SMS faux conseiller bancaire : comment sécuriser son compte ?
Appel ou SMS d'un prétendu agent de votre banque ? Protocole d'urgence en 30 minutes, contestation argumentée contre la négligence grave, signalement Pharos et modèle de courrier.
Par Sophian ·
En résumé : si vous venez d'être contacté par un faux conseiller bancaire et que des opérations ont été validées, raccrochez, appelez votre banque sur son numéro officiel, bloquez vos accès en ligne, listez précisément les opérations et envoyez sous 48 heures une contestation écrite. Le remboursement est encadré par l'article L133-18 du Code monétaire et financier. La banque ne peut vous opposer la « négligence grave » que si elle la prouve.
« Bonjour, ici le service fraude de votre banque. Une opération à 1 200 € a été détectée sur votre compte. Pouvez-vous me confirmer votre code de validation pour la bloquer ? » Ce script - variantes infinies - est devenu l'une des arnaques bancaires les plus pratiquées en France. L'objectif n'est pas de vous voler vos identifiants : c'est de vous faire valider vous-même une opération frauduleuse, ce qui complique la procédure de remboursement.
Ce guide donne le protocole exact des 30 premières minutes, l'argumentaire juridique pour contester l'argument « négligence grave » que les banques opposent systématiquement, et un modèle de courrier prêt à adapter.
Pourquoi cette arnaque marche aussi bien
Trois leviers psychologiques sont combinés :
- L'urgence artificielle : l'arnaqueur invente une opération suspecte « en cours » qu'il faut bloquer en quelques minutes. Votre cerveau n'a pas le temps d'analyser.
- L'autorité usurpée : le numéro affiché peut être celui réel de votre banque (spoofing téléphonique). Le faux conseiller connaît votre nom, votre type de carte, parfois les derniers chiffres de votre compte (revente de bases de données).
- L'assistance feinte : il prétend vous protéger. Vous devenez son allié, pas sa cible.
Selon le rapport 2024 de l'Observatoire de la sécurité des moyens de paiement, les fraudes par manipulation (« spoofing » bancaire) ont représenté plus d'un tiers des montants détournés par carte ou virement en France. Le préjudice moyen par victime dépasse 3 000 €.
Protocole des 30 premières minutes
L'ordre exact des actions est déterminant. Suivez la séquence ci-dessous.
1. Raccrochez sans confirmer quoi que ce soit
Ne rappelez jamais le numéro qui vous a contacté, même s'il vous semble officiel. Le spoofing rend invisible toute traçabilité depuis votre journal d'appels.
2. Appelez votre banque via le canal officiel
Le numéro légitime se trouve :
- au dos de votre carte bancaire,
- sur le site institutionnel de votre banque (tapé manuellement, pas via un lien reçu par SMS),
- dans votre application bancaire, dans la rubrique « urgence fraude ».
Expliquez le scénario : « Je viens d'être contacté par un faux conseiller, j'ai peut-être validé une opération frauduleuse. Je veux bloquer mon compte et déclarer une fraude. »
3. Bloquez immédiatement vos accès en ligne
Si vous avez communiqué identifiants, mots de passe, codes 3D Secure ou validé une demande dans votre application, demandez à la banque de désactiver vos accès en ligne. Si possible, faites-le vous-même depuis un appareil différent.
4. Listez les opérations effectuées
Notez sur un papier ou un fichier, dans l'ordre chronologique :
- Heure exacte de chaque opération ou validation
- Montant
- Bénéficiaire (IBAN si visible)
- Canal (virement, paiement carte, ajout de bénéficiaire, validation 3D Secure…)
Cette liste sera la colonne vertébrale de votre contestation écrite.
5. Ne validez plus rien
Si l'arnaqueur vous rappelle (très probable), ne répondez pas. S'il prétend « Madame, j'ai besoin que vous validiez une dernière fois pour annuler », c'est qu'il a besoin d'une nouvelle confirmation de votre part pour finaliser une autre opération.
Vos droits : article L133-18 du Code monétaire et financier
Le cadre est clair : une opération de paiement non autorisée par le titulaire doit être remboursée immédiatement par la banque, au plus tard à la fin du jour ouvrable suivant le signalement, sauf à prouver une négligence grave de votre part.
C'est l'exception « négligence grave » qui devient la zone de combat. Les banques la dégainent presque systématiquement quand la victime a saisi elle-même un code reçu par SMS.
Comment caractériser l'absence de négligence grave
La jurisprudence française reconnaît plusieurs critères qui jouent en votre faveur :
- Contexte de manipulation et de contrainte : ingénierie sociale par un interlocuteur usurpant l'identité d'un agent légitime
- Stress et urgence artificielle créés par l'arnaqueur (menace de débit imminent, peur du blocage de compte)
- Failles dans le dispositif d'authentification forte de la banque (3D Secure mal calibré, alertes absentes, validation accordée hors géolocalisation habituelle…)
- Bonne foi : volonté de l'utilisateur de protéger son compte, pas de l'exposer
| Argument de la banque | Réponse type à intégrer dans votre contestation |
|---|---|
| « Vous avez validé l'opération » | Validation obtenue sous contrainte et manipulation, sans consentement libre et éclairé |
| « Vous avez communiqué votre code » | Code transmis à un interlocuteur usurpant l'identité d'un agent de la banque |
| « Vous auriez dû reconnaître la fraude » | Le mode opératoire (spoofing du numéro, connaissance d'éléments confidentiels) n'était pas détectable par un client moyennement vigilant |
| « 3D Secure a validé » | Sans authentification forte effectivement non détournable, la responsabilité bancaire reste engagée (PSD2) |
Signalements officiels complémentaires
Au-delà de la contestation auprès de votre banque, déposez les signalements suivants. Ils renforcent la crédibilité de votre dossier.
- Cybermalveillance.gouv.fr - orientation vers le bon interlocuteur (police, banque, opérateur) et accompagnement.
- Pharos / internet-signalement.gouv.fr - signalement du numéro frauduleux ou du site de phishing.
- 33700 - transfert du SMS frauduleux à ce numéro court (gratuit) pour traitement par les opérateurs.
- Plainte ou pré-plainte - si le préjudice est significatif, déposez plainte au commissariat. Pour la pré-plainte en ligne, voir notre glossaire pré-plainte.
Modèle court de courrier de contestation
À adresser en recommandé avec accusé de réception au service réclamations de votre banque, dans les 48 heures suivant la fraude.
Vous pouvez générer une version personnalisée et complète, avec chronologie formelle des faits, depuis notre assistant dossier.
Erreurs qui plombent un dossier
- Admettre par écrit « j'ai donné mes codes ». Préférez : « j'ai été amené à transmettre, sous manipulation, des éléments à un interlocuteur usurpant l'identité de votre service ». La nuance est juridiquement essentielle.
- Attendre la réponse téléphonique de la banque avant d'envoyer le courrier. Le délai de remboursement court à compter du signalement écrit, pas de l'appel.
- Oublier le signalement Pharos ou Cybermalveillance. Sans ces preuves de diligence, l'argument « négligence » devient plus facile à plaider pour la banque.
- Continuer à utiliser le même appareil ou les mêmes accès. Si l'arnaqueur a installé une application à distance (rare mais existant), changez de canal et faites contrôler l'appareil.
- Régler à l'amiable un remboursement partiel sans contestation écrite formelle. Vous renoncez de fait à toute action ultérieure.
Cas concret (anonymisé)
Une victime contactée par un faux conseiller valide en 8 minutes deux virements vers un « compte sécurisé » pour un montant cumulé de 4 700 €. Elle reçoit ensuite un SMS authentique de sa banque l'alertant d'une opération inhabituelle : le doute s'installe. Elle appelle immédiatement le numéro officiel, déclare la fraude, et envoie le lendemain un courrier de contestation détaillé. Sa banque oppose initialement la négligence grave. Après un second courrier appuyé sur le contexte de manipulation et un signalement Pharos, le remboursement intégral est obtenu en six semaines.
Le facteur décisif : la rapidité du signalement et la traçabilité écrite dès les 48 premières heures.
FAQ
Mon code 3D Secure a été utilisé, suis-je responsable ? Pas automatiquement. La directive PSD2 impose une authentification forte non contournable. Si vous avez été manipulé pour la fournir, ce n'est pas un consentement valide au sens de la loi.
La banque me demande de signer une décharge avant remboursement, je signe ? Non. Faites relire toute décharge avant signature. Si la décharge vous fait renoncer à des recours futurs, refusez et exigez un remboursement sans clause restrictive.
Combien de temps pour être remboursé ? Légalement, au plus tard à la fin du jour ouvrable suivant le signalement. En pratique, comptez 4 à 8 semaines en cas de refus initial et de relance écrite.
Et si la banque maintient son refus ? Vous pouvez saisir le médiateur bancaire de votre banque (gratuit), puis si nécessaire le tribunal. Le délai de prescription est de 5 ans.
Faut-il déposer plainte avant ou après le courrier à la banque ? Dans l'idéal en parallèle. La banque peut exiger un récépissé de plainte pour traiter le dossier. La pré-plainte en ligne est rapide et suffisante pour démarrer.
Pour aller plus loin
- Comprendre les termes : recall bancaire, négligence grave, article L133-18
- Si la banque a déjà refusé : refus de remboursement après fraude carte bancaire
- Page typologie complète : phishing et faux conseiller bancaire