L'utilisation du dispositif d'authentification forte ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur.
Soutenant avoir été victime de trois virements frauduleux exécutés sur le compte bancaire dont elle était titulaire, une société a assigné la banque en restitution des fonds.
La cour d'appel de Paris a jugé les opérations de paiement autorisées.
Après avoir retenu que les relevés informatiques produits par la banque établissaient l'utilisation de l'identifiant et du code d'accès à l'espace en ligne et l'utilisation d'un "token" généré par un boîtier, les juges du fond en ont déduit, d'une part, que l'opération en question avait été authentifiée, dûment enregistrée et comptabilisée, d'autre part qu'elle n'avait pas été affectée par une déficience technique.
Ils ont ajouté que le consentement de la société était présumé avoir été donné conformément à la forme convenue entre les parties.
Cette analyse est invalidée par la Cour de cassation dans un arrêt du 1er juillet 2026 (pourvoi n° 25-13.134).
La chambre commerciale retient qu'en statuant ainsi, alors que la société contestait avoir consenti à ces opérations et soutenait que ses données de sécurité personnalisées avaient été utilisées à son insu, la cour d'appel, en déduisant le consentement des opérations litigieuses du recours à la forme convenue contractuellement, a inversé la charge de la preuve et violé les articles L. 133-6, L. 133-7 et L. 133-23 du code monétaire et financier.
