Fraude par SMS et responsabilité bancaire : ce que change l’arrêt de la Cour de cassation du 29 juin 2026
Le phishing et le smishing (fraude par SMS) sont devenus des risques quotidiens pour tout titulaire d’un compte bancaire. Lorsque la fraude aboutit, une question se pose systématiquement : qui doit supporter la perte — la victime ou la banque ?
Les faits
Un client reçoit un SMS annonçant une prétendue dette fiscale de 89 euros, assorti d’un lien de paiement. En suivant la procédure proposée, il ne règle en réalité aucune dette : il permet, à son insu, à un fraudeur d’installer l’application bancaire mobile sur un nouvel appareil. Depuis cet appareil, le fraudeur effectue plusieurs opérations et débite au total 24.852,15 euros du compte du client.
L’enjeu juridique : la « négligence grave »
En droit belge, l’article VII.44 du Code de droit économique protège en principe le consommateur victime d’une opération de paiement non autorisée : sa responsabilité est limitée à 50 euros maximum, tant qu’il n’a pas pu se rendre compte de la fraude. Cette protection tombe toutefois si le client a manqué, par négligence grave, à ses obligations légales de vigilance (article VII.38 CDE) — dans ce cas, il supporte l’intégralité de la perte, sans plafond.
La cour d’appel de Bruxelles avait estimé que le client avait commis une telle négligence grave : il n’avait pas vérifié le contenu du SMS, avait cliqué sur le lien sans précaution, n’avait pas remarqué que les pages consultées n’étaient pas sécurisées, et n’avait pas réagi aux messages d’alerte envoyés par sa banque quelques minutes après l’installation frauduleuse. Sur cette base, la cour d’appel avait fait porter toute la perte sur le client.
La décision de la Cour de cassation
Par un arrêt du 29 juin 2026, la Cour de cassation a cassé cette décision. Elle rappelle plusieurs principes qui intéressent directement tout consommateur confronté à ce type de fraude :
- La qualification de « négligence grave » n’est pas une simple question de fait laissée à l’appréciation souveraine des juges du fond : c’est une question de droit, que la Cour de cassation peut contrôler.
- La négligence grave suppose une violation qualifiée du devoir de prudence : un comportement qu’un payeur raisonnable et normalement prudent n’aurait jamais eu, ou une omission qu’il n’aurait jamais commise. Une simple imprudence ne suffit pas.
- C’est à la banque qu’il incombe de prouver cette négligence grave, et la seule preuve que l’instrument de paiement a été utilisé avec le code personnel du client ne suffit pas à créer une présomption de négligence.
- L’appréciation doit se faire concrètement, cas par cas, en tenant compte du contexte réel dans lequel la victime s’est trouvée et des informations dont elle disposait à ce moment précis — et non a posteriori, avec le recul de l’enquête.
La Cour de cassation a jugé que les éléments retenus par la cour d’appel de Bruxelles ne permettaient pas, en droit, de conclure à une négligence grave du client. L’affaire est renvoyée devant la cour d’appel d’Anvers, qui devra réexaminer le dossier à la lumière de ces principes.
Ce qu’il faut en retenir
Cet arrêt ne signifie pas que toute victime de phishing ou de smishing est automatiquement protégée : la cour d’appel d’Anvers pourra, sur la base d’autres éléments ou d’un raisonnement plus rigoureux, aboutir à nouveau à une conclusion de négligence grave. Il rappelle en revanche que les banques ne peuvent pas se contenter d’un raisonnement trop rapide — cliquer sur un lien frauduleux, ou ne pas avoir immédiatement identifié une page non sécurisée, ne suffit pas automatiquement à faire basculer toute la perte sur le consommateur. Chaque dossier doit être examiné dans son contexte concret, et c’est à la banque de démontrer, preuves à l’appui, que le comportement de son client constituait une faute grave et non une simple maladresse.
Pour toute personne victime d’une fraude bancaire par SMS ou par e-mail, cet arrêt constitue un point d’appui utile pour contester une décision de la banque qui rejetterait toute prise en charge au motif d’une négligence grave insuffisamment démontrée.
(Réf. : Cass., 29 juin 2026, C.25.0390.N)


