Avocat smishing escroquerie SMS Paris — plainte et remboursement

Le smishing combine SMS et phishing. La victime reçoit un message qui imite l’expéditeur d’une banque, des impôts, d’Améli ou d’un transporteur. Le message annonce une opération suspecte, une amende ou un colis bloqué, et invite à rappeler un numéro ou à cliquer sur un lien.

Le scénario le plus fréquent est celui du faux conseiller bancaire. L’auteur rappelle la victime depuis un numéro qui s’affiche comme celui de sa banque grâce au spoofing téléphonique. Il prétend constater une fraude en cours et demande à la victime de valider des opérations dans son application pour les bloquer. Les codes ainsi validés autorisent en réalité les virements frauduleux. Art. 313-1 CP

Le smishing constitue une escroquerie. L’auteur utilise un faux nom, une fausse qualité ou des manœuvres frauduleuses pour déterminer la victime à remettre des fonds ou à valider une opération bancaire. Les éléments constitutifs sont caractérisés dès que le SMS et l’appel sont mis en scène pour tromper la vigilance.

Code pénal, article 313-1 : « L’escroquerie est le fait, soit par l’usage d’un faux nom ou d’une fausse qualité, soit par l’abus d’une qualité vraie, soit par l’emploi de manœuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d’un tiers, à remettre des fonds, des valeurs ou un bien quelconque. L’escroquerie est punie de cinq ans d’emprisonnement et de 375 000 euros d’amende. »

Le préjudice se compose des sommes virées, des frais bancaires associés et du préjudice moral. La plainte permet d’identifier les comptes destinataires, d’engager des saisies pénales et d’organiser la restitution. Art. 313-1 CP

L’article 313-2 du Code pénal aggrave la répression. La peine passe à sept ans d’emprisonnement et 750 000 euros d’amende lorsque l’escroquerie est commise par une personne qui prend faussement la qualité d’une personne dépositaire de l’autorité publique, ce qui couvre l’usurpation d’identité d’un agent du Trésor public ou d’un officier de police.

La peine est portée à dix ans et un million d’euros lorsque l’escroquerie est commise en bande organisée. Les réseaux de smishing fonctionnent sur un modèle organisé avec des rôles distincts : opérateur de SMS, faux conseiller, mule bancaire chargée du retrait. Cette circonstance ouvre la compétence des juridictions interrégionales en matière de criminalité organisée. Art. 313-2 CPArt. 706-73 CPP

Le smishing entraîne deux qualifications complémentaires. L’usurpation de l’identité d’une banque ou d’une administration relève de l’article 226-4-1 du Code pénal, puni d’un an d’emprisonnement et 15 000 euros d’amende.

Code pénal, article 226-4-1 : « Le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d’un an d’emprisonnement et de 15 000 € d’amende. Cette infraction est punie des mêmes peines lorsqu’elle est commise sur un réseau de communication au public en ligne. »

La Cour de cassation, chambre criminelle, dans un arrêt du 21 janvier 2026, a confirmé que l’utilisation frauduleuse de l’identité d’un tiers caractérise l’infraction dès lors qu’elle est de nature à causer de graves préjudices au regard des obligations légales et financières pesant sur la personne usurpée. L’accès non autorisé aux données d’authentification bancaire constitue par ailleurs un accès frauduleux à un système puni par l’article 323-1 du Code pénal. Art. 226-4-1 CPCass. crim., 21 janv. 2026, n° 24-86.473

Trois voies coexistent. La plainte simple est déposée au commissariat ou adressée par lettre au procureur de la République. La plateforme Thésée du ministère de l’Intérieur permet le dépôt en ligne pour les escroqueries numériques, avec un suivi du dossier.

Le signalement Pharos vise les contenus et numéros frauduleux. Le numéro 33700 collecte les SMS suspects. En cas d’auteur identifié et d’enjeu important, la plainte avec constitution de partie civile devant le doyen des juges d’instruction est envisageable, après un délai de trois mois ou en cas de refus d’enquêter du parquet. Art. 85 CPPLoi n° 2024-449 du 21 mai 2024

Le dossier se construit sur la traçabilité technique et bancaire. Pièces utiles : copie d’écran du SMS avec horodatage et expéditeur affiché, journal d’appels mentionnant le numéro spoofé, relevés bancaires des opérations contestées, échanges avec la banque, contestations par lettre recommandée, accusés de réception, déclaration au commissariat, récépissé Thésée.

La chronologie écrite est décisive. Elle reconstitue minute par minute : SMS reçu, appel entrant, durée de la conversation, ordres validés, premier appel à la banque pour bloquer les opérations. Cette chronologie sert à la fois la plainte pénale et l’action civile en remboursement. Art. L. 133-24 CMF

Le code monétaire et financier pose un principe fort. La banque doit rembourser immédiatement le client lorsqu’une opération de paiement n’a pas été autorisée. La charge de la preuve de l’autorisation pèse sur le prestataire de services de paiement, non sur le client.

Code monétaire et financier, article L. 133-18 : « En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après en avoir pris connaissance ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude du payeur. »

Le client victime de smishing n’a pas autorisé l’opération au sens du droit bancaire. Le consentement obtenu par tromperie n’est pas un consentement valide. La banque doit donc rembourser, sous réserve des seules exceptions limitativement énumérées. Art. L. 133-18 CMF

L’article L. 133-19 prévoit une franchise de 50 euros à la charge du client en cas d’opération non autorisée consécutive à la perte ou au vol de l’instrument de paiement. Cette franchise ne joue pas lorsque l’opération a été effectuée sans utilisation de l’instrument, ou lorsque le détournement résulte d’un manquement de la banque à ses obligations de sécurité.

En matière de smishing, la franchise est écartée lorsque le mode opératoire repose sur l’usurpation du numéro de la banque par spoofing. Le client n’a ni perdu ni laissé voler son moyen de paiement. Il a été trompé par une mise en scène que la banque devait techniquement prévenir au titre de l’authentification forte. Art. L. 133-19 CMF

La banque tente d’opposer une négligence grave du client pour refuser le remboursement, sur le fondement de l’article L. 133-19 IV du Code monétaire et financier. La négligence grave suppose un comportement d’une particulière imprudence. Elle ne se déduit pas de la seule communication d’un code lorsque le client a été trompé par un scénario crédible.

Le tribunal judiciaire de Rouen, par jugement du 14 janvier 2026, a condamné la Banque Postale à rembourser 3 000 euros à un client victime de smishing. Le tribunal a jugé que « le mode opératoire, par l’utilisation du spoofing, soit littéralement une usurpation d’identité, a mis le client en confiance et a diminué sa vigilance ». L’usage du code confidentiel ne caractérise pas à lui seul une négligence grave. Condamnation au remboursement avec intérêts au taux légal majoré de 15 points. Art. L. 133-19 IV CMFTJ Rouen, 14 janv. 2026, n° 25/01254

L’article L. 133-24 du Code monétaire et financier fixe le délai à treize mois à compter de la date de débit en compte. Au-delà, le droit au remboursement est forclos. Une contestation écrite interrompt utilement le délai, mais la lettre recommandée avec accusé de réception est recommandée pour la preuve.

Le signalement initial doit intervenir dès la découverte de la fraude. La banque ne peut opposer un retard de quelques jours pour refuser le remboursement, sauf à démontrer que ce retard lui a causé un préjudice ou a empêché des mesures conservatoires. Art. L. 133-24 CMF

La procédure obéit à une chronologie en trois temps. Première étape : la lettre de contestation à la banque avec demande de remboursement sur le fondement des articles L. 133-18 et L. 133-19. Deuxième étape, en cas de refus : la saisine gratuite du médiateur de la consommation, qui rend un avis dans un délai de quatre-vingt-dix jours.

Troisième étape : l’assignation devant le tribunal judiciaire. Pour les litiges supérieurs à 10 000 euros, la représentation par avocat est obligatoire. L’assignation expose le mode opératoire, démontre l’absence de consentement libre et éclairé du client et écarte la négligence grave. La jurisprudence récente accorde des intérêts au taux légal majoré et, le cas échéant, des dommages-intérêts complémentaires. Art. L. 133-18 CMFArt. L. 612-1 C. consomm.

La directive (UE) 2015/2366 dite DSP2, transposée aux articles L. 133-1 et suivants du Code monétaire et financier, impose une authentification forte du client lors des paiements et virements en ligne. Cette authentification doit reposer sur la combinaison d’au moins deux éléments parmi connaissance, possession et inhérence.

L’authentification n’est pas valable lorsque le client a été guidé pas à pas par un faux conseiller dans la validation. La banque qui n’a pas mis en place des dispositifs de détection des comportements anormaux engage sa responsabilité. Le décret n° 2022-1701 du 29 décembre 2022 a par ailleurs imposé un filtre anti-arnaque téléphonique pour limiter les usurpations de numéros. Directive (UE) 2015/2366Décret n° 2022-1701 du 29 déc. 2022

Adresser une lettre recommandée avec accusé de réception fondée sur les articles L. 133-18 et L. 133-19 du Code monétaire et financier. En cas de maintien du refus, saisir le médiateur bancaire puis le tribunal judiciaire. Le tribunal judiciaire de Rouen a condamné la Banque Postale le 14 janvier 2026 au remboursement intégral d’un client victime de spoofing, jugeant que l’usage du code confidentiel ne caractérise pas une négligence grave.

L’article L. 133-24 du Code monétaire et financier fixe ce délai à treize mois à compter du débit en compte. Le signalement doit toutefois intervenir dès la découverte de la fraude, idéalement le jour même par téléphone puis confirmé par écrit. La lettre recommandée avec accusé de réception sécurise la preuve de la date de contestation.

Oui. La plainte est déposée contre X. Le procureur de la République dispose des moyens pour identifier l’auteur via les opérateurs téléphoniques et les comptes bancaires destinataires. La plateforme Thésée du ministère de l’Intérieur permet un dépôt en ligne pour les escroqueries numériques, avec un récépissé utilisable face à la banque.

Non lorsque l’opération a été réalisée sans utilisation matérielle de l’instrument de paiement ou lorsque la banque a manqué à ses obligations de sécurité. Le spoofing du numéro de la banque écarte la franchise prévue à l’article L. 133-19. La jurisprudence retient que le client trompé par usurpation d’identité de l’établissement n’a pas commis de négligence grave.

L’article 313-2 du Code pénal porte la peine à dix ans d’emprisonnement et un million d’euros d’amende lorsque l’escroquerie est commise en bande organisée. La peine est de sept ans et 750 000 euros lorsque l’auteur a pris faussement la qualité d’une personne dépositaire de l’autorité publique. S’y ajoutent les peines des articles 226-4-1 et 323-1 du Code pénal.

La représentation par avocat est obligatoire devant le tribunal judiciaire pour les litiges supérieurs à 10 000 euros. En deçà, elle n’est pas obligatoire mais reste utile pour articuler la démonstration : absence de consentement, écartement de la négligence grave, application des articles L. 133-18 et L. 133-19, citation de la jurisprudence récente favorable aux victimes de spoofing.