Une arnaque au faux SMS n’est pas seulement un message suspect à supprimer. En mai 2026, plusieurs faits divers rappellent que le smishing peut vider un compte en quelques minutes : un lien reçu par SMS, une fausse page bancaire, un prétendu service antifraude, puis des virements ou paiements que la victime découvre trop tard. La presse locale a encore rapporté début mai 2026 une victime ayant perdu 52 000 euros après un faux SMS, dans un contexte où des dizaines de plaintes similaires étaient recensées autour de Dax et Mont-de-Marsan.
Le sujet est donc très concret : que faire quand on a cliqué sur un faux SMS de banque ? Faut-il déposer plainte ? La banque doit-elle rembourser ? Et dans quels cas peut-elle opposer une négligence grave ?
La réponse tient en trois temps. Il faut d’abord bloquer l’urgence technique. Il faut ensuite construire la preuve pénale. Il faut enfin traiter le remboursement bancaire avec les bons textes, sans se contenter d’un refus standard du service client.
Faux SMS bancaire : de quoi parle-t-on exactement ?
Le smishing est un hameçonnage par SMS. Le message se présente comme venant d’une banque, d’un service de livraison, de l’Assurance maladie, de l’ANTAI, des impôts, d’un opérateur téléphonique ou d’une plateforme connue. Il annonce une opération suspecte, une carte bloquée, un paiement à confirmer, une amende à régler, un colis à débloquer ou une mise à jour urgente.
Le piège varie, mais la mécanique reste souvent la même. Le SMS pousse la victime à cliquer sur un lien. Le lien mène vers une fausse page. La victime renseigne ses identifiants, ses coordonnées bancaires, un code reçu par SMS, ou valide une opération dans son application. Parfois, le SMS ne contient pas de lien : il demande de rappeler un faux numéro d’opposition bancaire. La victime pense appeler un service officiel ; elle tombe sur un escroc.
Cybermalveillance.gouv.fr décrit précisément ces scénarios sur sa fiche consacrée au smishing et sur sa fiche dédiée à l’hameçonnage au faux numéro d’opposition bancaire. Le ministère de l’Économie rappelle aussi que les fraudeurs utilisent les faux e-mails ou SMS pour imiter une banque, une administration ou un commerçant et récupérer des données sensibles : voir la page officielle sur les fraudes aux opérations bancaires à distance.
Juridiquement, le faux SMS peut relever de l’escroquerie lorsque des manoeuvres frauduleuses ont déterminé la victime à remettre des fonds ou des informations permettant ensuite de les détourner. L’article 313-1 du code pénal punit l’escroquerie de cinq ans d’emprisonnement et 375 000 euros d’amende. La fiche Service-Public sur l’escroquerie rappelle également qu’une plainte peut être déposée.
Que faire dans les dix premières minutes ?
La première erreur consiste à continuer l’échange. Il faut fermer la page, ne plus répondre au SMS, ne pas rappeler le numéro indiqué et ne pas tenter de “tester” le site frauduleux une deuxième fois.
Il faut ensuite appeler la banque par un canal connu : numéro inscrit au dos de la carte, application officielle, messagerie sécurisée ou numéro habituel de l’agence. Le numéro affiché dans le SMS ou dans l’appel ne doit pas être utilisé. L’objectif est simple : opposition carte, blocage des accès, suspension des virements, désactivation d’un nouvel appareil enrôlé, vérification des bénéficiaires ajoutés, contestation immédiate des opérations non autorisées.
Il faut aussi changer les mots de passe depuis un appareil sain, activer ou réinitialiser l’authentification forte, vérifier les règles de virement, les bénéficiaires enregistrés et les appareils connectés. Si le téléphone semble compromis, il faut éviter de l’utiliser pour sécuriser seul le dossier.
Enfin, il faut conserver les preuves avant qu’elles disparaissent :
- capture complète du SMS avec le numéro, la date et l’heure ;
- URL exacte ouverte depuis le SMS ;
- captures de la fausse page, si elles existent encore ;
- relevé des opérations contestées ;
- messages ou notifications de la banque ;
- journal d’appels ;
- mails reçus après l’opération ;
- récépissé d’opposition ou de blocage ;
- identité des interlocuteurs bancaires contactés et heure de l’appel.
Ce dossier de preuve servira à la plainte et à la demande de remboursement. Il permet aussi de démontrer que la victime a réagi rapidement.
Faut-il déposer plainte après un faux SMS ?
Oui, lorsqu’il y a un débit, une tentative de virement, une usurpation d’identité, un accès frauduleux au compte, ou des données bancaires utilisées. La plainte n’est pas seulement symbolique. Elle fixe la chronologie, documente la fraude, permet parfois des réquisitions techniques et soutient la demande de remboursement.
La plainte doit être factuelle. Il faut éviter les formulations vagues du type “j’ai été piraté”. Le récit utile tient en quelques dates :
- réception du SMS ;
- clic ou rappel du numéro ;
- informations éventuellement saisies ;
- opérations constatées ;
- heure de l’opposition ;
- réponse de la banque ;
- préjudice chiffré.
Si le commissariat ou la gendarmerie refuse de prendre la plainte au motif qu’il s’agit d’un litige bancaire, il faut rappeler que l’article 15-3 du code de procédure pénale impose aux services de recevoir les plaintes des victimes d’infractions. La victime peut aussi déposer une pré-plainte en ligne lorsque le dispositif est applicable, ou saisir directement le procureur de la République par courrier.
Pour les escroqueries en ligne, il faut également utiliser les plateformes utiles : Cybermalveillance.gouv.fr pour le diagnostic et l’orientation, Signal Spam pour les SMS et courriels frauduleux, et les dispositifs de plainte en ligne lorsque les conditions sont réunies. L’article du cabinet sur la plainte en ligne après vol ou dégradation permet de distinguer les cas où la démarche en ligne est adaptée de ceux où une plainte physique ou un courrier au parquet reste préférable.
La banque doit-elle rembourser après un smishing ?
Le remboursement ne dépend pas seulement de la plainte. Il dépend surtout du régime des opérations de paiement non autorisées dans le code monétaire et financier.
En principe, lorsqu’une opération non autorisée est signalée dans les conditions légales, la banque doit rembourser le montant de l’opération. La banque peut refuser si elle démontre une fraude du client ou une négligence grave. La difficulté pratique tient donc à la preuve : la banque ne peut pas se contenter d’affirmer que le client a “nécessairement” validé l’opération.
La jurisprudence récente va dans ce sens. Notion-AI a identifié plusieurs décisions utiles, avec leurs liens de vérification :
- Cass. com., 23 octobre 2024, n° 23-16.267 : arrêt de référence sur la fraude au faux conseiller bancaire ; la banque est condamnée à rembourser lorsque les circonstances de spoofing, de crédibilité de l’appel et d’urgence ont neutralisé la vigilance du client.
- CA Versailles, 19 juin 2025, n° 24/02614 : remboursement ordonné, notamment parce que le fraudeur disposait d’informations précises et que la banque n’avait pas réagi efficacement après l’alerte.
- CA Paris, 18 février 2026, n° 24/13029 : la seule utilisation de l’instrument de paiement ne suffit pas à prouver l’autorisation ou la négligence grave.
- CA Montpellier, 8 janvier 2026, n° 24/05659 : la banque doit établir l’authentification, l’absence de déficience technique et le manquement intentionnel ou la négligence grave du client.
Ces décisions ne signifient pas que tout smishing est automatiquement remboursé. Elles signifient que la banque doit raisonner sur les faits précis du dossier : apparence du SMS, numéro utilisé, informations connues par l’escroc, réaction de la victime, alertes envoyées, délai d’opposition, montants, bénéficiaires, comportement de la banque après signalement.
Quand la négligence grave peut-elle être retenue ?
La négligence grave n’est pas une simple imprudence. C’est un comportement d’une intensité particulière, qui dépasse l’erreur normale d’une victime confrontée à une fraude organisée.
Notion-AI a aussi relevé des décisions défavorables aux clients, utiles pour comprendre les risques :
- TJ Paris, 17 décembre 2024, n° 23/12886 : demande rejetée dans un dossier mêlant faux SMS ANTAI et faux conseiller ; le tribunal retient notamment la possibilité de vérifier le site officiel, le délai de réaction et l’absence de contact rapide avec la banque.
- TJ Paris, 18 février 2025, n° 23/14654 : négligence grave retenue après un faux SMS “carte Vitale expirée”, un faux appel bancaire et la remise physique de cartes et codes à un coursier.
- TJ Paris, 10 septembre 2025, n° 24/04066 : décision défavorable dans un dossier de faux conseiller bancaire.
En pratique, le risque augmente lorsque la victime communique plusieurs codes successifs, remet une carte et son code, attend plusieurs jours malgré des alertes, ignore des messages explicites de la banque, ou valide des opérations très éloignées de son usage habituel. À l’inverse, le dossier est plus favorable lorsque le fraudeur a usurpé un canal crédible, détenait des informations personnelles, a créé une urgence plausible, et que la victime a fait opposition immédiatement.
Comment contester un refus de remboursement ?
Le refus de remboursement doit être traité comme un dossier probatoire. Il ne suffit pas de répondre “je ne suis pas d’accord”. Il faut adresser à la banque une réclamation structurée :
- rappeler les opérations contestées, avec dates, montants et bénéficiaires ;
- indiquer que les opérations n’ont pas été autorisées ;
- joindre le dépôt de plainte ou le récépissé ;
- produire les captures du faux SMS et les échanges avec la banque ;
- détailler l’heure exacte de l’opposition et des appels ;
- demander la preuve technique sur laquelle la banque fonde l’autorisation ou la négligence grave ;
- demander la motivation précise du refus.
Si la banque répond par une formule standard, il faut saisir le service réclamation, puis le médiateur compétent si le dossier le permet. Lorsque le préjudice est important ou que la banque invoque la négligence grave sans preuve suffisante, une action judiciaire peut être envisagée.
L’article du cabinet sur l’arnaque au faux conseiller bancaire complète ce point pour les dossiers où le faux SMS est suivi d’un appel. L’article sur FICOBA, IBAN volé et prélèvement frauduleux est utile lorsque la fraude combine fuite de données bancaires, prélèvement ou usurpation d’identité.
Paris et Île-de-France : que préparer avant de consulter ?
À Paris et en Île-de-France, les dossiers de smishing bancaire doivent être préparés vite, car les virements peuvent transiter par plusieurs comptes de rebond. Avant un rendez-vous, il faut réunir :
- le relevé bancaire avec les lignes contestées ;
- les captures du SMS et de la page frauduleuse ;
- les échanges avec la banque ;
- le récépissé d’opposition ;
- le dépôt de plainte ;
- les notifications d’authentification forte ;
- les coordonnées des bénéficiaires ajoutés, si elles apparaissent ;
- les courriers de refus de remboursement ;
- l’historique des appels.
L’objectif n’est pas seulement de déposer plainte. Il faut articuler plainte pénale, contestation bancaire et stratégie de remboursement. Un dossier mal présenté peut laisser croire que la victime a validé les opérations en connaissance de cause. Un dossier chronologique, sourcé et chiffré permet au contraire de replacer la fraude dans son contexte réel.
Pour un cadrage plus large de la défense et de l’accompagnement en matière pénale, voir aussi la page du cabinet consacrée à l’avocat pénaliste à Paris.
Après un faux SMS bancaire, le dossier peut aussi basculer vers un blocage de compte bancaire et soupçon de compte mule.
Besoin d’un avis rapide sur votre dossier.
Le cabinet peut analyser en 48 heures votre dossier de faux SMS bancaire, de smishing, de phishing ou de refus de remboursement après fraude.
La consultation permet de vérifier la plainte, la chronologie, les preuves disponibles et la réponse à adresser à la banque.
Appelez le cabinet au 06 89 11 34 45 ou utilisez la page contact du cabinet. Le cabinet intervient à Paris et en Île-de-France pour les dossiers d’escroquerie, fraude bancaire, phishing, smishing et remboursement d’opérations non autorisées.
