Actualité web & High tech sur Usine Digitale

Fraude à la carte bancaire et phishing : que dit la loi ?

Twitter Facebook Linkedin Google + Email
×

Que dit la réglementation en matière de fraude à la carte bancaire ? Quels sont les droits et devoirs des banques en cas de phishing ? L'avocat Eric Caprioli fait le point sur la réglementation.

Fraude à la carte bancaire et phishing : que dit la loi ?
Fraude à la carte bancaire et phishing : que dit la loi ? © Groupe Gisi ETAI

La fraude à la carte bancaire constitue l’un des fléaux des temps modernes. Selon l’Observatoire de la sécurité des moyens de paiements dans son rapport annuel pour 2016, les paiements frauduleux à distance représentent 70,1% du total des fraudes par usurpation des informations figurant sur la carte. Aujourd’hui, ce type de fraude passe de plus en plus souvent par des techniques de "phishing" ou d’hameçonnage.

 

La preuve de la faute du titulaire pèse sur la banque

 

Depuis un arrêt du  2 octobre 2007, la jurisprudence est constante pour faire peser le risque sur la banque et ce, quels que soient les faits et autres manquements que peut accomplir le client : "en cas de perte ou vol d'une carte bancaire, il appartient à l'émetteur de la carte qui se prévaut d'une faute lourde de son titulaire, au sens de l'article L. 132-3 du code monétaire et financier, d'en rapporter la preuve".

 

En effet, le Code monétaire et financier, avant et après la transposition de la DSP2, pose toujours la même règle : la banque (le prestataire de service de paiement) doit rapporter la preuve que le client a été négligent ou malveillant, même si ce dernier a fait l’objet de phishing et qu’il a transmis indûment des données pour son identification et la validation de son paiement alors qu’il n’aurait pas du le faire. Une nouvelle décision de la Cour de cassation du 25 octobre 2017 vient semble-t-il de dire le contraire. Mais à l’analyse, il n’en est rien.

 

Les faits

 

Le porteur de la carte devait valider deux paiements d’opérations réalisées sur l’internet au moyen de deux messages SMS contenant un code à 6 chiffres envoyés sur son téléphone portable et exigés dans le cadre du paiement sécurisé 3D Secure pour valider lesdits paiements. Or, la cliente de la banque qui n’avait pas réalisé ces opérations, a fait opposition à sa carte auprès de sa banque et a demandé le remboursement des montants prélevés sur son compte (3.300,28 euros).

 

Or, la cliente avait reçu un courriel se présentant comme émanant soi-disant de son opérateur téléphonique, fait qu’elle ne contestait pas. Ce courriel lui demandait de communiquer des informations relatives à son compte chez cet opérateur. Ce qui a permis à au fraudeur de mettre en place un renvoi téléphonique des messages reçus de la banque, ainsi que ses nom, numéro de carte de paiement, date d’expiration et cryptogramme figurant au verso de la carte.

 

La banque s’est opposée à la demande de remboursement au motif que la cliente avait ainsi commis une négligence grave dans la conservation des dispositifs de sécurité personnalisés mis à sa disposition.

 

La solution : Un manquement par une négligence grave 

 

Le tribunal d’instance aurait dû rechercher, "si la cliente n’aurait pas pu avoir conscience que le courriel qu’elle avait reçu était frauduleux et si le fait d’avoir communiqué son nom, son numéro de carte bancaire, la date d’expiration de celle-ci et le cryptogramme figurant au verso de la carte, ainsi que des informations relatives à son compte SFR permettant à un tiers de prendre connaissance du code 3D Secure ne caractérisait pas un manquement, par négligence grave, à ses obligations mentionnées à l’article L. 133-16 du code monétaire et financier". Une autre décision de la Cour de cassation du 18 janvier 2017 avait décidé que c’est à la banque (le prestataire de service de paiement) "qu’il incombe, par application des art. L. 133-19, IV, et L. 133-23 du même code, de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations ; cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés".

 

Au regard de la solution retenue par la Cour, il aurait suffi à la cliente de ne pas reconnaître qu’elle avait répondu à un message émanant de son opérateur de téléphonie (SFR) pour que la décision penche en sa faveur. Il semble que cette décision s’inscrive dans la droite ligne de la décision de la Cour de cassation du 16 octobre 2012, où le client de la banque avait reconnu avoir laissé son dispositif de sécurité personnalisé avec sa carte bancaire dans la boîte à gants de son automobile.

 

On peut estimer que le fait que la titulaire de la carte ait communiqué volontairement les informations relatives à la carte à une personne se présentant sous une fausse identité n’aurait sans doute pas été suffisant, même si la Cour de cassation a estimé que la juridiction de proximité n’a pas recherché, "au regard des circonstances de l’espèce, si Mme X... n’aurait pas pu avoir conscience que le courriel qu’elle avait reçu était frauduleux et si, en conséquence, le fait d’avoir communiqué son nom, son numéro de carte bancaire, la date d’expiration de celle-ci et le cryptogramme figurant au verso de la carte, ainsi que des informations relatives à son compte SFR permettant à un tiers de prendre connaissance du code 3D Secure ne caractérisait pas un manquement, par négligence grave, à ses obligations mentionnées à l’article L. 133-16 du code monétaire et financier". 

 

Néanmoins, la motivation reste intéressante dans la mesure où elle précise ce qui pourrait caractériser une négligence grave. Mais la charge de la preuve de cette négligence pèse toujours sur la banque. Encore une fois, la question de la sécurité des moyens de paiement s’avère fondamentale et la jurisprudence est toujours à la recherche d’une position ménageant les intérêts en présence.

 

 

Eric A. CAPRIOLI, Avocat à la Cour de Paris, Docteur en droit, Membre de la délégation française aux Nations Unies, Vice-Président de la Fédération des Tiers de Confiance du Numérique et du Club des Experts de la Sécurité de l’Information et du Numérique

Société d’avocats membre du réseau JurisDéfi

 

 

 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

media

Les cookies assurent le bon fonctionnement de nos sites et services. En utilisant ces derniers, vous acceptez l'utilisation des cookies.OK

En savoir plus
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale