D'accord.
Premièrement la banque est soumis à une obligation de vigilance (L561-20 du code monétaire). De plus des achats rapides à l'étranger pour des montants dépassant les activités courantes du compte devait l'alerter. En cela (si ça correspond au profil de votre ami), elle se met en tord.
Secondairement, il faut savoir si le code unique signifie un code par SMS qui aurait été détourné ou un processus d'authentification forte. Dans le premier cas, la banque ne peut vous opposer une négligence grave, ce qu'elle fait, de plus, l'ACPR et la banque de France ont clairement indiqué que :
La validation de l’opération par un code SMS-OTP, en l’absence d’un deuxième facteur
d’authentification répondant aux nouveaux standards de sécurité renforcée
(authentification forte), ne permet pas au PSP de refuser la demande de remboursement
sur ce seul fondement.
Ainsi demandez à votre ami de prendre rdv avec le directeur, utilisez les arguments ci-dessus s'ils s'appliquent. Demandez sa position écrite. Si elle ne vous satisfait pas, vous saisissez le service réclamation client puis le médiateur (voir la procédure sur Internet). Gardez des arguments objectifs et précis et ne vous laissez pas marcher dessus. Si le médiateur donne raison a la banque, il ne restera que la justice malheureusement mais si les deux arguments s'appliquant au cas de votre ami, rien qu'agiter ces arguments suffira à obtenir le remboursement.