Actualité web & High tech sur Usine Digitale

Recevez chaque jour toute l'actualité du numérique

x

Fraude à la carte bancaire par hameçonnage : une nouvelle tendance se dessine

Twitter Facebook Linkedin Google + Email
×

Tribune Cette semaine, l'avocat Eric Caprioli nous alerte sur l'essor de la fraude à la carte bancaire et le phishing. Et nous expose la jurisprudence sur le sujet.

Fraude à la carte bancaire par hameçonnage : une nouvelle tendance se dessine
Fraude à la carte bancaire par hameçonnage : une nouvelle tendance se dessine © Groupe Gisi ETAI

Avec le développement du numérique, les multiples fraudes à la carte bancaire ne cessent de se répandre. On peut y retrouver le skimming (fausse carte), le vol des données personnelles ou bien l’hameçonnage ou phishing. Concernant la technique du phishing à contre un détenteur de carte, elle consiste à collecter des données personnelles et bancaires par le biais d’un courriel (ex : à tonalité alarmiste ou facture à régler) qui imite ceux envoyés par la banque du destinataire. Confrontée à ces fraudes, la Cour de cassation a développé une jurisprudence protectrice des titulaires de cartes en contraignant les banques à rembourser leurs clients victimes de fraudes.

 

Une jurisprudence constante, sévère … pour les banques

Depuis un arrêt du 2 octobre 2007, la Cour de cassation garde la même posture favorable aux clients de banque. En l’espèce, il s’est avéré que l’utilisation des identifiants de l’utilisateur n’était pas suffisante pour imputer l’opération litigieuse au titulaire du compte et rapporter ainsi la preuve d’une faute lourde ou d’une négligence du client. Par la suite, la solution a été reprise dans plusieurs affaires (ex : Cass. 28 mars 2008). De plus, dans une décision du 7 avril 2017, la Cour de cassation a estimé que lorsque le moyen de paiement dispose d’un dispositif de sécurité renforcé, cela ne suffit pas à démontrer que la délivrance par des époux de leurs données confidentielles à d’autres personnes ait permis les opérations litigieuses.

Par ailleurs, cette position est illustrée un arrêt du 18 janvier 2017 où la cour de cassation juge que la totalité du risque pèse en général sur la banque subordonnée au fait de rapporter une "preuve diabolique ou impossible". La banque doit donc renforcer son système d’authentification en prévention de ces fraudes.

 

Un arrêt qui change la donne

Un arrêt du 28 mars 2018 se différencie des précédents où la Cour de cassation ne condamne pas la banque à rembourser son client. Ce dernier avait été victime d’hameçonnage et assigné sa banque afin qu’elle lui rembourse les sommes débitées sur deux de ses comptes. La banque s’oppose néanmoins au remboursement en invoquant la négligence grave de son client dans la garde et la conservation des données personnelles du dispositif de sécurité des instruments de paiement utilisés.

La Cour a de ce fait rappelé l’obligation de la banque de prouver la défaillance de l’utilisateur de la carte. Pour se défendre, la banque soulève une possible présomption de défaillance lorsque le service de paiement est doté d’un dispositif de sécurité élevé (authentification forte). Néanmoins, la Cour estime que c’est à la banque de prouver que le client "n’a pas satisfait intentionnellement ou par négligence grave à ses obligations ; que cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés" (Art l. 133-19, IV, et L. 133-23 du même code).

Néanmoins, à la suite des analyses, la Cour énonce que les indices issus des documents imitant celui de la banque montrent que le client n’a pas été attentif quant à la provenance du courriel notamment par les nombreuses fautes d’orthographe. Cette inattention caractérise la négligence grave à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés qui incombe à l’utilisateur d’un service de paiement. Ainsi, "manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l'utilisateur d'un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu'il soit, ou non, avisé des risques d'hameçonnage", en violation des articles 133-16 et 133-19 du CMF.

 

Le cœur du sujet : la charge de la preuve

Le véritable lien entre toutes ces décisions est la question de la charge de la preuve. En effet, il s’agit de toujours se demander qui de la banque ou du client supporte le risque de fraude ? Comme les décisions le manifestent, il incombe à la banque de prouver la négligence de son client. Par conséquent, la banque se retrouve souvent face à des situations où elle est dans l’incapacité de rapporter une quelconque preuve dans une telle situation.

 

L’authentification forte, nouveau sésame pour les banques

Malgré tout, une possible échappatoire peut être perçue notamment dans cette décision du 28 mars 2018 concernant les mesures de sécurité mises en œuvre. En effet, par les moyens qu’elles ont à leur disposition, les banques peuvent tenter de contrebalancer le fardeau de la preuve. C’est d’ailleurs le cas avec le service d’authentification forte mis en évidence par la décision du 28 mars 2018 (Art L.133-4-f CMF). Lors de transaction en ligne, le procédé de paiement doit forcément faire intervenir deux niveaux d’identification (ex : système 3D secure). Cette technique se développe pour des raisons de sécurité pour le client mais aussi pour la banque et elle devrait se généraliser en 2019 du fait de l’article L. 133-19-V : "Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l'opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n'exige une authentification forte du payeur prévue à l'article L. 133-44" (transposition de la directive DSP2).

Il est par ailleurs essentiel que les équipes juridiques et techniques veillent à ce que toutes ces mesures soient en conformité avec les dispositions qui ont trait à la gestion des identifications et authentifications, mais aussi à la protection de ces données (RGPD).

Quoi qu’il en soit, la Cour de Cassation semble assouplir sa position notamment dans son arrêt du 6 juin 2018 dans lequel la chambre commerciale ne condamne pas la banque à rembourser son client. En effet, quand bien même sa protection accrue, le client reste tenu d’une "obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés" et pourra être accusé de négligence grave en cas de manquement. Tel sera le cas lorsque l’utilisateur d’un service de paiement communique les données personnelles de ses dispositifs de sécurité en réponse à un courriel contenant des indices permettant à un utilisateur normalement attentif de douter de sa provenance. Ce type d’acte entraîne le non remboursement des prélèvements effectués. Ces nouvelles décisions, plus favorables aux banques, procèdent à un rééquilibrage dans la relation client-banque face à la fraude.

 

Eric A. CAPRIOLI, Avocat à la Cour de Paris, Docteur en droit, membre de la délégation française aux Nations Unies, Société d’avocats membre du réseau Jurisdéfi.

Les avis d'experts sont publiés sous la responsabilité de leurs auteurs et n'engagent en rien la rédaction de L'Usine Digitale.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale