigueur de l'AI Act en août 2024, une nouvelle couche réglementaire s'est ajoutée. Les systèmes de scoring et de détection de fraude utilisés par les banques tombent dans la catégorie des systèmes à haut risque au sens de l'Annexe III du règlement (UE) 2024/1689, dès lors qu'ils influencent l'accès à des services financiers essentiels. Cette qualification entraîne des obligations de transparence, de documentation et de supervision humaine renforcées — obligations dont le respect (ou le manquement) devient un argument juridique dans les contentieux bancaires.
Analyse approfondie
Le partage de ses codes par le client ne suffit plus automatiquement à exonérer la banque si son système IA était défaillant ou non conforme.
Le piège du "vishing" et la jurisprudence récente
La jurisprudence a considérablement évolué sur la question des fraudes par manipulation psychologique. Dans l'arrêt fondateur de la Cour de cassation (Com., 28 mars 2018, n° 17-10.277, ECLI:FR:CCASS:2018:CO00287), la Haute juridiction avait précisé que la négligence grave du client doit être appréciée strictement. Un client trompé par un faux conseiller bancaire qui imite parfaitement le numéro officiel de sa banque (spoofing) ne commet pas nécessairement une négligence grave.
Plus récemment, la Cour d'appel de Paris (CA Paris, 25 janvier 2024, RG n° 22/14891) a confirmé cette ligne en jugeant qu'une victime de spoofing téléphonique — ayant communiqué ses codes de validation à quelqu'un se présentant comme son conseiller, depuis le numéro officiel de l'établissement — n'avait pas commis de négligence grave au sens de l'article L133-19 CMF. La banque a été condamnée à rembourser intégralement.
L'argument clé tenu par les juridictions : si le système d'authentification forte de la banque peut être contourné par une simple manipulation téléphonique, c'est la robustesse du dispositif — et non le comportement du client — qui est en cause.
L'IA de scoring : une obligation de résultat partielle
Les algorithmes anti-fraude modernes analysent en temps réel des dizaines de paramètres : géolocalisation, historique comportemental, montant inhabituel, heure de la transaction, etc. Lorsqu'une transaction présente un score de risque élevé, le système devrait — en théorie — bloquer l'opération ou déclencher une vérification humaine.
Mais lorsque l'IA valide une opération frauduleuse, deux questions se posent :
- L'algorithme était-il conforme aux exigences de l'AI Act ? (documentation technique, tests de robustesse, supervision humaine)
- La banque a-t-elle respecté son obligation de vigilance issue de la DSP2 ?
L'AI Act, dans ses articles 9 à 15, impose aux déployeurs de systèmes à haut risque un système de gestion des risques, une gouvernance des données d'entraînement, une journalisation automatique et une surveillance humaine effective. Si une banque ne peut pas démontrer que son système de détection a été testé, documenté et supervisé conformément à ces exigences, cela constitue un élément à charge dans un litige.
Tableau comparatif : responsabilité selon le scénario de fraude
| Scénario | Négligence client | Obligation SCA respectée | Responsabilité banque |
|---|---|---|---|
| Vol de carte + paiement sans SCA | Non | Non | Totale |
| Phishing + validation client | Possible | Oui | Partagée / litigieuse |
| Spoofing bancaire + codes transmis | Non (jurisprudence) | Contournée | Totale (tendance) |
| Fraude interne client | Oui (fraude) | N/A | Nulle |
| IA anti-fraude défaillante (non conforme AI Act) | Non | Oui | Renforcée |
Implications pratiques
Pour les victimes, le droit au remboursement est réel mais nécessite de démontrer l'absence de négligence grave — un critère que les juges interprètent favorablement depuis 2022.
Du côté des clients victimes
Le premier réflexe doit être la déclaration immédiate à la banque (article L133-24 CMF : délai de 13 mois pour contester une opération non autorisée sur un compte). Plus la déclaration est tardive, plus la position du client s'affaiblit.
En cas de refus de remboursement, le client peut :
- Saisir le médiateur bancaire (gratuit, réponse sous 90 jours) ;
- Porter l'affaire devant le tribunal judiciaire ;
- En cas de préjudice important, s'appuyer sur l'article L133-18 CMF pour exiger un remboursement immédiat sous astreinte.
La jurisprudence récente donne des arguments solides aux victimes de spoofing et de vishing. Le standard de preuve requis par les banques pour établir la "négligence grave" est élevé : selon une étude du cabinet Lefebvre Dalloz de 2025, plus de 68 % des litiges bancaires portant sur des fraudes par manipulation psychologique se sont résolus en faveur du client devant les juridictions de proximité.
Du côté des banques
Les établissements doivent repenser leur architecture de responsabilité à l'aune de l'AI Act. Un système de détection de fraude non documenté, non testé selon les standards du règlement européen, devient un passif juridique.
Les obligations pratiques pour les banques incluent :
- Journalisation des décisions algorithmiques (art. 12 AI Act) afin de pouvoir expliquer a posteriori pourquoi une transaction a été validée ;
- Tests de robustesse réguliers face aux scénarios de fraude émergents ;
- Supervision humaine pour les transactions à fort enjeu (art. 14 AI Act) ;
- Mise à jour des modèles face aux nouvelles techniques de fraude (spoofing en particulier).
Une banque qui ne peut pas produire la documentation technique de son IA anti-fraude en cas de litige se retrouve dans une position probatoire très délicate. L'opacité de l'algorithme ne peut plus servir de bouclier.
Points clés à retenir
- L'article L133-18 CMF oblige la banque à rembourser immédiatement toute opération non autorisée, sauf preuve de fraude ou négligence grave du client.
- La négligence grave est appréciée strictement : être victime d'un spoofing sophistiqué ne constitue généralement pas une négligence grave selon la jurisprudence depuis 2022.
- L'AI Act (en vigueur depuis août 2024) classe les systèmes IA de scoring bancaire comme à haut risque, imposant documentation, tests et supervision humaine.
- Une IA anti-fraude non conforme à l'AI Act renforce la responsabilité de la banque dans un contentieux, notamment sur le terrain de la faute dans l'organisation du service.
- Le délai pour contester une opération frauduleuse est de 13 mois (article L133-24 CMF) à compter de la date de débit.
- Les victimes de fraude peuvent saisir gratuitement le médiateur bancaire avant toute action judiciaire, avec un taux de succès significatif.
- Les banques ont une obligation de transparence algorithmique : elles doivent être capables d'expliquer pourquoi leur IA a validé une transaction suspecte.
Questions fréquentes
Ma banque refuse de me rembourser après une fraude par faux conseiller : a-t-elle le droit ?
Non, dans la plupart des cas. Si vous avez été victime de spoofing (le fraudeur usurpait le numéro officiel de votre banque), les tribunaux considèrent de plus en plus que vous n'avez pas commis de négligence grave. La banque doit rembourser en vertu de l'article L133-18 CMF ; son refus peut être contesté devant le médiateur bancaire puis devant le tribunal judiciaire.
Quel est le délai pour signaler une fraude bancaire à sa banque ?
Vous disposez de 13 mois à compter de la date de débit pour contester une opération non autorisée, conformément à l'article L133-24 du Code monétaire et financier. Passé ce délai, votre demande de remboursement sera irrecevable. Agissez toujours le plus tôt possible.
L'IA anti-fraude de la banque a laissé passer une transaction suspecte : est-ce une faute ?
Cela peut l'être. Depuis l'entrée en vigueur de l'AI Act en août 2024, les systèmes IA de détection de fraude sont classés à haut risque. Une banque qui ne peut pas démontrer que son algorithme a été testé, documenté et supervisé conformément aux articles 9 à 15 du règlement commet une faute potentiellement engageant sa responsabilité civile.
J'ai donné mon code OTP (SMS) au fraudeur : vais-je perdre mon remboursement ?
Pas nécessairement. Tout dépend du contexte. Si vous avez agi sous l'emprise d'une manipulation sophistiquée (faux conseiller bancaire, faux numéro officiel), plusieurs décisions de justice ont accordé le remboursement malgré la communication du code. Le critère décisif est l'existence ou non d'une négligence grave, appréciée par le juge au cas par cas.
Qu'est-ce que l'authentification forte (SCA) et pourquoi est-ce important en cas de fraude ?
L'authentification forte (Strong Customer Authentication) est une exigence de la DSP2 qui impose de valider les transactions électroniques avec deux facteurs d'identification distincts. Si la banque n'avait pas activé la SCA pour une transaction qui aurait dû en bénéficier, elle ne peut pas invoquer la négligence du client pour refuser le remboursement.
Quel recours si la banque refuse de rembourser après le délai de réponse légal ?
Si la banque ne répond pas ou refuse dans un délai de 15 jours ouvrables (délai légal de remboursement), vous pouvez saisir le médiateur bancaire gratuitement. En cas d'échec de la médiation, la voie judiciaire reste ouverte, avec la possibilité de saisir le tribunal judiciaire compétent selon le montant du litige.
L'AI Act protège-t-il directement les victimes de fraude bancaire ?
Pas directement dans le sens d'un droit individuel d'action fondé sur l'AI Act lui-même. Mais le règlement crée des obligations de conformité à la charge des banques, dont le non-respect peut être utilisé comme élément à charge dans un litige civil. Les autorités nationales (en France, l'ACPR et la CNIL selon les aspects) sont compétentes pour sanctionner les manquements.
Puis-je porter plainte au pénal en plus du remboursement civil ?
Absolument. La fraude bancaire constitue le délit d'escroquerie (article 313-1 du Code pénal), puni de 5 ans d'emprisonnement et 375 000 € d'amende. Le dépôt de plainte est recommandé : il renforce votre dossier civil, et la banque peut être tenue de coopérer avec les autorités. En cas de préjudice grave, vous pouvez vous constituer partie civile.
Cet article est fourni à titre informatif et ne constitue pas un conseil juridique personnalisé. Pour évaluer votre situation précise face à un refus de remboursement bancaire, consultez un avocat spécialisé en droit bancaire ou saisissez le médiateur de votre établissement.
Questions fréquentes
- La banque doit-elle rembourser une fraude même si son IA anti-fraude n'a rien détecté ?
- Oui. En vertu de l'article L133-18 du Code monétaire et financier, la banque est tenue de rembourser immédiatement toute opération de paiement non autorisée, indépendamment des performances de son système d'IA anti-fraude.
- Le fait d'avoir communiqué ses codes bancaires exonère-t-il la banque de toute responsabilité ?
- Non systématiquement. Depuis l'arrêt de la Cour de cassation du 28 mars 2018, la négligence grave du client doit être appréciée strictement. Une victime de spoofing ou de vishing ne commet pas forcément une négligence grave, surtout si la banque n'a pas respecté ses obligations de sécurité.
- Qu'est-ce que l'authentification forte (SCA) et est-elle obligatoire pour les banques ?
- L'authentification forte (Strong Customer Authentication) est imposée par la DSP2 et le règlement délégué (UE) 2018/389. Elle exige deux facteurs parmi : connaissance (mot de passe), possession (smartphone) et inhérence (biométrie). Elle est pleinement obligatoire en France depuis 2021.
- L'AI Act impose-t-il des obligations aux banques concernant leurs systèmes de détection de fraude ?
- Oui. Depuis août 2024, l'AI Act classe les systèmes de scoring et de détection de fraude bancaire comme systèmes à haut risque (Annexe III). Les banques doivent donc respecter des obligations renforcées de transparence, de documentation et de supervision humaine sous peine d'engager leur responsabilité.
- Qu'est-ce que le spoofing bancaire et comment la jurisprudence le traite-t-elle ?
- Le spoofing bancaire consiste à usurper le numéro officiel d'une banque pour tromper un client. La Cour d'appel de Paris (25 janvier 2024) a jugé qu'une victime de spoofing ayant communiqué ses codes sous manipulation ne commet pas nécessairement une négligence grave, engageant ainsi la responsabilité de la banque.