22 janvier 2026
Une assurance peut-elle rembourser une rançon payée en crypto-actifs sans constituer un financement indirect d’ organisations criminelles ?
Par Ambrine MALEUX,
Étudiante Master 2 Droit Bancaire et Fintech
Membre de l’Association Niçoise des Étudiants Juristes d’Affaires (ANEJA)
et membre de l’AFJE06
Publication proposée dans le cadre du Master 2 Droit Bancaire et Fintech à l’Université Nice Côte d’Azur - Cycle " Droit des assurances approfondi, thème du risque cyber"
En droit français, le remboursement assurantiel d’une rançon versée à la suite d’un rançongiciel est admis en principe, mais sous des conditions strictes. Le Haut Comité juridique de la place financière de Paris qualifie le rançongiciel d’extorsion au sens de l’article 312-1 du Code pénal : l’entreprise attaquée est juridiquement une victime, et aucun texte n’interdit, en tant que tel, ni le paiement de la rançon ni son remboursement par un assureur.
Cette licéité de principe demeure toutefois subordonnée au respect des incriminations pénales existantes, en particulier le blanchiment de capitaux prévu à l’article 324-1 du Code pénal, ainsi qu’ aux régimes de sanctions nationaux et internationaux, dès lors qu’aucune autre infraction autonome n’est caractérisée.
Le cadre juridique a été précisé par l’article L.12-10-1 du Code des assurances, issu de la loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI), qui conditionne l’indemnisation des pertes résultant d’une cyberattaque au dépôt d’une plainte dans un délai de soixante-douze heures à compter de la connaissance des faits.
Dans ces conditions, une rançon versée en crypto-actifs peut, en droit, entrer dans le champ de la garantie assurantielle.
Ce principe juridique se heurte toutefois à la réalité des flux financiers observés. Les rapports du GAFI consacrés aux rançongiciels, ainsi que ceux de Tracfin, établissent que les paiements de rançon transitent aujourd’hui majoritairement par des actifs virtuels, ce qui expose les assureurs à un risque élevé de participation indirecte à des circuits criminels organisés.
La question centrale ne réside donc pas dans la seule possibilité juridique, théorique et abstraite, pour un assureur de rembourser une rançon, mais dans les
conditions concrètes et opérationnelles dans lesquelles ce remboursement est mis en œuvre, au regard des obligations de vigilance et de contrôle qui lui incombent.
Tant que l’ assureur se borne à indemniser son assuré victime, il demeure dans un rôle réparateur conforme à la logique du contrat d’assurance. En revanche, s’il rembourse une rançon sans précautionsparticulières, il s’éloigne de ce rôle pour entrer dans une zone de vigilance juridique accrue.
En revanche, s’il rembourse une rançon sans mettre en œuvre les diligences renforcées attendues d’un assujetti à la LCB-FT au sens desarticles L.561-2 et suivants du Code monétaire et financier, il s’expose au risque d’être regardé comme facilitant la conversion ou la mise à disposition du produit d’un crime, et donc de se placer sur le terrain du blanchiment.
Ces sinistres doivent dès lors être traités comme des opérations à haut risque : intégration dans la cartographie des risques, contrôle des listes de sanctions, analyse des flux sur la blockchain, déclaration de soupçon à Tracfin et, le cas échéant, refus d’indemnisation. Le remboursement d’une rançon en crypto-actifs n’est donc juridiquement admissible qu’au prix d’un encadrement rigoureux.
Cette problématique prend une dimension particulière lorsque certaines organisations terroristes ont déjà eu recours aux crypto- actifs pour financer leurs activités, de sorte qu’une rançon issue d’unrançongiciel peut, sans que les acteurs n’en aient conscience, être absorbée dans de tels circuits.
Code pénal, art. 312-1 et 324-1, version en vigueur, Légifrance,
Code des assurances, art. L.12-10-1, issu de la loi n° 2023-22 du 24 janvier 2023d’orientation et de programmation du ministère de l’Intérieur (LOPMI), Légifrance,
Code monétaire et financier, art. L.561-2 et s.,relatifs à la lutte contre le blanchiment de capitaux et le financement du terrorisme, Légifrance,
Haut Comité juridique de la place financière de Paris, Rapport sur les enjeux juridiques liés aux cyberattaques et au paiement des rançons, Paris,
Groupe d’action financière (GAFI/FATF), Ransomware and Related Money Laundering and Terrorist Financing Risks, 2023,
Tracfin, Rapport d’activité et d’analyse – Tendances et risques en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme, éditions récentes, Ministère de l’Économie et des Finances,
ANSSI, Panorama de la cybermenace, éditions annuelles,
Mondaq,« Comment se préparer à l’assurance cyber et à l’obligation de dépôt de plainte sous 72 heures », 2023,
Ambrine MALEUX