diff --git a/apps/api/tests/functional/auth.spec.ts b/apps/api/tests/functional/auth.spec.ts
index ced8044..942c608 100644
--- a/apps/api/tests/functional/auth.spec.ts
+++ b/apps/api/tests/functional/auth.spec.ts
@@ -55,7 +55,10 @@ test.group('Auth — POST /auth/signup', (group) => {
     response.assertStatus(422)
   })
 
-  test('refuse un email déjà pris (422)', async ({ client }) => {
+  test('refuse un email déjà pris (422 + erreur typée sur le champ email)', async ({
+    client,
+    assert,
+  }) => {
     await client.post('/api/v1/auth/signup').json({
       email: 'twice@spec.test',
       password: 'password123',
@@ -68,6 +71,30 @@ test.group('Auth — POST /auth/signup', (group) => {
       fullName: 'Second',
     })
     response.assertStatus(422)
+
+    // Vérifie le format précis de la réponse — pas juste un 422 vague.
+    // Permet de détecter une régression où :
+    //  1. La validation unique disparait (validator Vine ou contrainte DB)
+    //  2. Le handler d'exception change la shape (`{ errors: [{ ... }] }`)
+    //  3. Le `field` n'est plus posé sur l'erreur (le SPA s'en sert pour
+    //     mettre en rouge le bon input)
+    //
+    // Ce test a été enrichi suite à un mutation test du 2026-05-18 qui a
+    // révélé qu'un seul `assertStatus(422)` laissait passer le retrait
+    // du `.unique()` côté validator (la contrainte DB prenait le relais
+    // silencieusement, sans test).
+    const body = response.body() as {
+      errors?: Array<{ code?: string; field?: string; message?: string }>
+    }
+    assert.isArray(body.errors)
+    assert.isAtLeast(body.errors!.length, 1)
+    const emailError = body.errors!.find((e) => e.field === 'email')
+    assert.exists(
+      emailError,
+      "le payload d'erreur doit avoir au moins une entrée avec field='email'"
+    )
+    assert.isString(emailError!.code)
+    assert.isString(emailError!.message)
   })
 })