En matière de crypto-actifs, le choc est souvent double : la perte financière immédiate, et l’impression qu’il n’y a « rien à faire » parce que tout serait irréversible. En réalité, les recours existent. Ils obéissent cependant à une logique différente des litiges bancaires classiques, car la preuve est hybride (on-chain et off-chain) et l’efficacité dépend de la réactivité des premières démarches.
En 2025–2026, l’écosystème régulé change la donne. Le règlement MiCA impose aux prestataires des standards renforcés, tandis que le règlement DORA, applicable depuis janvier 2025, cadre la résilience numérique du secteur financier. Parallèlement, la travel rule européenne renforce la traçabilité des flux, offrant de nouveaux leviers aux victimes.
Vol, hack ou arnaque : bien qualifier pour mieux agir
La première étape cruciale est la qualification juridique de l’événement, car elle détermine le type d’action à mener.
La compromission d’un compte sur une plateforme (custodial) concerne les accès frauduleux (phishing, SIM swap, contournement de la 2FA). Ici, le prestataire a une obligation de sécurité contractuelle vis-à-vis de l’utilisateur.
La compromission d’un wallet personnel (non-custodial) survient lorsque la seed phrase est divulguée ou qu’un contrat malveillant est signé. Aucun intermédiaire n’est dépositaire des fonds, ce qui rend le recours plus complexe mais pas impossible.
L’arnaque à l’investissement se distingue par le fait que la victime a elle-même initié les transferts sous l’influence de manœuvres frauduleuses. On parle alors d’escroquerie au sens du Code pénal (art. 313-1).
Les réflexes probatoires : constituer un dossier solide
Le droit ne protège pas une impression, mais une chronologie documentée. Avant même le dépôt de plainte, il est impératif de figer les preuves. Réalisez immédiatement des captures d’écran de l’historique du compte, des courriels et des notifications de connexion.
Organisez les données techniques : identifiants de transactions (hash), adresses de départ et d’arrivée, horodatages précis. Conservez également les journaux techniques (logs) et l’intégralité des échanges avec le support de la plateforme. Enfin, documentez les flux en monnaie fiduciaire (virements, relevés bancaires) ayant servi à l’acquisition des actifs.
La voie pénale : porter plainte et viser le gel des avoirs
La majorité des incidents relève d’infractions classiques : l’escroquerie, l’accès frauduleux à un système de traitement de données (STAD) ou l’abus de confiance. Le dépôt de plainte, réalisable via la plateforme THESEE pour les escroqueries sur Internet, permet de déclencher des réquisitions judiciaires.
L’enjeu prioritaire est de geler les avoirs le plus rapidement possible dès qu’un point d’entrée régulé (comme une plateforme d’échange) est repéré. Le temps est votre principal adversaire : plus les heures passent, plus les fonds sont fragmentés ou transférés vers des juridictions peu coopératives.
La voie civile : engager la responsabilité des intermédiaires
Lorsque le vol passe par une plateforme de conservation, la discussion se déplace sur le terrain contractuel. On examine alors la robustesse des systèmes de sécurité et la qualité des dispositifs anti-fraude du prestataire. Avec MiCA, ces standards sont significativement élevés.
Dans le cas d’arnaques par virement, la responsabilité de la banque peut parfois être engagée sur le terrain de son obligation de vigilance (détection d’opérations atypiques au regard du profil du client). C’est un terrain technique qui dépend des montants, de la répétition des virements et de la réactivité de l’établissement face aux signaux de fraude.
DORA et la Travel Rule : de nouveaux outils de preuve
Le règlement DORA transforme l’incident cyber en un fait générateur d’obligations. Un manquement à ces obligations (défaut de notification, insuffisance des tests de sécurité) peut constituer une preuve de faute dans une action en responsabilité contre un prestataire.
De son côté, la travel rule impose que chaque transfert soit accompagné des données d’identification. Si les fonds volés transitent par un acteur réglementé, celui-ci dispose désormais d’informations exploitables pour une demande de gel ou une enquête judiciaire.
Récupérer ses fonds : gérer les attentes
Il faut être lucide : toutes les pertes ne sont pas récupérables. Le succès dépend de la rapidité de réaction, de la qualité des preuves et de la présence d’un point de centralisation régulé. L’objectif est souvent de maximiser les chances de gel immédiat ou de se retourner contre un intermédiaire solvable si celui-ci a manqué à ses obligations de vigilance.
Conclusion
En matière de crypto-actifs, l’irréversibilité technique n’est pas une fatalité juridique. La capacité à documenter précisément un incident et à activer rapidement les acteurs régulés fait toute la différence. Dans un cadre européen désormais structuré par MiCA et DORA, la rigueur de la preuve devient votre levier principal.
Cet article a été rédigé avec l’expertise de HASHTAG avocats.
