I. Le smishing : une technique d'ingénierie sociale qui dépasse le simple SMS frauduleux

Le smishing, contraction de SMS et phishing, consiste à envoyer de faux messages en usurpant l'identité d'organismes officiels ou d'entreprises connues, afin d'obtenir les données personnelles et bancaires du destinataire. Les vecteurs les plus courants en France usurpent l'identité de transporteurs (Colissimo, Chronopost, DHL), de l'Assurance Maladie (Ameli), de la Direction générale des finances publiques ou de l'ANTAI pour les contraventions. Dans tous les cas, le message invite à cliquer sur un lien renvoyant vers un site frauduleux visuellement identique à l'original.

Ce que la jurisprudence récente a mis en lumière, c'est que le smishing n'est presque jamais le stade terminal de la fraude. Il en est le premier acte. Les données dérobées servent à construire une arnaque au faux conseiller bancaire d'autant plus crédible que l'escroc dispose désormais d'informations précises sur la victime. C'est cette combinaison qui produit les préjudices les plus lourds (régulièrement compris entre 10.000 et 80.000 euros).

Faux SMS de livraison : Colissimo, Chronopost, DHL

Le message vous informe d'un blocage de colis et vous demande de régler quelques euros de frais de douane ou d'étiquetage via un lien. Le site vers lequel vous êtes redirigé reproduit avec précision l'interface du vrai transporteur. Vous y saisissez vos coordonnées de carte bancaire, convaincu de débloquer votre livraison. Ces données sont immédiatement exploitées pour des achats frauduleux ou revendues sur des marchés illicites.

Faux SMS administratifs : Ameli, impôts, ANTAI

Ces messages usurpent l'identité de l'Assurance Maladie, de la Direction générale des finances publiques ou de l'ANTAI pour les amendes. Ils vous demandent de mettre à jour votre carte Vitale, de renseigner un nouveau RIB pour continuer à percevoir vos remboursements, ou de régulariser une contravention avant une majoration. L'efficacité de ces arnaques repose sur l'anxiété générée par leur objet : santé, obligations fiscales, amendes. La peur pousse à agir vite, sans recul.

II. Du smishing à l'arnaque au faux conseiller : la fraude en cascade

Dans les heures ou les jours qui suivent le clic sur le lien frauduleux, la victime reçoit un appel d'un individu se présentant comme son conseiller bancaire. Grâce au spoofing téléphonique, le numéro affiché est parfois même celui de l'agence. L'escroc connaît le nom, le numéro de carte et l'établissement bancaire de la victime. Il l'informe d'une fraude en cours (celle qu'il vient de lancer avec les données volées) et la convainc d'effectuer de valider des opérations de « mise en sécurité ». La victime, dont la vigilance est neutralisée par la crédibilité de l'interlocuteur, agit en toute confiance.

La Cour de cassation a analysé ce mécanisme dans son arrêt de principe du 23 octobre 2024 (n° 23-16.267, publié au Bulletin) : lorsque le mode opératoire a précisément pour effet de diminuer la vigilance du client (numéro usurpé, données personnelles exactes, urgence simulée), aucune négligence grave ne peut lui être imputée. La Cour a également distingué la situation du client contacté par téléphone (qui dispose d'un temps de réaction extrêmement réduit) de celle d'un client qui reçoit un e-mail frauduleux, pour laquelle l'appréciation des juges est plus sévère.

Cette jurisprudence a été étendue au smishing par la cour d'appel de Besançon dans sa décision du 10 février 2026 (n° 24/01852). La cour a posé deux principes essentiels. D'une part, cliquer sur un lien frauduleux constitue une mauvaise manipulation sans intention de valider un paiement (ce comportement, certes imprudent, ne constitue pas un défaut de vigilance considéré comme grave). D'autre part, la banque ne peut raisonner par présomption en invoquant la fiabilité théorique de son système d'authentification forte : elle doit apporter des preuves concrètes et spécifiques de la négligence du client.

III. Vos droits : L.133-18 CMF et jurisprudence 2025-2026

Les opérations effectuées à la suite d'une fraude par smishing constituent des opérations de paiement non autorisées au sens de l'article L.133-18 du Code monétaire et financier. La banque est donc tenue de rembourser immédiatement le montant de toute opération non autorisée signalée dans les délais légaux.

L'article L.133-23 du CMF, confirmé par la Cour de cassation dès le 18 janvier 2017 (n° 15-18.102), est explicite : la seule utilisation enregistrée d'un instrument de paiement ne suffit pas à prouver que le payeur a autorisé l'opération, ni qu'il a commis une négligence grave. La banque doit réunir un faisceau d'indices pluriels et convergents — exigence posée par la Cour de cassation dans son arrêt du 12 juin 2025 (n° 24-13.777).

IV. La limite posée par la Cour de cassation : le contenu des messages de validation

Le courant protecteur n'est néanmoins pas sans limites. Dans son arrêt du 4 mars 2026 (n° 24-19.588, publié au Bulletin), la Cour de cassation a cassé un jugement favorable à un client dont l'application bancaire affichait explicitement le mot « paiement » lors de la validation — et non « annulation » comme le lui avait fait croire le fraudeur. La Cour a reproché aux juges du fond de ne pas avoir recherché si le client avait lu ce message avant de valider.

Cet arrêt introduit un devoir de vigilance sur le contenu exact des notifications reçues en temps réel. Si le message de validation est clair et non ambigu sur la nature de l'opération, ne pas en lire le contenu peut constituer une négligence grave. Sur le plan pratique, le contenu exact des messages affichés lors des opérations litigieuses doit être documenté avec précision : en cas d'ambiguïté, d'affichage partiel ou de libellé trompeur, cet élément joue en faveur de la victime.